Ementa. Conceitos de Segurança. Bibliografia Sugerida. Segurança da Informação

Tamanho: px
Começar a partir da página:

Download "Ementa. Conceitos de Segurança. Bibliografia Sugerida. Segurança da Informação"

Transcrição

1 Segurança da Informação TCU Parte 1 Engº Mauro Carvalho Chehab, MSc, CISSP Bibliografia Sugerida ISO/NBR ABNT 17799/2005; Nakamura Emilio & Geus, Paulo, Segurança de Redes em Ambientes Corporativos, 291 p, Berkeley, 2002 Martins, José Carlos Cordeiro, Gestão de Projetos de Segurança da Informação, 384 p., Ed. Brasport, 2003; Sêmola, Marcos, Gestão da Segurança da Informação Uma Visão Executiva, 156 p., Ed. Campus, 2003; Ulbrich, Henrique Cesar; Della Valle, James, Universidade Hacker 2a. Edição, 348 p., Ed. Digerati, 2003; Kurtz, George; Scambray, Joel; McLure, Stuart, Hackers Expostos, 832 p., Ed. Campus, 2003; Segurança da Informação Ementa Ementa (1) Controles de acesso físico e lógico. Classificação e controle dos ativos de informação NBR ISO/IEC 17799:2005 Estrutura, objetivos e conceitos gerais. Gerência de Riscos Plano de Continuidade de Negócio plano de contingência, de recuperação de desastres etc. Tratamento de incidentes e problemas. Vírus de computador e outros malware cavalos de tróia, adware, spyware, backdoors, keyloggers, worms, bots, botnets, rootkits Ataques e proteções relativos a hardware, software, sistemas operacionais, aplicações, bancos de dados, redes, pessoas e ambiente físico. Segurança de Redes. Autenticação de usuários, Senhas e Kerberos. Monitoramento de tráfego. Sniffer de rede. Interpretação de pacotes. Detecção e prevenção de ataques (IDS e IPS). Ataques e ameaças da Internet e de redes sem fio (phishing/scam, spoofing, DoS, flood). Ementa(2) Firewalls Conceitos básicos Configuração Principais Firewalls para a família Windows, Unix e Linux Proxy, NAT, Filtragem de pacotes, Roteadores e DMZ. Criptografia. Conceitos básicos de criptografia. Sistemas criptográficos simétricos e de chave pública. Certificação e assinatura digital. Características dos principais protocolos criptográficos. Legislação sobre guarda de informações de terceiros e Vulnerabilidade. Segurança na Internet: Crimes com o uso do computador, Privacidade, Segurança de , Conceitos básicos de VPN e Segurança de servidores WWW, SMTP, POP, FTP e DNS. Vulnerabilidade dos Acessos remotos: Telnet, Terminal Server, IRC, ICQ e NetMeeting. Backup e recuperação de dados. Principais ferramentas de Backup para a família Windows, Unix e Linux Tipos de Backups Meios de armazenamento para Backups. Segurança da Informação Conceitos de Segurança

2 Pilares básicos da Segurança CID (ou CIA, em Inglês) Segurança Conceitos: Confidencialidade Proteger contra acesso não autorizado a informações; Proteger informação (ou parte) contra leitura/cópia por pessoal não autorizado; Rede: proteger dados em trânsito de captura; Objetivo: Proteger informação privada Confidencialidade Integridade Evitar escuta ou a inteligibilidade dos dados. Disponibilidade Integridade Disponibilidade Proteger informação contra modificação sem permissão Proteger contra escrita, alteração de conteúdo, alteração de status, remoção e criação; Garantir armazenamento seguro Inclusive das cópias de segurança Em redes: Impedir alteração ou forjamento de pacotes. Proteção dos serviços de forma que não sejam degradados ou se tornem indisponíveis; Assegurar a usuários acesso aos dados a ele pertinentes; Também denominado continuidade dos serviços. Estratégias de Segurança Mínimo Privilégio (Least Privilege) Restringir privilégios ao mínimo necessário; Canal Estreito (Chocke Point) Ter o mínimo de canais entre duas redes; Defesa em Camadas (Defense in Depth) Possuir mais de um mecanismo de segurança; Elo mais Fraco (Weakest Link) Eliminar pontos mais fracos da rede; Falha Segura (Fail Safe) Na falha, nega acesso; Estratégias de Segurança (cont.) Participação Universal (Universal Participation) Conquistar os usuários no processo; Diversidade na Defesa (Diversity of Defense) Utilizar diferentes produtos e sistemas; Simplicidade (KISS Keep It Simple, Stupid) Complexidade esconde problemas existentes; Tipos Assegurados (Type Enforcement) Programas acessam apenas recursos para suas tarefas.

3 Serviços de Controle de Acesso Serviços (também conhecido como AAA) Identificação Obtém a identidade do usuário Autenticação Verifica se identidade pertence ao usuário Autorização Autoriza acesso do usuário a informação ou facilidade Contabilização (Accounting) Registra o processo de acesso do usuário Autenticação de usuários e dispositivos Modos de autenticação Conhecimento Senha/Phassfrase Posse Tokens Cartões de memória e inteligentes Característica pessoal Fisiológica Retina / Íris Impressão Digital de Comportamento Assinatura Digitação Voz Alguns autores consideram também Localização Acesso apenas de pontos bem definidos - Uso militar Segundo demais autores, faz parte da autorização Biometria Face Reconhece características da face e de sua estrutura óssea. Retina Reconhece vasos sanguíneos no fundo dos olhos. Íris Reconhece anéis coloridos do tecido que circunda a pupila Mais preciso Assinatura Analisa velocidade e pressão de uma assinatura. Impressão digital Reconhece os sulcos da impressão Geometria da mão são rápidos, de fácil operação Medidas da mão do usuário Digitação Reconhece a velocidade e pressão utilizadas ao digitar informações no teclado Autenticação Forte Consiste em autenticação por mais de um modo. Exemplos: Cartão e senha do banco; Digital e senha; Token e senha; Terminal de acesso privilegiado, íris e senha. Mecanismos de Controle de Acesso Ocorre em duas camadas: Cliente (ou sujeito) Pessoa ou equipamento que deseja obter acesso a uma informação ou facilidade Servidor (ou objeto) Pessoas ou equipamentos que estão incumbidos de identificar, autenticar, autorizar e registrar (contabilizar) o acesso e as suas tentativas. Pode ser: Lógico: Acesso a sistemas Físico: Acesso às dependências da empresa

4 Monitor de Referência Proteção de Sistemas Operacionais Operação Recebe solicitações dos sujeitos Consulta a base de dados Armazena registro de auditoria Envia consulta aos objetos Facilidades É protegido contra modificações Permite ser testado quanto a sua segurança Deve ser sempre ser acionado Kernel de Segurança Base de Computação Confiável (Trusted Computer Base - TCB) Kernel de Segurança Parte do TCB que implementa o Monitor de Referência Composição Hardware Firmware Software Kernel de Segurança da Base de Computação Confiável - TCB Banco de Dados do Kernel de Segurança Sujeitos Monitor de Referência (Políticas) Kernel de Segurança Objetos Gerenciamento de Identidade Necessidade Insatisfação com múltiplos logins/senhas Inabilidade de atendimento regulatório Registros, em caso de violação da informação Falta de identificação correta dos usuários e recursos Fraquezas no controle de senhas Ineficiência do processo adminstrativo das senhas Registro de senhas em papéis, por parte do usuário Arquivo de Auditoria Acesso a dados Quanto a centralização do controle Controle de Acesso Centralizado Uma entidade (indivíduo, departamento, dispositivo) toma decisões de acesso Controle de Acesso Centralizado (Centralized Access Control) Gestores decidem quais usuários podem acessar objetos específicos Controle de Acesso Descentralizado (Decentralized Access Control) A administração suporta estas diretrizes

5 Controle de Acesso Descentralizado Controle é dado ao pessoal mais próximo do recurso por gerentes departamentais e, em alguns casos, por usuários Requisições de acesso não são processados por uma entidade centralizada Relacionamento ponto a ponto Problemas: Falta de Padronização Possibilita superposição de direitos Possibilita furos de segurança Acesso a dados Quanto ao controle pelo sistema Controle de Acesso Mandatório - MAC Controle de Acesso Discricionário - DAC Controle de Acesso Mandatório MAC - Mandatory Access Control Conceito O gestor e o sistema determinam quem tem acesso A decisão do sistema baseia-se em Privilégio (Clearance) do usuário (Subject) Sensibilidade (classificação) do objeto (arquivo) Requer etiquetamento da informação Baseado na política de segurança da organização Impõe limite aos autorizadores Características: Controle de Acesso Mandatório Usado em sistemas que protegem informações bastante sensíveis Atribui etiquetas de sensibilidade para todos os sujeitos e objetos Nível de sensibilidade do objeto e nível de privilégio (clearance) determinam acesso Permite processamento de múltiplos níveis em um sistema Política Controle de Acesso Mandatório (cont.) Administrador do sistema instala níveis de privilégio Gestor da informação estabelece etiquetamento de sensibilidade O Sistema aplica a política Controle de Acesso Discricionário DAC - Discretionary Access Control Conceito Tipos O gestor do recurso determina quem tem acessos e quais são os privilégios Isolamento Temporal (Time-Based Isolation) Lista de Controle de Acesso (ACL) Matriz de Controle de Acesso Controle de Acesso Baseado em Regras Controle de Acesso Baseado em Perfil (RBAC) Controle de Acesso Dependente do Conteúdo Interface de Acesso Restrita Tabela de Capacidade

6 Controle de Acesso Baseado em Regras Rule Based Access Control Controle de Acesso Baseado em Perfil RBAC - Role Based Access Control O acesso é baseado em uma lista de regras Decisões de controle de acesso são baseadas em função do cargo O administrador cria a lista de regras Cada função possui suas próprias capacidades de acesso conforme o perfil (role) Mecanismos de mediação aplicam as regras para garantir acesso autorizado As capacidades de acesso são herdadas pelos usuários atribuídos a aquele cargo Interceptam cada requisição, comparando com as autorizações do usuário A determinação do perfil (role) é discricionária, conforme uma política de segurança de controle de acesso Controle de Acesso Baseado em Perfil (cont.) Grupos de usuários necessitam privilégios similares ou idênticos Diferenças entre MAC e DAC DAC Apenas o gestor necessita permitir acesso Geralmente associados com controle discricionário (DAC) MAC A permissão de acesso requer: Privilégios apropriados a perfis funcionais são designados Usuários individuais são alocado a perfis apropriados Permissão do dono e do sistema Etiquetamento da informação Privilégio do sujeito Privilégios são herdados Limites Físicos Controle de Acesso Físico Dependências e ambientes Pequenos espaços determinados dentro das instalações. Áreas grandes espaços dentro dos quais se edificam instalações. Cuidados e prioridades diferentes em função da importância para o negócio. depender do nível de sensibilidade ou periculosidade de cada local Em relação ao processo institucional às pessoas ao meio ambiente à sociedade.

7 Perímetro de Segurança Consiste em se estabelecer ambientes físicos segmentados a fim de proporcionar diferentes níveis de segurança. Locais com Informações mais sensíveis, devem estar mais protegidos Muitas vezes associado à compartimentalização de espaços físicos e lógicos. Barreiras de segurança Implementar os perímetros Segmentar áreas físicas ou lógicas Oferecer níveis de resistência e proteção complementares e crescentes. Tipos de Barreiras de Segurança São seis as barreiras de segurança: a) Desencorajar: desestimular as ameaças Pela existência explicita de mecanismos de segurança físicos, tecnológicos e humanos. Exemplos Câmeras de vídeo, avisos da existência de alarmes, divulgação de política de segurança ou informar sobre práticas de auditoria e monitoramento b) Dificultar: adotar mecanismos e controles que irão dificultar o acesso indevido Exemplos: Dispositivos de autenticação para acesso físico: roletas, detectores de metal e alarmes; senhas; certificados digitais; firewall; etc. Tipos de Barreiras de Segurança (cont.) c) Discriminar: Utilizar recursos para identificar e gerir acessos, definindo perfis e autorizando permissões. Exemplos: Avaliação e gestão de recursos, como correio eletrônico, impressora, fluxo de acesso físico a ambientes e sistemas d) Detectar: Sinalizar, alertar e instrumentalizar gestores da segurança na detecção de situações de risco Exemplos: detecção de tentativa de invasão, de contaminação por vírus, de cópia não autorizada de informações sigilosas. Tipos de Barreiras de Segurança (cont.) e) Deter: Impedir que a ameaça atinja objetivos essenciais Exemplos: medidas de detenção: ações administrativas e punitivas; bloqueio de acessos f) Diagnosticar: Avaliar a eficiência das barreiras, apoiado em análise de risco atentando a novas ou a velhas ameaças com novas formas de agir,e a novos produtos e soluções de segurança. Requisitos de Proteção de Informação A segurança física deve salvaguardar contra: dano, perda e roubo Controles físicos requeridos: Solo perímetro edifício Pontos de entrada ao edifício Dentro do prédio Andares Escritórios Segurança DataCenter Sala de servidores Proteção de equipamentos de TI Proteção de objetos Ambiente de Proteção da Informação Barreiras de Perímetro When Perimeter Barriers Work: '50 to 0 in One Inch' On 14 MAR, a truck with two occupants tried to run the Swan Gate at Davis- Monthan AFB in Tucson. They found out the hard way the pop up barrier works. The truck went from 50 mph to 0 mph in about 1 inch. Driver and passenger were both drunk and high, drugs and a gun was found in the vehicle. Both of them were also unbuckled, so needless to say they had a date with a local ICU nurse. I guess these barriers are operational."

8 Ameaças Definições aplicadas a Segurança Física Qualquer indicação, circunstância ou evento que possa causar perda ou dano a recurso, lesões a pessoas ou perdas de vidas Tipos de ameaça Natural Causadas por seres humanos Design ambiental Produz efeitos comportamentais ante ameaças, reduzindo: Aspectos de contrução de facilidades Muros Janelas Vidros normais (standard plate) Temperados Materiais acrílicos Policarbonados combinações Vidro policarbonados melhor de cada material Lexan O incidente O risco do crime Foca nas relações entre comportamento social das pessoas e no seu ambiente Alta resistência (vide Bomb Blast Film Filmes resistentes a ventos causados por explosão Janelas resistentes a balas Sensores de quebra de vidros Aspectos de contrução de facilidades (cont) Portas Ocas (Hollow-core) Sólidas (Solid-core) dobradiças (Hinges) vulnerabilidades nos portais (doorframe) Mantraps Sistemas com duas portas Pontos de Entrada Entradas Primárias Secundárias Janelas Acesso pelo teto Entradas de manutenção Saídas de emergência Docas de carga NBR ISO/IEC 17799:2005 Estrutura, objetivos e conceitos gerais. Informação Ativo essencial para os negócios Necessita proteção adequada Exposta a: Ameaças Vulnerabilidades Existe em diversas formas: Papel, eletrônica, transmitida, filmada, falada O que é Segurança da Informação? Proteção da informação de vários tipos de ameaças para garantir a Continuidade do negócio Minimizar o risco do negócio; Maximizar retorno sobre investimentos e oportunidades de negócio;

9 Implementação de controles Garante eficácia na gestão de segurança Inclui: Políticas Processos Procedimentos Estruturas Organizacionais Implementação de controles (cont) Controles precisam ser: Estabelecidos Implementados Monitorados Analisados criticamente Melhorados Funções de Software e Hardware Viabilizar os negócios Setor Público: egov Setor Privado ebusiness Função da Segurança Evitar ou reduzir riscos relevantes Gestão da Segurança da Informação Requer participação de: Todos os funcionários da organização Pode ser necessário também: Acionistas Fornecedores Terceiras partes Clientes Outras partes externas Consultoria externa Fontes principais: Análise de riscos Estabelecimento de Requisitos Levando em conta objetivos e estratégias globais de negócio da organização Identifica vulnerabilidades e probabilidade de ocorrência de ameaças a ativos e Impacto potencial ao negócio Repetida periodicamente Legislação vigente Princípios, objetivos e requisitos do negócio para apoiar as operações da organização Seleção de controles Podem ser selecionados à partir Da ABNT ISO/IEC 17799:2005 De um outro conjunto de controles Novos controles podem ser desenvolvidos para atender necessidade específica Depende: Das decisões da organização Baseadas nos critérios de aceitação de risco Nas opções para tratamento de risco No enfoque da gestão de risco Aplicado à organização Sujeito a regulamentação relevante

10 Ponto de Partida Controles considerados essenciais Aplicam-se a maior parte das organizações; Não substitui seleção de controles baseados em análise de risco. Controles: Sob ponto de vista legal: Proteção de dados e privacidade de informações pessoais; Proteção de registros organizacionais; Propriedade Intelectual; Práticas para Segurança da Informação A Política de Segurança da Informação; Atribuição de responsabilidades; Conscientização, educação e treinamento; Processamento correto nas aplicações; Gestão de vulnerabilidades técnicas; Gestão da continuidade do negócio; Gestão de Incidentes Fatores críticos de sucesso (1) Política de Segurança, Objetivos e Atividades Refletindo objetivos do negócio Abordagem consistente com a cultura organizacional Comprometimento e apoio dos níveis gerenciais; Bom entendimento dos requisitos de segurança e da gestão do risco; Fatores críticos de sucesso (2) Divulgação eficiente da SegInfo Para gerentes, funcionários e outras partes Para alcançar conscientização Distribuição de diretrizes e normas Para gerentes, funcionários e outras partes Provisão de Recursos Financeiros Provisão de capacitação adequada Estabelecimento de processo de gestão de incidentes Implementação de sistema de medição avaliar desempenho da gestão de segurança Ativo Qualquer coisa que tenha valor para a organização Controle Forma de gerenciar o risco, incluindo: Políticas, Procedimentos, diretrizes, práticas; estruturas organizacionais Sinônimo de proteção ou contramedida; Política Intenções e diretrizes globais fortemente expressas pela direção Diretriz Descrição que orienta o que deve ser feito e como Para alcançar os objetivos estabelecidos nas políticas Recursos de Processamento da Informação Qualquer sistema, serviço, infra-estrutura ou instalações físicas de processamento de informação Termos e Definições (2) Segurança da Informação (SegInfo) Risco Conceitos de Riscos (1) preservação da CID (Confidencilidade, Integridade e Disponibilidade) Probabilidade de um evento e suas conseqüências Adicionalmente: autenticidade, responsabilidade, não repúdio e confiabilidade Evento de Segurança da informação Ocorrência que indica possível violação da Política de segurança, falha de controles ou situação desconhecida que possa ser relevante para SegInfo Ameaça Causa potencial de um incidente indesejado que pode resultar em dando para um sistema ou organização Vulnerabilidade Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças

11 Vulnerabilidades Vulnerabilidade é um ponto no qual o sistema é suscetível a ataque. Por exemplo: As pessoas que operam e usam o sistema (elas foram treinadas adequadamente)? A conexão do sistema à Internet (as comunicações são criptografadas)? O prédio estar em uma área sujeita a inundações (o sistema está no piso térreo do prédio)? Classificação das Vulnerabilidades As vulnerabilidades as quais os sistemas de informação estão sujeitos podem ser classificadas em: Vulnerabilidades Físicas Os prédios e salas que mantém o sistema são vulneráveis podendo ser invadidos; Vulnerabilidades Naturais Computadores são extremamente vulneráveis a desastres de ordem natural e às ameaças ambientais. Por exemplo: Através de arrombamento. Desastres como fogo, inundação, terremoto e perda de energia podem danificar computadores ou destruir dados. Um avião pode entrar pela porta do seu CPD (11/Setembro/2001)!!! Poeira, umidade ou condições de temperatura inadequadas também podem causar estragos. Vulnerabilidades de Hardware e Software Falhas de hardware e software podem comprometer toda a segurança de um sistema. Falhas de software ou bugs podem abrir buracos ou portas no sistema, ou ainda, fazê-lo comportar-se de forma imprevista. Mesmo que individualmente os componentes de hardware e software sejam seguros, a sua instalação ou conexão inadequadas podem comprometer a segurança do sistema. Vulnerabilidades de Mídia

12 Vulnerabilidades por Emanação Eletromagética Todos equipamentos eletrônicos emitem radiações elétricas e eletromagnéticas. Os sinais emitidos por computadores, equipamentos de rede e monitores podem ser captados e decifrados permitindo a obtenção das informações contidas no sistema ou a inferência sobre seu conteúdo. Redes sem fio transmitem sinais muitas vezes em claro que podem ser captados. Vulnerabilidades na comunicação Vulnerabilidades Humanas Ameaças As pessoas que administram e usam o sistema representam sua maior vulnerabilidade. Normalmente a segurança de todo o sistema está sob o controle do administrador do sistema. Os usuários, operadores ou administradores do sistema podem cometer erros que comprometam o sistema ou ainda, podem ser subornados ou coagidos a cometer atos danosos. Consiste em possíveis perigos para o sistema. O perigo pode ser originado por: uma pessoa (um espião, um criminoso profissional, um hacker ou mesmo um funcionário mal intencionado); uma coisa (uma peça de hardware ou software defeituosa); um evento (fogo, queda de energia, uma inundação ou terremoto). Tipos de Ameaças As ameaças que podem ser oferecidas pelo ambiente ao qual o sistema está exposto podem ser classificadas em: Ameaças naturais São ameaças às quais todos equipamentos ou instalações físicas de uma organização podem estar sujeitas: fogo, inundações, quedas de energia. naturais e físicas; Normalmente é difícil evitar a ocorrência de tais eventos. não-intencionais; Pode-se minimizar as chances de que o estrago será severo e também fazer o planejamento para a recuperação após a ocorrência de um desastre de ordem natural. intencionais.

13 Ameaças não intencionais São os perigos trazidos pela ignorância. Por exemplo: um usuário ou administrador de sistema que não tenha sido treinado; que não tenha lido a documentação; que não tenha entendido a importância do cumprimento das regras de segurança estabelecidas. A maior parte dos danos causados no sistema surgem pela ignorância dos seus usuários ou administradores e não por ações maliciosas. Ameaças Intencionais São as ameaças que viram notícias de jornal e sobre as quais os produtos de segurança melhor podem atuar. As ameaças intencionais podem surgir a partir de dois tipos de vilões: internos ou externos. Vilões externos incluem: Criminosos profissionais Hackers Terroristas Empresas competidoras Foram objeto de estudos na primeira parte do curso. Impactos Conceitos de Riscos (2) Representa a importância de cada ativo no negócio. Análise de Riscos Uso sistemático de informações para identificar fontes e estimar o risco É função do valor do ativo e da importância do ativo para a organização. Avaliação de Riscos Processo de comparar o risco estimado com critérios prédefinidos para determinar a importância do risco Exemplo: Análise/Avaliação de Riscos Processo completo de análise e avaliação de riscos Tratamento do risco A perda da agenda de anotações do presidente pode ter maior impacto que o roubo de um micro no call-center. Processo de seleção e implementação de medidas para modificar um risco Gestão de Riscos Conceitos de Riscos (3) Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos Inclui Análise/Avaliação de Riscos Tratamento de Riscos Aceitação de Riscos Comunicação de Riscos Análise/Avaliação e Tratamento de Riscos (1) Recomendações: Análises/Avaliações de riscos identifiquem, quantifiquem e priorizem riscos Com base nos objetivos da organização Orientando e determinando ações para gerenciamento de riscos Enfoque sistemático Realizados periodicamente Determinar a significância do risco Contemplando ativos, ameaças, vulnerabilidades, impactos, avaliação do risco Repetido quando uma mudança significativa ocorrer Realizado de forma metódica: Resultados comparáveis e reproduzíveis

14 Análise/Avaliação e Tratamento de Riscos (2) Tratamento do Risco Devem ser definidos os critérios para aceitação do risco Decisão quanto a tratamento Aceitar Risco Quando o risco é baixo Quando o tratamento não é econômicamente viável Devem atender à Política e aos critérios para aceitação do risco Reduzir do risco Pela aplicação de controles Evitar risco Não permitindo ações que poderiam causar ocorrência de riscos Transferir risco para outras partes como seguradoras ou fornecedores Seleção de controles para redução do risco Devem reduzir a um nível aceitável Atendendo aos requisitos da análise/avaliação Levando em conta Requisitos/restrições legais Objetivos organizacionais Requisitos/restrições operacionais Custo de implementação/operação Viabilidade econômica Investimento x Impacto financeiro Nenhum conjunto de controles pode conseguir segurança completa Ação gerencial adicional deve ser implementada para monitorar/avaliar/melhorar eficiência e eficácia Política de Segurança Políticas de Segurança Política Geral da Organização Políticas Funcionais Diretrizes (Guidelines) ações recomendadas Linhas de Base (Baselines) nível de segurança desejado Procedimentos (Procedures) instruções passo a passo Diretrizes Recuperação de Desastre Plano de Recuperação de Desastre Procedimentos de Recuperação de Desastre Diretrizes Configuração de Segurança Configurações para controle de acesso Procedimentos de registro de usuários Normas da Organização Configurações para detecção de intrusão Procedimentos de resposta a incidentes NBR ISO/IEC 17799:2005 Melhores Práticas de Segurança Padrões (Standards) específico para hardware/software Padrão de sistema de controle de acesso Padrão de sistema de detecção de intrusão

15 NBR ISO/IEC 17799: Política de Segurança da Informação Política de S. I. Objetivo: Prover orientação/apoio da direção para a S. I. De acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Estabelecida pela direção Política clara, alinhada com objetivos do negócio; Demonstre apoio/comprometimento com a S.I. Publicação/manutenção de uma política de S.I. Documento da política de S. I. Deve ser aprovada pela direção, publicada e comunicada: para todos os funcionários e partes externas relevantes Diretrizes para implementação Deve declarar comprometimento da direção estabelecer o enfoque da organização para gerenciar a S. I. Política de S. I. (cont) Deve conter declarações relativas a: Definição de S. I., metas globais, escopo e importância da S. I. como mecanismo que habilita o compartilhamento da informação; Declaração do comprometimento da direção, apoiando as metas/princípios, alinhada com os objetivos/estratégias de negócio; Estrutura para estabelecimento de objetivos de controle e os controles, incluindo a estrutura de gerenciamento de risco; Breve explanação das políticas, princípios, normas e requisitos de conformidade específicos para a organização, incluindo: conformidade, conscientização, continuidade do negócio, conseqüências das violações; Política de S. I. (cont) Responsabilidades gerais e específicas na gestão Registro dos incidentes de S. I. ; Referências à documentação: políticas/procedimentos/regras mais detalhadas Comunicada para toda organização Relevante, acessível e compreensível para o leitor Pode ser uma parte de um documento da política geral. Se distribuída fora da organização Cuidado para não revelar informações sensíveis. Análise crítica da política de S. I. Política analisada criticamente a intervalos planejados ou em mudanças significativas ocorrerem para assegurar a sua contínua pertinência, adequação e eficácia. A política de S. I. tenha um gestor aprovado responsabilidade no desenvolvimento, análise crítica e avaliação da política Diretrizes para implementação a análise crítica deve incluir avaliação de oportunidades para melhoria Gerenciar a S. I. em resposta à mudanças levar em conta resultados da análise crítica pela direção. Devem ser definidos procedimentos para análise crítica incluindo programação/período para análise crítica. Entradas para análise crítica pela direção incluem: a) realimentação das partes interessadas; b) resultados de análises críticas independentes; c) situação de ações preventivas e corretivas; d) resultados de análises críticas anteriores; e) desempenho do processo e conformidade com política f) mudanças que possam afetar o gerenciamento de S. I.; g) tendências quanto a ameaças e vulnerabilidades; h) relato sobre incidentes de S. I. i) recomendações fornecidas por autoridades relevantes Diretrizes para implementação (cont.) As saídas da análise crítica incluam decisões/ações relacionadas a: a) melhoria do enfoque da organização para gerenciar a S. I. e seus processos; b) melhoria dos controles e dos objetivos de controles; c) melhoria na alocação de recursos e/ou de responsabilidades. Registro da análise crítica pela direção seja mantido. Aprovação pela direção da política de S. I. revisada seja obtida.

16 NBR ISO/IEC 17799: Organizando a segurança da informação 2 Organizando a segurança da informação Infra-estrutura da segurança da informação Objetivo: Gerenciar a segurança da informação dentro da organização. Estrutura de gerenciamento estabelecida para iniciar e controlar a implementação de SI Cabe a direção: Aprovar a política de SI Atribuir funções da segurança; Coordenar e analise criticamente a implementação da SI Se necessário, consultoria especializada Convém contatos com especialistas ou grupos de SI externos incluindo autoridades para manter atualizado, fornecer apoio adequado para tratamento de incidentes Incentivo a enfoque multidisciplinar 2 Organizando a segurança da informação (cont.) Comprometimento da direção a direção deve apoiar ativamente SI Claro direcionamento, demonstrando o seu comprometimento, definindo explicitamente atribuições, conhecendo as responsabilidades pela SI Diretrizes para implementação Cabe a direção: Assegurar identificação e atendimento das metas de SI de forma integrada nos processos relevantes Formule, analise e aprove a política Analise a eficácia da implementação Forneça um claro direcionamento e apoio Forneça os recursos necessários Aprove atribuições e responsabilidades Inicie planos e programas de conscientização 2 Organizando a segurança da informação (cont.) Assegurar implementação dos controles por uma coordenação que permeie a organização; Identificar necessidades da consultoria de um especialista interno ou externo. Tais responsabilidades podem ser conduzidas: por um fórum de gestão exclusivo por um fórum de gestão existente como o conselho de diretores. Coordenação da segurança da informação Atividades de segurança da informação coordenadas por representantes de diferentes partes da organização, com funções e papéis relevantes. Diretrizes para implementação A coordenação de SI deve obter cooperação de: Gerentes; Usuários; Administradores; Desenvolvedores; Auditores; Especialistas em segurança; Especialistas em seguros; Juristas; RH; TI; Gestão de riscos. Coordenação da segurança da informação (cont.) Esta atividade deve: Garantir que as atividades de SI sejam executadas de acordo com a política Identificar como conduzir não-conformidades; Aprovar as metodologias e processos, tais como análise/avaliação de riscos e classificação da informação Identificar ameaças significativas e exposição da informação e dos recursos às ameaças; Avaliar a adequação e coordene a implementação de controles Promover capacitação Avaliar informações recebidas do monitoramento e da análise crítica dos incidentes e recomendar ações apropriadas como resposta para os incidentes

17 Atribuição de responsabilidades para S. I. Todas as responsabilidades pela segurança da informação devem estar claramente definidas Em conformidade com a política Areas responsáveis claramente definidas: a) ativos e processos de SI em cada sistema identificados e definidos; b) gestor responsável por ativo ou processo de SI tenha atribuições definidas e documentados em detalhe c) níveis de autorização claramente definidos e documentados. Processo de autorização para recursos de processamento da informação Deve ser definido e implementado processo de gestão de autorização para novos recursos Diretrizes a) novos recursos tenham a autorização conforme propósitos e uso, obtida junto ao gestor responsável, garantindo atendimento a todas as políticas e requisitos b) hardware e software verificados para garantir compatibilidade com outros componentes c) controles complementares para dispositivos móveis e pessoais Acordos de confidencialidade requisitos para confidencialidade ou acordos de não divulgação devem ser identificados e analisados regularmente. deve considerar os requisitos de proteção de informações confidenciais, do ponto de vista legal, incluindo: a) uma definição da informação da confidencial b) duração esperado de um acordo c) ações requeridas quando um acordo for encerrado; d) responsabilidades para evitar a divulgação não autorizada da informação e) proprietário da informação, segredos comerciais e de propriedade intelectual, f) uso permitido da informação confidencial g) direito de auditar e monitorar Acordos de confidencialidade (cont.) h) processo relato de violações i) termos para a informação ser retornada ou destruída quando da suspensão do acordo; j) ações em caso de uma violação Contatos externos Contato com autoridades Manter contatos apropriados com autoridades relevantes procedimentos que especifiquem quando e por quais autoridades devem ser contatadas e como incidentes de SI devem ser notificados no caso de suspeita de violação legal Contato com grupos especiais convém contatos apropriados com grupos de interesses especiais como fóruns especializados em SI e associações profissionais para a) ampliar o conhecimento sobre as melhores práticas e manterse atualizado b) verificar se ambiente de SI está correto e completo; c) receber previamente advertências de alertas Contatos externos (cont.) d) conseguir acesso à consultoria especializada e) compartilhar e trocar informações f) prover relacionamentos para tratar com incidentes Tais acordos devem identificar requisitos para a proteção de informações sensíveis.

18 Outros controles Convém que todos os requisitos de segurança da informação identificados sejam considerados antes de conceder aos clientes o acesso aos ativos ou às informações da organização. Convém que os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevantes. 3 Gestão de Ativos Convém que todos os ativos sejam inventariados e tenham um proprietário responsável. proprietário: pessoa ou organismo que com responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. não significa que tenha qualquer direito de propriedade ao ativo. Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido. 3 Gestão de Ativos (cont) Tipos de Ativos a) informação; b) software; c) físicos; d) serviços; e) pessoas e suas qualificações, habilidades e experiências; f) intangíveis Tais como: reputação e a imagem da organização. todas as informações e ativos associados com recursos de processamento da informação devem ter proprietário Uso aceitável: identificadas, documentadas e implementadas regras para que sejam permitidos o uso de informações e de ativos associados aos recursos de processamento da informação. Classificação da informação Informação deve ser classificada em termos de: seu valor requisitos legais sensibilidade e criticidade para a organização. A informação deixa de ser sensível ou crítica após um certo período de tempo Classificação superestimada pode levar à implementação de custos desnecessários, resultando em despesas adicionais Definir e Implementar conjunto apropriado de procedimentos para rotulação e tratamento da informação 4 Segurança em Recursos Humanos Antes da Contratação Contratação Inclui aquisição de RH, mudanças funcionais, contratos e encerramento desses Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos Seleção verificações de controle de todos os candidatos a emprego, fornecedores e terceiros sejam realizadas de acordo com as leis relevantes, regulamentações e éticas, e proporcional aos requisitos do negócio, à classificação das informações a serem acessadas e aos riscos percebidos. Seleção (cont) Onde permitido, considerar também os seguintes itens: a) Referências de caráter; b) Verificação das informações do currículo; c) confirmação das qualificações acadêmicas e profissionais; d) verificação independente da identidade; e) verificações mais detalhadas: verificações financeiras; verificações de registros criminais; Existem algumas disussões quanto a legalidade destes atos. convém que os funcionários, fornecedores e terceiros concordem e assinem os termos e condições de sua contratação para o trabalho, os quais devem declarar as suas responsabilidades e a da organização para a segurança da informação.

19 Durante a contratação responsabilidades pela direção sejam definidas para garantir que a segurança da informação é aplicada em todo trabalho individual dentro da organização. Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções Convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação. Encerramento ou mudança da contratação Responsabilidades definidas para saída de funcionários, fornecedores e terceiros da organização de modo controlado devolução de todos os equipamentos retirada de direitos de acesso responsabilidades de mudança claramente definidas e atribuídas. Convém devolução dos ativos da organização após o encerramento de atividades, do contrato ou acordo. Convém que direitos de acesso de todos os funcionários, fornecedores e terceiros às informações e aos recursos de processamento da informação sejam retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades. 5 Segurança Física e do Ambiente Instalações de processamento da informação sensíveis mantidas em áreas seguras protegidas por perímetros de segurança, com barreiras de segurança e controles de acesso apropriados fisicamente protegidas contra o acesso não autorizado, danos e interferências. compatível com os riscos identificados diretrizes de trabalho em áreas seguras áreas separadas para carga/descarga e acesso público Segurança contra ameaças físicas e do meio ambiente Instalação e proteção do equipamento; Utilidades (infra-estrutura) adequadas; Segurança no cabeamento; Manutenção correta; Segurança para equipamentos fora das dependências da organização; Reutilização e alienação segura; Proteção quanto a remoção de propriedade; 6 Gerenciamento das Operações e Comunicações (1) Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações sejam definidos. Abrange o desenvolvimento de procedimentos operacionais apropriados. Convém que seja utilizada a segregação de funções quando apropriado, para reduzir o risco de mau uso ou uso doloso dos sistemas. 6 Gerenciamento das Operações e Comunicações (2) Documentação dos procedimentos de operação Incluindo: a) processamento e tratamento da informação; b) backup c) requisitos de agendamento d) tratamento de erros, incluindo restrições de uso dos utilitários do sistema e) contatos de suporte f) tratamento de resultados especiais e mídias g) procedimento para o reinício e recuperação em caso de falha do sistema; h) gerenciamento de trilhas de auditoria e informações de registros (log) de sistemas Gestão de mudanças Incluindo serviços terceirizados

20 6 Gerenciamento das Operações e Comunicações (3) Segregação de Funções funções e áreas de responsabilidade sejam segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização Separação dos recursos de desenvolvimento, teste e de produção Gerenciamento de serviços terceirizados garantir que os serviços entregues atendem a todos os requisitos acordados com os terceiros. 6 Gerenciamento das Operações e Comunicações (4) Planejamento e aceitação dos sistemas Gestão de capacidade Aceitação de sistemas Proteção contra códigos maliciosos a) proibir uso de softwares não autorizados; b) estabelecer uma política para proteção contra os riscos associados com a importação de arquivos; c) conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio; a presença de arquivos não aprovados ou atualização não autorizada seja formalmente investigada; d) instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos; Proteção contra códigos móveis códigos móveis: javascript, applets, e similares; Monitoramento e análise crítica de serviços terceirizados 6 Gerenciamento das Operações e Comunicações (5) Cópias de segurança a) definição do nível necessário das cópias de segurança das informações; b) produção de registros das cópias e procedimentos de restauração; c) a extensão (completa/diferencial) e a freqüência da geração das cópias de segurança d) armazenadas em uma localidade remota distância suficiente para escapar a desastres no local principal; e) nível apropriado de proteção física e ambiental consistente com normas e controles da instalação principal f) mídias testadas regularmente g) procedimentos de recuperação verificados regularmente, e verificação se podem ser concluídos dentro dos prazos requeridos h) protegidas através de criptografia, se necessário. 6 Gerenciamento das Operações e Comunicações (6) Segurança em rede convém que os seguintes itens sejam considerados: a) a responsabilidade operacional pelas redes seja separada da operação dos recursos computacionais onde for apropriado; b) estabelecer responsabilidades e procedimentos sobre o gerenciamento de equipamentos remotos incluindo equipamentos em áreas de usuários; c) Controles para proteção da confidencialidade, integridade e disponibilidade em redes públicas ou sem fio d) mecanismos para monitoração para gravação de ações relevantes e) gerenciamento coordenado para otimizar os serviços e assegurar que os controles estejam aplicados de forma consistente 6 Gerenciamento das Operações e Comunicações (7) Segurança dos serviços de rede Convém que as características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede sejam identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente ou terceirizados. Gerenciamento de mídias removíveis Descarte de mídias Procedimentos para o tratamento e o armazenamento de informações Para proteger contra a divulgação não autorizada ou uso indevido. Segurança da documentação dos sistemas 6 Gerenciamento das Operações e Comunicações (8) Procedimentos para tratamento de informação Convém que os seguintes itens sejam considerados: a) tratamento e identificação de todos os meios magnéticos indicando o nível de classificação; b) restrições de acesso para prevenir o acesso de pessoas não autorizadas; c) manutenção de um registro formal dos destinatários de dados autorizados; d) garantia de que a entrada de dados seja completa, de que o processamento esteja devidamente concluído e de que a validação das saídas seja aplicada; e) proteção dos dados preparados para expedição ou impressão de forma consistente com a sua criticidade;

21 6 Gerenciamento das Operações e Comunicações (9) f) armazenamento das mídias em conformidade com as especificações dos fabricantes; g) manutenção da distribuição de dados no menor nível possível; h) identificação eficaz de todas as cópias das mídias, para chamar a atenção dos destinatários autorizados; i) análise crítica das listas de distribuição e das listas de destinatários autorizados em intervalos regulares. Segurança da documentação dos sistemas (1) Manter a segurança na troca de informações e softwares internamente à organização e com quaisquer entidades externas. Troca de Informações Políticas e procedimentos para troca de informações Acordos para a troca de informações Mídias em trânsito Mensagens Eletrônicas Sistemas de informações de negócio Polêmico: Monitoramento telefônico/fax/abertura de correio Comércio Eletrônico Transações on-line Integridade de informações publicamente disponíveis Segurança da documentação dos sistemas (2) 7 Controle de acesso (1) Requisitos de negócio para controle de acesso Política de controle de acesso Gerenciamento de acesso do usuário Registro de usuário Gerenciamento de Privilégios Gerenciamento de senha do usuário Análise crítica dos direitos de acesso de usuário Responsabilidades dos usuários Uso de senhas Equipamento de usuário sem monitoração Política de mesa limpa e tela limpa 7 Controle de acesso (2) Controle de acesso à rede Política de uso dos serviços de rede Autenticação para conexão externa do usuário Identificação de equipamento em redes Proteção e configuração de portas de diagnóstico remotas Segregação de redes Controle de conexão de rede Controle de roteamento de redes 7 Controle de acesso (3) Controle de acesso ao sistema operacional Procedimentos seguros de entrada no sistema (log-on) Identificação e autenticação de usuário Sistema de gerenciamento de senha Uso de utilitários de sistema Desconexão de terminal por inatividade Limitação de horário de conexão Controle de acesso à aplicação e à informação Restrição de acesso à informação Isolamento de sistemas sensíveis Computação móvel e trabalho remoto Computação e comunicação móvel Trabalho remoto

22 8 Aquisição, desenvolvimento e manutenção de S. I. (1) 8 Aquisição, desenvolvimento e manutenção de S. I. (2) Requisitos de segurança de sistemas de informação Análise e especificação dos requisitos de segurança Processamento correto nas aplicações Validação dos dados de entrada Controle do processamento interno Integridade de mensagens Controles criptográficos Política para o uso de controles criptográficos Gerenciamento de chaves Segurança dos arquivos do sistema Controle de software operacional Proteção dos dados para teste de sistema Controle de acesso ao código-fonte de programa Segurança em processos de desenvolvimento e de suporte Procedimentos para controle de mudanças Análise crítica técnica das aplicações após mudanças no sistema operacional Restrições sobre mudanças em pacotes de software Vazamento de informações Gestão de vulnerabilidades técnicas Controle de vulnerabilidades técnicas 9 Gestão de incidentes de segurança da informação Notificação de fragilidades e eventos de segurança da informação Notificação de eventos de segurança da informação Notificando fragilidades de segurança da informação Gestão de incidentes de segurança da informação e melhorias Responsabilidades e procedimentos Aprendendo com os incidentes de segurança da informação Coleta de evidências 10 Gestão da continuidade do negócio Aspectos da gestão da continuidade do negócio, relativos à segurança da informação Incluindo segurança da informação no processo de gestão da continuidade de negócio Continuidade de negócios e análise/avaliação de riscos Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação Estrutura do plano de continuidade do negócio Testes, manutenção e reavaliação dos planos de continuidade do negócio 11 Conformidade (1) 11 Conformidade (2) Considerações quanto à auditoria de sistemas de informação Controles de auditoria de sistemas de informação Proteção de ferramentas de auditoria de sistemas de informação

23 Análise de GAP Gerência de Riscos Modelo PDCA (Plan-Do-Check-Act) Sistematica de Gerenciamento de Segurança de Informação (ISMS) Risco Conceitos de Riscos (ISO 17799/2005) Matriz de Vulnerabiliades Probabilidade de um evento e suas conseqüências Ameaça Causa potencial de um incidente indesejado que pode resultar em dando para um sistema ou organização Vulnerabilidade Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças

24 Matriz de Ameaças Riscos Uma vez tendo sido identificadas as vulnerabilidades do sistema, as ameaças potenciais, e os impactos, é possível quantificar a probabilidade de ocorrência dos riscos existentes. A complexidade desta atividade é função do nível de detalhamento desejado. Surgimento dos Riscos Conceito de Risco Os riscos surgem a partir de vulnerabilidades que possam ser exploradas pelas ameaças existentes. Existe uma grande variação na facilidade de exploração das vulnerabilidades. Por exemplo, a interceptação dos sinais de telefones sem fio ou celulares requer apenas um sistema de varredura que pode ser adquirido facilmente. No entanto, a escuta de dados criptografados em uma linha de fibra ótica requer equipamentos sofisticados e caros. O risco é o produto da probabilidade de ocorrência de ameaças pela probabiliade de ocorrência de vulnerabilidades e pelo impacto, dividido pela eficiência das medidas de segurança. Planilha de avaliação de riscos

Segurança da Informação

Segurança da Informação Segurança da Informação Aula 01 Introdução à Segurança da Informação Prof. Maxwell Anderson www.maxwellanderson.com.br Agenda Introdução Controles de Acesso Lógico Controles de Acesso Físico Norma ISO/IEC

Leia mais

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002

Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Segurança Estratégica da Informação ISO 27001, 27002 e 27005 Segunda Aula: ISO 27002 Prof. Dr. Eng. Fred Sauer fsauer@gmail.com http://www.fredsauer.com.br ISO 27002 (17799) Boas Práticas Objetivos d Fazem

Leia mais

Gestão de Segurança da Informação

Gestão de Segurança da Informação Gestão de Segurança da Informação NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters As Normas NBR ISO/IEC 27001 - Requisitos para implantar

Leia mais

4.1 Analisando / avaliando os riscos de segurança da informação.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.Analise / avaliação e tratamento de riscos. Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer

Leia mais

Segurança de Redes e Internet

Segurança de Redes e Internet Segurança de Redes e Internet Prof. MSc Thiago Pirola Ribeiro sg_02 alqbarao@yahoo.com.br 1 Guia Básico para Segurança de uma Rede Identificar o que se está tentando proteger; Identificar contra quem está

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001)

GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) GESTÃO DE SEGURANÇA DA INFORMAÇÃO (ISO 27001) Graduação Tecnológica em Redes de Computadores. Professor Marco Antônio Chaves Câmara Agenda Introdução A norma 27001 Por quê um SGSI certificado? Como utilizar

Leia mais

Segurança da Informação. Prof. Érico José Ferreira

Segurança da Informação. Prof. Érico José Ferreira ericonet@ericonet.com.br Baseado em material do prof. J. Antão B. Moura Material disponível em http://www.ericonet.com.br Especialização em Crimes Digitais e Produção de Provas Judiciais 1 Referências

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro Revisando Qual o objetivo da norma ISO 27002? É possível uma empresa se certificar nesta norma? ABNT NBR ISO/IEC 27002 Organização

Leia mais

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min

Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Lembretes Horário da Aula: 19h30min às 20h45min / 21h às 22h23min Solicitar cadastro na seg-l Página do curso: http://www.unisinos.br/graduacao/seguranca-dainformacao/apresentacao Página do Professor:

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt (slides cedidos pelo Prof. Carlos Kamienski - UFABC) Gerenciamento e Avaliação de Riscos Terminologia

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação Código: PSI_1.0 Versão: 1.0 Data de Publicação: 28/05/2014 Controle de Versão Versão Data Responsável Motivo da Versão 1.0 28/05/2014 Heitor Gouveia Criação da Política

Leia mais

SISTEMA DE CONTROLES INTERNOS

SISTEMA DE CONTROLES INTERNOS POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PO - PSI 1ª 1/9 ÍNDICE 1. OBJETIVO... 2 2. ALCANCE... 2 3. ÁREA GESTORA... 2 4. CONCEITOS/CRITÉRIOS GERAIS... 2 5. DIRETRIZES... 3 6. RESPONSABILIDADES... 3 6.1 Todos

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Gestão de Incidentes de Segurança da Informação - Coleta de evidências

Gestão de Incidentes de Segurança da Informação - Coleta de evidências Gestão de Incidentes de Segurança da Informação - Coleta de evidências Incidente de SI Ação de Acompanhamento contra pessoa/organização Envolvendo ação legal (civil ou criminal) Evidências coletadas, armazenadas

Leia mais

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira

Segurança e Informação Ativo de ouro dessa nova era Aula 01. Soraya Christiane / Tadeu Ferreira Segurança e Informação Ativo de ouro dessa nova era Aula 01 Soraya Christiane / Tadeu Ferreira Informação É o ativo que tem um valor para a organização e necessita ser adequadamente protegida (NBR 17999,

Leia mais

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida.

Proteger a informação de uma ameaça inclui evitar o seu corrompimento, o seu acesso às pessoas não autorizadas e seu furto ou deleção indevida. Segurança da Informação é a proteção das informações contra os vários tipos de ameaças as quais estão expostas, para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Auditores: Antônio M. D. S. Fortes Diego Protta Casati Leandro Spínola Rodrigues. [ ISO 17799 ] Checklist

Auditores: Antônio M. D. S. Fortes Diego Protta Casati Leandro Spínola Rodrigues. [ ISO 17799 ] Checklist Auditores: Antônio M. D. S. Fortes Diego Protta Casati Leandro Spínola Rodrigues [ ISO 17799 ] Checklist Checklist Padrão Seção Questão de auditoria S N 1 3 Política de segurança 1.1 3.1 Política de segurança

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software Avaliação de riscos em fornecedores Manual de controles de segurança da informação para Fábricas de Software DSC Diretoria de segurança corporativa SSI Superintendência de Segurança da Informação 1 Índice

Leia mais

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002

Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Análise do sistema ACESSO com base nas normas ABNT NBR ISO/IEC 27001 e 27002 Guilherme Soares de Carvalho guilherme.soares-carvalho@serpro.gov.br Serviço Federal de Processamento de Dados SGAN 601 - Módulo

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Conceitos de Segurança da Informação Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 O que é segurança da Informação Importância

Leia mais

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP

Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Segurança Física de acesso aos dados

Segurança Física de acesso aos dados Segurança Física de acesso aos dados Segurança Física de acesso aos dados 1 A Segurança Física tem como objetivos específicos: ü Proteger edificações e equipamentos; ü Prevenir perda, dano ou comprometimento

Leia mais

Segurança Física e Segurança Lógica. Aécio Costa

Segurança Física e Segurança Lógica. Aécio Costa Segurança Física e Segurança Lógica Aécio Costa Segurança física Ambiente Segurança lógica Programas A segurança começa pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Segurança da Informação: Conceitos e Modelo de Gestão

Segurança da Informação: Conceitos e Modelo de Gestão : Conceitos e Modelo de Gestão Sérgio Marinho Novembro.2004 Direitos Reservados. Proibida Reprodução. Copyright 2004 Segurança da Informação - 1 Sistemas de Gestão - Evolução Sistema de Gestão da Qualidade

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010.

INSTITUTO DE PESQUISA ECONÔMICA APLICADA. PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 456, DE 04 DE NOVEMBRO DE 2010. Institui a Política de Segurança da Informação e Comunicações POSIC, no âmbito do IPEA. O PRESIDENTE DO INSTITUTO DE

Leia mais

ABNT NBR ISO/IEC 27001

ABNT NBR ISO/IEC 27001 ABNT NBR ISO/IEC 27001 Para Dataprev e Senado 1/63 As Normas NBR ISO/IEC 27001 - Requisitos para implantar um SGSI NBR ISO/IEC 27002 - Práticas para a gestão de SI NBR ISO/IEC 27005 - Gestão de riscos

Leia mais

Projeto 21:204.01-010. Tecnologia da informação - Código de prática para a gestão da segurança da informação

Projeto 21:204.01-010. Tecnologia da informação - Código de prática para a gestão da segurança da informação ABR 2001 Projeto 21:204.01-010 ABNT Associação Brasileira de Normas Técnicas Tecnologia da informação - Código de prática para a gestão da segurança da informação Sede: Rio de Janeiro Av. Treze de Maio,

Leia mais

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação

3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN. Segurança da Informação 3 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA NATAL/RN Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam subsidiar

Leia mais

Classificação da Informação: Restrito Política de Segurança da Informação

Classificação da Informação: Restrito Política de Segurança da Informação Política de Segurança da Informação COPYRIGHT 2012 MONTREAL INFORMÁTICA LTDA. Todos os direitos reservados. Classificação da Informação: Restrito Então, o que é e qual o objetivo da Política de Segurança

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

Política da Segurança da Informação

Política da Segurança da Informação Política da Segurança da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA BM&FBOVESPA 1. INTRODUÇÃO A informação é um ativo que possui grande valor para a BM&FBOVESPA, devendo ser adequadamente utilizada

Leia mais

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação

5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB. Segurança da Informação 5 CURSO DE APERFEIÇOAMENTO EM OUVIDORIA PÚBLICA JOÃO PESSOA/PB Segurança da Informação 2 COMPETÊNCIAS DA DIRETORIA DE INFORMAÇÕES ESTRATÉGICAS produzir informações e conhecimentos estratégicos que possam

Leia mais

Requisitos de proteção de dados do fornecedor Critérios de avaliação

Requisitos de proteção de dados do fornecedor Critérios de avaliação Requisitos de proteção de dados do fornecedor Critérios de avaliação Aplicabilidade Os requisitos de proteção de dados do fornecedor da (DPR) são aplicáveis a todos os fornecedores da que coletam, usam,

Leia mais

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO

PROPOSTA DE CRITÉRIOS PARA AVALIAÇÃO DA SEGURANÇA DA INFORMAÇÃO UNIVERSIDADE TECNOLÓGICA FEDERAL DO PARANA DEPARTAMENTO ACADÊMICO DE ELETRÔNICA CURSO DE ESPECIALIZACÃO EM CONFIGURAÇÃO E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES SABRINA VITÓRIO OLIVEIRA SENCIOLES

Leia mais

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt

EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt EN-3611 Segurança de Redes Aula 01 Introdução Prof. João Henrique Kleinschmidt Santo André, maio de 2012 Roteiro PARTE I Apresentação da Disciplina PARTE II Introdução à Segurança de Redes Apresentação

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

Questões Comentadas ISO 27001

Questões Comentadas ISO 27001 2012 Questões Comentadas ISO 27001 LhugoJr Versão 1.0 05/12/2012 Introduça o Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes: TECNOLOGIA DA INFORMAÇÃO - QUESTÕES

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

SEGURANÇA E AUDITORIA DE TI

SEGURANÇA E AUDITORIA DE TI 1 SEGURANÇA E AUDITORIA DE TI Objetivos - Identificar diversos tipos de controles de sistemas de informação, controles de procedimentos e controles de instalações e explicar como eles podem ser utilizados

Leia mais

Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 4. Análise, Avaliação e Tratamento de Riscos 1 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de

Leia mais

Leia com cuidado e procure respeitá-la!

Leia com cuidado e procure respeitá-la! Páginas: 1 de 5 Leia com cuidado e procure respeitá-la! Introdução: A Tecnologia da Informação, TI, está cada dia mais presente nas empresas, mudando radicalmente os hábitos e a maneira de comunicação,

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Grupo PETRA S.A. Departamento de Tecnologia da Informação POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Início da Vigência: 01/Maio/2010 Propriedade do Grupo PETRA S.A. 1. INTRODUÇÃO Este documento foi elaborado

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Estratégias em Tecnologia da Informação. Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar)

Estratégias em Tecnologia da Informação. Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar) Estratégias em Tecnologia da Informação Sistema de Gestão da Segurança da Informação (SGSI) (Material Complementar) Material de apoio 2 Esclarecimentos Esse material é de apoio para as aulas da disciplina

Leia mais

Política de. Segurança. Informação

Política de. Segurança. Informação Política de Segurança da Informação Diretrizes para a conduta adequada no manuseio, controle e proteção das informações contra a destruição, modificação, divulgação indevida e acessos não autorizados,

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica

Capítulo 2 Conceitos de Segurança Física e Segurança Lógica Capítulo 2 Conceitos de Segurança Física e Segurança Lógica 2.1 Introdução 2.2 Segurança Física 2.2.1 Segurança externa e de entrada 2.2.2 Segurança da sala de equipamentos 2.2.3 Segurança dos equipamentos

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO E b o o k E x c l u s i v o SEGURANÇA DA INFORMAÇÃO P r i n c í p i o s e A p l i c ações Especialista em Serviços Gerenciados de S e g u r a n ç a de Perímetro Sumário Princípios Conceito P.3 Breve Histórico

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP

Política de Segurança da Autoridade Certificadora Imprensa Oficial SP Política de Segurança da Autoridade Certificadora Imprensa Oficial SP PS da AC Imprensa Oficial SP Versão 1.1-12 de Setembro de 2005 PS da AC Imprensa Oficial SP v1.1 ÍNDICE 1.INTRODUÇÃO... 4 2.OBJETIVOS...

Leia mais

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim

Segurança e Auditoria de Sistemas. Profº.: Daniel Gondim Segurança e Auditoria de Sistemas Profº.: Daniel Gondim Roteiro Auditoria de Sistemas Conceitos; Tipos de Auditorias; Objetivos e Importância; Etapas; Segurança da Informação Conceitos; Ameaças; Algumas

Leia mais

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

Política da Segurança da Tecnologia da Informação

Política da Segurança da Tecnologia da Informação Política da Segurança da Tecnologia da Informação INTRODUÇÃO A informação é um ativo que possui grande valor para a CREMER S/A, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.

Leia mais

Módulo 6: Segurança da TI

Módulo 6: Segurança da TI 1 Módulo 6: Segurança da TI 6.1. Questões de Segurança da TI Discute como se pode promover a qualidade e segurança dos sistemas de informação por uma diversidade de controles, procedimentos e instalações.

Leia mais

2.1. Nível A (Desempenho Verificado)

2.1. Nível A (Desempenho Verificado) Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 5: Avaliação de Padrões de Segurança de Computadores

Leia mais

Baseline de Segurança da Informação

Baseline de Segurança da Informação Diretoria de Segurança Corporativa Superintendência de Segurança da Informação Baseline de Segurança da Informação Avaliação de Fornecedor E-mail Marketing SUMÁRIO: 1. SEGURANÇA DA REDE:... 3 2. PATCHES

Leia mais

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Segurança e Auditoria de Sistemas Normas de Segurança. Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR $(96) )DFXOGDGHGH&LrQFLDV$SOLFDGDVH6RFLDLVGH3HWUROLQD )$&$3( Segurança e Auditoria de Sistemas Normas de Segurança Profa. Cynara Carvalho cynaracarvalho@yahoo.com.br

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB)

Política de Segurança da. Autoridade Certificadora VALID SPB (PS AC VALID SPB) Política de Segurança da Autoridade Certificadora VALID SPB (PS AC VALID SPB) Versão 1.0 24 de agosto de 2012 Política de Segurança da AC VALID SPB V 1.0 1/30 ÍNDICE 1. INTRODUÇÃO...5 2. OBJETIVOS...5

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Autores: Regina Mainente Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015

Autores: Regina Mainente  Ricardo Pereira da Silva Superintendente Controlador Interno Ano de 2015 Autores: Regina Mainente Superintendente Ricardo Pereira da Silva Controlador Interno Ano de 2015 Índice 1. Apresentação... 03 2. Introdução... 04 3. Para que serve a Segurança da Informação... 05 4. Pilares

Leia mais

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO

GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO 1 GERENCIAMENTO ESTRATÉGICO DE SEGURANÇA DA INFORMAÇÃO RESUMO DO ARTIGO Este artigo se propõe a apresentar uma panorâmica do uso da Segurança da Informação e sua importância como diferencial competitivo

Leia mais

Ameaças e Segurança da Informação para dispositivos Móveis. gilberto@sudre.com.br http://gilberto.sudre.com.br

Ameaças e Segurança da Informação para dispositivos Móveis. gilberto@sudre.com.br http://gilberto.sudre.com.br Ameaças e Segurança da Informação para dispositivos Móveis gilberto@sudre.com.br http://gilberto.sudre.com.br Ameaças e Vulnerabilidades em Dispositivos Móveis gilberto@sudre.com.br http://gilberto.sudre.com.br

Leia mais

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador

Programas Maliciosos. 2001 / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador Programas Maliciosos 2001 / 1 Segurança de Redes/Márcio d Ávila 182 Vírus de Computador Vírus de computador Código intruso que se anexa a outro programa Ações básicas: propagação e atividade A solução

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas comunicações Responsabilidades e procedimentos operacionais Assegurar que as informações

Leia mais

A utilização das redes na disseminação das informações

A utilização das redes na disseminação das informações A utilização das redes na disseminação das informações Elementos de Rede de computadores: Denomina-se elementos de rede, um conjunto de hardware capaz de viabilizar e proporcionar a transferência da informação

Leia mais

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14

9.6. Política de segurança para Usuários(PSU)... 14 9.7. Questionários de Segurança da Informação... 14 10. CONCLUSÃO... 14 ANEXO I PSI Índice 1. FINALIDADE... 4 2. ABRANGÊNCIA... 4 3. FREQUÊNCIA DE REVISÃO... 4 4. PORTAL DE SEGURANÇA DA INFORMAÇÃO... 4 5. TERMOS E DEFINIÇÕES... 4 5.1. Segurança da Informação... 4 5.2. Confidencialidade...

Leia mais

Política de Interconexão de Recursos de TI

Política de Interconexão de Recursos de TI Política de Interconexão de Recursos de TI Dezembro 2006 Política de Interconexão Rede 1.0 8-12/2006-2 - Índice 1.Objetivo... 4 2.Abrangência... 4 3.Vigência... 4 4.Documentação Complementar... 4 4.1.

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

UNIP UNIVERSIDADE PAULISTA

UNIP UNIVERSIDADE PAULISTA UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 NORMAS ABNT ISSO/IEC 27001 E 27002 (Antiga ISSO/IEC 17799) A norma ISO/IEC 27001. A norma ISO/IEC

Leia mais

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.

TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008. Maria das Graças Ferreira mgferreira@prefeitura.sp.gov. TREINAMENTO ITAIM INTERPRETAÇÃO DA NORMA NBR ABNT ISO 9001:2008 Maria das Graças Ferreira mgferreira@prefeitura.sp.gov.br 11 3104-0988 Este treinamento tem por objetivo capacitar os participantes para

Leia mais

ORIGEM Departamento de Segurança da Informação e Comunicações

ORIGEM Departamento de Segurança da Informação e Comunicações 07/IN01/DSIC/GSIPR 01 15/JUL/14 1/9 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Política de segurança de rede: White Paper de práticas recomendadas

Política de segurança de rede: White Paper de práticas recomendadas Política de segurança de : White Paper de práticas recomendadas Índice Introdução Preparação Criar declarações de política de uso Realizar uma análise de risco Estabelecer uma Estrutura de Equipe de Segurança

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais