Segurança e Auditoria de Sistemas. Prof. Alessandra Bussador

Transcrição

1 Segurança e Auditoria de Sistemas Prof. Alessandra Bussador

2 Objetivos Segurança da informação Garantir a continuidade do negócio; Minimizar as perdas do negócio pela prevenção e redução do impacto de incidentes de segurança; Habilitar as informações a serem compartilhadas enquanto estabelece a proteção do informação e do acesso aos Sistemas de Informações;

3 Cenário Segurança da informação Crescimento da tecnologia e a sua dependência Mudança na forma como a tecnologia é utilizada Redes de Computadores Evolução da Internet Sistemas diversos

4 Conseqüência Segurança da informação Maior vulnerabilidades e consequentemente exposição a ameaças Difícil controle da privacidade e integridade das informações Acesso não autorizado as informações

5 Segurança da Informação É a proteção dos sistemas de informação: Negação de serviço Intrusão dos sistemas Modificação não-autorizada Salvaguardar pessoas, instalações e recursos

6 Segurança da Informação É a proteção dos sistemas de informação: Prevenir, detectar, deter e documentar ameaças

7 Critérios Fundamentais da Segurança Integridade Disponibilidade Confidencialidade A informação certa comunicada às pessoas certas (na hora certa) é de importância vital para a empresa.

8 As propriedades quando combinadas de forma adequada Aumenta a produtividade Proporciona maior controle sobre os recursos Viabiliza o uso de aplicações de missão crítica

9 Facilitam para que as empresas alcancem os seus objetivos Ambiente padronizado Sistemas mais confiáveis

10 Outras propriedades Autenticidade Atesta a origem do dado ou informação Não Repúdio Não é possível negar o envio ou recepção Legalidade Aderência de um sistema a legislação

11 Outras propriedades Privacidade Realizar ações sem que se seja identificado Auditoria Transparência aos negócios

12 Controles gerais para sistemas de informação Hardware restringir o acesso a máquinas/terminais; verificação do mau funcionamento dos equipamentos Software exigir registro das atividades dio sistema operacional; restringir o acesso nãoautorizado aos programas de software

13 Controles gerais para sistemas de informação Segurança de dados utilizar senhas; restringir o acesso aos terminais para limitar o acesso aos arquivos de dados Operações estabelecer procedimentos para executar corretamente tarefas no computador e procedimentos de backup e recuperação de dados

14 Controles gerais para sistemas de informação Denvolvimento de sistemas exigir revisão e auditoria da gerência; exigir documentação técnica e empresarial Gerência: estabelecer políticas e procedimentos escritos formalmente; proporcionar supervisão e responsabilidade

15 Um sistema somente pode ser considerado seguro se todos os mecanismos funcionem adequadamente de forma como foram projetados de acordo com o ambiente

16 Concepções erradas sobre segurança da informação Uma vez implantada a segurança, as informações estão seguras. A implantação da segurança é um processo simples. A segurança é um assunto de exclusiva responsabilidade da área de segurança. A estrutura da segurança é relativamente estática.

17 Planejamento de recuperação de desastres Identificar as funções empresariais mais críticas e suas vulnerabilidades Saber quais recursos de hardware, software, arquivos e humanos são necessários para reiniciar o processamento das aplicações críticas

18 Planejamento de recuperação de desastres Treinar o pessoal para seguir o plano de recuperação corretamente Ter um rumo de ação passo a passo para implementação do plano

19 Apresentação baseada na elaborada por Marcos Laureano