Segurança da Informação Rafael Henriques N. Diniz rafahdiniz@yahoo.com.br
Globalização Proporcionou a disseminação da informação em velocidades incríveis. Decisões Empresariais Falta de Informações Falta de confiança nas informações
Necessidade dos Sistemas de Informação Se a empresa não confia na SI, ela poderá ficar exposta a riscos.
IS0/IEC 27002 A informação é um ativo, que como qualquer outro ativo é importante para os negócios, tem um valor para a organização e, consequentemente, necessita ser adequadamente protegido.
Conceitos A Informação pode existir da seguintes formas: Em papel (impressa ou escrita) Armazenada em formato eletrônico Mostrada em filmes Falada em conversas Sempre deve ser protegida adequadamente
Classificação das Informações Pública - informação que todos podem ter acesso sem efeitos danosos ao funcionamento normal da organização. Interna - acesso de nível interno, consequências do uso não autorizado não gera grandes consequências Confidencial - o acesso a esse tipo de informação deve ser restrita aos limites da empresa. Uma eventual divulgação pode levar a um desequilíbrio operacional, eventualmente causar perdas financeiras. Secreta - informação de caráter estratégico para a organização. Sua integridade deve ser preservada a todo custo e seu acesso deve ser restringido a um pequeno número de pessoas.
Conceitos Segurança da Informação......não é tecnologia, não é possível comprar um dispositivo que torne a sua empresa segura, assim como não é possível comprar ou criar um software capaz de tornar seu computador seguro (Wadlow, 2000) Gestão da informação = Base do negócio Segurança da Informação = Deve ser gerenciado constantemente
Conceitos Conforme a demanda, maior a Segurança.
Conceitos Conforme a demanda, maior a Segurança.
Crescimento em S.I Governo dos Estados Unidos: investimentos em infosecurity cresceram 60% de acordo com Information Assurance Advisory Council. Entre 2 e 20% dos orçamentos de TI estão sendo alocados para segurança, segudo o Giga Information Group
Conceitos 100% Seguro?
Conceitos O único sistema verdadeiramente seguro é aquele que está desligado, desplugado, trancado num cofre de titanium, lacrado, enterrado em um bunker de concreto, envolto por gás nervoso e vigiado por guardas armados muito bem pagos. Mesmo assim, eu não apostaria minha vida nisso. Gene Spafford Diretor de Operações de Computador, Auditoria e Tecnologia da Segurança Purdue University, França
Como a S.I pode ser obtida? CONTROLES - garante que os objetivos de segurança sejam alcançados. Políticas Práticas Procedimentos Estruturas Organizacionais
SI: Técnica A segurança que pode ser alcançada por meios técnicos é limitada
S.I - Gestão Deve ser apoiada por GESTÃO e PROCEDIMENTOS Identificação dos controles a serem implantados requer planejamento cuidadoso e detalhado TODOS os funcionários devem participar Consultoria pode ser necessária Controles são mais baratos e eficientes quando implantados em fases iniciais.
SUCESSO NA IMPLANTAÇÃO DE Gestão de S.I Organizar e planejar segurança alinhada a estratégia do negócio Estabelecer política conforme leis Monitorar a eficácia e o progresso da segurança (métricas) (Alves,2006)
Segurança da informação Física e Lógica Segurança Física AMBIENTE Segurança Lógica PROGRAMAS A segurança deve começar pelo ambiente físico Não adianta investir dinheiro em esquemas sofisticados e complexos se não instalarmos uma simples porta para proteger fisicamente os servidores da rede. A segurança lógica deve ocorrer apos a segurança física, através de softwares e protocolos
Segurança da informação Física Abrange todo o ambiente onde os sistemas de informação estão instalados: prédio portas de acesso trancas piso salas computadores Requer ajuda da engenharia civil e elétrica
Segurança da informação Física Segurança externa e de entrada Proteção da instalação onde os equipamentos estão localizados, contra: entrada de pessoas não autorizadas catástrofes ambientais
Picotador de papel Muita informação ainda reside no papel: folhas de pagamento contracheques extratos Esse material deve ser descartado de tal forma que não caia em mãos erradas e/ou que sua reconstrução seja inviável Existem diversos tipos de picotadores de papel: cortam o papel em tiras cortam o papel em diagonal picam o papel
Segurança da informação Lógica Compreende os mecanismos de proteção baseados em software senhas listas de controle de acesso criptografia firewall sistemas de detecção de intrusão redes virtuais privadas
Dicas Simples de Segurança da Informação
Senhas
Emails
Antivírus e Firewalls
Engenharia Social A chamada engenharia social, usada para cometer fraudes, também merece ser seriamente estudada.
Salvaguarda (backup) O processo de backup envolve segurança física e lógica física: armazenamento das mídias lógica: software de backup Backup e o último recurso no caso de perda de informações: garantia de que ele não vá falhar garantir de que ele esteja disponível e acessível quando necessário
Salvaguarda (backup) A midia de backup pode ser a única forma de restaurar a informação: o o o o o o proteger contra roubo proteger contra catástrofes naturais Há cofres especiais para armazenamento de mídias Prática simples e eficiente e o armazenamento externo ou off-site quanto maior a distancia, melhor armazenadas em cofre e/ou criptografadas
Papers Segurança da Informação Vídeos Segurança da Informação
Capacitação da Equipe Quanto menos preparados forem os empregados, maior é a probabilidade de prejuízos.
Capacitação da Equipe
Cuidado com Terceiros
Formas de proteção das informações organizacionais - Fator Humano
Contratando e Demitindo - SI No ato da contratação colaborador lê, compreende e assina a Política de Segurança da Informação da Empresa Detalhes mais importantes devem ser ressaltados.
Contratando e Demitindo - SI Cuidados para contratação Leitura Paper 02 - Redes Sociais e Funcionários.pdf
Contratando e Demitindo - SI Na demissão, envolver o RH e setor de TI (ou terceirizado). Desativar login na máquina e/ou remoção de conta do usuário da máquina.
Contratando e Demitindo - SI Ahhhhhhhh mas não dá nada não!!!! Leia: Paper 01 - Funcionários e os dados Corporativos.pdf Paper 02 - Vazamentos de Dados Empresariais.pdf Exercício 01
PSI Política de Segurança da Informação A Política de Segurança da Informação (PSI) é um documento, desenvolvido pela empresa em conjunto com a equipe de TI, onde são registrados os princípios e as diretrizes de segurança que foi adotada e devem ser seguidos por seus colaboradores. A PSI deve ser aplicada em todos os sistemas de informação e processos institucionais, ou seja, do desktop aos dispositivos móveis. http://vnek.com.br
PSI Política de Segurança da Informação Para que ela seja aceita, respeitada e aplicada por todos os colaboradores que participam do ambiente corporativo é fundamental que os dirigentes da empresa apoiem e participem da implantação da PSI. Ao criar um documento de PSI a instituição precisa estabelecer diretrizes para que os colaboradores possam seguir padrões de comportamento que não coloquem os dados corporativos e confidenciais em risco. http://vnek.com.br
Criando uma PSI Planejamento Aplicação e treinamento das equipes Elaboração Aprovação Revisão http://vnek.com.br
Criando uma PSI Planejamento Planejamento Levantamento dos dados que deverão ser protegidos http://vnek.com.br
Criando uma PSI Elaboração Elaboração normas referentes à utilização de programas, de acesso à internet, uso de dispositivos móveis, de e-mail e recursos tecnológicos. Caracterizar os tipos de bloqueio e restrições a sites e acesso à internet. http://vnek.com.br
Criando uma PSI Revisão Revisão O conteúdo da Política de Segurança da Informação pode variar de acordo com a empresa. O estágio de maturidade, grau de informatização, área de atuação, cultura organizacional, requisitos de segurança e outros aspectos vão influenciar diretamente no conteúdo que estará representado na PSI. Depois de revisar todas as informações necessárias para a sua PSI, será o momento de redigir o documento. http://vnek.com.br
Criando uma PSI Aprovação Aprovação Depois que o documento da PSI ficar pronto ele deve ser aprovado pelo departamento de Recursos Humanos da empresa. Jurídico deve participar As normas e procedimentos documentados devem ser lidos pelo RH para que sejam verificados se estão de acordo com as leis trabalhistas e com o manual interno dos funcionários, caso a organização possua. Após a aprovação do RH, os líderes e gestores da empresa também devem fazer a aprovação final do documento e liberá-lo para aplicação. http://vnek.com.br
Criando uma PSI Aplicação e treinamento das equipes Aplicação e treinamento das equipes Elabore um treinamento prático, se possível, com recursos didáticos, para apresentar a PSI da empresa. Recolha declarações individuais dos colaboradores afirmando que se comprometem com a política. É importante mantê-la em um local de fácil acesso para que esteja disponível para consulta, sempre que os colaboradores da instituição precisarem. Crie um cronograma para revisão e atualização. http://vnek.com.br
Desenvolvendo uma PSI Ahhhhhhhh mas não dá nada não!!!! Leia: Desenvolvendo - PSI.pdf Exercício 02
Problemas com SI - Case Trabalho Final