Segurança da Informação (SI) Fonte: ISSA -

Transcrição

1 Segurança da Informação (SI) Fonte: ISSA -

2 Aumento dos incidentes de segurança A freqüência de incidentes de segurança continua a aumentar rapidamente Security Incidents Reported e os ataques tornam-se mais sofisticados e aumentam sua velocidade de proliferação Taxa inicial de infecção por hora Tempo para duplicar número de máquinas infectadas Taxa de scanning de um host Tempo para infectar todos os alvos Code Red 1.8 hosts 37 minutos 11 probes 24 horas Velocidade de proliferação: de semanas e dias para horas e minutos! Slammer 420 hosts 8.5 segundo s 26,000 probes 30 minutos Source: CERT Information Center Todos os direitos reservados 2

3 SI Hardware e Software Principais equipamentos utilizados em uma rede Gateway Portão de Acesso entre a rede interna e a externa (Internet) São utilizados na comunicação inter-redes Firewall Hardware ou software que provê segurança a uma rede, evitando que dados internos sejam roubados por intrusos do meio exterior Indispensável a qualquer empresa hoje em dia! Roteador Estabelece as rotas de acesso para a informação circulante na Internet Pode, também, ser utilizados dentro da empresa para permitir o compartilhamento da Internet Antivírus e Anti-spyware Todos os direitos reservados 3

4 Os 3 Momentos da SI BUG do Ano 2000 Profissionais de TI selecionados para mapear processos críticos Internet Comercial e as ponto.com Rastreamento das vulnerabilidades relacionadas a invasões de sistemas 11 de Setembro de 2001 Todos os direitos reservados 4

5 INFORMAÇÃO TECNOLOGIA VENTO SEGURANÇA CORRENTE DE ÁGUA Todos os direitos reservados 5

6 CIO Chief Information Officer Informação Tecnologia Segurança CTO Chief Technology Officer CSO Chief Security Officer Todos os direitos reservados 6

7 Por que proteger as informações? O vazamento de informações pode causar: Perdas financeiras; Comprometimento da imagem; Perdas de clientes; Perda de vantagem competitiva. 70% dos problemas de segurança são causados por desconhecimento dos procedimentos CSI/FBI Computer Crime and Security Survey Todos os direitos reservados 7

8 Má utilização dos Recursos Descuido com as áreas e instalações Fontes das ameaças Acessos não autorizados a sistemas Tratamento inadequado dos documentos Descuido com equipamentos Instalação inadequada de Software e Hardware Vazamento de Informações Paralisação dos processos

9 Engenharia Social Hackers fazem uso de problemas de segurança. Engenheiros Sociais tiram vantagem de problemas na natureza humana. Todos os direitos reservados 9

10 Engenharia Social Até mesmo um computador desligado pode ter seus dados roubados à distância. Basta que um engenheiro social habilidoso convença alguém a ligar o equipamento. Kevin Mitnick Apenas duas coisas são infinitas: o universo e a estupidez humana, e eu não tenho certeza sobre o primeiro. Albert Einstein Todos os direitos reservados 10

11 Information Systems Control Journal, 2004 Governança Corporativa e Práticas Éticas de Negócio não são mais opcionais elas agora são a Lei Todos os direitos reservados 11

12 Direito da Segurança da Informação Novo código civil brasileiro Desqualificação da pessoa jurídica para efeitos de garantia obrigacional Amplia a Responsabilidade civil dos Diretores Exigência de prova da ação efetiva, ou não-omissão Todos os direitos reservados 12

13 OBRIGAÇÃO DA ADOÇÃO DE POLÍTICA FORMAL PARA SEGURANÇA DA INFORMAÇÃO Art. 186 do Código Civil Brasileiro: Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito. Todos os direitos reservados 13

14 OBRIGAÇÃO DA ADOÇÃO DE POLÍTICA FORMAL PARA SEGURANÇA DA INFORMAÇÃO Decreto n.º 2181 Dispõe sobre a organização do Sistema Nacional de Defesa do Consumidor - SNDC, estabelece as normas gerais de aplicação das sanções administrativas prevista na Lei n.º 8.078, de 11 de setembro de 1990, revoga o decreto n.º 861, de 9 de julho de 1993, e dá outras providências. Todos os direitos reservados 14

15 OBRIGAÇÃO DA ADOÇÃO DE POLÍTICA FORMAL PARA SEGURANÇA DA INFORMAÇÃO Seção II - Das Práticas Infrativas Art São consideradas práticas infrativas: IX - colocar, no mercado de consumo, qualquer produto ou serviço: a) em desacordo com as normas expedidas pelos órgãos oficiais competentes, ou, se normas especificas não existirem, pela Associação Brasileira de Normas Técnicas - ABNT ou outra entidade credenciada pelo Conselho de Metrologia, Normalização e Qualidade Industrial - CONMETRO Todos os direitos reservados 15

16 SEGURANÇA DA INFORMAÇÃO NORMA ISO CÓDIGO DE PRÁTICA PARA A GESTÃO DE SEGURANÇA DA INFORMAÇÃO Todos os direitos reservados 16

17 SI Normas Técnicas 1. Política de Segurança 2. Segurança Organizacional 3. Classificação e Controle dos Ativos de Informação 4. Segurança em Pessoas 5. Segurança Física e Ambiental 6. Gerenciamento de Operações e Comunicações 7. Controle de Acesso 8. Desenvolvimento e Manutenção de Sistemas 9. Gestão de Continuidade do Negócio 10. Conformidade Todos os direitos reservados 17

18 Oportunidades de desenvolvimento do CSO: Associações profissionais ISSA ISACA ASIS CSI Grupos de trabalho CB21 (Norma ABNT ISO/IEC 17799) Cerificações profissionais CISSP CISM MCSO CISA CPP Todos os direitos reservados 18

19 SI - ENFOQUE IDEAL Implantar uma política de segurança forte por meio da sensibilização do elo mais fraco da cadeia PESSOAS TECNOLOGIA PROCESSOS Todos os direitos reservados 19

20 Fatores Críticos de Sucesso Apoio da Alta Administração Métricas, padrões, políticas e procedimentos Pessoas!!! Ferramentas e mecanismos bem configurados Capacitação e conscientização Monitoramento

21 Princípios que devem ser perseguidos: 1. Proteger as pessoas e suas informações privadas (Funcionários, Clientes, Fornecedores, Acionistas, Órgãos Reguladores) 2. Garantir Sistemas de Informação integros e protegidos 3. Proteção perimetral da rede de computadores 4. Garantir soluções tecnológicas seguras 5. Garantir soluções de Continuidade de Negócios 6. Promover conscientização contínua sobre o tema 7. Proporcionar ambiente de negócios alinhado às melhores práticas de Segurança da Informação internacionalmente aceitas Todos os direitos reservados 21

22 Vídeos sobre SI Empresarial 1 A importância da SI Empresarial e Aspectos Legais 2 Responsabilidades dos membros de uma empresa, no tocante a SI 3 Vírus de computador 4 Gerenciamento de senhas 5 Como escolher as senhas 6 Vulnerabilidade em prédios públicos Todos os direitos reservados 22

23 Segurança na Internet - Vídeos 1 Segurança na Internet 2 Monitoramento de correio corporativo Ataques: Bandidagem na Internet Vírus MYDoom se alastra na rede Novo vírus assusta usuários de computador SPAM vilão da Internet Todos os direitos reservados 23

24 Segurança da Informação (SI) Considerações Finais Fonte: ISSA -

25 Datacenter seguro (Sala-cofre) Todos os direitos reservados Fonte: Aceco TI ( 25

26 Todos os direitos reservados 26

27 Testes de segurança contra ameaças no ambiente de TI Todos os direitos reservados 27

28 Testes de segurança contra ameaças no ambiente de TI (cont.) Todos os direitos reservados 28

29 Testes de segurança contra ameaças no ambiente de TI (cont.) Todos os direitos reservados 29

30 Testes de segurança contra ameaças no ambiente de TI (cont.) Todos os direitos reservados 30

31 Testes de segurança contra ameaças no ambiente de TI (cont.) Todos os direitos reservados 31

32 Testes de segurança contra ameaças no ambiente de TI (cont.) Todos os direitos reservados 32

33 Testes de segurança contra ameaças no ambiente de TI (cont.) Todos os direitos reservados 33

34 Testes de segurança contra ameaças no ambiente de TI (cont.) Todos os direitos reservados 34

35 Situação atual da carreira de TI Qual a importância de um profissional de TI em uma Empresa, atualmente? Fato: Fonte: Revista InfoExame 12/2005 Todos os direitos reservados 35

36 Demanda por Profissionais de TI Essa alta competitividade no setor de TI tem uma explicação? Existe demanda no mercado? As empresas necessitam mesmo desses profissionais? Observe: E tire suas próprias conclusões! Todos os direitos reservados Fonte: Revista InfoExame 12/

37 Portanto... Conhecer e aplicar a Tecnologia da Informação na empresa, seja ela de que porte for representa, hoje, a preocupação mais importante no tocante a correta estruturação da informação valiosa. Investir em um profissional de TI é investir, a médio prazo, no crescimento da organização como um todo A disciplina de GI nos permitiu conhecer as técnicas do gerenciamento da TI e tomar contato com os profissionais envolvidos neste setor. Agora é com vocês! Bons negócios! Todos os direitos reservados 37

38 FIM Todos os direitos reservados 38