Documente Academic
Documente Profesional
Documente Cultură
INFORMAO
CONTEDO
Introduo Segurana da Informao
II.
Cenrio da Segurana da Informao
1.
Segurana Fsica
2.
Pessoas
3.
Tecnologia da Informao
4.
Aspectos Legais
III. Boas Prticas de Segurana da Informao
1.
Srie ABNT NBR ISO/IEC 27000
2.
Poltica de Segurana da Informao
3.
Organizao
4.
Classificao da Informao
5.
Gesto de Risco
6.
PCN
7.
Desenvolvimento de Pessoas
IV.
Gesto da Segurana - Ciclo PDCA
I.
Parte I
INTRODUO SEGURANA DA
INFORMAO
3
Informao e Segurana
Em um mundo onde existe uma riqueza de
informao, existe freqentemente uma
pobreza de ateno.
Ken Mehlman
Exemplos:
n
Dispositivos digitais
Memria Humana (voltil)
contra
10
Disponibilidade
Integridade
Confidencialidade
Segurana da
Informao
Autenticidade
No Repdio
11
12
13
alterada
somente
por
pessoas
e/ou
ativos
associados
14
Plano de Vo
15
16
18
19
20
21
Confidencialidade
Integridade
Autenticidade
Disponibilidade
No Repdio
22
suportam
manipuladas
Negcio
Informaes
Ativos
Ativos:
A prpria informao
Infraestrutura fsica
Tecnologia da Informao
Pessoas
24
25
26
II. CENRIO
Segurana Fsica
27
28
29
30
31
32
33
Infraestrutura de Utilidades :
Energia eltrica,
Abastecimento de gua,
Sistema de climatizao
34
35
Equipamentos
36
37
38
39
40
II. CENRIO
PESSOAS
41
CENRIO PESSOAS
Incidentes de Segurana provocados por Pessoas
Ignorncia
Negligncia
M-f
42
CENRIO PESSOAS
44
CENRIO PESSOAS
45
CENRIO PESSOAS
A Engenharia Social
46
CENRIO PESSOAS
A Engenharia Social
" a cincia que estuda como o conhecimento do comportamento
humano pode ser utilizado para induzir uma pessoa a atuar
segundo seu desejo. No se trata de hipnose ou controle da mente,
as tcnicas de Engenharia Social so amplamente utilizadas por
CENRIO PESSOAS
Objetivos do Engenheiro Social
Espionagem industrial,
Obter informaes privilegiadas para obter vantagem,
Obter informaes confidenciais para cometer alguma fraude ou
extorso,
48
CENRIO PESSOAS
http://pharma.msc.edu.eg/ATC.asp
Egito
49
CENRIO PESSOAS
Subject: Parabns voc ganhou uma TV LCD Philips
Grtis.
From: promocao@casasbahia.com.br
Date: Mon, 21 Mar 2011 21:31:20 -0700
50
CENRIO PESSOAS
Por que as pessoas so vulnerveis a manipulaes?
Seis tendncias bsicas da natureza humana facilitam ataques de
engenharia social:
Autoridade
Afabilidade
Reciprocidade
Validao Social
Escassez
51
CENRIO PESSOAS
Por que as pessoas so vulnerveis a manipulaes?
Outros aspectos humanos tambm devem ser considerados, como
Ambio
Vaidade
Carncia afetiva
Curiosidade
Etc
52
CENRIO PESSOAS
53
CENRIO PESSOAS
CENRIO PESSOAS
55
II. CENRIO
Segurana na Tecnologia da Informao
56
Internet
Problemas:
Infeco por vrus,
Acesso no autorizado,
Ataques denial of service contra redes e sistemas,
Furto de informao proprietria,
Invaso de sistemas, fraudes internas e externas,
Espionagem sobre as redes,
entre outras.
58
59
60
61
62
Quem so os atacantes?
63
e de sistemas operacionais;
hacker britnico
Gary McKinnon
de fraudes em sistemas;
Muitas organizaes contratam hackers (ticos) para testarem a
64
65
67
Scanners de vulnerabilidades
Spoofing de pacotes IP
Baixa
1980
Exploits
Ataques Web
Port Scanners
Sniffers
Backdoors
Desativao de
auditoria
Overflow / Worm
Cdigo auto-replicveis
Programas password cracking
Advinhao de senhas
1985
1990
1995
2000 2002
2005
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponvel em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
68
Especialistas, estudiosos
Richard Skrenta
Criador 1 virus
Conhecimento Tcnico
Script Kiddies
Baixo
1980
1985
1990
1995
2000 2002
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponvel em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
2005
69
Nvel de Conhecimento
Baixo
1980
1985
1990
1995
2000 2002
2005
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponvel em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
70
Diversos fornecedores
Necessidade de pessoal com formaes especializadas
Complexidade na administrao dos ambientes
Muita demanda de servios via TI e urgncias
71
72
73
II. CENRIO
ASPECTOS LEGAIS
74
ASPECTOS LEGAIS
Cenrio no ambiente de trabalho
ASPECTOS LEGAIS
Cenrio no ambiente de trabalho
ASPECTOS LEGAIS
Cenrio no ambiente de trabalho
ASPECTOS LEGAIS
Responsabilidade Civil dos Executivos , Gestores e Profissionais
em geral
Executivos, gestores e profissionais de TI respondem legalmente pelos
ASPECTOS LEGAIS
Por ter praticado ou
deixado como estava
79
ASPECTOS LEGAIS
TRT-RS: ao deixar de tomar providncias para apurao de
envio de e-mails de contedo ofensivo, o empregador
responsvel pela indenizao dos danos morais.
TRT-SP: Empregado que assediava
colegas por e-mail demitido por
justa causa
80
84
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
85
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
86
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
87
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
88
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
Controle de Acesso
Aquisio, Desenvolvimento e
Manuteno de Sistemas de Informao
Gesto de Incidentes de Segurana da
Informao
Gesto da Continuidade do Negcio
Conformidade
90
Durante a contratao
Responsabilidades da direo
conscientizao, educao e treinamento
Processo disciplinar
Encerramento ou mudana de contratao
Encerramento de atividades
Devoluo de ativos
Retirada de direitos de acesso
91
92
Scott Barman
93
94
95
96
ANVISA
CRM
Administrao pblica
Sarbane-Oxley
Indstria Alimentcia
Banco Central
Seguradora
ANATEL
Financeiras
ANAC
Telefonia ...
???
Implementvel e aplicvel
Revisada periodicamente
98
Normas de Segurana
Procedimentos e Instrues
99
100
(Res. 003/2010)
(Res. 008/2010)
(Res. 009/2011)
(Res. 010/2011)
(Res. 011/2011)
102
103
Estratgico
Ttico
Operacional
104
Alta Administrao
Comit Multidisciplinar
Gestor Segurana
Informao
Gestores
Colaboradores
105
Comit
Multidisciplinar
Recursos
Humanos
Assessoria
Jurdica
106
Alta Administrao
Gestor Segurana da
Informao
Gestores
Colaboradores
Comit
Multidisciplinar
Gestores
Gestores
Colaboradores
Colaboradores
107
Classificao da Informao
108
CLASSIFICAO DA INFORMAO
109
CLASSIFICAO DA INFORMAO
Disponibilidade
Integridade
Confidencialidade
110
CLASSIFICAO DA INFORMAO
O que ?
o processo de identificar os nveis apropriados de proteo
informao, a partir de critrios bem definidos, garantindo a sua
111
CLASSIFICAO DA INFORMAO
Exemplo
Nveis de Confidencialidade ou Sensibilidade:
Nvel
Critrios
Uso interno
Pblica
112
CLASSIFICAO DA INFORMAO
A proteo da informao deve considerar todos os aspectos de
manipulao, tais como:
Controle de cpia
Armazenamento
Transporte interno
Transporte externo
Transmisso via linha telefnica ou fax
Transmisso por redes de comunicao
Descarte
113
CLASSIFICAO DA INFORMAO
BOM LEMBRAR .....
Valor da
Informao
Custo da Proteo
Custo X Benefcio
114
CLASSIFICAO DA INFORMAO
Instrumentos para instituio da Classificao da Informao:
Diretrizes
Normas
Procedimentos
115
Gesto de Risco
116
GESTO DE RISCOS
117
GESTO DE RISCOS
Prtica preventiva;
Consiste em:
aceitvel.
GESTO DE RISCOS
Ambiente,
Sistema,
Projeto,
Servio
Determinar o
contexto
Acompanhamento
dos riscos
Analisar os riscos
Ameaas,
Vulnerabilidades,
Controles,
Impactos,
Probabilidade
Grandeza
(Quantitativa ou Qualitativa)
Urgncia
Tratar os riscos
Avaliar os riscos
Aceitar
Evitar
Minimizar o impacto
Diminuir a probabilidade
Transferir ou compartilhar
119
carpete
120
121
40% no sobrevivem
40% encerram suas atividades em 18 meses
123
de contingncia TI;
Convm ter o plano de gerenciamento de crise
Fonte: ABNT NBR 15999-1 e 2 Gesto de Continuidade de Negcio
124
Plano de
Contingncia
Plano de
Recuperao de
Desastre
Garante a continuidade
Recupera / restaura os
de Negcios Vitais
Processos de Negcios
Gerenciamento de
Crise
Coordena aes,
minimiza perdas, salva
vidas, estabelece portavoz, ...
125
126
127
128
Desenvolvimento de Pessoas
DESENVOLVIMENTO DE PESSOAS
130
DESENVOLVIMENTO DE PESSOAS
COMO?
Desenvolvendo uma estratgia para aumentar o nvel de conscincia
da segurana da informao e a habilidade de aplicar os princpios e
DESENVOLVIMENTO DE PESSOAS
CONSCIENTIZAO
CAPACITAO
DESENVOLVIMENTO DE PESSOAS
RESULTADO
Conscientizao
Capacitao
Polticas de Segurana
DESENVOLVIMENTO DE PESSOAS
Alguns recursos teis para programas de Conscientizao:
Identificao visual (mascote, lema)
Palestras
Gincanas com premiaes
Faixas
Brindes com mensagens
e-Boletins
134
DESENVOLVIMENTO DE PESSOAS
135
Ferramentas de Segurana
Segurana no um produto que se pode
comprar de prateleira, mas que consiste de
FERRAMENTAS DE SEGURANA
Tecnologias de Apoio
Autenticao
Criptografia
Tecnologias Preventivas e
Detectivas
Firewall
Anti-Malwares
IDS
VPN
137
FERRAMENTAS DE SEGURANA
Autenticao
um processo que verifica, a partir de uma identidade digital, se
o usurio possui o direito de acesso a
um sistema, um
computador ou um ambiente.
Pode ser baseada em um ou na combinao dos seguintes fatores:
Algo que o usurio conhece.
Algo que o usurio tem
FERRAMENTAS DE SEGURANA
Algumas recomendaes para uma boa senha (ISO/IEC 27001):
manter a confidencialidade das senhas;
evitar anotar senhas;
alterar senha sempre que existir qualquer indicao de comprometimento
de sua confidencialidade;
Selecionar senhas de qualidade
139
FERRAMENTAS DE SEGURANA
140
FERRAMENTAS DE SEGURANA
catstrofe.
141
FERRAMENTAS DE SEGURANA
Outras Ferramentas de Autenticao
Biometria
142
FERRAMENTAS DE SEGURANA
Criptografia
143
FERRAMENTAS DE SEGURANA
Assinatura Digital
144
FERRAMENTAS DE SEGURANA
confidencialidade
145
FERRAMENTAS DE SEGURANA
http://www.com.br
146
FERRAMENTAS DE SEGURANA
https://www2.bancobrasil.com.br
147
FERRAMENTAS DE SEGURANA
Certificao Digital
autenticidade
148
FERRAMENTAS DE SEGURANA
Assinatura Digital
Autenticidade e integridade
do signatrio.
Vincula o contedo do arquivo com a assinatura.
149
FERRAMENTAS DE SEGURANA
Indicador de
Assinatura
Digital
Para
Criptografar
basta clicar
150
FERRAMENTAS DE SEGURANA
Firewall
Anti-malware
151
Segurana Fsica
152
SEGURANA FSICA
Permetros de Segurana
Segurana em camadas
153
SEGURANA FSICA
154
SEGURANA FSICA
Recomendaes sobre controle de Acesso Fsico:
Controles:
SEGURANA FSICA
Infraestrutura de Utilidades
condicionado;
156
SEGURANA FSICA
Circuito Fechado de TV
O sistema de circuito fechado de TV mantm a vigilncia constante sobre
os pontos mais crticos.
investigao
SEGURANA FSICA
Segurana Fsica em Equipamentos
Algumas consideraes:
SEGURANA FSICA
Segurana contra Fogo
Precaues:
operante;
SEGURANA FSICA
Segurana contra Fogo
9.
Classes de Incndio:
Classe A combustveis slidos
comuns; queimam em superfcie e em
profundidade.
Ex.:
papel,madeira,
tecido, fibras.
Classe B combustveis inflamveis
derivados do petrleo e outras fontes;
queimam na superfcie.Ex.: gasolina,
alcool, querosene, parafina, acetileno.
Classe C equipamentos eltricos e
eletrnicos com energia.Ex.: mquinas,
motores, instalaes eltricas.
Classe D metais pirofricos; requerem
agentes extintores especficos; se
inflamam em contato com o ar. Ex.:
magnsio, sdio, potssio, p de zinco.
160
ASPECTOS LEGAIS
161
ASPECTOS LEGAIS
Melhores Prticas
Educao
Polticas, normas e termos de responsabilidade
Monitoramento
Os recursos de TI so do empregador
Deve estar claro aos empregados de que no h privacidade no uso
dos recursos da empresa (e-mails corporativos, acesso Internet)
Os empregados devem estar cientes dos monitoramentos a que
162
Ciclo PDCA
163
PLANEJAR
AGIR
Planos de Segurana:
Reviso Poltica e Normas
Programa de educao / capacitao
Implementao controles de segurana
Definio das metas e indicadores
Planejar monitoramento da
conformidade, gesto de risco e
gerenciamento dos incidentes
Tratar Incidentes
Identificar
causas
Responsabilizar
Tratar riscos
urgentes
Tratar desvios
nos indicadores
Gesto da
Segurana
da
Informao
Classificar incidentes
Analisar e Avaliar Riscos
Analisar medidas dos
indicadores
Analisar desvios de
conformidade
Novos requisitos de segurana?
Novos requisitos legais?
VERIFICAR
Execuo dos
Planos
164
EXECUTAR
OBRIGADA!
SORAIA DE FELICE
soraia.felice@sefaz.mt.gov.br
soraia.felice@gmail.com
165