Unidade 1 Segurança em Sistemas de Informação

Documentos relacionados
DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Segurança e Controle em Sistemas de Informação. Profa. Ellen Francine ICMC-USP

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

Aspectos importantes como a autenticação e autorização. Tipos de ameaças: Atividade não autorizada; Downloads não autorizados; Redes: local de transmi

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO

Revisão Os riscos que rondam as organizações

Segurança da informação

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO

Política de Uso dos. Recursos de Tecnologia da Informação. da UFRGS. Versão /03/2017

Portaria da Presidência

INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO. Prof. Dejair Priebe Ferreira da Silva

Segurança em Redes de Computadores. Conceitos Básicos Aula II

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PATRIMONO GESTÃO DE RECURSOS LTDA.

3/9/2011. Segurança da Informação. Segurança da Informação. O que é Segurança e seguro? Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas

TECNOLOGIA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Política de Confidencialidade e Segurança da Informação

Índice /1 Confidencialidade Página 1 de 10 Classificação da Informação: Interna (Normativo Confidencialidade)

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

SSC120 - Sistemas de Informação Segurança em Sistemas de Informação

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

BS2 ASSET MANAGEMENT S.A ADMINISTRADORA DE RECURSOS LTDA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Douglas Rosemann Prof. Carlos Eduardo Negrão Bizzotto

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA CIBERNÉTICA E DA SEGURANÇA DA INFORMAÇÃO

NORMA DE PRIVACIDADE NORMA PÚBLICA

PSI Política de Segurança da Informação

NORMA DE PRIVACIDADE NORMA INTERNA

Também conhecidos como programas. Conjunto de instruções organizadas que o processador irá executar. É o software que torna o computador útil.

GIS-P-ISP-09. Procedimento de Classificação da Informação

NOÇÕES DE INFORMÁTICA. Segurança da Informação Pragas Virtuais Parte 1 Prof. Flávio Lima

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA FUNDAÇÃO UNIVERSIDADE FEDERAL DO ABC

INSTITUTO DE PREVIDÊNCIA SOCIAL DOS SERVIDORES PÚBLICOS MUNICIPAIS DE SANTOS

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DAS EMPRESAS ELETROBRAS

Segurança da Informação. Alberto Felipe Friderichs Barros

Bot. Programa malicioso. Dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente.

Segurança da Informação

DOS USUÁRIOS. Art. 4º. Aos usuários compete:

Segurança Informática em Redes e Sistemas

Introdução a Segurança da Informação

Política de Segurança da Informação CGEE

Revisão Original. AAA Aprovado por RH da ASSA ABLOY Américas

GIS-N-ISP-05. Norma de Classificação da Informação

SUPORTE TÉCNICO. Processo de implantação e atendimento do Suporte Técnico

MITO OU VERDADE? 11/02/2013 MITO OU VERDADE? MITO OU VERDADE? MITO OU VERDADE? Dois antivírus funcionam melhor que um?

Firewall. Prof. Marciano dos Santos Dionizio

POLÍTICA DE UTILIZAÇÃO DOS RECURSOS COMPUTACIONAIS

Política da Segurança da Informação e Comunicações da Eletrobras Distribuição Alagoas. Versão 1.0

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

Apostila 1. Introdução à Segurança de Sistemas

Segurança Informática pessoal na FEUP

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

O Código de Ética e Conduta Profissional da ACM(Association for Computing Machinery) Código de Ética da ACM. Código de Ética da ACM

Políticas de Segurança Estudo de caso: USPNet

Especialista fala sobre riscos cibernéticos, principais coberturas e como se prevenir contra ataques

Aula 2 Malwares. Prof. Mayk Choji. Técnicas de Segurança em Redes. UniSALESIANO Araçatuba

Auditoria Informa tica

Política de Segurança de Informações

Segurança da Informação

Professor Jorge Alonso Módulo VIII Armazenamento e Computação nas Nuvens

POLÍTICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO

Webinário Informática INSS Prof. Paulo França

Segurança e Auditoria de Sistemas. Prof. Alessandra Bussador

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Questões de Concursos Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Este documento é propriedade exclusiva da Santa Casa da Misericórdia do Porto. Data: 01/06/18 - v01 ; Classificação Doc.: Pública

TERMO DE COMPROMISSO DE USO DOS RECURSOS DE TECNOLOGIA DA INFORMAÇÃO DA UFMG

Agenda. Estrutura de TI na Universidade A DTI Regulamento Geral e Portarias Informe problemas de rede Perguntas e Sugestões

Política de Segurança da Informação - Informática Corporativa

Política de Segurança da Informação e Uso Aceitável

Cibersegurança. A seguir, vamos apresentar um resumo dos principais conceitos associados à segurança que são abordados no setor de TI.

RESOLUÇÃO N.º 11, DE 08 DE ABRIL DE 2019

Serviço que permite acesso a documentos multimídia. As chamadas páginas da Web, os sites.

Regulamento dos Laboratórios de Informática

INSTITUTO DE PSICOLOGIA COORDENAÇÃO DO CURSO DE GRADUAÇÃO EM PSICOLOGIA (BACHAREL - FORMAÇÃO DE PSICÓLOGO) CAMPUS NITERÓI

Auditoria de controles organizacionais. Prof. Dr. Joshua Onome Imoniana

Engenharia de Software Sistemas Sociotécnicos

Política Geral de Segurança da Informação da Assembleia da República

Segurança Informática em Redes e Sistemas

ANÁLISE E DESENVOLVIMENTO DE SISTEMAS Curso de Graduação

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

1. Introdução PUBLIC - 1

ANEXO À RESOLUÇÃO Nº 3.437, DE 08/07/2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO

Transcrição:

Unidade 1 Segurança em Sistemas de Informação 5 Existe uma rede 100% segura? Riscos não podem ser eliminados!! Riscos podem ser identificados, quantificados e reduzidos, mas não é possível eliminá-los completamente. Não importa quão seguro se faça um sistema, sua segurança sempre poderá ser quebrada! 6

Propósito da Segurança da informação Assim, o propósito da segurança da informação é garantir a continuidade do negócio da organização, minimizando os danos causados à organização, através da prevenção e redução dos impactos causados por incidentes de segurança. 7 O que proteger? Quando se fala em segurança de redes dentro de uma corporação, logo se pensa: Quais itens as organizações devem se preocupar em defender: Documentos Imagem Pessoas Patrimônio 8

Contra quem? Terroristas Espiões Industriais Concorrência Desleal Ex-funcionários 9 Contra quem? Crackers Phreackers Script Kid Carders 10

Contra o quê? Trash Dump Força Bruta Sniffer Engenharia Social Cavalos de Tróia 11 Contra o quê? Rootkits Backdoors Adwares Spywares Dialers Keyloggers Wardialing Wardriving 12

Norma Básica para Segurança Tudo que não é especificamente negado é permitido Tudo que não é especificamente permitido é negado 13 Equação Básica da Segurança Proteção Custo 14

Atacai-o onde não estiver preparado. Executai as vossas investidas somente quando não vos esperar. - Sun Tzu, A Arte da Guerra 15 Se você conhece a si próprio mas não conhece seu inimigo, você ganhará e perderá muitas batalhas. Se você conhece a si e a seu inimigo você ganhará todas as batalhas. Mas se você não conhece a si nem ao seu inimigo, você perderá todas as batalhas - Sun Tzu, A Arte da Guerra 16

Por que é necessária a segurança da informação A dependência nos sistemas de informação e serviços significa que as organizações estão cada vez mais vulneráveis às ameaças de segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída dificulta a implementação de um controle de acesso centralizado realmente eficiente. (ISO/IEC 17799). 17 Objetivos da Segurança da Informação A segurança da informação tem como objetivo a preservação de três princípios básicos: Confidencialidade Disponibilidade Integridade 18

Objetivos da Segurança da Informação Confidencialidade Toda informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quem elas são destinadas. Integridade Toda a Informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais. Disponibilidade Toda a informação gerada ou adquirida por um individuo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos delas necessitem para qualquer finalidade. 19 A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham. Uma política de segurança também deve prever o que pode ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que descumprir a política de segurança pode ser considerado um incidente de segurança. Na política de segurança também são definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política. (Cartilha de Segurança para Internet 2006. CERT.br) 20

A política de segurança trata dos aspectos humanos, culturais e tecnológicos de uma organização, levando também em consideração os processos e os negócios, além da legislação local. É com base nessa política de segurança que as diversas normas e os vários procedimentos devem ser criados. (NAKAMURA, 2007) Equipamentos só funcionam se tivermos uma política para cuidar das pessoas que lidam com eles. (ICC/INATEL) 21 É, portanto, a declaração de um conjunto de regras às quais toda e qualquer pessoa com acesso aos recursos tecnológicos e/ou de informações de uma empresa ou entidade deve se submeter. Define uma estratégia sobre: A importância da segurança da informação para esta organização? Requisitos de Proteção O que proteger? Análise de riscos Privilégios de usuários Auditoria Medidas a serem tomadas na ocorrência de incidentes Política 22

Importante!!! O desenvolvimento de uma política de segurança deve ser uma atividade interdepartamental. As áreas afetadas devem participar do processo envolvendo-se e comprometendo-se com as metas propostas além de: Entender o que é necessário; Saber pelo que são responsáveis; Conhecer o que é possível com o processo. 23 Implementar uma política de segurança em uma empresa ou organização implica em implementar controles de segurança do tipo: Físicos; Lógicos; Organizacionais; Pessoais; Operacionais; De desenvolvimento de aplicações; Das estações de trabalho; Dos servidores; De proteção na transmissão de dados. 24

Controles físicos: Restrição de acesso indevido de pessoas a áreas críticas da empresa; Uso de equipamentos ou sistemas por funcionários mal treinados; Controles lógicos: Prevenção e fortalecimento de proteção seletiva de recursos; Problemas/prevenção causados por vírus, e acesso de invasores; Fornecer/retirar autorização de acesso; Fornecer relatórios informando que recursos estão protegidos e que usuários tem acesso a esses recursos; 25 Controles organizacionais: Responsabilizar cada usuário por lista de deveres; Especificar em cada lista o que, quando, e como deve ser feito; Esclarecer as conseqüências do não cumprimento da lista. Controles pessoais: Criação de motivação/treinamento sobre segurança; Bloqueio dos arquivos pessoais do empregado quando da sua demissão; Inclusão de tópicos de segurança no manual dos empregados; Cobrar aspectos de segurança na avaliação do funcionário. 26

Controles operacionais: Acompanhar e registrar cada problema, sua causa e sua solução; Planejar estruturas de arquivos e de diretórios; Prever/fornecer proteção de energia ao parque computacional e de conectividade (servidores, switches, roteadores, etc.); Garantir a confidencialidade e a integridade dos dados avaliando o aspecto custo-benefício da rede. 27 Controle de desenvolvimento de aplicações: No caso das empresas não-desenvolvedoras de aplicações: Adquirir software necessário e documentação necessária. No caso de empresas desenvolvedoras de aplicações: Verificar a existência/eliminar bugs em softwares; Dar apoio de software em outros locais da organização; Manter/atualizar documentação. 28

Controle dos servidores: Prover proteção diversa (incêndios, umidade, temperatura, acessos); Mantê-lo em ambiente fechado. Controle das estações de trabalho: Proteger os computadores contra roubo de placas e acessos ao interior do gabinete (uso de travas); Controlar instalação de programas de captura de senha; Controlar acesso às estações. 29 Controle na transmissão dos dados: Uso de criptografia/certificação digital; Uso de fibras ópticas ou cabos pneumáticos que emitem alarmes quando despressurizados por grampos ; Uso de filtros/proxies/firewall nas fronteiras da rede, e entre redes. 30

Resumindo: O objetivo da segurança de sistemas de informação é prover um nível adequado de segurança que proteja os recursos da organização contra interrupções; proteger a informação armazenada nos computadores da organização contra modificações e divulgação não autorizada; estabelecer as condições para que a organização se recupere rapidamente de uma interrupção; e é zelar para que os usuários da organização não sejam demasiadamente afetados pelas medidas de segurança. 31 Lista de Exercícios 01 32

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback