Sistemas de Informação Gestão de SI- seção 4.4 Gestão da segurança da informação 1
Segurança Dados e informações devem estar bem guardadas e cuidadas Vulnerabilidades (externa e interna) Acesso sem autorização Divulgação indevida Fraudes LINK Ataques Hackers e outras pessoas com competência técnica Exploram falhas de sistema 2
Vulnerabilidades Podem ocorrer por erros de Softwares e sistemas Rede Acidentes e desastres Incêndios/ enchentes/ quedas de energia Pessoas também podem cometer equívocos no uso da tecnologia 3
Necessidade Para redução de riscos, toda organização deve desenvolver políticas, procedimentos e ações, monitoramento e controle para prevenir problemas Planejamento envolve Compreensão das estratégias organizacionais Análise das vulnerabilidades e riscos Considerar todas as partes interessadas Fornecedores / empresa / clientes 4
Exemplo real Por que a empresa Vivo me ligou hoje? Como ela sabe o meu número e os meus dados, inclusive da operadora que eu escolhi no momento? Quem vendeu informação? Será que a empresa não imagina que isso só desgasta a minha visão em relação a imagem dela? 5
Mecanismos de proteção Criptografia Dados embaralhados, inteligíveis a terceiros Assinatura digital conjunto de dados criptografados, associados a um documento, que garantem integridade e autenticidade Antivírus software capaz de identificar e remover arquivos ou programas nocivos 6
ISO 27000 Voltada a organização e a estrutura de segurança da informação... Alguns conceitos Ameaça: causa potencial de um incidente indesejado, que pode resultar em danos para um sistema ou entidade Ataques: ações de destruição, alteração, exposição, inutilização, roubo, acesso não autorizado, ou uso não autorizado de ativos Controle de acesso: assegurar acesso e restrição baseada na natureza do trabalho e parâmetros de segurança Gestão de risco: atividades coordenadas para dirigir e controlar uma organização em relação ao risco Risco: possibilidade de ocorrência de um evento, bem como suas consequências
ISOs ISO 27001 Modelo para estabelecer, implementar, operar, monitorar, analisar, manter e melhorar um Sistema de Gestão de Segurança da Informação ISO 27002 Desenvolve políticas de segurança da informação 8
ISO 27003 - PDCA ISO 27003 Se relaciona com aspectos críticos necessários para implementar um projeto bemsucedido, desde sua concepção até implementação ISO 27004 Voltada para levantar indicadores e métricas para checar eficácia da segurança da informação (CHECK)
ISO ISO 27005 Observa os riscos da TI, e prevê análises e avaliações de possíveis impactos ISO 27006 Especifica requisitos para empresas que prestam serviços de auditoria e certificação de um Sistema de Segurança da Informação 10
MARTINS; SANTOS, 2005 Implantação de Sistema de Gestão de Segurança da Informação 11
O perigo está em casa Fonte: Exame, 26 jun. 2008 Práticas indevidas dos funcionários colocam em risco muitos dados corporativos (1) Copiam informações confidenciais da empresa em pen drives 51% Compartilham senhas com colegas de trabalho 46% Já perderam equipamentos portáteis de armazenamento de dados 39% Enviaram documentos da empresa em anexo para e-mails pessoais 33% Aparelhos portáteis mais utilizados para transportar dados corporativos Laptop 41% Pen drive 22% CD-ROM 13% Celular ou smartphone 3% Prejuízo: 1,82 milhão de dólares é o custo médio de um incidente de vazamento de dados (1) Base: 893 respostas (mundo) Fontes: McAfee,Ovum e Ponemon Institute 12
Segurança da informação Segundo Marciano e Marques (2006) Segurança da informação é um fenômeno social no qual os usuários (aí incluídos os gestores) dos SI têm razoável conhecimento acerca do uso destes sistemas, incluindo os ônus decorrentes expressos por meio de regras, bem como sobre os papéis que devem desempenhar no exercício deste uso. 13
Pós-Aula Fazer os exercícios faça valer a pena do livro institucional + atividades de aprendizagem do portal da seção 4.4 14