Panorama da Segurança da Informação na Universidade Federal Fluminense. Ivan Athanázio Edgar Junior

Tamanho: px

Começar a partir da página:

Download "Panorama da Segurança da Informação na Universidade Federal Fluminense. Ivan Athanázio Edgar Junior"

Rayssa Azambuja de Escobar
7 Há anos
Visualizações:

1 Panorama da Segurança da Informação na Universidade Federal Fluminense Ivan Athanázio Edgar Junior

2 Ivan Athanázio Servidor na UFF desde Responsável pra criação da Segurança da Informação na UFF, redigiu a Política de Segurança da Informação e a Norma Computacional vigentes na instituição. Atuou em empresas nacionais e multinacionais; tem experiência em Investigação Corporativa e Prevenção a Fraudes. Edgar Junior Responsável pela criação e estruturação do Setor de Tecnologia da Informação do Polo Universitário de Volta Redonda, que hoje forma os Campi da UFF em Volta Redonda (Aterrado e Vila), é membro do COTI Comitê de Tecnologia da Informação da UFF. Profissional e professor de TI há 15 anos.

3 / /2016

4 Qual a direção?

5 Onde estávamos? / /2016 Ações descentralizadas e descoordenadas das diversas áreas de TI. Desconhecimento acerca de Segurança. Rede desconhecida, servidores espalhados e não documentados. Firewall invertido.

6 Onde estávamos? / /2016 Padrão de tráfego de rede desconhecido. Inexistência de regra para atualizações de softwares e serviços. Inexistência de política de Segurança da Informação e Norma de Utilização de Recursos Computacionais. Segurança da Hosts desorganizada e não gerenciável. Mais de 2k máquinas alertadas pela CBPF como spammer ou praticipante de botnet. Em média 4 s de alerta semanais.

7 Desafios Iniciais

8 Desafios Iniciais

9 Desafios Iniciais A própria área de TI Demonstrar que fazer segurança não significa somente apagar incendio. Conscientizar a TI acerca de Segurança. Instruir as áreas da TI sobre procedimentos e boas práticas em suas respectivas áreas de atuação. Desmistificar os conceitos de maior complexidade = maior segurança e segurança = custo.

10 Desafios Iniciais A própria área de TI Provar a necessidade de implantação de procedimentos de Segurança em um órgão não financeiro. Conscientização sobre o valor da Informação. Demonstrar que uma implantação de Segurança bem sucedida não baseia-se somente no aspecto Técnico, mas também em Processos e Pessoas.

11 O caminho encontrado

12 O caminho encontrado Agregar para conquistar!!! Conhecer as particularidades do órgão e da área de TI! Descobrir a melhor forma de contornar empecilhos. Planejar gradualmente! Encontrar entre as áreas usuárias, parceiros importantes!

13 Os tropeços no caminho

14 Os tropeços no caminho Resistência de alguns setores e pessoas na instituição. Limitações orçamentárias. Ambiente instável, muitos incidentes. Projetos x Emergências. Incidentes de impacto.

15 Os tropeços no caminho Numerosos passivos tecnologicos. Negociação de prioridades junto aos demais setores de TI. Alta rotatividade na pequena equipe inicial. Dificuldades de formação interna.

16 A Política de Segurança da Informação

17 A Política de Segurança da Informação Aprovada em 2012 pelo Boletim de Serviço Documento de característica macro. Rege: Aprovação de demais normas e procedimentos de Segurança Periodicidade de revisões da política Segurança Física e Lógica do Ambiente de TI Política de Senhas

18 A Política de Segurança da Informação Rege: Segurança e Controle de Acesso Segregação de ambientes e funções Plano de Contingência Propriedade Intelectual e Trilhas de Auditoria Concomitantemente foi aprovada a Norma de Utilização de Recursos Computacionais e a Norma de Aquisição de Recursos Computacionais. Ambas documentos mais detalhados e específicos, já sob o aval da Política de Segurança.

19 Conquistas obtidas

20 Conquistas obtidas Redução drástica do número de incidentes. Aquisição e Implementação de Antivírus de Host (15k licenças). Implementação de Risk Management.

21 Conquistas obtidas Implementação e melhoria de vários processos em todos os setores de TI. Aproximação da área usuária, tanto da Segurança, quando da própria TI. Aprovação e implementação da Política de Segurança da Informação e da Norma de Utilização de Recursos Computacionais.

22 Conquistas obtidas Quase eliminação de hosts participando de botnets. Redesenho do ambiente de rede em compliance com a Segurança. Conquista de forte apoio da alta gestão. Integração da sede com os campi do interior. Disseminação da Segurança para os campi do interior.

23 Segurança e Alta Gestão

24 Segurança e Alta Gestão COTI Comitê de TI Criado em Instruído em Necessidade de estabelecer políticas e diretrizes na área de TI. Nova Gestão de TI participação de diversos segmentos da Universidade. Representação dos Campi do Interior.

25 Segurança e Alta Gestão COTI Comitê de TI Objetivos: Aprovar planos corporativos atividades e investimentos, incluindo o PDTIC Plano Diretor de Tecnologia da Informação e Comunicação. Estabelecer normas de aquisição e uso de recursos computacionais.

26 Segurança e Alta Gestão COTI Comitê de TI Estabelecer normas de segurança e conduta ética em TI na Universidade. Padronizar normas e procedimentos que definam um modelo básico de segurança, física e lógica, para utilização dos recursos computacionais.

27 Segurança e Alta Gestão COTI Comitê de TI - Resultados

28 Segurança e Alta Gestão COTI Comitê de TI - Resultados Projetos voltados a segurança, apoiados pelo COTI: Carteirinha UFF EDUROAM / WIFIUFF Projetos do PDI Aquisição de apliances de segurança e projetos de monitoramento de rede. Sigadoc Sistema de Gestão Eletrônica de Documentos

29 Interiorização da UFF 1960 Criada a UFERJ Passa a denominar-se UFF Distribuída em 9 Campi, com 45 unidades de Ensino em Niterói 12 Municípios no interior do Rio de Janeiro e Pará.

30 Interiorização da UFF Plano de Reestruturação e Expansão das Universidades Federais REUNI Campus Vila Santa Cecília (Ampliação) EEIMVR Escola de Engenharia Industrial e Metalúrgica de Volta Redonda Campus Aterrado (Construção) ICHS Instituto de Ciências Humanas e Sociais ICEx Instituto de Ciências Exatas

31 Interiorização da UFF Campus Aterrado

32 Interiorização da UFF Campus Aterrado Inicio das operações em usuários presenciais e 4000 a distancia utilizam recursos computacionais.

33 Escritório de Segurança em Volta Redonda Criado em Seguir os mesmos princípios e diretivas de implantação da Sede em Niterói. Voltado as necessidades especificas do Campus. Modelo Interativo entre áreas, departamentos, setores e alta gestão.

34 Escritório de Segurança em Volta Redonda Modelo Interativo: Alta Alta Gestão Gestão Suporte Escritório de Segurança Processos e Normas Desenvolvimento Infra Estrutura

35 Escritório de Segurança em Volta Redonda Resultados: Interação e comprometimento das áreas com a política de segurança da UFF. Maior envolvimento e comprometimento da alta administração no apoio ao cumprimento e iniciativas de segurança.

36 Escritório de Segurança em Volta Redonda Resultados: Formalização da responsabilidade de todos os usuários. Agilidade na implantação de projetos e homologação de processos e sistemas. Maior contribuição para a manutenção e revisão das políticas de segurança sempre que necessário.

37 Escritório de Segurança em Volta Redonda Resultados técnicos : Implementação de Appliance de Segurança Filtro de Conteúdo e Antivirus web. VPN entre Volta Redonda e a sede. Aplication Control em toda a rede. DMZ Entre outros

38 Visão para os próximos anos

39 Visão para os próximos anos Ampliar a cultura de Segurança. Desenvolver projetos internos de formação em Segurança para usuários. Expandir a Segurança no Interior para os demais Campi fora da Sede com formação de grupos de Segurança.

40 Visão para os próximos anos Estabilizar e fortalecer o Escritório de Segurança da Informação em Volta Redonda Fortalecer a integração entre os planos plurianuais de Segurança e os planos de desenvolvimento institucional. Concluir a eliminação do passivo tecnológico. Alcançar alto nível de Disponibilidade, Integridade, Confiabilidade do ambiente de TI.

41 Perguntas??

42 Obrigado!!

Documentos relacionados

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Março/2017 Política de Segurança da Informação 1 ÍNDICE 1. OBJETIVO... 3 2. RESPONSABILIDADES... 3 3. DIRETRIZES... 3 A. TRATAMENTO DA INFORMAÇÃO... 3 B. ACESSO À INFORMAÇÃO...