Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Untitled Prezi

No description
by

Stenio Luiz Canizio

on 4 June 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Untitled Prezi

Aplicação da Segurança em Ambientes Computacionais SEGURANÇA DA INFORMAÇÃO Objetivos Gerais Visão Geral Introdução
Informação: o ativo mais valioso
Ativos
Vulnerabilidades
Ameaças e ataques
Outras definições
Controles de segurança da informação A Segurança da Informação se refere à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto às pessoais.
Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição. Reconhecer a informação como ativo estratégico ao negócio.

Identificar os aspectos fundamentais relacionados à Segurança da Informação. Por que devo me preocupar com a segurança do meu
computador ou do computador da minha empresa?

Armazenamento de dados
Comunicação
Transações de negócio
Senhas e códigos bancários furtados?
Dados alterados ou visualizados por estranhos? Por que alguém iria querer invadir um computador?

Uso em atividade ilícita
Vandalismo
Disseminar SPAM
Propagar vírus de computador
Furtar dados
Etc., etc., etc. Qual o valor da informação para as pessoas?

E para os negócios?

Como proteger informações armazenadas?

E as informações que as pessoas sabem?


INFORMAÇÃO: o ativo mais valioso A informação é um conjunto de dados que possuem valor ou significado.

A produção do conhecimento organizacional depende diretamente da informação.

Informação = Inteligência Competitiva Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição).

Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.

Irretratabilidade ou não repúdio - propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita. Para a montagem desta política, deve-se levar em conta:

Riscos associados à falta de segurança;
Benefícios;
Custos de implementação dos mecanismos. “A visão corporativa da segurança da informação deve ser
comparada a uma corrente, em que o elo mais fraco
determina seu grau de resistência e proteção.

A invasão ocorre onde a segurança falha!” (SÊMOLA, M.)

Segurança da Informação = Eliminar pontos fracos ou
garantir a segurança deles Ativos da Informação

São informações potencialmente valiosas se disponibilizadas como ferramental nos momentos certos – sendo somente tangíveis através de compartilhamentos dinâmicos. Os Ativos de Informação são tangíveis nos chamados “itens compartilháveis” ou “objetos digitais” e constituem-se de todos os conteúdos que são produzidos, contextualizados e compartilhados via computação local ou móvel, por indivíduos e empresas, entre si ou com o mercado e a sociedade. MECANISMOS DE SEGURANÇA TIPOS DE ATIVOS

INFORMAÇÃO

TECNOLOGIA

PROCESSOS E PESSOAS

AMBIENTE VULNERABILIDADES

Fraquezas presentes nos ativos de informação
Podem ser exploradas resultando na quebra de um ou mais princípios de segurança da informação
Elementos a serem rastreados e eliminados de um ambiente de TI. TIPOS DE VULNERABILIDADES
FÍSICAS
NATURAIS
HARDWARE
SOFTWARE
MÍDIAS
COMUNICAÇÃO E
HUMANAS
ATIVOS

Qualquer elemento que tenha valor para a organização [ISO/NBR 17799]
Os ativos fornecem suporte aos processos de negócios, portanto devem ser protegidos
VULNERABILIDADE

Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças [ISO/NBR 17799].
As vulnerabilidades devem ser gerenciadas (identificadas e corrigidas).
AMEAÇAS

Agente externo ao ativo de informação;

Se aproveita das vulnerabilidades para quebrar 1 ou + requisito de segurança;

Causa potencial (agente) de um incidente indesejado, que pode resultar em dano para um sistema ou organização [ISO/NBR 17799];

A SI precisa prover mecanismos para impedir que as ameaças explorem as vulnerabilidades.

TIPOS DE AMEAÇAS

INTENCIONAIS
NATURAIS E
INVOLUNTÁRIAS ATAQUES Importância e dependência da tecnologia nos negócios
+
Avanço das técnicas usadas para ataques e fraudes eletrônicos
=
Aumento do número de incidentes de segurança OUTRAS DEFINIÇÕES

Invasão
Possibilidade de efetivamente utilizar-se de recursos computacionais sem a devida autorização de seus possuidores legais.

Incidente de Segurança da Informação
Ocorrência de um evento que possa causar interrupções ou prejuízos aos processos do negócio. Impacto

Potenciais prejuízos causados ao negócio pelo incidente de segurança.


Ações de Segurança
Preventivas
Detectivas
Corretivas Engenharia Social:

Método de ataque, onde alguém faz uso da persuasão, para obter
informações que podem ser usadas para ter acesso não autorizado a
computadores ou informações. Riscos

Probabilidade de que as ameaças explorem os pontos fracos, causando
perdas ou danos aos ativos e impactos no negócio. CONTROLES DE SEGURANÇA DA INFORMAÇÃO

Reduzir as vulnerabilidades de um ativo é mais fácil do que tratar as ameaças, por um motivo simples: as vulnerabilidades são inerentes aos ativos, que estão geralmente sob nosso controle, à medida que as
ameaças são fatores externos, geralmente fora do nosso controle.

Normas e Padrões de Segurança

Exemplos

ITIL (Information Technology Infrastructure Library)

COBIT (Control Objectives for Information and Related Technology)

ISO 17799 (no Brasil, NBR ISO/IEC 17799) Normas e Padrões de Segurança

Exemplos

Família ISO 27.000

• ISO 27.001 – Conceitos/especificação sobre gestão de segurança da informação

• ISO 27.002 – código de prática da gestão de segurança

• ISO 27.003 – guia de implementação

• ISO 27.004 – medidas e métricas

• ISO 27.005 – gestão de riscos

• ISO 27.006 – auditoria e certificação As 10 áreas de controle da ISO 17799

• Política de segurança

• Segurança organizacional

• Classificação e controle dos ativos de informação

• Segurança em pessoas

• Segurança física e do ambiente

• Gestão das operações e comunicações

• Controle de acesso

• Manutenção e desenvolvimento de sistemas

• Gestão da continuidade do negócio

• Conformidade
“O único sistema verdadeiramente seguro é aquele que está desligado, desplugado, trancado num cofre de titanium, lacrado, enterrado em um bunker de concreto, envolto por gás nervoso e vigiado por guardas armados muito bem pagos. Mesmo assim, eu não apostaria minha vida nisso.”


Gene Spafford
Diretor de Operações de Computador, Auditoria e Tecnologia da Segurança Purdue University, França
“Não há almoço grátis; alguém sempre paga a conta. Qual é o valor da conta da segurança para a sua empresa?” Stênio Luiz Canizio
Professor Especialista em Segurança da Informação.
Professor do Quadro Docente da Uninorte desde 2007.

Contatos:

E-mail/G-talk: scanizio@gmail.com/stenio.canizio@uninorteac.com.br
Twitter: http://twitter.com/scanizio
Facebook: http://www.facebook.com/scanizio
Skype: scanizio1


OBRIGADO!!!!!

Full transcript