Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

AULA 5 Fundamentos da segurança da informação

No description
by

gabriela previdello

on 7 April 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of AULA 5 Fundamentos da segurança da informação

AULA 5
Fundamentos da segurança da informação
e
gestão de sistemas seguros.
Sistema de Gestão de Segurança da Informação – SGSI
sistema que visa na segurança da informação seu:

estabelecimento,
implementação,
operacionalização,
manutenção,
monitoramento,
análise,
aprimoramento.

PROBLEMA

No passado os sistemas operavam de maneira isolada e em redes privadas.
Atualmente foram substituídos por computadores pessoais com maior capacidade de processo, assim como por tecnologias convergentes e a própria difusão massiva do uso da internet.

CULTURA DA SEGURANÇA

Adoção de novas formas de pensamento e comportamento no uso e na interconexão de sistemas e redes de informação.
Somente um enfoque que leve em conta os interesses de todos os participantes e a natureza dos sistemas, redes e servições afins, pode proporcionar uma segurança efetiva.

A Segurança da Informação opera em níveis políticos e técnicos, sistemas seguros fortalecem a democracia ao viabilizar o fluxo de informação livre e aberto e ao fortalecer os princípios básicos de proteção da privacidade pessoal.
Quais são as ameaças reais contra o sistema?
Não é suficiente apenas elencar as ameaças, você precisa saber o quanto deve se preocupar com cada uma delas.
Exemplos de ameaças à informação:
má configuração dos hosts,
falhas inerentes dos sistemas,
deficiência na resposta dos fabricantes
ausência de educação em segurança,
funcionários descontentes ou desmotivados
crescimento do processamento distribuído e das relações entre profissionais e empresas,
aumento da complexidade e eficácia das ferramentas de hacking e dos vírus,
e-mail,
inexistência de planos de recuperação,
desastres naturais ou não (incêndio, inundação, terremoto, terrorismo, etc.),
falta de políticas e procedimentos implementados.

A Política de Segurança não é um manual técnico nem um manual de procedimentos.
Ela deve definir as regras estruturais e os controles básicos para o acesso e uso da informação.
Melhores práticas em Segurança:
• documento da política de segurança da informação
• definição das responsabilidades na segurança da informação
• educação e treinamento em segurança da informação
• relatório dos incidentes de segurança
• gestão da continuidade do negócio
•sistema de medição, usado para avaliar o desempenho da gestão de segurança da informação e obtenção de melhorias.

Os controles essenciais, do ponto de vista legal, para uma organização, incluem:
• proteção de dados e privacidade de informações pessoais
• salvaguarda de registros organizacionais
• direitos de propriedade intelectual
• política de segurança, objetivos e atividades, que reflitam os objetivos da instituição ou do negócio;
consistente com a cultura organizacional; comprometimento e apoio da administração;
• um bom entendimento dos requisitos de segurança e gerenciamento de risco.
A política de Segurança da Informação
identifica escopo, metas e objetivos.
A continuidade do programa de Política de Segurança deve-se adequar-se às mudanças tecnológicas antes de se tornar ineficaz.
"A governança de segurança da informação passa a ser definida como a prática que garante que o tema segurança da informação é adequadamente tratado em consonância com os requerimentos exigidos pelas partes envolvidas no processo, com o respectivo mapeamento de riscos ao ativo informação das organizações, estrutura de gestão, de suporte, divulgação, resposta a incidentes, reporte, cobertura dos aspectos de T.I. e monitoramento contínuo." (FERREIRA; ARAÚJO, p. 185)
Usuários precisam conhecer seus papéis e responsabilidades com a confidencialidade, integridade e disponibilidades das informações.
COBIT® - Control Objectives for Information and related Technology

http://www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx

Guia de boas práticas dirigido para a gestão de TI , possui:
sumário executivo,
framework,
objetivos de controle,
mapas de auditoria,
ferramentas para a sua implementação,
guia com técnicas de gerenciamento.
COBIT ajuda na relação entre requisitos de negócios, necessidades de controle e problemas técnicos.
Tem como objetivo garantir a integridade das informações e sistemas de informação.
uma situação simples requer uma solução
simples

A ISO/IEC 17799:2005 define:
Segurança da Informação - é a proteção da
informação contra diversos tipos de ameaças
para garantir a continuidade dos negócios,
minimizar os danos aos negócios e maximizar o
retorno dos investimentos e as oportunidades de
negócio.

Norma ISO 27001:
indica os requisitos de sistemas de gestão da informação que devem ser
implementados pela organização.

ISO 17799 é
um guia que orienta a utilização de controles de
segurança da informação.

Normas ISO/IEC 27000 para Segurança da Informação:
são genéricas por natureza.

27001 considera: segurança física, técnica,
procedimental e em pessoas.

ISO/IEC 17799:2005 “Tecnologia da Informação – Técnicas
de Segurança Código
de Prática para o Gestão da
Segurança da Informação“

Metodologia estruturada reconhecida internacionalmente;
Avaliar, implementar, manter e gerenciar a segurança da informação;
Grupo completo de controles;
Desenvolvidas por empresas para empresas.

Não são:
Normas técnicas;
Orientadas para produtos ou tecnologia;
Metodologia para avaliação de equipamentos.
Por que adotar a ISO?

melhoria da eficácia da Segurança da Informação,
foco nas responsabilidades dos funcionários,
redução de risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos,
identificação e correção de pontos
responsabilização da alta direção pela Segurança,
confiança aos parceiros

Dificuldades para Implementação da norma:
definição do escopo,
desenvolvimento de abordagem simples e sistemática,
raramente há continuidade no plano de gestão de segurança,
responsabilização apenas da área de TI,
falta de ação para identificar e usar controles fora da norma,
limitação de orçamento.

Impactos da falta de Segurança:
perda de clientes e contratos
danos à imagem
perda de produtividade
aumento no custo do trabalho
aumento de seguros
penalidades e multas

Segundo a ISO 27001:
Alcançamos a segurança da informação através da implementação de um conjunto adequado de controles, incluindo políticas, procedimentos, estrutura organizacional e funções de hardware e software.
Cada empresa é única em suas exigências e requisitos de controle e para os níveis de confidencialidade, integridade e disponibilidade.

ISO 27001:
Exemplos de riscos de segurança
§ Interrupção da continuidade do negócio
§ Indisponibilidade da informação
§ Perda da integridade dos dados
§ Perda ou roubo de informação
§ Perda do controle do serviço
§ Perda de credibilidade e imagem
§ Perda da confidencialidade de dados

Mecanismos de controles segundo a ISO 27001:
Detecção
Desencorajamento
Prevenção
Limitação
Correção
Recuperação
Monitoramento
Conscientização
Por mais controles que sejam implantados, sempre
haverá um
risco residual
. Não há sistema à prova
de falhas.
As onze cláusulas de controle
A.5 Política de segurança
A.6 Organização da segurança da informação
A.7 Gestão de ativos
A.8 Segurança em recursos humanos
A.9 Segurança física e do ambiente
A.10 Gerenciamento das operações e comunicações
A.11 Controle de Acesso
A.12 Aquisição, desenvolvimento e manutenção de sistemas
A.13 Gestão de incidentes de segurança da informação
A.14 Gestão da continuidade do negócio
A.15 Conformidade
Gerenciamento de mídias removíveis:
Descarte de mídias
Procedimentos para manuseio de informação
Controle de Acesso à rede:
Política de uso dos serviços de rede
Autenticação para conexão externa do usuário
Identificação de equipamento em redes
Proteção e configuração de portas de diagnóstico remotas
Segregações de redes
Controle de conexão de rede
Controle de roteamento de redes
Controle de acesso ao sistema operacional:
Procedimentos seguros de entrada no sistema (log on)
Identificação e autenticação de usuário
Sistema de gerenciamento de senha
Desconexão de terminal por inatividade
Limitação de horário de conexão

Controles Criptográficos
Política para o uso de controles criptográficos
Gerenciamento de chaves
Segurança dos arquivos do sistema:
Controle de software operacional
Proteção dos dados para teste de sistema
Controle de acesso ao código fonte de programa

Notificação:
Notificação de eventos de segurança da informação
Notificação de fragilidades de segurança da informação

Conformidade:
Identificação da legislação atual
Direitos de propriedade intelectual
Proteção de registros organizacionais
Proteção de dados e privacidade de informações pessoais
Prevenção de mau uso de recursos de processamento da informação
Regulamentação de controles de criptografia

O CERT.br é o Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil. É responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à Internet brasileira.
Atua como um ponto central para notificações de incidentes de segurança no Brasil, provendo a coordenação e o apoio no processo de resposta a incidentes e, quando necessário, colocando as partes envolvidas em contato.
• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.

Auditoria
Em seu escopo mais amplo, o trabalho de auditoria inclui a
avaliação de controles gerais e de aplicações. Além destes
controles se faz necessário o teste de controles de caminhos
de acesso, resultantes da conectividade de redes locais, de
larga escala, intranets e internets no ambiente de TI

Abordagem de processo
AGIR (ACT)
Implementar as melhorias identificadas
Tomar ações corretivas e preventivas apropriadas
Comunicar os resultados e ações
Garantir que as melhorias atendem aos objetivos
VERIFICAR (CHECK)
Executar monitoramento dos processos
Conduzir auditorias internas do SGSI em
intervalos planejados
Realizar análise críticas regulares da
eficácia do SGSI
Analisar criticamente os níveis de risco
residual e riscos aceitáveis

FAZER (DO)
Formular um plano de tratamento de risco
Implementar o plano de tratamento de risco
Implementar os controles selecionados para atingir
os objetivos
PLANEJAR (PLAN)
Definir o escopo do SGSI
Definir uma política para o SGSI
Definir objetivos e metas
Identificar os riscos
Avaliar os riscos
Selecionar objetivos de controle e controles
Preparar uma declaração de aplicabilidade
Responsabilidades dos usuários:
Uso de senhas
Política de mesa limpa e tela limpa

A segurança da informação é um processo de gestão,
não é um processo tecnológico
Além do processo de tratamento a incidentes em si, o CERT.br também atua através do trabalho de conscientização sobre os problemas de segurança, da análise de tendências e correlação entre eventos na Internet brasileira e do auxílio ao estabelecimento de novos CSIRTs no Brasil.
SEGURANÇA DA INFORMAÇÃO segundo a ISO 27002
“Salvaguardar a confidencialidade , integridade e disponibilidade da informação escrita, falada e eletrônica.”

INFOGRÁFICOS
FESPSP
Pós-Graduação Gestão da Informação Digital
Disciplina: Preservação e segurança da informação
Docente: Gabriela Orth

1.2016

Full transcript