Sistemas de Informação (SI) Segurança em sistemas de informação (II)

Transcrição

1 Sistemas de Informação (SI) Segurança em sistemas de informação (II) Prof.ª Dr.ª Symone Gomes Soares Alcalá Universidade Federal de Goiás (UFG) Regional Goiânia (RG) Faculdade de Ciências e Tecnologia (FCT) Campus Aparecida de Goiânia (CAG) Curso de Engenharia de Produção Website: symone@ufg.br 12/07/2016

2 Valor empresarial da segurança e do controle Como a segurança não está diretamente relacionada à receita de vendas, muitas empresas relutam em gastar muito com ela No entanto, a proteção dos SIs é tão crucial para o funcionamento da empresa que merece um olhar mais atento As organizações têm ativos (bens) de informação valiosíssimos a proteger Quais informações valiosas SIs empresariais podem armazenar? Quais informações valiosas SIs governamentais podem armazenar? Controle e segurança inadequados também podem criar sérios riscos legais

3 Como estabelecer uma estrutura para segurança e controle Como estabelecer uma estrutura para segurança e controle Controles de sistemas de informação Avaliação de risco Política de segurança Plano de continuidade dos negócios O papel da auditoria

4 Como estabelecer uma estrutura para segurança e controle Controle de SIs Controle de sistemas de informação Controles: consistem em todos os métodos, as políticas e os procedimentos organizacionais que garantem a segurança dos ativos da organização Controles de sistemas de informação Controles gerais Controles de aplicação

5 Como estabelecer uma estrutura para segurança e controle Controle de SIs Controle de sistemas de informação Controles gerais controlam projeto, segurança, e o uso de programas de computadores e a segurança de arquivos de dados em geral em toda a infraestrutura de TI da empresa As principais funções dos controles gerais são Controles de software Controles de hardware Controles de operações de computador Controles de segurança de dados Controles de aplicação incluem procedimentos que garantem que somente dados autorizados sejam completa e precisamente processados pelas aplicações Os controles de aplicação podem ser classificados como Controles de entrada Controles de processamento Controles de saída

6 Como estabelecer uma estrutura para segurança e controle Avaliação de risco Avaliação de risco Uma empresa precisa saber quais ativos exigem proteção e em que medida eles são vulneráveis Uma avaliação de risco ajuda a responder a essas questões e determina o conjunto de controles com melhor custo-benefício para proteger os ativos Uma avaliação de risco determina o nível de risco para a empresa caso uma atividade ou um processo específico não sejam controlados adequadamente Administradores e especialistas em SI podem determinar O valor dos ativos de informação Os pontos de vulnerabilidade A frequência provável de um problema e seu prejuízo potencial

7 Como estabelecer uma estrutura para segurança e controle Avaliação de risco Avaliação de risco Por exemplo Se a probabilidade de um evento correr não for maior que uma vez por ano, com um limite máximo de mil dólares de prejuízo, não seria viável gastar 20 mil dólares no projeto e manutenção de um controle para evitar esse evento Entretanto, se este mesmo evento pudesse ocorre, no mínimo, uma vez por dia, com um prejuízo potencial de mais de 300 mil dólares por ano; valeria a pena gastar 100 mil dólares em um controle apropriado?

8 Como estabelecer uma estrutura para segurança e controle Avaliação de risco Avaliação de risco Avaliação de risco para um sistema de processamento de pedidos on-line que processa 30 mil pedidos por dia Tabela: Avaliação do risco no processamento de pedidos on-line EXPOSIÇÃO (RISCO) PROBABILIDADE DE OCORRÊNCIA (% NO ANO) FAIXA DE PREJUÍZO/MÉDIA ($) PREJUÍZO ANUAL ESPERADO ($) Falta de energia elétrica ( ) Apropriação indébita (25.500) Erro de usuário (20.100) Fonte: (LAUDON; LAUDON, 2010) Uma vez avaliados os riscos, os desenvolvedores de sistemas podem concentrar-se nos pontos de controles cuja vulnerabilidade e prejuízo potencial são maiores

9 Como estabelecer uma estrutura para segurança e controle Política de segurança Política de segurança Uma vez que identificou os principais riscos para seus sistemas, sua empresa precisará desenvolver uma política de segurança para proteger esses ativos Política de segurança é uma declaração que estabelece hierarquia aos riscos de informação e identifica metas de segurança aceitáveis, assim como os mecanismos para atingi-las Tem por objetivo possibilitar o gerenciamento da segurança em uma organização, estabelecendo regras e padrões para proteção da informação Tipos de políticas de segurança Política de uso aceitável Políticas de autorização

10 Como estabelecer uma estrutura para segurança e controle Política de segurança Política de segurança Política de uso aceitável Define os usos aceitáveis dos recursos de informação e do equipamento de informática da empresa A política deve deixar clara a posição da empresa no que diz respeito à privacidade, à responsabilidade do usuário e ao uso pessoal do equipamento de informática e das redes Uma boa política de uso aceitável define as ações aceitáveis para cada usuário, especificando as consequências do não comprimento às normas Políticas de autorização Determinam diferentes níveis de acesso aos ativos de informação para diferentes níveis de usuário Os sistemas de gestão de autorização estabelecem onde e quanto um usuário terá permissão para acessar determinadas partes de um site ou de um banco de dados corporativo Sabem exatamente quais informações cada usuário tem permissão para acessar

11 Como estabelecer uma estrutura para segurança e controle Política de segurança Política de segurança Políticas de autorização Perfis de segurança para um banco de dados pessoais on-line Figura: Perfis de segurança para um sistema de pessoal Fonte: (LAUDON; LAUDON, 2010)

12 Como estabelecer uma estrutura para segurança e controle O papel da auditoria O papel da auditoria Como a empresa sabe que os controles de seus SIs são eficientes? Uma solução é a auditoria Processo de exame e validação de um sistema, atividade ou informação Uma auditoria de sistemas avalia o sistema geral de segurança da empresa e identifica todos os controles que governam sistemas individuais de informação Deve rever tecnologias, procedimentos, documentação, treinamento e recursos humanos Uma autoria completa pode até mesmo simular um ataque ou desastre para verificar como os recursos tecnológicos, a equipe de SI e os funcionários da empresa reagem Lista e classifica todos pontos francos do controle e estima a probabilidade de ocorrerem erros nesses pontos Avalia então o impacto financeiro e organizacional de cada ameaça

13 Como estabelecer uma estrutura para segurança e controle O papel da auditoria O papel da auditoria Exemplo de listagem feita por um auditor para deficiências de controle de um sistema de empréstimo Figura: Exemplo de listagem feita por um auditor para deficiências de controle Fonte: (LAUDON; LAUDON, 2010)

14 Exercícios: O pior roubo de dados da história 1. Liste e descreva as fragilidades do controle de segurança da Hannford Bros. e das empresas TJX. 2. Que fatores humanos, organizacionais e tecnológicos contribuíram para esses problemas? 3. Qual foi o impacto empresarial das perdas de dados da TJX e da Hannaford sobre essas empresas e seus consumidores? 4. As soluções adotadas pela TJX e pela Hannaford foram eficientes? Justifique 5. Nesse caso, quem deveria ser culpado pelas perdas causadas pelo uso fraudulento de cartões de crédito? TJX e Hannaford? Os bancos distribuidores dos cartões de crédito? Os consumidores? Justifique. 6. Que soluções sugeriria para evitar os problemas?

15 Bibliografia LAUDON, K. C. e LAUDON, J. P. Sistemas de Informação Gerenciais. 9ª Edição. São Paulo: Pearson Prentice Hall, 2010.