Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Políticas,    práticas e  procedimentos  em Segurança  da Informação                       prof. Roberto Dias Duarte      ...
Com licença, sou o                                Roberto                               “Conheço apenas                   ...
Big Brother Fiscal IV               Disponível em                maio/2011prof. Roberto Dias Duartesábado, 7 de maio de 2011
Big Brother Fiscal IV               Disponível em                maio/2011prof. Roberto Dias Duartesábado, 7 de maio de 2011
1a Parte: Sensibilizaçãosábado, 7 de maio de 2011
Visão executivaprof. Roberto Dias Duartesábado, 7 de maio de 2011
Trabalhos                • 07.05 - Diagnóstico de segurança da empresa:                  contexto empresarial, visão, miss...
Trabalhos            Todo o projeto deve ser alinhado à estratégia empresarial e/ou marcos            regulatórios de uma ...
1o Trabalho                Diagnóstico de segurança da empresa: contexto                empresarial, visão, missão, estrat...
1. Contexto empresarial                                        1.2.Visão•1.1. Missão                                      ...
2. Públicos                                           Consumidores                  Clientes                            In...
3. Indicadoressábado, 7 de maio de 2011
4. Normas reguladoras              1. Em quais ecossistemas a empresa está              inserida?              2. Quais os...
5. Lacunas de segurança              1.Liste 7 lacunas de segurança da empresa              2. Relacione as lacunas com os...
2a Parte: Conceitos                                 Básicossábado, 7 de maio de 2011
Situação das empresasprof. Roberto Dias Duartesábado, 7 de maio de 2011
Situação das empresasprof. Roberto Dias Duartesábado, 7 de maio de 2011
Quer tentar?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Quer tentar?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Fraude?prof. Roberto Dias Duartesábado, 7 de maio de 2011
O que é fraude?            É um esquema            ilícito ou de má fé            criado para obter            ganhos pess...
Fatores primários         1 - Existência de golpistas         motivados.                  • Ineficiência das leis;         ...
Mas principalmente                                 porque...                                       o desrespeito às       ...
Mas principalmente                                 porque...                                       o desrespeito às       ...
Fatores primários                            2 - Existência de vítimas vulneráveis                                  • Pouc...
Fatores primários  3 - Falta de controle ou fiscalização           • percepção do problema como                   não prior...
Vítima ou golpista?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vítima ou golpista?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Segurança da                            Informação?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Ameaça?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Ameaça?             Causa potencial de um             incidente, que caso se             concretize pode             resul...
Vulnerabilidade?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade?      Falha (ou conjunto)      que pode ser explorada      por ameaçasprof. Roberto Dias Duartesábado, 7 d...
Incidente?        Evento que        comprometa a        operação do        negócio ou        cause dano aos        ativos ...
Incidente?        Evento que        comprometa a        operação do        negócio ou        cause dano aos        ativos ...
Impacto?                                       Resultados de                                       incidentesprof. Roberto...
Análise de risco                   Impacto                             Transfere     Mitiga                              A...
Análise de riscoprof. Roberto Dias Duartesábado, 7 de maio de 2011
Ativo digital?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Ativo? Intangível?  “Um ativo intangível é um  ativo não monetário  identificável sem  substância física ou,  então, o ágio...
Assinatura Digitalprof. Roberto Dias Duartesábado, 7 de maio de 2011
Assinatura Digital                            É um método de autenticação                               de informação digi...
Como funciona?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Como funciona?                                            HASH é                                            gerado a      ...
Documentos Digitais      MP 2.200-2 de Agosto/2001prof. Roberto Dias Duartesábado, 7 de maio de 2011
Documentos Digitais      MP 2.200-2 de Agosto/2001       “As declarações constantes dos documentos em       forma eletrôni...
Documentos Digitais      MP 2.200-2 de Agosto/2001prof. Roberto Dias Duartesábado, 7 de maio de 2011
Documentos Digitais      MP 2.200-2 de Agosto/2001   “O disposto nesta Medida Provisória não obsta a   utilização de outro...
Caso realprof. Roberto Dias Duartesábado, 7 de maio de 2011
Caso real                 Integridade                 Autenticidade                 Não repudio                 Disponibil...
Caso real                 Integridade                 Autenticidade                 Não repudio                 Disponibil...
Carimbo do tempoprof. Roberto Dias Duartesábado, 7 de maio de 2011
Carimbo do tempo          Certifica a autenticidade temporal       (data e hora) de arquivos eletrônicos          Sincroniz...
Integridadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
Integridade     Qualquer alteração     da mensagem faz     com que a     assinatura não     corresponda mais     ao docume...
Autenticidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
Autenticidade       O receptor pode       confirmar se a       assinatura foi       feita pelo       emissorprof. Roberto D...
Não               repúdioprof. Roberto Dias Duartesábado, 7 de maio de 2011
Não               repúdio       O emissor não       pode negar a       autenticidade da       mensagemprof. Roberto Dias D...
Confidencialidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
Confidencialidade           Passo 1: Alice envia sua           chave pública para Bob                                      ...
Disponibilidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
Disponibilidade      A informação      deve estar      disponível      apenas para seu      uso legítimoprof. Roberto Dias...
Auditabilidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
Auditabilidade  Deve haver  informação  relativa às  ações de  alteração  ou consulta  de dados                           ...
Por que preciso saber                                   disso?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Ecosistema Fiscal                          NF-e                         NFS-e                              EFD ICMS/IPI   ...
Vamos entender as                          principais                     vulnerabilidades das                    empresas...
O que é a Nota                               Eletrônica?                     “Podemos conceituar a Nota Fiscal Eletrônica ...
Documento Fiscal Digitalprof. Roberto Dias Duartesábado, 7 de maio de 2011
Documento Fiscal Digitalprof. Roberto Dias Duartesábado, 7 de maio de 2011
Livro Contábil Digitalprof. Roberto Dias Duartesábado, 7 de maio de 2011
Livro Contábil Digitalprof. Roberto Dias Duartesábado, 7 de maio de 2011
Livro Fiscal Digital                                (ICMS/IPI)prof. Roberto Dias Duartesábado, 7 de maio de 2011
Livro Fiscal Digital                                (ICMS/IPI)prof. Roberto Dias Duartesábado, 7 de maio de 2011
Mas, nada muda na                     minha empresa, certo?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #1prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #1     Te n h o q u e     ver ificar o     arquivo XML      Cláusula décima         §    1º     O      dest...
Vulnerabilidade #2prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #2                             Nota autorizada não meprof. Roberto Dias Duarte                            ...
Vulnerabilidade #2prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #2              Cláusula quarta              Ainda que formalmente regular,              não      será    ...
Vulnerabilidade #3prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #3                                         Só posso cancelar                                         NF-e ...
Vulnerabilidade #3prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #3                ATO COTEPE/ICMS Nº 33 /2008                 Efeitos a partir de 01.01.12:               ...
Vulnerabilidade #4prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #4                                      Tenho que enviar o                                      arquivo XM...
Vulnerabilidade #4prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #4                   Cláusula Sétima                   § 7º O emitente da NF-e deverá,                   o...
Vulnerabilidade #5prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #5                                     Tenho que guardar                                     o arquivo XML...
Vulnerabilidade #5prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #5              Cláusula décima               O emitente e o destinatário deverão manter a NF-e em arquivo...
Vulnerabilidade #6prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #6                              Troca de identidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #6prof. Roberto Dias Duartesábado, 7 de maio de 2011
Vulnerabilidade #6                 “ E m p ré s t i m o ” d e s e n h a e                 ar mazenam ento                 ...
O que causa                            vulnerabilidade?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Causas das                            vulnerabilidadesprof. Roberto Dias Duartesábado, 7 de maio de 2011
Causas das                            vulnerabilidades           Tecnologia precária    Falta de conhecimento    Ganância:...
Consequênciasprof. Roberto Dias Duartesábado, 7 de maio de 2011
Consequênciasprof. Roberto Dias Duartesábado, 7 de maio de 2011
Consequências       Mercadorias sem documento   idôneo      Mercadorias de origem ilícita       Problemas fiscais: document...
Tenho como evitar?prof. Roberto Dias Duartesábado, 7 de maio de 2011
Solução: Paradigma do                            século XXI                  Conhecimento                  Comportamento  ...
Ação preventivas básicasprof. Roberto Dias Duartesábado, 7 de maio de 2011
O dono da bola          Quem é o responsável pela gestão da informação?          Definições:                    políticas d...
Termo de compromisso               Formaliza responsabilidades:               Sigilo de informações;               Cumprim...
Autenticação individual               Identifica as pessoas:               Senha;               Cartão ou token;           ...
“Empréstimo” de senhaprof. Roberto Dias Duartesábado, 7 de maio de 2011
“Empréstimo” de senhaprof. Roberto Dias Duartesábado, 7 de maio de 2011
Cópias de segurança               Qual a política definida?               Qual a cópia mais antiga?         Os arquivos das...
Software homologado             Itens de verificação:                  manutenção                  treinamento             ...
Uso de antivírus  Prevenção além do software:                     Anexos                     Executável? No way!          ...
O Carona                Prevenção contra             “sessões abertas” em sua             ausência:               Conduta:...
Correio eletrônico                   Pishing                   Muitos golpes:                            Notícias falsas  ...
Informações pessoais                   Cuidado com informação de:                            Funcionários                 ...
Ambiente Físico                            Ahhh, reuniões rápidas:                              no elevador               ...
Engenharia social             Procedimentos para obtenção de informações          através de contatos falsos              ...
Uso da Internet & Redes                           Sociais                            Qual a sua opinião?prof. Roberto Dias...
Uso da Internet & Redes                           Sociaisprof. Roberto Dias Duartesábado, 7 de maio de 2011
Uso da Internet & Redes                           Sociaisprof. Roberto Dias Duartesábado, 7 de maio de 2011
Ações preventivas                                         Conhecimento                            Física                  ...
Ações detectivas                  Quanto antes, melhor   Conhecimento            Monitoramento de             Análise     ...
Ações corretivas                            Minimizar o problema                     Quanto mais rápido,                  ...
Plano de continuidade            Contexto empresarial            Mapeamento de riscos                        Conhecimento ...
Direitos do usuário              Acesso individual           Treinamento sobre                                        segu...
Mensagem sobre o                               segurançaprof. Roberto Dias Duartesábado, 7 de maio de 2011
Mensagem sobre o                               segurançaprof. Roberto Dias Duartesábado, 7 de maio de 2011
2o Trabalho                Ante-projeto Prática de Segurança: diagnóstico,                análise de riscos, problema, sol...
2o Trabalho                1. Ajustar o diagnóstico reavaliando as lacunas                2. Análise de risco considerando...
3a Parte:sábado, 7 de maio de 2011
Upcoming SlideShare
Loading in …5
×

Pós-graduação: Políticas, práticas e procedimentos em Segurança da Informação - aula 1

765 views

Published on

Pós-graduação: Políticas, práticas e procedimentos em Segurança da Informação - aula 1

Published in: Education
  • Be the first to comment

  • Be the first to like this

Pós-graduação: Políticas, práticas e procedimentos em Segurança da Informação - aula 1

  1. 1. Políticas, práticas e procedimentos em Segurança da Informação prof. Roberto Dias Duarte Melhor prevenir, que remediar!prof. Roberto Dias DuarteEsta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuterssábado, 7 de maio de 2011
  2. 2. Com licença, sou o Roberto “Conheço apenas minha ignorância”prof. Roberto Dias Duartesábado, 7 de maio de 2011
  3. 3. Big Brother Fiscal IV Disponível em maio/2011prof. Roberto Dias Duartesábado, 7 de maio de 2011
  4. 4. Big Brother Fiscal IV Disponível em maio/2011prof. Roberto Dias Duartesábado, 7 de maio de 2011
  5. 5. 1a Parte: Sensibilizaçãosábado, 7 de maio de 2011
  6. 6. Visão executivaprof. Roberto Dias Duartesábado, 7 de maio de 2011
  7. 7. Trabalhos • 07.05 - Diagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” de segurança. (30 pontos) • 14.05 - Ante-projeto Prática de Segurança: diagnóstico, problema, solução, custo, beneficios, análise de riscos, macro- cronograma. (30 pontos) • 28.05 - Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos)sábado, 7 de maio de 2011
  8. 8. Trabalhos Todo o projeto deve ser alinhado à estratégia empresarial e/ou marcos regulatórios de uma empresa, apontando custos e benefícios • 1. Lembrem-se dos indicadores de desempenho da empresa: receita, rentabilidade, retenção de clientes, etc. • 2. Toda organização está inserida em um ecossistema onde há diversos marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista, ANEEL, ANAC, consumidor, SAC, etc. • 3. Derivem os indicadores de GSI a partir dos indicadores empresariais (ou marcos legais). • 4. Determinem o planejamento de implantação da política de segurança para um indicador ou marco legal - se fizerem para mais de um, não há problema, mas o esforço de trabalho é proporcional à quantidade de métricas. • 5. Derivem os processos de segurança e as atividades a partir das políticas. • Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a empresa a melhorar algum indicador de desempenho ou manter a compatibilidade legal regulatória do setor.sábado, 7 de maio de 2011
  9. 9. 1o Trabalho Diagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” (Gap’s) de segurança. Prazo: 7.5.2011 às 11:00 Pode ser em grupo Escolha uma empresa para o estudo de caso realsábado, 7 de maio de 2011
  10. 10. 1. Contexto empresarial 1.2.Visão•1.1. Missão É o sonho da organização, é o– É a razão de existência futuro do negocio e onde a de uma organização. organização espera estar nesse futuro. •1.3. Estratégia •“Forma de pensar no futuro, integrada no processo decisório, com base em um procedimento formalizado e articulador de resultados” (Mintzberg).sábado, 7 de maio de 2011
  11. 11. 2. Públicos Consumidores Clientes Investidores Parceirossábado, 7 de maio de 2011
  12. 12. 3. Indicadoressábado, 7 de maio de 2011
  13. 13. 4. Normas reguladoras 1. Em quais ecossistemas a empresa está inserida? 2. Quais os agentes reguladores e normas? IFRS ANATEL SPED Sindicatos ANAC SOX NF-e Consumidor ANEEL Basiléia RFB Clientes CMV SEFAZ Franqueadores BACEN Parceiros Contratossábado, 7 de maio de 2011
  14. 14. 5. Lacunas de segurança 1.Liste 7 lacunas de segurança da empresa 2. Relacione as lacunas com os indicadores ou normas 3. Estabeleça as 3 de maior relevância, explicando os motivossábado, 7 de maio de 2011
  15. 15. 2a Parte: Conceitos Básicossábado, 7 de maio de 2011
  16. 16. Situação das empresasprof. Roberto Dias Duartesábado, 7 de maio de 2011
  17. 17. Situação das empresasprof. Roberto Dias Duartesábado, 7 de maio de 2011
  18. 18. Quer tentar?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  19. 19. Quer tentar?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  20. 20. Fraude?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  21. 21. O que é fraude? É um esquema ilícito ou de má fé criado para obter ganhos pessoais.prof. Roberto Dias Duartesábado, 7 de maio de 2011
  22. 22. Fatores primários 1 - Existência de golpistas motivados. • Ineficiência das leis; • incerteza da pena; • incerteza jurídica; • existência de oportunidades; • pouca fiscalização.prof. Roberto Dias Duartesábado, 7 de maio de 2011
  23. 23. Mas principalmente porque... o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duartesábado, 7 de maio de 2011
  24. 24. Mas principalmente porque... o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duartesábado, 7 de maio de 2011
  25. 25. Fatores primários 2 - Existência de vítimas vulneráveis • Pouca informação e divulgação preventivas; • ignorância e ingenuidade; • ganância; • o desrespeito às leis é considerado comportamento “normal”.prof. Roberto Dias Duartesábado, 7 de maio de 2011
  26. 26. Fatores primários 3 - Falta de controle ou fiscalização • percepção do problema como não prioritário; • despreparo das autoridades; • escassa coordenação de ações contra fraudadores; • falta de leis específicas e pouca clareza em algumas das existentes.prof. Roberto Dias Duartesábado, 7 de maio de 2011
  27. 27. Vítima ou golpista?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  28. 28. Vítima ou golpista?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  29. 29. Segurança da Informação?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  30. 30. Ameaça?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  31. 31. Ameaça? Causa potencial de um incidente, que caso se concretize pode resultar em danoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  32. 32. Vulnerabilidade?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  33. 33. Vulnerabilidade? Falha (ou conjunto) que pode ser explorada por ameaçasprof. Roberto Dias Duartesábado, 7 de maio de 2011
  34. 34. Incidente? Evento que comprometa a operação do negócio ou cause dano aos ativos da organizaçãoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  35. 35. Incidente? Evento que comprometa a operação do negócio ou cause dano aos ativos da organizaçãoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  36. 36. Impacto? Resultados de incidentesprof. Roberto Dias Duartesábado, 7 de maio de 2011
  37. 37. Análise de risco Impacto Transfere Mitiga Aceita Reduz Probabilidadesprof. Roberto Dias Duartesábado, 7 de maio de 2011
  38. 38. Análise de riscoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  39. 39. Ativo digital?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  40. 40. Ativo? Intangível? “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” Fonte: http://www.cpc.org.brprof. Roberto Dias Duartesábado, 7 de maio de 2011
  41. 41. Assinatura Digitalprof. Roberto Dias Duartesábado, 7 de maio de 2011
  42. 42. Assinatura Digital É um método de autenticação de informação digital Não é Assinatura Digitalizada! Não é Assinatura Eletrônica!prof. Roberto Dias Duartesábado, 7 de maio de 2011
  43. 43. Como funciona?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  44. 44. Como funciona? HASH é gerado a partir da chave pública O HASH é Autor assina descriptografado a com sua partir da chave chave privada pública Novo HASH é gerado HASH é armazenado na mensagem Novo HASH é comparado com o originalprof. Roberto Dias Duartesábado, 7 de maio de 2011
  45. 45. Documentos Digitais MP 2.200-2 de Agosto/2001prof. Roberto Dias Duartesábado, 7 de maio de 2011
  46. 46. Documentos Digitais MP 2.200-2 de Agosto/2001 “As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela presumem-se ICP-Brasil verdadeiros em relação aos signatários” (Artigo 10o § 1o)prof. Roberto Dias Duartesábado, 7 de maio de 2011
  47. 47. Documentos Digitais MP 2.200-2 de Agosto/2001prof. Roberto Dias Duartesábado, 7 de maio de 2011
  48. 48. Documentos Digitais MP 2.200-2 de Agosto/2001 “O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.” (Artigo 10o § 2o)prof. Roberto Dias Duartesábado, 7 de maio de 2011
  49. 49. Caso realprof. Roberto Dias Duartesábado, 7 de maio de 2011
  50. 50. Caso real Integridade Autenticidade Não repudio Disponibilidade Confidencialidade Auditabilidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
  51. 51. Caso real Integridade Autenticidade Não repudio Disponibilidade Confidencialidade Auditabilidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
  52. 52. Carimbo do tempoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  53. 53. Carimbo do tempo Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos Sincronizado a “Hora Legal Brasileira”prof. Roberto Dias Duartesábado, 7 de maio de 2011
  54. 54. Integridadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
  55. 55. Integridade Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documentoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  56. 56. Autenticidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
  57. 57. Autenticidade O receptor pode confirmar se a assinatura foi feita pelo emissorprof. Roberto Dias Duartesábado, 7 de maio de 2011
  58. 58. Não repúdioprof. Roberto Dias Duartesábado, 7 de maio de 2011
  59. 59. Não repúdio O emissor não pode negar a autenticidade da mensagemprof. Roberto Dias Duartesábado, 7 de maio de 2011
  60. 60. Confidencialidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
  61. 61. Confidencialidade Passo 1: Alice envia sua chave pública para Bob Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privadaprof. Roberto Dias Duartesábado, 7 de maio de 2011
  62. 62. Disponibilidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
  63. 63. Disponibilidade A informação deve estar disponível apenas para seu uso legítimoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  64. 64. Auditabilidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
  65. 65. Auditabilidade Deve haver informação relativa às ações de alteração ou consulta de dados Quem? Quando? O que fez?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  66. 66. Por que preciso saber disso?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  67. 67. Ecosistema Fiscal NF-e NFS-e EFD ICMS/IPI CT-e EFD/CIAP Tem nota? CF-e Brasil-id EFD PIS/COFINS CC-e Siniav Entregou? EFD/FOLHA Fisco NF-e SPED Contábil Vendeu? NFS-e EFD Contábil CF-e CC-e Recebeu? Cliente Produziu? Contador NF-e Estoque? Pagou? NFS-e CF-e CC-e Fornecedor Comprou?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  68. 68. Vamos entender as principais vulnerabilidades das empresas no mundo do pós-SPED?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  69. 69. O que é a Nota Eletrônica? “Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...) Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”prof. Roberto Dias Duartesábado, 7 de maio de 2011
  70. 70. Documento Fiscal Digitalprof. Roberto Dias Duartesábado, 7 de maio de 2011
  71. 71. Documento Fiscal Digitalprof. Roberto Dias Duartesábado, 7 de maio de 2011
  72. 72. Livro Contábil Digitalprof. Roberto Dias Duartesábado, 7 de maio de 2011
  73. 73. Livro Contábil Digitalprof. Roberto Dias Duartesábado, 7 de maio de 2011
  74. 74. Livro Fiscal Digital (ICMS/IPI)prof. Roberto Dias Duartesábado, 7 de maio de 2011
  75. 75. Livro Fiscal Digital (ICMS/IPI)prof. Roberto Dias Duartesábado, 7 de maio de 2011
  76. 76. Mas, nada muda na minha empresa, certo?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  77. 77. Vulnerabilidade #1prof. Roberto Dias Duartesábado, 7 de maio de 2011
  78. 78. Vulnerabilidade #1 Te n h o q u e ver ificar o arquivo XML Cláusula décima § 1º O destinatário deverá v e r i fi c ar a vali dade e autenticidade da NF-e e a exis tênci a de Autorização de Uso da NF-e. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 7 de maio de 2011
  79. 79. Vulnerabilidade #2prof. Roberto Dias Duartesábado, 7 de maio de 2011
  80. 80. Vulnerabilidade #2 Nota autorizada não meprof. Roberto Dias Duarte livra do "passivo fiscal"sábado, 7 de maio de 2011
  81. 81. Vulnerabilidade #2prof. Roberto Dias Duartesábado, 7 de maio de 2011
  82. 82. Vulnerabilidade #2 Cláusula quarta Ainda que formalmente regular, não será considerado documento fiscal idôneo a NF-e que tiver si do emiti da o u utilizada co m do lo, f rau de, s i m u la ç ã o o u e r r o, q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou q u al q u er o ut r a va ntag e m indevida. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 7 de maio de 2011
  83. 83. Vulnerabilidade #3prof. Roberto Dias Duartesábado, 7 de maio de 2011
  84. 84. Vulnerabilidade #3 Só posso cancelar NF-e se a mercadoria não circulou....prof. Roberto Dias Duartesábado, 7 de maio de 2011
  85. 85. Vulnerabilidade #3prof. Roberto Dias Duartesábado, 7 de maio de 2011
  86. 86. Vulnerabilidade #3 ATO COTEPE/ICMS Nº 33 /2008 Efeitos a partir de 01.01.12: Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005. prof. Roberto Dias Duartesábado, 7 de maio de 2011
  87. 87. Vulnerabilidade #4prof. Roberto Dias Duartesábado, 7 de maio de 2011
  88. 88. Vulnerabilidade #4 Tenho que enviar o arquivo XML ao destinatário e aoprof. Roberto Dias Duarte transportadorsábado, 7 de maio de 2011
  89. 89. Vulnerabilidade #4prof. Roberto Dias Duartesábado, 7 de maio de 2011
  90. 90. Vulnerabilidade #4 Cláusula Sétima § 7º O emitente da NF-e deverá, obr ig ato r i am e nte, e ncam inhar o u disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t a d o r c o n t r at a d o, imediatamente após o recebimento da autorização de uso da NF-e. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 7 de maio de 2011
  91. 91. Vulnerabilidade #5prof. Roberto Dias Duartesábado, 7 de maio de 2011
  92. 92. Vulnerabilidade #5 Tenho que guardar o arquivo XMLprof. Roberto Dias Duartesábado, 7 de maio de 2011
  93. 93. Vulnerabilidade #5prof. Roberto Dias Duartesábado, 7 de maio de 2011
  94. 94. Vulnerabilidade #5 Cláusula décima O emitente e o destinatário deverão manter a NF-e em arquivo d ig i tal, sob sua guarda e re sp o nsabi l i dade, p elo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...) § 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado. § 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso. Ajuste SINIEF 07/2005prof. Roberto Dias Duartesábado, 7 de maio de 2011
  95. 95. Vulnerabilidade #6prof. Roberto Dias Duartesábado, 7 de maio de 2011
  96. 96. Vulnerabilidade #6 Troca de identidadeprof. Roberto Dias Duartesábado, 7 de maio de 2011
  97. 97. Vulnerabilidade #6prof. Roberto Dias Duartesábado, 7 de maio de 2011
  98. 98. Vulnerabilidade #6 “ E m p ré s t i m o ” d e s e n h a e ar mazenam ento de certificados digitais eCPF, eCNPJ, ePJ A1, A3, HSMprof. Roberto Dias Duartesábado, 7 de maio de 2011
  99. 99. O que causa vulnerabilidade?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  100. 100. Causas das vulnerabilidadesprof. Roberto Dias Duartesábado, 7 de maio de 2011
  101. 101. Causas das vulnerabilidades Tecnologia precária Falta de conhecimento Ganância: preços abaixo do mercado Desrespeito as leis encarado como comportamento comumprof. Roberto Dias Duartesábado, 7 de maio de 2011
  102. 102. Consequênciasprof. Roberto Dias Duartesábado, 7 de maio de 2011
  103. 103. Consequênciasprof. Roberto Dias Duartesábado, 7 de maio de 2011
  104. 104. Consequências Mercadorias sem documento idôneo Mercadorias de origem ilícita Problemas fiscais: documentos inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e outros documentosprof. Roberto Dias Duartesábado, 7 de maio de 2011
  105. 105. Tenho como evitar?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  106. 106. Solução: Paradigma do século XXI Conhecimento Comportamento Tecnologiaprof. Roberto Dias Duartesábado, 7 de maio de 2011
  107. 107. Ação preventivas básicasprof. Roberto Dias Duartesábado, 7 de maio de 2011
  108. 108. O dono da bola Quem é o responsável pela gestão da informação? Definições: políticas de segurança políticas de backup políticas de contingênciaprof. Roberto Dias Duartesábado, 7 de maio de 2011
  109. 109. Termo de compromisso Formaliza responsabilidades: Sigilo de informações; Cumprimento de normas de segurança; Conduta ética.prof. Roberto Dias Duartesábado, 7 de maio de 2011
  110. 110. Autenticação individual Identifica as pessoas: Senha; Cartão ou token; Biometria; Certificado Digital.prof. Roberto Dias Duartesábado, 7 de maio de 2011
  111. 111. “Empréstimo” de senhaprof. Roberto Dias Duartesábado, 7 de maio de 2011
  112. 112. “Empréstimo” de senhaprof. Roberto Dias Duartesábado, 7 de maio de 2011
  113. 113. Cópias de segurança Qual a política definida? Qual a cópia mais antiga? Os arquivos das estações têm cópias? Os servidores têm cópias? Onde são armazenadas? Em que tipo de mídia?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  114. 114. Software homologado Itens de verificação: manutenção treinamento suporte condições comerciais capacidade do fabricante tendênciasprof. Roberto Dias Duartesábado, 7 de maio de 2011
  115. 115. Uso de antivírus Prevenção além do software: Anexos Executável? No way! Download? Só de sites confiáveis Backup, sempre Educaçãoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  116. 116. O Carona Prevenção contra “sessões abertas” em sua ausência: Conduta: Suspensão ou encerramento da sessão; Mecanismo: Suspensão ou encerramento da sessão.prof. Roberto Dias Duartesábado, 7 de maio de 2011
  117. 117. Correio eletrônico Pishing Muitos golpes: Notícias falsas Propostas “irresistíveis” Seu CPF foi... Atualize sua senha... blá, blá, blá...prof. Roberto Dias Duartesábado, 7 de maio de 2011
  118. 118. Informações pessoais Cuidado com informação de: Funcionários Clientes Parceiros Quem pode acessar? Parceiros? Uso comercial?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  119. 119. Ambiente Físico Ahhh, reuniões rápidas: no elevador na festa no avião Quadros, flip chart, relatórios, etc Lixão, de novo? Quem entra, quem sai? prof. Roberto Dias Duartesábado, 7 de maio de 2011
  120. 120. Engenharia social Procedimentos para obtenção de informações através de contatos falsos “Conversa de malandro” Lixão Habilidades do farsante: fala com conhecimento adquire confiança presta “favor”prof. Roberto Dias Duartesábado, 7 de maio de 2011
  121. 121. Uso da Internet & Redes Sociais Qual a sua opinião?prof. Roberto Dias Duartesábado, 7 de maio de 2011
  122. 122. Uso da Internet & Redes Sociaisprof. Roberto Dias Duartesábado, 7 de maio de 2011
  123. 123. Uso da Internet & Redes Sociaisprof. Roberto Dias Duartesábado, 7 de maio de 2011
  124. 124. Ações preventivas Conhecimento Física Análise Software Planejamento Humana Investimento Educação.prof. Roberto Dias Duartesábado, 7 de maio de 2011
  125. 125. Ações detectivas Quanto antes, melhor Conhecimento Monitoramento de Análise eventos Planejamento O que monitorar? Investimentoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  126. 126. Ações corretivas Minimizar o problema Quanto mais rápido, melhorprof. Roberto Dias Duartesábado, 7 de maio de 2011
  127. 127. Plano de continuidade Contexto empresarial Mapeamento de riscos Conhecimento Análise Planejamento Investimento Educação Simulaçãoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  128. 128. Direitos do usuário Acesso individual Treinamento sobre segurança Informações para trabalhar Comunicar ocorrências de segurança Saber o que é rastreado Garantia de privacidade Conhecer as políticas e normas Ser mais importante que a tecnologia Ser avisado sobre tentativas de invasãoprof. Roberto Dias Duartesábado, 7 de maio de 2011
  129. 129. Mensagem sobre o segurançaprof. Roberto Dias Duartesábado, 7 de maio de 2011
  130. 130. Mensagem sobre o segurançaprof. Roberto Dias Duartesábado, 7 de maio de 2011
  131. 131. 2o Trabalho Ante-projeto Prática de Segurança: diagnóstico, análise de riscos, problema, solução, custo, beneficios, macro-cronograma. Prazo: 14.5.2011 às 07:40 Pode ser em grupo Escolha uma empresa para o estudo de caso realsábado, 7 de maio de 2011
  132. 132. 2o Trabalho 1. Ajustar o diagnóstico reavaliando as lacunas 2. Análise de risco considerando as 7 lacunas relacionadas 3. Definir estratégia para cada lacuna: mitigar, transferir, reduzir,aceitar 4. Identificar problema, solução, custo, beneficios, macro-cronograma para 3 lacunas.sábado, 7 de maio de 2011
  133. 133. 3a Parte:sábado, 7 de maio de 2011

×