UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO POLÍTICAS DE SEGURANÇA DE REDES CORPORATIVAS

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO POLÍTICAS DE SEGURANÇA DE REDES CORPORATIVAS"

Transcrição

1 UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO POLÍTICAS DE SEGURANÇA DE REDES CORPORATIVAS DANIEL JONY DA SILVA ORMOND CUIABÁ MT 2006

2 UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO POLÍTICAS DE SEGURANÇA DE REDES CORPORATIVAS DANIEL JONY DA SILVA ORMOND Graduando em Ciências da Computação Orientador: Prof. CUSTÓDIO GASTÃO DA SILVA JÚNIOR Monografia apresentada ao Departamento de Ciência da Computação da Universidade Federal de Mato Grosso, para obtenção do Título de Bacharel em Ciência da Computação. Área de Concentração: Ciência da Computação CUIABÁ MT 2006

3 UNIVERSIDADE FEDERAL DE MATO GROSSO COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO CERTIFICADO DE APROVAÇÃO Políticas de segurança de redes corporativas: Autor: Daniel Jony da Silva Ormond Orientador: Prof. Custódio Gastão da Silva Júnior. Aprovada em 11/09/2006 Prof. Custódio Gastão da Silva Júnior. ICET/DCC (Orientador) Prof. Msc. José Airton de Paula. ICET/DCC Prof. Msc. Luciana Correia Lima de Faria Borges. UFMT/ICET/ DCC

4 DEDICATÓRIA Assim diz o Senhor: Não se glorie o sábio em sua sabedoria nem o forte em sua força nem o rico em sua riqueza, mas quem se gloriar, glorie-se nisto: Em compreender-me e conhecer-me, pois eu sou o Senhor [...]. Jeremias 9:23-24

5 AGRADECIMENTOS A Deus pela esperança, saúde e forças concedidas. Aos meus pais pelo carinho e educação que me deram. Ao Professor Custódio Gastão da Silva Júnior pelo apoio neste trabalho de conclusão de curso. Aos meus amigos Jakeline Carneiro Simi e Thompsom Queiroz de Campos pela companhia valiosa.

6 SUMÁRIO LISTA DE FIGURAS... 7 RESUMO... 8 ABSTRACT INTRODUÇÃO APRESENTAÇÃO OBJETIVOS Objetivo geral Objetivos específicos JUSTIFICATIVA METODOLOGIA CONSIDERAÇÕES SOBRE SEGURANÇA DEFESA EM CAMADAS VULNERABILIDADES E AMEAÇAS TIPOS DE AMEAÇAS CONTRA A SEGURANÇA PLANEJAMENTO DA GESTÃO DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Comitê Corporativo de Segurança TIPOS DE CONTROLES DE SEGURANÇA Sistema detector de intrusos Firewall Criptografia POLÍTICAS DE SEGURANÇA POLÍTICA DE SEGURANÇA SEGUNDO A NORMA NBR ISO/IEC POLÍTICA DE SEGURANÇA SEGUNDO A RFC POLÍTICAS ESPECÍFICAS Políticas para firewall Políticas para acesso remoto Políticas de senhas ASPECTOS RELEVANTES PARA POLÍTICAS DE SEGURANÇA COMO ELABORAR UMA POLÍTICA DE SEGURANÇA Classificação de informações...47

7 5.1.2 Identificação de prioridades Avaliação e análise de riscos Equipe de segurança METODOLOGIA DE AVALIAÇÃO OCTAVE-S ESTUDO DE CASO CENÁRIO DA EMPRESA IMPLANTAÇÃO DA METODOLOGIA DESENVOLVIMENTO Seleção dos ativos fundamentais e requisitos de segurança Avaliação das práticas de segurança CONSIDERAÇÕES FINAIS BIBLIOGRAFIA APÊNDICE... 75

8 LISTA DE FIGURAS Figura 1. Ameaças e vulnerabilidades Figura 2. Diversidade de ameaças corporativas Figura 3. Principais ameaças de segurança reportada em pesquisa Figura 4. Adequação a normas, regulamentações e legislações Figura 5. Esquema de proteção integrado IDS/firewall Figura 6. Firewall como ferramenta de controle de acesso Figura 7. Esquema típico de uma política de segurança Figura 8. Esquema de uma zona desmilitarizada (DMZ) Figura 9. Processo de levantamento dos dados de segurança... 53

9 RESUMO Empresas de diversos ramos e setores atualmente, vêem-se integrando novos recursos de computação, em especial, dispositivos e serviços da rede para as atividades de negócio que desempenham papel fundamental para a missão organizacional. Por isso a importância da política de segurança de redes corporativa para uma boa gestão de segurança dos ativos tecnológicos da empresa. Portanto, os aspectos relevantes para a elaboração, recomendação de normas de práticas de segurança ou práticas mais comuns para o gerenciamento de riscos devem ser pré-avaliadas para uma boa política de segurança de redes capaz de proteger os recursos e serviços corporativos. Palavras-chave: segurança da informação, política de segurança, requisitos de segurança, análise de risco.

10 ABSTRACT Companies of diverse sectors currently perceive that new resources of computer science, specially devices and services of network, are integrated with their activities of businesses that performs a basic task for the organizational mission, therefore the importance of a corporative network security politics as part of a good security management over the technological assets. The excellent aspects for the elaboration, recommendation of norms of practical of security or most common practices for risks management must be daily payevaluated for a good network security politics capable to protect corporative services and devices. Key-words: security of the information, security politics, security requirements, risk analysis.

11 10 1. INTRODUÇÃO 1.1 Apresentação As informações são, muitas vezes, o diferencial competitivo para o crescimento ou continuidade do negócio. Por isso, aplicar normas de Segurança da Informação é fundamental para o bom andamento das atividades operacionais e proteção dos ativos de uma organização. As empresas cada vez mais experimentam a tecnologia em suas atividades e, por isso, estão mais dependentes dos recursos de TI para armazenar e processar dados importantes. O sangue da empresa é a informação, distribuída por todos os processos de negócios [...] e circulando por diversos ativos, ambientes e tecnologias... (SÊMOLA,2003, p.6). Proteger a informação é proteger os instrumentos para a boa gestão dos negócios. Os ativos da informação são assim chamados por se tratarem de bens de caráter estratégico, por vezes mais subjetivos e intangíveis que outros bens, para as atividades de empresas de pequeno, médio e, significativamente para as de grande porte. Os ativos da informação auxiliam os administradores que buscam melhor produtividade, redução de custos, competitividade e apoio à tomada de decisão; são muitas vezes os segredos de negócios, pesquisas de mercado e análise da concorrência e dados operacionais armazenados. A RFC 2196 (The Site Security Handbook), norma de segurança disponível pela Internet, define políticas de segurança como uma documentação elaborada após o estudo de objetivos de segurança dos dados. Essa documentação precisa considerar os dados a serem protegidos, bem como diversos outros fatores: os custos dos mecanismos de defesa, os riscos de ameaças à segurança da rede, as ferramentas apropriadas para a proteção dos bens da corporação e quais serviços serão oferecidos pela rede e restrições de acesso necessárias. O pessoal de nível gerencial de uma empresa deve preocupar-se em viabilizar a implantação de uma política de segurança para proteger os ativos tornando a rede mais segura. A política de segurança, na verdade, não leva em consideração apenas a segurança da rede de computadores, mas define os papéis de funcionários, chefes e encarregados da TI (Tecnologia da Informação) nos procedimentos de segurança, além

12 11 de processos de auditoria e mecanismos de defesa em caso de ataques. O propósito da política de segurança segundo a mesma norma é informar todos os envolvidos desde usuários comuns a gerentes e profissionais de TI quais são suas responsabilidades para proteger as informações estratégicas, de negócios ou pessoais de clientes e funcionários; o papel da política de segurança é também especificar mecanismos para que essas metas sejam alcançadas. Elaborar uma política de segurança é um processo complexo de analisar benefícios, custos, vulnerabilidades, especificar um roteiro para adquirir novos dispositivos, configurar e conferir o bom uso destes recursos. Para que seja conveniente é importante que ela seja pensada por todos os agentes de uma organização para lidar com as ameaças atuais e proteger os bens da empresa. Apesar de toda essa complexidade na tarefa de elaborar uma política de segurança completa, este trabalho terá como finalidade publicar a importância e as práticas de implantação de políticas de segurança em uma rede típica de uma média e pequena empresa. Sabe-se que a importância de uma política de segurança é proteger as informações que trazem vantagem competitiva no mercado, muito importantes para empresas prestadoras de serviços, por exemplo. A implantação de políticas de segurança é parte integrante da gestão dos recursos tecnológicos necessárias à missão da organização, auxiliando na identificação de ameaças e barreiras de segurança necessárias. 1.2 Objetivos Objetivo geral O objetivo deste trabalho é servir como fonte de pesquisa e referência bibliográfica sobre a importância e benefícios da implantação de uma política de segurança em uma rede de computadores típica de médias e pequenas empresas, abordando normas e recomendações de segurança de órgãos, empresas e profissionais conceituados para a elaboração de uma política de segurança eficaz. O trabalho também

13 12 possui como objetivo esclarecer alguns dos aspectos relevantes para a elaboração do documento normativo através da exemplificação de um ambiente de rede corporativo em um estudo de caso Objetivos específicos Investigar quais os aspectos relevantes para a elaboração de políticas de segurança de redes. Descrever conceitos de segurança, ameaças, vulnerabilidades e mecanismos de proteção em geral. Relacionar normas de segurança homologados e aceitos internacionalmente e/ou nacionalmente no que diz respeito às políticas de segurança em geral. Apontar boas práticas de elaboração dos documentos normativos de segurança abordando a visão administrativa dos seus responsáveis através de um estudo de caso. 1.3 Justificativa A política de segurança é uma prática, de caráter normativo, adotada para o fim de manter a segurança do ambiente computacional para estabelecer controles de segurança na rede corporativa. Considerando a importância de se proteger os ativos da empresa, conceituados como elementos de valor nos processos de negócios, o fundamento lógico deste trabalho é disponibilizar as práticas de elaboração e implantação de políticas de segurança para redes de computadores considerando não somente os aspectos tecnológicos e técnicos, mas também os fatores humanos e de processos de negócios.

14 Metodologia O trabalho foi desenvolvido por meio do levantamento bibliográfico a partir de pesquisas teóricas e explicativas em livros de autores como Marcos Sêmola em Gestão da Segurança da Informação: uma visão executiva de 2003; Mike Horton em seu livro Hack Notes: segurança de redes, referência rápida de 2003; a norma NBR ISO/IEC e a RFC Muitos dos aspectos relevantes para a elaboração de uma política de segurança de redes foram exemplificados através da identificação de um cenário de ambiente de rede e práticas operacionais de uma empresa de desenvolvimento de softwares referenciada com um nome fictício. As informações foram coletadas através da seleção, adaptação e tradução de questionários disponibilizados pelo guia de implementação da metodologia de avaliação de riscos OCTAVE-s, disponível no website

15 14 2. CONSIDERAÇÕES SOBRE SEGURANÇA Primeiramente devemos compreender a finalidade da Segurança da Informação para a proteção dos ativos da informação em uma rede corporativa. Sêmola (2003) considera Segurança da Informação como a prática de gestão de riscos de incidentes que impliquem o comprometimento dos parâmetros de segurança e define: Segurança da informação é a área do conhecimento dedicada à proteção dos ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade (SÊMOLA, 2003, p. 43). Ele aponta que qualquer solução de segurança deve usar como elemento-chave as pessoas envolvidas no uso dos recursos, processos e tecnologia para garantir os parâmetros de confidencialidade, integridade e disponibilidade, que medem a Segurança da Informação (SÊMOLA, 2003). Para proteger os bens da empresa é necessário compreender contra o quê se estará protegendo, quais os riscos e ameaças. Já os parâmetros que medem a Segurança da Informação podem ser entendidos desta forma: Confidencialidade - é a propriedade de disponibilizar dados e informações somente àqueles que precisam ter acesso a elas. Uma falha desse tipo pode causar perda de credibilidade da empresa para o cliente, perda de tempo ou mesmo perda de uma vantagem competitiva. Integridade - dizemos que os dados estão íntegros quando não foram indevidamente alterados e permanecem exatos. Fator crítico para o normal andamento das atividades de empresas que utilizam redes de computadores com acesso à Internet. Disponibilidade - visa garantir que no momento necessário os dados estejam acessíveis aos usuários. Fator fundamental quando uma aplicação necessita de respostas em tempo real ou alguém precise conectar-se remotamente à rede de sua empresa para trabalhar e tomar decisões. Muitos são os fatores que influenciam a busca por uma solução de segurança corporativa, e tendem a aumentar à medida que empresas aderem a novas tecnologias, modelos de negócios e inovações em sua missão empresarial (ANÔNIMO, 2001). A

16 15 integração de redes privadas com redes públicas, o compartilhamento de recursos entre fornecedores, parceiros e clientes, a implantação de redes sem fio entre outros fatores podem aumentar as possibilidades de vazamento de informações e problemas de serviços na rede, o quê significa novos riscos e ameaças. Administrar a segurança não significa alcançar segurança absoluta do parque tecnológico ou dos procedimentos de uso dos recursos pelos funcionários da empresa, até mesmo porque, segundo profissionais da área, não existe tal nível de segurança; significa, sim, lidar com o gerenciamento de riscos. Sêmola (2003) define riscos como a probabilidade de que ameaças explorem vulnerabilidades, quebrando parâmetros de segurança - integridade, disponibilidade e confidencialidade - que possivelmente, cause impactos nos negócios. Explica também ameaças de segurança como agentes ou condições que causam incidentes, que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades. O encarregado de propor medidas de segurança na organização deve, portanto, preocupar-se em reduzir eficientemente os níveis de riscos reduzindo o número de vulnerabilidades, definido como: [...] um ponto fraco (características inerentes ou falhas) associado a um bem ou a seu ambiente que pode permitir um comprometimento ou um dano ao bem (HORTON, 2003, p. 32). Estas podem ocorrer devido (HORTON et. al.): Aos controles inadequados; Controles e configurações funcionais incorretamente ajustados; Falhas estruturais; Falta de atualizações ou de patches de software; e Má administração ou procedimentos operacionais indevidos. 2.1 Defesa em camadas Existem tipos diferentes de controle e mecanismos de proteção disponíveis para tornar a rede de computadores mais segura. Entre os mecanismos está o firewall, o VPN

17 16 (Virtual Private Network), os sistemas de detecção de intrusão (IDS Intrusion Detection System) e certificação digital. Os controles operacionais incluem políticas de segurança, auditoria de logs de atividades, implantação de circuito interno de televisão ou uso da biometria para controle de acesso. Há muitos recursos disponíveis no mercado para a proteção da rede de uma organização, e os métodos de controle de acesso especificando diferentes níveis de permissão de usuários em uma rede típica de um ambiente corporativo tornam o processo de aquisição, implementação e gerenciamento dos controles dificultoso. Por isso cada empresa deve adotar um programa de segurança bem definido que utilize vários desses mecanismos para proteger seus ativos intensivamente, analisando a relação custo benefício de cada ferramenta de proteção. Horton (2003) explica que mecanismos de proteção são os meios técnicos e operacionais que a organização pode utilizar para proteger seus bens e informações e cuja finalidade é detectar falhas de segurança, reagir e recuperar esses bens e informações através desses mecanismos. E são estes mecanismos que atenderão às regras de segurança especificada em uma política de segurança. O conceito de defesa intensiva ou em camadas constitui-se na combinação desses diferentes mecanismos de controle de segurança em um ambiente (redes de computadores por exemplo). A defesa intensiva recorre a várias funções de segurança em camadas para melhorar o nível de segurança, alterando a relação de tempo e recursos necessários para que o invasor consiga explorar as vulnerabilidades da rede (Horton, 2003, p.13). Vejamos, por exemplo, o seguinte: uma empresa disponibiliza acesso ao servidor de e acesso aos serviços internos pela Internet (acesso ao sistema de controle de estoque, banco de dados financeiros, sistemas de preços, intranet) para clientes, fornecedores e representantes, de acordo com as suas necessidades. Ela precisa proteger o acesso indevido e comprometimento dos seus servidores e não pode crer que definindo eficientemente as regras de filtragem do firewall terá um nível de segurança suficiente para a proteção dos seus servidores e rede interna Esta empresa deve procurar utilizar outras tecnologias de filtragem de pacotes, utilizar sistemas de detecção de intrusão que auxilie o controle das atividades de usuários internos (funcionários), buscar estabelecer conexões entre filiais através de

18 17 uma linha dedicada ou uso de VPN, implementar a autenticação através de certificados digitais validados por uma autoridade certificadora com objetivo de intensificar a defesa dos ativos da informação. Ao combinar vários mecanismos de proteção, aumenta-se a dificuldade de quebras de segurança, exigindo mais tempo e recursos necessários para uma ameaça explorar uma vulnerabilidade na rede de uma corporação; logo o nível de risco diminui e o princípio da defesa em camadas ou defesa intensiva é alcançado. Uma política de segurança deve definir regras que desencoraje, dificulte e detenha as ameaças através de uma defesa que apresente várias barreiras contra invasão, fraude, erros e sabotagem. 2.2 Vulnerabilidades e Ameaças Uma empresa funciona, normalmente, sob várias influências: medidas econômicas adotadas pelo governo, política, mercado financeiro, cambial ou mesmo as mais internas como a setorial, o técnico, pessoal, e físico. Comparativamente, são muitos os fatores que influenciam a medida de Segurança da Informação de uma organização. Estas variáveis crescem à medida que os recursos tecnológicos da computação dão suporte às atividades de missão empresarial, não deixando de ser considerados também importantes os aspectos físicos e pessoais dentro do ambiente de trabalho. Organizações que adotam acesso remoto à rede ou a tecnologia Wireless (sem fio) para trabalhar, por exemplo, compartilham o fluxo de informações para ambientes mais distantes e possuem novos aspectos a serem considerados e novas variáveis que influenciam na Segurança da Informação por apresentar uma rede mais distribuída. Os desafios (Figura 1) de implementar um modelo de segurança corporativo envolvem aspectos tecnológicos (falha de software, vírus, hacker), físicos (pane elétrica, incêndio) e humanos (curioso, funcionário insatisfeito, fraudador) do ambiente de negócios da empresa e por esse motivo, se faz necessário a identificação da situação de segurança, levantamento das ameaças, vulnerabilidades e prioridades de proteção. A busca por uma solução de segurança adequada deve começar pelo levantamento das atuais vulnerabilidades e possíveis ameaças à rede de computadores

19 18 para a implantação de mecanismos de proteção adequados para a empresa que, individualmente, sofre diversas influências externas e internas, comuns a outras do ramo ou específicas, precisando, portanto, de um estudo sobre os riscos e impactos sobre a segurança da rede. Figura 1 Ameaças e vulnerabilidades (SÊMOLA, 2003). Quando as ameaças conseguem explorar uma vulnerabilidade ocorre a quebra de segurança e os processos de negócios corporativos podem estar comprometidos por essas ameaças. Em uma pesquisa nacional de Segurança da Informação realizada pela Módulo Security Solutions S/A publicada em 2004 e disponibilizado na Internet, 42% das empresas tiveram problemas com a Segurança da Informação nos seis meses anteriores à pesquisa e 35% reconhecem que tiveram perdas financeiras. A coleta de dados foi realizada através de questionários respondidos por profissionais de TI (Tecnologia da Informação) de empresas de diversos segmentos:

20 19 financeiro, governo, indústria, tecnologia, serviços e outros. Muitos entrevistados (68%) relataram possuir uma política de segurança formalizada dentro da sua organização. Esta pesquisa serviu também para constatar que entre os principais desafios das equipes de Segurança da Informação estão: A preocupação com vírus, funcionários insatisfeitos e falhas na política de senhas como principais ameaças; A Internet como principal meio de fraudes e vazamento de informação; A necessidade de realizar análise de riscos e revisar periodicamente a política de segurança; e Capacitar equipes de profissionais para a gestão da Segurança da Informação, motivar os executivos e conscientizar todos os funcionários sobre suas responsabilidades sobre a segurança dos ativos da informação. A Figura 2 representa alguns possíveis pontos fracos em uma rede de computadores e auxilia na compreensão de que ameaças específicas exploram vulnerabilidades compatíveis. A questão atual em redes corporativas é que a empresa integra todos os setores na comunicação, depende de um fluxo compartilhado de informações e, portanto, as mesmas estão sujeitas às vulnerabilidades que vão além dos aspectos tecnológicos. Sua segurança está fortemente ameaçada por aspectos físicos e humanos. Podemos visualizar na Figura 2 vulnerabilidades relacionadas ao aspecto técnico das tecnologias ( configuração imprópria do firewall, Criptografia fraca ), mas também temos ali representado vulnerabilidades como falta de treinamento, falta de controle físico de acesso, Ausência de norma para senha que estão diretamente ligadas aos aspectos físicos e humanos e representam ameaças que podem pôr em risco o negócio da empresa. Por isso os aspectos tecnológicos são apenas uma parte do problema de segurança e os riscos internos devem ser considerados no momento de propor uma política de segurança de redes corporativa. Sêmola (2003) nos aponta a importância de mapear as características físicas, tecnológicas e humanas da empresa além de considerar os planos e definições estratégicas do negócio para identificar os elementos externos e internos que interferem

21 20 nos riscos à Segurança da Informação (SÊMOLA, 2003). Uma empresa que não se preocupa com a sensibilização dos usuários quanto aos procedimentos de segurança no uso dos recursos da rede pode pôr a perder todo o investimento na implementação de ferramentas de controle de segurança. Elas serão comprometidas por falhas originadas de dentro para fora mesmo que a rede esteja toda blindada, isto é, os controles tenham sidos corretamente escolhidos e configurados. Uma boa política de segurança de redes feita sob medida para uma empresa poderá minimizar os riscos ao estabelecer regras para o correto acesso dos recursos da rede pelos funcionários, gestores e diretores. Figura 2 Diversidade de ameaças corporativas (SÊMOLA, 2003)

22 Tipos de ameaças contra a segurança Grande parte das empresas consideram a Internet como o principal ponto de invasão dos seus sistemas segundo pesquisa realizada pela Módulo Security Solutions S/A em 2003 e 29% dos entrevistados apontaram as fraudes via como uma das principais, as quais segundo levantamento foram registradas como os incidentes de Segurança da Informação mais reportados a equipes de respostas de incidentes no país. Dentre as principais ameaças à segurança reportadas pela pesquisa, as que por sua vez foram consideradas mais críticas à continuidade do negócio foram o vazamento de informações, funcionários insatisfeitos, fraudes, erros e acidentes, vírus e acessos indevidos. Figura 3 Principais ameaças de segurança reportada em pesquisa (SOLUTIONS, 2003). Na Figura 3, podemos deduzir que as principais ameaças consideradas são responsáveis por levar as empresas a tomarem medidas preventivas de proteção como política de senhas, restrições de acesso à Internet e serviços da rede, procedimentos de segurança no ato de desligamento do funcionário, programas de conscientização de segurança para os funcionários e muitos outros controles.

23 22 Segundo relatório de ameaças à segurança na Internet (Internet Security Threat Report) 1 publicada pela Symantec, houve 40% mais vulnerabilidades reportadas em 2005 do que em 2004, o que nos leva a pensar que o índice de crescimento permanecerá positivo nos próximos anos. O relatório informa que o tempo médio entre a publicação de uma vulnerabilidade e o aparecimento de um código que explore essa falha foi de 6,8 dias durante o período de levantamento. Das falhas recém-descobertas 68% foram consideradas de fácil exploração e houve documentação recorde de vulnerabilidades desde Dados estatísticos comprovam a importância de uma gestão de segurança nas empresas de qualquer ramo e a necessidade da elaboração e implantação de uma política de segurança de rede que oriente toda a corporação como uma ferramenta de proteção à informação, tão importante nas operações de rotina das empresas. Caso uma ameaça consiga explorar uma vulnerabilidade presente na organização e expor informações confidenciais muitos podem ser os prejuízos, alguns importantes e difíceis de medir como a confiabilidade do público cliente. Tais ameaças estão aumentando segundo empresas especializadas em segurança, juntamente com ameaças de roubo em transações financeiras realizados via Internet. Existem diversos outros tipos de ameaças que podem ser combatidas através do planejamento da gestão de segurança que adota diversos mecanismos de controle e ferramentas. Uma política de segurança poderá ser útil como uma ferramenta de apoio ao gerenciamento de riscos de ameaças e disseminação de uma cultura organizacional de segurança que podem evitar práticas do tipo engenharia social. A engenharia social consiste de técnicas utilizadas por fraudadores que se aproveitam de falhas humanas para obter informações confidenciais que auxiliam no acesso não autorizado a sistemas computacionais. Através de telefonemas, conversas pessoais ou s, um funcionário não consciente dos procedimentos de segurança pode representar o elo mais fraco do sistema de proteção. Um invasor pode induzir esse funcionário a agir de acordo com o seu desejo, desabilitando controles de segurança ou repassando informações sensíveis. 1 Disponível em oferece análise e discussão sobre as atividades de ataques pela Internet, vulnerabilidades, códigos maliciosos e tendências reportadas num período semestral pela Symantec Corporation.

24 23 3. PLANEJAMENTO DA GESTÃO DE SEGURANÇA As diretrizes gerais de uma política de segurança visam governar a proteção dos ativos da companhia (CARUSO, 1999). Com esta definição podemos entender política de segurança como um documento normativo, formal e de caráter preventivo com objetivo maior de proteger os bens de um indivíduo ou organização. Bens são os itens que possuem valor tangível e/ou intangível para a empresa com base na função que desempenham em operações rotineiras (HORTON, 2003, p.29). O comprometimento desses bens pode prejudicar a empresa ou gerar um efeito cascata sobre outros. Horton (2003) considera que na mesma forma que a informação, um bem por si só pode ter um valor inferior, mas quando violado juntamente com outros bens o prejuízo pode ser muito maior. Por exemplo, ao violar o servidor de aplicações os servidores de banco de dados e o acesso aos dados dos clientes são afetados, prejudicando o bom andamento das operações. Uma política de segurança bem elaborada junto com a conscientização de todos os usuários de recursos sobre os problemas da falta de segurança pode barrar muitas ameaças voluntárias de agentes humanos devidos à falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros, omissões e invasões. Por esse motivo a política deve ser planejada a partir do nível estratégico da empresa pelos diretores para que a questão de Segurança da Informação possa atingir todos os níveis de operação de negócio e conte com a percepção e investimentos necessários. As definições vindas do corpo executivo sobre questões de segurança possibilitam ações coordenadas desde o nível operacional da empresa até o estratégico. Segundo a norma NBR ISO/IEC o documento de política de segurança tem como objetivo prover uma orientação e apoio da direção para a Segurança da Informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes (ISO 17799, 2005, seção 5.1) mas, como conduzir o planejamento de uma política de segurança de rede corporativa? O primeiro passo na tarefa de implantar políticas de segurança de redes é definir o que se deseja proteger, fixar os objetivos, definir os meios e recursos necessários.

25 24 Somente após análise do ambiente de rede e de seus riscos, é que se deve começar a etapa de execução. Esta análise/avaliação de riscos deve ser realizada por meio de uma metodologia apropriada para identificar, quantificar e priorizar os riscos com base em critérios de aceitação dos mesmos e segundo aspectos relevantes para a missão da organização (NBR ISO/IEC 17799, 2005, seção 4.1). Pesquisas 2 demonstram (Figura 4) que as empresas, atualmente, estão buscando adequação com legislação, regulamentos e normas de segurança. Cada entidade tem também adotado as regulamentações específicas do seu segmento (resoluções do Banco Central, decretos do Governo Federal) e a ISO é apontada como a norma mais amplamente utilizada como referência técnica para equipes de segurança da informação (SOLUTIONS S/A, Módulo Security, 2003). Figura 4 Adequação a normas, regulamentações e legislações (SOLUTIONS, 2003). As recomendações de normas específicas podem orientar a política de segurança com modelos de conduta na gestão de segurança da informação e práticas de implantação de controle que reduzam o risco a um patamar aceitável para os negócios, mas algumas normas nacionais e internacionais como a ISO 17799: 2000, homologada pela ISO - International Standartization Organization não são suficientes para as necessidades de segurança corporativa. Pois, apesar de orientar o gerenciamento da 2 A soma das porcentagens é superior a 100% porque a questão respondida por profissionais aceitava múltiplas escolhas.

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital.

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital. Aker FIREWALL UTM Fortaleza Digital Sua empresa mais forte com uma solução completa de segurança digital. Ideal para o ambiente corporativo, com o Aker Firewall UTM você tem o controle total das informações

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

PLANO DIRETOR DE SEGURANÇA

PLANO DIRETOR DE SEGURANÇA PLANO DIRETOR DE SEGURANÇA Dezembro de 2006 REGOV 1.0 6/12-2006 - 2 - Índice Apresentação...3 1. Introdução... 4 2. Análise de... 6 3. Domínios de... 7 MECANISMOS DE PROTEÇÃO DA REDE GOVERNAMENTAL... 8

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP

3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos Praças e Oficiais da PMESP Cooperacs - SP Título : Política institucional de segurança da informação. Capítulo : Índice Seção : Capítulo Seção Item Descrição 3 Política institucional de segurança da informação da Cooperativa Crédito Mutuo dos

Leia mais

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br

Campanha da Política de Segurança da Informação. Antonio Rangel arangel@modulo.com.br Campanha da Política de Segurança da Informação Antonio Rangel arangel@modulo.com.br Um Caso Real Gestão de Riscos, Implementação de Controles, Correção, Plano de Contingência, Workflow, Gestão, Auditoria,

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Tópicos Motivação; Características; Histórico; Tipos de detecção de intrusão; Detecção de intrusão baseada na rede; Detecção

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Objetivos deste capítulo

Objetivos deste capítulo 1 Objetivos deste capítulo Identificar a finalidade de uma política de segurança. Identificar os componentes de uma política de segurança de rede. Identificar como implementar uma política de segurança

Leia mais

Empresa FIREWALLS. IDS x IPS. http://www.firewalls.com.br. Matriz: Bauru/SP Filial 1: Florianopolis/SC

Empresa FIREWALLS. IDS x IPS. http://www.firewalls.com.br. Matriz: Bauru/SP Filial 1: Florianopolis/SC Empresa FIREWALLS IDS x IPS Matriz: Bauru/SP Filial 1: Florianopolis/SC O que é a Firewalls? - Empresa Especializada em Segurança; - Profissionais Certificados; - Atenta a Padrões Internacionais; - Parceira

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Curso de Tecnologia em Redes de Computadores

Curso de Tecnologia em Redes de Computadores Curso de Tecnologia em Redes de Computadores Disciplina: Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 2: Segurança Física e Segurança Lógica Segurança

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Teste: sua empresa está em conformidade com a ISO17799?

Teste: sua empresa está em conformidade com a ISO17799? 44 Novembro de 2002 Teste: sua empresa está em conformidade com a ISO17799? O artigo deste mês tem cunho prático e o objetivo de auxiliá-lo a perceber o grau de aderência de sua empresa em relação às recomendações

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa.

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa. Boas Práticas de Segurança da Informação Regras para proteção de dados de cartões para a pequena e média empresa. Prezado Cliente, A constante evolução da tecnologia está sempre rompendo paradigmas, tornando

Leia mais

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software Avaliação de riscos em fornecedores Manual de controles de segurança da informação para Fábricas de Software DSC Diretoria de segurança corporativa SSI Superintendência de Segurança da Informação 1 Índice

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

Mecanismos para Controles de Segurança

Mecanismos para Controles de Segurança Centro Universitário de Mineiros - UNIFIMES Sistemas de Informação Segurança e Auditoria de Sistemas de Informação Mecanismos para Controles de Segurança Mineiros-Go, 12 de setembro de 2012. Profª. Esp.

Leia mais

E-learning: O novo paradigma da educação e suas questões de segurança

E-learning: O novo paradigma da educação e suas questões de segurança E-Learning MBA Gestão de Sistemas de Informação Segurança na Informação Professor: Ly Freitas Grupo: Ferdinan Lima Francisco Carlos Rodrigues Henrique Andrade Aragão Rael Frauzino Pereira Renata Macêdo

Leia mais

Plano de Segurança da Informação

Plano de Segurança da Informação Governança de Tecnologia da Informação LUSANA SOUZA NATÁLIA BATUTA MARIA DAS GRAÇAS TATIANE ROCHA GTI V Matutino Prof.: Marcelo Faustino Sumário 1. OBJETIVO... 2 2. DESCRIÇÃO DO SERVIÇO... 2 3. ETAPAS

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

Componentes de um sistema de firewall - I

Componentes de um sistema de firewall - I Componentes de um sistema de firewall - I O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um único elemento de software instalado num

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Conceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de 2016-1

Conceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de 2016-1 Segurança Computacional Redes de Computadores Professor: Airton Ribeiro Fevereiro de 2016-1 1 2 Compreende os mecanismos de proteção baseados em softwares Senhas Listas de controle de acesso - ACL Criptografia

Leia mais

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura.

Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. Módulo 14 Segurança em redes Firewall, Criptografia e autenticação Falaremos um pouco das tecnologias e métodos utilizados pelas empresas e usuários domésticos para deixar a sua rede segura. 14.1 Sistemas

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Aspectos a Serem Considerados Rodrigo Rubira Branco rodrigo@firewalls.com.br O que é a Firewalls? - Empresa Especializada em Segurança; - Profissionais Certificados; - Atenta a

Leia mais

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc Governança de TI Prof. Carlos Henrique Santos da Silva, MSc PMP, PMI-RMP, PMI-ACP, CSM, ITIL & CobiT Certified Carlos Henrique Santos da Silva, MSc, PMP Especializações Certificações Mestre em Informática

Leia mais

e Uso Abusivo da Rede

e Uso Abusivo da Rede SEGURANÇA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENÇÃO VÍRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS SPYWARE ANTIVÍRUS WORM BLUETOOTH SC CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL BACKDOOR COOKIES

Leia mais

O que temos pra hoje?

O que temos pra hoje? O que temos pra hoje? Temas de Hoje: Firewall Conceito Firewall de Software Firewall de Softwares Pagos Firewall de Softwares Grátis Firewall de Hardware Sistemas para Appliances Grátis UTM: Conceito Mão

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Baseline de Segurança da Informação

Baseline de Segurança da Informação Diretoria de Segurança Corporativa Superintendência de Segurança da Informação Baseline de Segurança da Informação Avaliação de Fornecedor E-mail Marketing SUMÁRIO: 1. SEGURANÇA DA REDE:... 3 2. PATCHES

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Enfrente os atuais desafios de BYOD

Enfrente os atuais desafios de BYOD Folheto Enfrente os atuais desafios de BYOD HP Intelligent Management Center para BYOD Quem é você? Seu dispositivo está em conformidade? Atribuído para redes de aplicativos virtuais de identidade Usuário

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência Desenvolvimento de Estratégias de Segurança e Gerência Segurança e Gerência são aspectos importantes do projeto lógico de uma rede São freqüentemente esquecidos por projetistas por serem consideradas questões

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Via Prática Firewall Box Gateway O acesso à Internet

Via Prática Firewall Box Gateway O acesso à Internet FIREWALL BOX Via Prática Firewall Box Gateway O acesso à Internet Via Prática Firewall Box Gateway pode tornar sua rede mais confiável, otimizar sua largura de banda e ajudar você a controlar o que está

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt Santo André, maio de 2012 Roteiro PARTE I Apresentação da Disciplina PARTE II Introdução à Segurança de Redes Apresentação

Leia mais

Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro. Analista de Segurança da BRconnection

Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro. Analista de Segurança da BRconnection Bem Vindos! Palestrante: Rodrigo Ribeiro Montoro Analista de Segurança da BRconnection POR GENTILEZA, MANTENHAM SEUS CELULARES DESLIGADOS DURANTE A APRESENTAÇÃO. OBRIGADO! Gerenciando Riscos em Comunicação

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA

CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA CARTILHA DE BOAS PRÁTICAS EM SEGURANÇA CIBERNÉTICA GRUPO DE TRABALHO DE SEGURANÇA CIBERNÉTICA A FIESP esclarece que as informações apresentadas na presente Cartilha são apenas sugestões para auxiliar as

Leia mais

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões FACSENAC ECOFROTA Documento de Projeto Lógico de Rede Versão:1.5 Data: 21/11/2013 Identificador do documento: Projeto Lógico de Redes Versão do Template Utilizada na Confecção: 1.0 Localização: FacSenac

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

Edilberto Silva - www.edilms.eti.br

Edilberto Silva - www.edilms.eti.br Baseado no material dos profs.: Márcio D avila / FUMEC Mauro Sobrinho / Unieuro Mehran Misaghi / SOCIESC Edilberto Silva edilms@yahoo.com / www.edilms.eti.br Sumário Tecnologias e Afins Servidores Redes

Leia mais

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014.

PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. PORTARIA Nº 076 DE 21 DE JANEIRO DE 2014. Dispõe sobre aprovação da Política de Segurança da Informação do IFMG. O REITOR DO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DE MINAS GERAIS, no uso

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

Gestão de Riscos. Risco

Gestão de Riscos. Risco Gestão de Riscos A crescente importância da TI para os processos de negócio de uma empresa trouxe em paralelo, também, um aumento de problemas de segurança em relação à informação. Assim, a necessidade

Leia mais

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS QUESTÕES DE MÚLTIPLAS ESCOLHAS 1) Em relação à manutenção corretiva pode- se afirmar que : a) Constitui a forma mais barata de manutenção do ponto de vista total do sistema. b) Aumenta a vida útil dos

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Diretoria Executiva de Controles Internos e Risco Operacional

Diretoria Executiva de Controles Internos e Risco Operacional Diretoria Executiva de Controles Internos e Risco Operacional Seminário de Segurança da Informação 2014 Painel "A dinâmica do cenário de ameaças à rede interna frente a um contexto GRC e às novas ferramentas

Leia mais

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica

Fundamentos em Segurança de Redes de Computadores. Segurança Lógica Fundamentos em Segurança de Redes de Computadores Segurança Lógica 1 Segurança Lógica Mecanismos de Controle A Segurança Lógica é aspecto abrangente e complexo, requerendo, consequentemente, um estudo

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Riscos, Ameaças e Vulnerabilidades. Aécio Costa

Riscos, Ameaças e Vulnerabilidades. Aécio Costa Riscos, Ameaças e Vulnerabilidades Aécio Costa Riscos, Ameaças e Vulnerabilidades Independente do meio ou forma pela qual a informação é manuseada, armazenada, transmitida e descartada, é recomendável

Leia mais

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ:

SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: Dados da Empresa Dados da SYSTEMBRAS SISTEMAS BRASILEIRO EM INFORMÁTICA CNPJ: 00.000.000/0001-00 Rua Paramoti, 04 Vila Antonieta SP Cep: 03475-030 Contato: (11) 3569-2224 A Empresa A SYSTEMBRAS tem como

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

MINISTÉRIO DA FAZENDA

MINISTÉRIO DA FAZENDA MINISTÉRIO DA FAZENDA Procuradoria-Geral da Fazenda Nacional PGFN Departamento de Gestão Corporativa - DGC Coordenação-Geral de Tecnologia da Informação - CTI CATÁLOGO DE SERVIÇOS DE TECNOLOGIA Infraestrutura

Leia mais

Emanuel Rebouças, MBA Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS AGENDA

Emanuel Rebouças, MBA Disciplina: SEGURANÇA DE REDE DE COMPUTADORES E SEGURANÇA E AUDITORIA DE SISTEMAS AGENDA Segurança em Redes de Computadores Segurança e FIREWALL Emanuel Rebouças, MBA AGENDA s Objetivo: Avaliar os diferentes tipos de firewall no mercado, como instalá-los em uma rede de computadores e como

Leia mais

[ ossa Missão ] [Workshop de Segurança da Informação]

[ ossa Missão ] [Workshop de Segurança da Informação] [Workshop de Segurança da Informação] [ ossa Missão ] Prover Confidencialidade, Integridade e Disponibilidades para os nossos clientes Proporcionando um diferencial mercadológico para os mesmos. Incidentes

Leia mais