Segurança da Informação

Transcrição

1 Segurança da Informação Eng. SERGIO VILLARREAL Conteúdo Introdução Conceitos Normas e SGSI Profissionais da SI Atividades Duração: 2 h 1

2 Introdução Informação Ativo mais importante das organizações Empresas Cada vez mais dependentes dos seus sistemas de informação Cada vez mais vulneráveis em caso de falhas e ataques 2

3 Informação Quais são as informações da organização? Quem são os responsáveis? Onde estão? Quem acessa e quando? Como são transmitidas? Qual é o seu ciclo de vida? Quais seriam as consequências da sua divulgação, perda ou corrupção? Informação Próprias Próprias e de colaboradores Em custódia Clientes e fornecedores Parceiros 3

4 Ciclo de vida da informação Identificação da necessidade Obtenção Tratamento Armazenamento Distribuição Uso Descarte Conceitos 4

5 Segurança da Informação Processo que tem como finalidade salvaguardar a confiabilidade da informação durante todo seu ciclo de vida Confiabilidade Confidencialidade Integridade Disponibilidade Confidencialidade Acesso restrito aos usuários legítimos Inclui a privacidade Prevenir: Vazamentos de informação Técnicas: Classificação e Controle de acesso Autenticação Criptografia 5

6 Integridade Informação atualizada, completa, sem erros e sem alterações não autorizadas Crítica em alguns sistemas como os financeiros e os de tráfego aéreo Prevenir: Erros e fraudes Criação ou alteração ilegítima Técnicas: Hashing Auditoria Segregação das responsabilidades Disponibilidade Informação e ativos associados acessíveis para seus usuários quando necessário Prevenir: Acidentes, Desastres, Falhas, Falta de Capacidade e DoS Técnicas: Cópia de segurança Redundância Segurança física Gestão da capacidade 6

7 Outros aspectos da SI Autenticação e autenticidade Garantir que o usuário é quem alega ser Autoria ou não repudio Capacidade de provar quem fez uma ação Privacidade Manter anônimo o usuário quando necessário Auditoria Registrar o que o usuário faz Legalidade Conformidade com a lei Ativo de Informação Informação é um elemento abstrato Suportada por diversos meios Ativos patrimoniais dos quais depende o suporte e a segurança da informação Informação propriamente dita Tecnologias de suporte Pessoas que geram e usam ou cuidam a informação Processos e procedimentos Ambientes 7

8 Vulnerabilidade Ponto fraco do ativo de informação Fragilidade que pode ser explorada por um agente para concretizar uma violação à segurança da informação Coloca em risco o ativo Atributo ou propriedade do ativo Ameaça Violação à segurança de um ativo que pode acontecer como consequência de suas vulnerabilidades Agente ou fato externo que pode afetar a segurança de um ativo A ameaça existe porque existe a vulnerabilidade Pode ser Física ou lógica Intencional ou casual 8

9 Incidente Acontecimento que afeta a confiabilidade de um ativo de informação Pode estar composto por eventos Causado por um agente: fonte que produz o incidente Ataque: incidente provocado intencionalmente Risco Medida da importância de um incidente Determinado pelo: Impacto: dano ou prejuízo causado para o ativo e para o negócio Probabilidade: chance de acontecer Considerar também a tendência Permite dimensionar as medidas 9

10 Medida ou Controle Ações para minimizar a probabilidade de que a ameaça se torne incidente e o seu impacto Esforço para eliminar ou atenuar as vulnerabilidades Podem ser: Físicas, organizacionais ou técnicas Redutivas, Preventivas, Detectivas, Repressivas ou Corretivas SGSI - Sistema de Gestão de SI 10

11 Sistema de Gestão de SI - SGSI Metodologia estruturada para gerenciar a Segurança da Informação de uma organização Baseado em: Gerenciamento de ativos Análise de riscos Medidas ou controles Físicas Organizacionais Técnicas Normas ABNT ISO IEC São normas de gestão como as de Gestão de Qualidade (ISO 9.000) e de Gestão Ambiental (ISO ) Propõem um sistema estruturado e completo e não medidas isoladas Especificam o que, não como Não estão comprometidas com tecnologias específicas Contemplam todos os aspectos da SI, não apenas a TI 11

12 Principais normas ISO IEC Requisitos do sistema Certificação Obrigatória ISO IEC Código de Prática Guia de implementação Orientação Profissionais de SI 12

13 Profissionais de SI Analista ou técnico Gestor CISO: Chief Information Security Officer Diretor ISO: Information Security Officer Oficial ISM: Information Security Manager Gerente DPO: Data Protection Officer Responsável Consultor Auditor Forense Profissionais de SI Consultor: Aconselha Ensina as melhores práticas Ajuda a implantar o sistema Transfere conhecimento entre empresas 13

14 Profissionais de SI Auditor: Verifica Determina se as normas vigentes estão sendo atendidas Coleta dados mediante entrevistas, análise de documentos e observação e, baseando-se nas evidências, determina as conformidades e não conformidades Profissionais de SI Forense:??? 14

15 Profissionais de SI Forense: Coleta evidências digitais Conduz análise em sistemas comprometidos Certificações em SI 15

16 Atividades 16

17 Atividades Utilizando como referência a sua empresa, escolha um ativo de informação importante e elabore um exemplo completo de vulnerabilidades, ameaças, incidentes, riscos e medidas físicas, organizacionais e técnicas Pesquise cursos de capacitação e certificações profissionais em SI Procure oportunidades de emprego e ordenados para especialistas em SI Fim da presentação Eng. SERGIO VILLARREAL 17