Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Segurança em TI

No description
by

Sandro Andriow

on 16 May 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Segurança em TI

Segurança em Tecnologia da Informação
Disponibilidade
Confidenciabilidade
Integridade
Diferentes
perspectivas

Confidenciabilidade:
propriedade que limita o acesso à informação tão somente às entidades legítimas, ou seja, aquelas autorizadas pelo proprietário da informação.

Ocorre a perda da confidenciabilidade quando há uma quebra de sigilo de uma determinada informação.
ex: vazamento da senha de um usuário ou mesmo do administrador de sistema, permitindo com que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.
http://www.administradores.com.br/informe-se/artigos/seguranca-da-informacao-ti/23933/
Integridade:
propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).

A perda da integridade acontece quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
Disponibilidade:
propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja por aqueles usuários autorizados pelo proprietário da informação.

A perda de disponibilidade acontece quando a informação deixa de estar acessível por quem necessita dela.
ex.: a perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento.
http://www.administradores.com.br/informe-se/artigos/seguranca-da-informacao-ti/23933/
http://www.administradores.com.br/informe-se/artigos/seguranca-da-informacao-ti/23933/
Falhas Humanas
conflitos interpessoais
doenças
treinamento inadequado
erros,
descuidos, negligência
problemas com fornecimento de energia ou comunicações
manutenção inadequada
roubos e furtos
espionagem
quebras ou falhas nos equipamentos
interferência eletromagnética
chantagem
vandalismo
Causas Naturais
inundação
incêndio
descargas atmosféricas
terremoto, etc
Principais fontes de problemas de segurança em T.I.
Problemas Técnicos
Crimes
Referência:
Gasparini, Anteu L.. et ali, INFORMÁTICA, técnica e sensibilidade, São Paulo: Érica, 1995
Recursos a serem considerados
Segurança Física: Fator Humano
Segurança Física: Fatores Materiais (equipamentos e instalações)
SegurançaLógica:
proteção de sistemas
proteção de dados
proteção de redes
restrições de acesso
políticas de senhas
política de treinamento
prevenção:
inundações e incêndios
mau uso e/ou roubo de equipamentos
danos elétricos
restrições físicas e restrições lógicas
composição, restrições e prazos de validade
técnicos e usuários
montagem de sub-redes:
aterramento
diferença de potencial
controles de acesso
política de backups
organização das bases de dados
integridade referencial
controle transacional
tipos de acesso:
categorias de acesso:
rotinas:
o quê?
como?
periodicidade:
quando?
localização das cópias:
onde?
controle de licenças de uso
documentação e registro dos sistemas
permitido
involuntário
intencional
livre
limitado
restrito
no próprio equipamento (mirror)
na área de T.I. (CPD, sala de servidores)
na empresa, fora da área de T.I.
fora da empresa
firewall
antivirus
criptografia
uso permanente
atualização constante
chaves pública e privada
algoritimo de 128 bits ou superior
Referência:
Gasparini, Anteu L.. et ali, INFORMÁTICA, técnica e sensibilidade, São Paulo: Érica, 1995
Políticas de Segurança:
Perspectivas
Estados
Políticas
Recursos Materiais
Recursos Humanos
Recursos Lógicos
Transmissão
Armazenamento
Processamento
Disponibilidade
Integridade
Confidenciabilidade
http://www.seginfo.com.br/faltam-profissionais-qualificados-na-area-de-seguranca-da-informacao/
5 de janeiro de 2011

Um estudo conduzido pela ESG Research aponta para um crescimento saudável do setor, o que pode levar à uma
falta de profissionais
no mercado. Vamos aos dados:


35%
d
as empresas pretendem contratar profissionais de segurança da informação em 2011;

58%
das empresas de médio porte (500 a 1000 empregados) e grandes empresas (mais de 1000) planejam investir mais em segurança da informação neste ano, em comparação com 55% em 2010 e apenas 36% em 2009;
27% das organizações disseram que iniciativas de
segurança da informação
são uma prioridade #1 para os próximos 12 a 18 meses.

As previsões são boas, mas segundo Jon Oltsik da ESG,
é possível que o mercado não consiga suprir a necessidade de profissionais capacitados.
http://www.seginfo.com.br/estudo-mostra-estatisticas-sobre-ciberataques-em-empresas/
Pesquisa mostra estatísticas sobre ciberataques em empresas
7 de outubro de 2010

Participantes de uma pesquisa da Symantec disseram que
foram atacados
em média 10 vezes durante os últimos 5 anos, com um
custo médio de 850 mil dólares
para as empresas. Outro dado interessante: 53% dos provedores de infraestrutura crítica afirmaram que suas redes sofreram o que eles chamaram de
“ciberataques com motivos políticos”.
Ver Apostila:
"Como conviver com tantas senhas"
, publicada pelo Grupo de Resposta a Incidentes de Segurança para a Internet brasileira (
Cert.br
), mantido pelo
NIC.br
, do Comitê Gestor da Internet no Brasil, disponível em:
http://www.cert.br/docs/palestras/certbr-campus-party2012-2.pdf
http://www.seginfo.com.br/50-milhoes-de-virus-e-crescendo/
50 milhões de vírus e crescendo
28 de janeiro de 2011

Ontem (27/01) às 3h06 da manhã (Horário de Brasília) foi contabilizado o cinquenta milionésimo vírus (50.000.000º) no banco de dados da AV-Test. O malware em questão, não surpreendentemente, é um arquivo PDF que explora uma falha de segurança no Adobe Reader afetando sistemas Windows.

A evolução dos vírus está exponencial: até 2006, haviam menos de 1 milhão de vírus descobertos por ano; a partir daí, os números foram aproximadamente 6, 8, 12 e 20 milhões para os anos de 2007, 2008, 2009 e 2010.
De acordo com uma pesquisa do Ibope Inteligência, em parceria com a Worldwide Independent Network of Market Research (WIN), em 2012

32%
dos consumidores no mundo todo tinham a intenção de comprar um laptop,
24%
desejavam comprar um tablet e 22% demonstraram interesse em adquirir um desktop.
Uma em cada quatro empresas tem dispositivos móveis infectados
John E. Dunn, da Techworld.com
23 de abril de 2012

Em busca de redução de gastos, empresas são tentadas a admitir que funcionários tragam seus próprios smartphones para a rede corporativa, assumindo riscos que não toleram com aparelhos convencionais, como notebooks. Quando perguntadas se adotavam o conceito “traga seu próprio dispositivo”
71%
responderam afirmativamente, e
47%
admitiram que
informações sigilosas
eram armazenadas neles.

Muitos dos smartphone utilizados não foram adaptados para funcionarem seguindo as normas de segurança,
apenas um em cada cinco tem software antivírus
e
só metade criptografa os dados
trocados. Está longe de ser uma coincidência, portanto, a alta nos
incidentes de contaminação
, que estavam em 7% em 2009, subiram para 9% em 2010 e
alcançaram 24%
ano passado.
http://www.seginfo.com.br/quanto-a-sua-empresa-deveria-investir-em-seguranca-veja-estudo-da-gartner-consulting/

Um estudo da Gartner Consulting com 1500 empresas ao redor do mundo mostrou que elas gastam em média
5%
do orçamento total de TI com segurança. Isso deu uma média de
525 dólares por empregado por ano
em 2009. Do total de fundos para segurança:
37% é gasto em pessoal
25% em software,
20% em hardware
10% em outsourcing
9% em consultorias.
Adaptado de:
Princípios de Segurança da Informação
, de Cristine Hoepers, disponível em: http://www.cert.br/docs/palestras/certbr-ciberjur2011.pdf
Como estabelecer e Gerenciar um sistema de Segurança em T.I.?
Segurança é um termo que transmite conforto e tranquilidade a quem desfruta do estado de estar seguro.
Buscar uma segurança absoluta é dever e um objetivo maior de todas as organizações.
(SEMOLA, 2003).

Proteger um bem ou ativo significa que este possui um valor para o seu proprietário
(MANDARINI, 2004).

A Segurança da Informação é um processo diretamente relacionado aos negócios de uma organização. Seu principal objetivo é garantir o funcionamento da organização frente às possibilidades de incidentes, evitando prejuízos, aumentando a produtividade, propiciando maior qualidade aos clientes, vantagens em relação aos seus competidores e garantindo a reputação da organização
(DAWEL, 2005).
(Adaptado de Ramakrishnan, 2004.)
http://www.seginfo.com.br/cresce-demanda-na-area-de-seguranca-da-informacao-e-falta-pessoal-qualificado-via-comptia-e-comptiabrasil/

Cresce demanda na área de Segurança da Informação e falta pessoal qualificado (via @CompTIA e @CompTIABrasil)
23 de janeiro de 2013
... Desde 2006 tem tido aumento nas ofertas de trabalho para a área de segurança da informação, de acordo com o serviço Indeed.com. O estudo feito pela CompTIA constata que
49% das empresas pretendem contratar especialistas em segurança da informação.
Apesar do aumento na demanda existe a falta de pessoal qualificado e com experiência.

A pesquisa mostra que
89%
das organizações reportam como ROI(Return On Investment)
positivo o retorno
oriundo do investimento das certificações de segurança.
http://www.cert.br/cursos/
http://www.nic.br/index.shtml
http://www.cgi.br/
http://www.seginfo.com.br/
https://www.clavis.com.br/
http://www.antispam.br/
http://cartilha.cert.br/seguranca/
http://www.internetsegura.br/
http://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf
http://www.cert.br/docs/palestras/certbr-seminarioprivacidade2012.pdf
“It is a well-known fact that no other section of the population avail themselves more readily and speedily of the latest triumphs of science than the criminal class.”
Inspector John Bonfield - Chicago Herald, 1888
http://cartilha.cert.br/criptografia/
“Worries about security of telegraphic money transfers were holding back the development of on-line commerce.
‘The

opportunity for fraud has been the chief obstacle,
declared the
Journal of the Telegraph in 1872
.”
http://computerworld.uol.com.br/seguranca/2013/02/08/confira-4-dicas-para-evitar-vazamento-de-dados-corporativos/

Levantamento recente realizado pela Verizon informa que
87% dos casos de vazamento de informação estavam registrados nos logs do servidor
. Ainda assim, 60% dessas ocorrências foram descobertas externamente.

Os logs costumam gerar uma falsa sensação de segurança.
Isso se dá em função da interpretação errônea da equipe de TI sobre as funções de registro e de monitoramento oferecidas pelos arquivos, normalmente, em formato texto. “Tudo que essa função faz é registrar as ocorrências”, diz o diretor da EnerNex Corporation, Slade Griffin.
“Os profissionais de TI dizem que registram tudo, mas, não respondem quem lê esses logs?”
Dados gerais sobre informática e internet no Brasil (2012):
http://www.cert.br/docs/palestras/certbr-mpgoias2012.pdf
Modelos para Gerenciamento da Segurança da Informação
Modelos Prescritivos
Modelos Descritivos
Modelos Normativos
Metodologia de Gestão da Segurança da Informação
Modelos são estruturas simplificadas, aproximações subjetivas da realidade que servem como um referencial para a tomada de ação, pois representam o acúmulo de experiências em situações que podem ser repetidas e que, de alguma forma, alcançaram um objetivo satisfatório.

Os modelos de Segurança da Informação não se limitam à segurança das questões relativas à TI.
Eles incluem um amplo conjunto de procedimentos, mecanismos, normas, diretrizes e políticas necessárias a salvaguardar a informação organizacional.

Segundo Sayão (2001) e Dinsmore e Jacobsen (1985), os modelos podem ser classificados em 3 agrupamentos:

Não se baseiam na observação formal de um processo, pois a efetividade do modelo é garantida através da experiência do executor dos processos, em função do histórico bem sucedido. Estes modelos são utilizados para implementar algum processo específico.
Confundem-se por vezes com os modelos Normativos por terem uma estrutura direcionada do que deve ser feito. Entretanto, não possuem imposição e não são restritivos, como ocorre nos modelos Normativos;

O principal modelo descritivo empregado na Gestão da Segurança da Informação é o ISO/IEC 27001 que contém os seguintes capítulos: Introdução, Extensão, Referências Normativas, Condições e Definições, Sistema de Gerenciamento da Segurança da Informação, Administração de Responsabilidades, Gerenciamento das Revisões do Information Security Management System (ISMS) e Melhoria Contínua no ISMS.
Tratam daquilo que pode se esperar que ocorra sob certas condições ou regras estabelecidas. Sugere um caminho ideal lógico, racional e sistematizado para a tomada de decisão. Estes modelos definem regras do que devem ser abordado e gerenciado dentro de uma organização, de forma obrigatória, através de Leis, regulamentos, normas ou procedimentos;

Tratam de uma descrição estilística da realidade, geralmente estáticos e concentram-se nos aspectos estruturais.
São utilizados para descrever como os processos devem ser executados ou avaliados em uma organização.
Histórico do modelo ISO/IEC 27001
PD0003
Código de Gerenciamento
de Segurança da Informação.
1989
1998
BS7799-1:1995
Information Technology - Code of
pratice for information security management
BS7799-2:1998
Information security
management systems - Specification with guidance for use,
1995
ISO/ IEC 17799
2000
Complementada pela
ISO/ IEC 13335
e pela
ISO/ IEC 15408
2005
ISO/IEC 27000, 2007
ISO/IEC 27001, 2007
ISO/IEC 27002, 2007
ISO/IEC 27003, 2007
ISO/IEC 27004, 2007
ISO/IEC 27005, 2007
ISO/IEC 27006, 2007
2007
ISO - International Standards Organization
IEC - International Electrotechnical Commitee
Marco Civil (regulatório) das comunicações
Marco Civil (regulatório) da internet
Modelos de Avaliação da maturidade dos sistemas:
- Fornecem o escopo para um plano de Segurança da Informação;
- Auxiliam a gestão na definição da ordem de implementação;
- Conduzem para o uso das melhores práticas e aderência as normas internacionais.
Involuntário:
o agente não tem a intenção de acessar a informação e somente pode acessá-la por causa de um descuido.
Intencional:
o agente executa um plano previamente elaborado para acessar a informação.
Livre acesso:
informações de
domínio público
acesso limitado:
informações
importantes
mas que sua divulgação não causa sérios danos.
acesso restrito:
Informações
estratégicas
de alta importância para a organização.
Vazamento de informações e ataques a smartphones aumentam em 2012
Adicionado por Susana Batimarchi on dezembro 17, 2012

O vazamento de informações liderou os incidentes relacionados à segurança da informação na América Latina em 2012, de acordo com relatório divulgado pelo laboratório da ESET. O mesmo documento destaca os ataques voltados a explorar vulnerabilidades nos smartphones como a segunda maior causa de problemas relacionados ao cibercrime.

Fonte: http://docmanagement.com.br/12/17/2012/vazamento-de-informacoes-e-ataques-a-smartphones-aumentam-em-2012/
Pesquisa da Confidence Technologies sobre Proteção e Bloqueio de Dispositivos Móveis

90% dos entrevistados usam dispositivos móveis particulares para acessar dados da empresa
44% não bloqueiam seus dispositivos móveis,
30% não estão preocupados com qualquer risco
50% utilizam serviços bancários, financeiros ou aplicativos de negociação de ações
35% têm aplicações ligadas a compras on-line
77% acessam Facebook ou LinkedIn
97% acessam aplicações de e-mail pessoal
65% acessam aplicações de e-mail profissional

Fonte: http://www.informacaoetecnologia.net/2012/03/seguranca-nao-e-prioridade-para.html
Fonte:

JANSSEN, LUIS ANTONIO
INSTRUMENTO DE AVALIAÇÃO DE MATURIDADE EM PROCESSOS DE SEGURANÇA DA INFORMAÇÃO: ESTUDO DECASO EM INSTITUIÇÕES HOSPITALARES

Dissertação apresentada ao Curso de Mestrado em Administração e Negócios, da Faculdade de Administração, Contabilidade e Economia, da Pontifícia Universidade Católica do Rio Grande do Sul, como requisito à obtenção do título de MESTRE EM ADMINISTRAÇÃO E NEGÓCIOS
Z
E

N

I

T
P
O

L

A

R
Estado de Santa Catarina
Osride do Silri Ciritali
Prof. Sandro Andriow, MsC
Full transcript