Boas Praticas de Seguranca Da Informacao

BOAS PRTICAS DE SEGURANA DA
INFORMAO
CONTEDO
Introduo Segurana da Informao
II.
Cenrio da Segurana da Informao
1.
Segurana Fsica
2.
Pessoas
3.
Tecnologia da Informao
4.
Aspectos Legais
III. Boas Prticas de Segurana da Informao
1.
Srie ABNT NBR ISO/IEC 27000
2.
Poltica de Segurana da Informao
3.
Organizao
4.
Classificao da Informao
5.
Gesto de Risco
6.
PCN
7.
Desenvolvimento de Pessoas
IV.
Gesto da Segurana - Ciclo PDCA
I.
Parte I
INTRODUO SEGURANA DA
INFORMAO
3
I. INTRODUO SEGURANA DA INFORMAO
Informao e Segurana
Em um mundo onde existe uma riqueza de
informao, existe freqentemente uma
pobreza de ateno.
Ken Mehlman

O bem mais valioso de uma organizao pode no ser o produzido
pela sua linha de produo ou pelo servio prestado, mas as

informaes relacionadas com esse bem de consumo ou servio.
Exemplos:
n
de casos de dengue por municpio

Cadastro de servidores (agentes pblicos)
Mapeamento e descrio dos processos de negcio
Censo escolar
Indicadores da segurana pblica
Imagens de satlite
5

Uma informao pode ser armazenada sob diversos meios:
Papel (escrita)
Dispositivos digitais
Memria Humana (voltil)

Uma informao pode se transmitida por diversos meios:

fato:
Uma organizao pode ter prejuzos incalculveis ou at mesmo ser
descontinuada por um incidente envolvendo informaes.
No existe 100% de segurana.
preciso cercar o ambiente de informaes com medidas que
garantam sua segurana efetiva a um custo aceitvel.

O que segurana da informao?
Segurana da informao a proteo da informao
contra
vrios tipos de ameaas para garantir a
continuidade do negcio, minimizar o risco ao

negcio, maximizar o retorno sobre os investimentos
e as oportunidades de negcio.

Segurana da informaes na administrao pblica
Fraudes marcam a distribuio de aes.
Gaeco apura vazamento de informao
sobre operao em MT
Vazamento de informao prejudicou

operao no Rio, diz delegado
Prejuzo com o vazamento da prova do

Enem pode chegar a R$ 34 milhes
Polcia investiga fraude no sistema

da Nota Fiscal Paulista
Autoescolas corrompem sistema

digital e oferecem esquema para
renovar CNH em SP
FRAUDE NA PREVIDNCIA
CHEGA A R$ 1,6 BILHO - MEIO
MILHO DE MORTOS-VIVOS
Confirmada fraude no concurso pblico do

Governo do Mato Grosso.
MPF/AP denuncia servidor pblico por fraude ao sistema
de Dvida Ativa da Unio - Os prejuzos aos cofres pblicos
foram estimados em R$ 11 milhes.
10

Dimenses de proteo da informao
Disponibilidade
Integridade
Confidencialidade
Segurana da
Informao
Autenticidade
No Repdio
11

Confidencialidade
uma caracterstica da informao que diz respeito ao

direito de acesso.
Medidas de segurana devem garantir que a informao

esteja acessvel apenas para quem tem permisso de
acesso, evitando, assim, revelao no autorizada.
12

Confidencialidade
Balancete contbil Secretaria (pblica acesso a todos os interessados)
Informaes tticas de operao policial a ser realizada (apenas os
envolvidos no plano)
Senha da conta bancria (somente o correntista)
Gabarito de Prova no realizada (apenas os elaboradores da prova)
Lista dos aprovados em concurso pblico (pblica - todos os interessados)
13

Integridade
uma caracterstica da informao que diz respeito sua

exatido.
Medidas de segurana devem garantir que a informao seja
alterada
somente
por
pessoas
e/ou
ativos
associados
autorizados e em situaes que efetivamente demandem a

alterao legtima.
14

Integridade
Plano de Vo
Dados preenchidos em cheque

Contedo de um Edital a ser publicado
Prescrio mdica para paciente internado
15

Disponibilidade
Medidas de segurana devem garantir que a informao esteja

disponvel, sempre que necessrio, aos usurios e/ou sistemas
associados que tenham direito de acesso a ela.
16

Disponibilidade
Extrato bancrio
Dados gerenciais para tomada de deciso
ndice de mortalidade infantil por municpio

tamanho das reas devastadas por queimadas
n de aposentadorias previstas para 2013

Dados para operacionalizao de procedimentos
ramal de telefones atualizado na recepo

declarao de rendimentos para IRPF
17

Autenticidade
Diz respeito certeza da origem da informao.

Medidas de segurana devem garantir que a informao provem
da fonte anunciada e que no foi alvo de mutao ao longo de
sua transmisso.
18

Autenticidade
Pgina web do banco para digitar n da conta e senha
Certificado de Registro de Veculo para transferncia de proprietrio
Atestado mdico para justificar falta de funcionrio
19

No repdio
Ou irretratabilidade, diz respeito garantia de que o autor de

determinada ao no possa negar tal ao.
Medidas de segurana devem garantir meios que identifique
inequivocamente o autor de uma ao.
20

No repdio
Notificao judicial (entrega em mos por algum de f

pblica)
Notificao extrajudicial (registradas)
Posse de um processo (controle de assinatura do

receptor, data e hora do recebimento).
Acesso a determinado ambiente crtico (sistema por

biometria).
21

Dimenses da segurana da informao:
Confidencialidade
Integridade
Autenticidade
Disponibilidade
No Repdio
22

Segurana da Informao Proteo
suportam
manipuladas
Negcio
Informaes
Ativos
Ativos:
A prpria informao
Infraestrutura fsica
Tecnologia da Informao
Pessoas
24

Proteo: Medidas / Controles de Segurana da Informao
25

Segurana da Informao como uma corrente cuja fora medida pelo
seu elo mais fraco.
Nenhuma corrente to forte quanto o seu elo mais fraco.
26
II. CENRIO
Segurana Fsica
27
CENRIO SEGURANA FSICA
Pouca considerao com a localizao das

Instalaes
28
29
Mega exploso do depsito de combustveis de Buncefield

Uma mega exploso no depsito de, um
grande
terminal
de
distribuio
de
combustvel, que armazena leo, gasolina e
querosene, foi ouvida a 322 km de distncia.
A interrupo dos negcios foi sentida por
todas as empresas de Maylands 48 horas
aps o incidente, sendo que a maioria foi
afetada por longo tempo e muitas ainda esto
sofrendo
dos
efeitos
ps-incidente.
Cerca de 90 empresas foram severamente
afetadas pelo incidente com destruio total
ou parcial de suas instalaes e outros ativos.
A maioria delas ainda est sofrendo os efeitos
do incidente.
30
Barreiras e Controle de Acesso Fsico
31
32
33
Infraestrutura de Utilidades :
Energia eltrica,
Abastecimento de gua,
Sistema de climatizao
34
35
Equipamentos
36
37
Preveno e combate a incndio
38
39
40
II. CENRIO
PESSOAS
41
CENRIO PESSOAS
Incidentes de Segurana provocados por Pessoas
Ignorncia
Negligncia
M-f
42
CENRIO PESSOAS
44
CENRIO PESSOAS
45
CENRIO PESSOAS
A Engenharia Social
46
CENRIO PESSOAS
A Engenharia Social
" a cincia que estuda como o conhecimento do comportamento
humano pode ser utilizado para induzir uma pessoa a atuar
segundo seu desejo. No se trata de hipnose ou controle da mente,
as tcnicas de Engenharia Social so amplamente utilizadas por
detetives (para obter informao) e magistrados (para comprovar se

um declarante fala a verdade).
Tambm utilizada para lograr todo tipo de fraudes, inclusive
invaso de sistemas eletrnicos."

Mrio Peixoto em Engenharia Social e Segurana da Informao na Gesto Corporativa.
Rio de Janeiro: Brasport, 2006.
47
CENRIO PESSOAS
Objetivos do Engenheiro Social
Espionagem industrial,
Obter informaes privilegiadas para obter vantagem,
Obter informaes confidenciais para cometer alguma fraude ou
extorso,
Roubo de senhas de bancos ou cartes de crdito,

Invadir sistemas por pura diverso o suficiente.
48
CENRIO PESSOAS
http://pharma.msc.edu.eg/ATC.asp
Egito
49
CENRIO PESSOAS
Subject: Parabns voc ganhou uma TV LCD Philips
Grtis.
From: promocao@casasbahia.com.br
Date: Mon, 21 Mar 2011 21:31:20 -0700
50
CENRIO PESSOAS
Por que as pessoas so vulnerveis a manipulaes?
Seis tendncias bsicas da natureza humana facilitam ataques de
engenharia social:
Autoridade
Afabilidade
Reciprocidade
Validao Social
Escassez
51
CENRIO PESSOAS
Por que as pessoas so vulnerveis a manipulaes?
Outros aspectos humanos tambm devem ser considerados, como
Ambio
Vaidade
Carncia afetiva
Curiosidade
Etc
52
CENRIO PESSOAS
Eu consegui porque entrei e ningum

me perguntou nada e nem pediu
nenhuma identificao.
53
CENRIO PESSOAS
As pessoas acabam caindo nas minhas

mentiras porque eu mexo com a ambio
delas. Sou quem eles quiserem que eu
seja.
Marcelo Rocha
54
CENRIO PESSOAS
55
II. CENRIO
Segurana na Tecnologia da Informao
56
CENRIO TECNOLOGIA DA INFORMAO
CENRIO DAS ORGANIZAES

57

Negcios dependentes cada vez mais dos sistemas de informao e da
Internet
Problemas:
Infeco por vrus,
Acesso no autorizado,
Ataques denial of service contra redes e sistemas,
Furto de informao proprietria,
Invaso de sistemas, fraudes internas e externas,
Espionagem sobre as redes,
entre outras.
58
59
60
61

Motivadores
A difuso da Internet
O aumento do nmero de vulnerabilidades nos sistemas existentes
Esforo e custo para mitigar tais vulnerabilidades com a aplicao
de correes do sistema
A complexidade e a sofisticao dos ataques tambm contribuem de

maneira direta para o aumento dos incidentes.
62
Quem so os atacantes?
63

Hacker e Cracker
Fascnio pelo poder do controle;

Alto conhecimento tcnico de protocolos de redes
e de sistemas operacionais;
hacker britnico
Gary McKinnon
Cracker so os maiores responsveis pelos danos de dados roubados e
de fraudes em sistemas;
Muitas organizaes contratam hackers (ticos) para testarem a
segurana de suas organizaes.
64

Script Kiddie
Crackers inexperientes (geralmente das camadas etrias mais novas);
Utilizam o trabalho intelectual dos verdadeiros especialistas tcnicos;
Almejam fama ou outros tipos de lucros pessoais.
Utilizam exploits, trojans e ferramentas de cracking construdos por terceiros
para alcanar seus objetivos.

Aes mais comuns: defacement (alterao do
contedo original de pginas web), fraudes
com cartes de crdito e fraudes bancrias.
65

Atacantes Internos
Possuem autorizao legtima para
acesso e uso de informao, sistema, rede.
Fazem mau uso dos privilgios que possuem
Legitimamente.
Ex-servidora da Previdncia Jorgina de

Freitas
Tentam obter de maneira ilcita acessos com mais poderes.
Motivaes: vingana ((ex)funcionrio insatisfeito), ganho financeiro (fraude,

roubo de informao privilegiada), desafio.
80% dos incidentes de segurana em uma

organizao so causados por usurios internos.
66
67

Alta
SOFISTICAO DOS ATAQUES

Rootkits
DoS /DDoS
Scanners de vulnerabilidades
Spoofing de pacotes IP
Baixa
1980
Exploits
Ataques Web
Port Scanners
Sniffers
Backdoors
Desativao de
auditoria
Overflow / Worm
Explorao de vulnerabilidades conhecidas
Cdigo auto-replicveis
Programas password cracking
Advinhao de senhas
1985
1990
1995
2000 2002
2005
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponvel em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
68

Alto
PERFIL DOS ATACANTES
Especialistas, estudiosos
Richard Skrenta
Criador 1 virus
Conhecimento Tcnico
Script Kiddies
Baixo
1980
1985
1990
1995
2000 2002
2005
69

Alto
Sofisticao das ferramentas
Nvel de Conhecimento
Baixo
1980
1985
1990
1995
2000 2002
2005
70

Problemtica dos ambientes de TI
Ambientes mais complexos e heterogneos
Diversos fornecedores
Necessidade de pessoal com formaes especializadas
Complexidade na administrao dos ambientes
Muita demanda de servios via TI e urgncias
71
72
2. CENRIO TECNOLOGIA DA INFORMAO
73
II. CENRIO
ASPECTOS LEGAIS
74
ASPECTOS LEGAIS
Cenrio no ambiente de trabalho
Problemas mais comuns:
Uso dos recursos de Tecnologia da Informao (TI) da

organizao para interesses pessoais
Uso malicioso ou negligente dos recursos de Tecnologia da

Informao (TI) da organizao
ASPECTOS LEGAIS
Pesquisa com 1,6 mil pessoas realizada por empresa de consultoria em

produtividade:
80% gastam at trs horas do tempo de trabalho com atividades que
no contribuem para o servio, e boa parte est ligada internet;

36% afirmam que acessam Internet sem o foco do trabalho;
40% dizem repassar correntes e tambm piadas por email;
20% curtem joguinhos online;
56% fazem compras pela internet e;
11% veem pornografia no computador.
Tudo em plena hora de trabalho!

76
ASPECTOS LEGAIS
Quem paga a conta?

Salrio + encargos;
Banda Internet;
Armazenamento dos downloads;
Trabalho dos administradores de TI;
Atrasos nas entregas do trabalho e desdobramentos;
Ataques de cdigos maliciosos na rede da organizao;
Outros custos diretos e indiretos
um problema tico do empregado e da organizao permissiva.
77
ASPECTOS LEGAIS
Responsabilidade Civil dos Executivos , Gestores e Profissionais
em geral
Executivos, gestores e profissionais de TI respondem legalmente pelos
danos causados atravs dos meios eletrnicos.

O Cdigo Civil prev que o empregador responsvel por tudo o que os
trabalhadores fazem usando as conexes e os equipamentos da empresa.
Isso significa que, se um funcionrio cometer um crime por meio
do computador do trabalho, a empresa responde judicialmente
pelo caso. O funcionrio tambm poder responder pelo crime,
mas os prejudicados costumam processar as empresas por conta
de elas terem mais poder e dinheiro em caso de indenizaes.
78
ASPECTOS LEGAIS
Por ter praticado ou
deixado como estava
Art. 186. Aquele que, por ao ou omisso

voluntria, negligncia ou imprudncia, violar direito
e causar dano a outrem, ainda que exclusivamente
moral, comete ato ilcito.
No ter tomado os devidos cuidados
79
ASPECTOS LEGAIS
TRT-RS: ao deixar de tomar providncias para apurao de
envio de e-mails de contedo ofensivo, o empregador
responsvel pela indenizao dos danos morais.
TRT-SP: Empregado que assediava
colegas por e-mail demitido por
justa causa
STJ - Demisso que ocorre por

empregado ceder sua senha
eletrnica para burlar sistema
eletrnico legal
TST admite que banco

investigue e-mail de trabalho
do empregado
TJ-SC: Banco Ita indenizar
correntista que foi vtima da
ao de hackers
Para TRT-SP, copiar documento sigiloso sem

autorizao d justa causa
TRT-MG: Advogado acusa escritrio de monitorar
empregados e indenizao rejeitada
80
III. BOAS PRTICAS DE SEGURANA DA INFORMAO
SRIE NBR ISO/IEC 27000

Para que reinventar a roda?
84
ISO 27001
Define os requisitos para um sistemas de

gesto de segurana da informao
ISO 27002
ISO 27003
ISO 27004
ISO 27005
85
ISO 27001
ISO 27002
Boas prticas para a gesto de segurana da

informao
ISO 27003
ISO 27004
ISO 27005
86
ISO 27001
ISO 27002
ISO 27003
Guia para a implantao de um sistema de

gesto de segurana da informao
(metodologia)
ISO 27004
ISO 27005
87
ISO 27001
ISO 27002
ISO 27003
ISO 27004
Define mtricas e meios de medio para

avaliar a eficcia de um sistema de gesto
de segurana da informao
ISO 27005
88
ISO 27001
ISO 27002
ISO 27003
ISO 27004
ISO 27005
Fornece as diretrizes para o processo de

gesto de riscos de segurana da informao
89

ISO 27002 Cdigo de prticas para a gesto de segurana da informao

Organizando a Segurana da
Informao
Gesto de Ativos
Segurana em Recursos Humanos

Segurana Fsica e do Ambiente
Controle de Acesso
Aquisio, Desenvolvimento e
Manuteno de Sistemas de Informao
Gesto de Incidentes de Segurana da
Informao
Gesto da Continuidade do Negcio
Conformidade
Gesto das Operaes e Comunicaes
90

Segurana em Recursos Humanos
Antes da contratao
papis e responsabilidades definidos e documentados
seleo (referncias, verificao das informaes do currculo, qualificaes

acadmicas e profissionais, verificaes financeiras e criminais)
Termos e condies
Durante a contratao
Responsabilidades da direo
conscientizao, educao e treinamento
Processo disciplinar
Encerramento ou mudana de contratao
Encerramento de atividades
Devoluo de ativos
Retirada de direitos de acesso
91

Gosto no se discute, mas poltica de segurana se
deve discutir, e muito!
92
POLTICA DE SEGURANA DA INFORMAO

O que so polticas de segurana da informao?
Uma Poltica de Segurana da Informao um documento que deve

descrever as prticas que a organizao espera que sejam seguidas
por todos os empregados para proteger seus ativos de informao.
Scott Barman
93

Polticas so importantes para:
Comunicar os objetivos e as diretrizes da segurana da informao;
Garantir a implementao apropriada de controles de segurana;
Demonstrar o compromisso e apoio da alta administrao;
Evitar problemas legais (indenizaes, multas);
Alcanar um nvel de segurana consistente evitando esforos

segmentados.
94

Desafio
95

Motivos de resistncia
Pessoas, naturalmente, no gostam de regras e vem polticas como

controles;
Consideram um impedimento produtividade;
Diferentes vises sobre necessidades de segurana;
Dificuldades de seguir e implementar.
96

Objetivo ISO 27002
Uma poltica de segurana da informao tem como objetivo

prover uma orientao e apoio da alta administrao para a
segurana da informao de acordo com os requisitos do negcio

e com as leis e regulamentaes pertinentes.
ANVISA
Pesquisa e clnica mdia
CRM
Administrao pblica
Sarbane-Oxley
Indstria Alimentcia
Banco Central
Seguradora
ANATEL
Financeiras
ANAC
Telefonia ...

Fatores Crticos de Sucesso
???
Implementvel e aplicvel
Concisa e de fcil entendimento por todos
Equilibrar proteo e produtividade
Revisada periodicamente
COMUNICADA, DIVULGADA, DISSEMINADA
98

Documentos que compem um Poltica de Segurana
Os documentos que compem uma poltica de segurana de informao

variam bastante em cada organizao, porm a grande maioria segue a
estrutura:
Carta de comprometimento da alta administrao
Diretrizes ou Poltica de Segurana
Normas de Segurana
Procedimentos e Instrues
99
Fonte: Segurana e Auditoria de Sistemas UNIBAN - Thiago

Bordini
100

No Poder Executivo da Administrao Pblica do Estado de Mato Grosso,
atravs de resolues do COSINT:
Polticas e Diretrizes da Segurana da Informao Estadual
(Res. 003/2010)
Norma de Segurana Estadual para Acesso Informao
(Res. 008/2010)
Procedimento para concesso e bloqueio de acesso

Procedimento para manter Termo de Responsabilidade e Sigilo
Norma de Segurana para Uso do Correio Eletrnico Corporativo
Norma de Segurana de Acesso Internet
(Res. 009/2011)
(Res. 010/2011)
Norma de Segurana para Administrao de Senhas
(Res. 011/2011)
102
Organizao da Segurana da Informao
103
A ORGANIZAO DA SEGURANA DA INFORMAO

Em que nvel se enquadra a segurana da informao em uma organizao?
Estratgico
Ttico
Operacional
104

Um modelo ...
Alta Administrao
Comit Multidisciplinar
Gestor Segurana
Informao
Gestores
Colaboradores
105
Comit
Multidisciplinar
Recursos
Humanos
Assessoria
Jurdica
Exemplo de formao de um Comit de Segurana
106
Alta Administrao
Gestor Segurana da
Informao
Gestores
Colaboradores
Comit
Multidisciplinar
Gestores
Gestores
Colaboradores
Colaboradores
107
108
CLASSIFICAO DA INFORMAO
A informao sempre tem valor.

Se voc no o souber, sempre h
algum que imagina o quanto ela
vale; e voc pode ficar sabendo
somente quando for tarde demais.
Caruso&Steffen
109
A Classificao da Informao permite identificar o grau de proteo

necessrio baseado no valor da informao.
Tal proteo designa-se a evitar destruio, modificao e/ou revelao

no autorizada.
Disponibilidade
Integridade
Confidencialidade
110
O que ?
o processo de identificar os nveis apropriados de proteo
informao, a partir de critrios bem definidos, garantindo a sua
confidencialidade, integridade e disponibilidade.

Por que?
Permite a proteo adequada s informaes. A Classificao da
informao formalizada e instituda evita equvocos por subjetividade nas
medidas de proteo das informaes de uma organizao.
111
Exemplo
Nveis de Confidencialidade ou Sensibilidade:
Nvel
Critrios
Confidencial informaes que, em razo de lei, interesse pblico ou

para a preservao de direitos individuais, devam ser de
conhecimento reservado e, portanto, requeiram medidas
especiais de segurana e salvaguarda.
Restrita
informaes que, por sua natureza, s podem ser

divulgadas a grupo restrito de pessoas;
Uso interno
informaes que, por sua natureza, so de interesse

exclusivo da organizao;
Pblica
Todas as demais informaes.
112
A proteo da informao deve considerar todos os aspectos de
manipulao, tais como:
Controle de cpia
Armazenamento
Transporte interno
Transporte externo
Transmisso via linha telefnica ou fax
Transmisso por redes de comunicao
Descarte
113
BOM LEMBRAR .....
Valor da
Informao
Custo da Proteo
Custo X Benefcio
114
Instrumentos para instituio da Classificao da Informao:
Diretrizes
Normas
Procedimentos
Poltica e Diretrizes para Classificao da

Informao
Norma de Segurana para Classificao da
Informao
Instrues para Proteo da

Informao
115
Gesto de Risco
116
GESTO DE RISCOS
O maior risco crer

que no h riscos.
Caruso&Steffen
117
GESTO DE RISCOS
Prtica preventiva;
Consiste em:
Reconhecer os potenciais riscos sobre determinado objeto (contexto)

que se quer proteger,
Mensurar a capacidade desses riscos em causar danos e a severidade

dos possveis danos,
Tratar esses riscos preventivamente, modificando-o para um nvel
aceitvel.
Referncia: ABNT NBR ISO 31000 Gesto de riscos Princpios e

diretrizes
118
GESTO DE RISCOS
Ambiente,
Sistema,
Projeto,
Servio
Determinar o
contexto
Acompanhamento
dos riscos
Analisar os riscos
Ameaas,
Vulnerabilidades,
Controles,
Impactos,
Probabilidade
Grandeza
(Quantitativa ou Qualitativa)
Urgncia
Tratar os riscos
Avaliar os riscos
Aceitar
Evitar
Minimizar o impacto
Diminuir a probabilidade
Transferir ou compartilhar
119
carpete
120
Plano de Continuidade do Negcio
121
PLANO DE CONTINUIDADE DO NEGCIO
depois, no adianta chorar o leite desrramado.

122

FATOS ...
Dentre as empresas que sofrem grandes incidentes sem possuir um
plano:
40% no sobrevivem
40% encerram suas atividades em 18 meses
12% encerram suas atividades em 5 anos

8 % sobrevivem
Fonte: Safetynet/Guardian IT
123

PCN um conjunto de planos que se complementam,
oferecendo uma soluo completa para a continuidade dos
negcios essenciais numa situaao de falha ou interupo nos

componentes que suportam os principais processos.
Modulo Security
Tem o foco na continuidade das funes vitais do negcio;

Geralmente contm o plano de recuperao de desastres e o plano
de contingncia TI;
Convm ter o plano de gerenciamento de crise
Fonte: ABNT NBR 15999-1 e 2 Gesto de Continuidade de Negcio
124
Plano de
Contingncia
Plano de
Recuperao de
Desastre
Garante a continuidade
Recupera / restaura os
Operacional dos Processos
componentes que suportam os
de Negcios Vitais
Processos de Negcios
Gerenciamento de
Crise
Coordena aes,
minimiza perdas, salva
vidas, estabelece portavoz, ...
125
126
Tinha PCN ???
127

Um bom PCN evita a falsa sensao de segurana.
128
Desenvolvimento de Pessoas
Segurana da Informao comea e

termina em pessoas.
129
DESENVOLVIMENTO DE PESSOAS
130
S existe uma maneira de manter seguros os negcios de uma

organizao:
Ter uma fora de trabalho consciente e treinada.
COMO?
Desenvolvendo uma estratgia para aumentar o nvel de conscincia
da segurana da informao e a habilidade de aplicar os princpios e
conceitos s atividades funcionais

crtico empreender os dois princpios de aprendizagem:
CONSCINCIA e CAPACITAO.
131
CONSCIENTIZAO
Que comportamento a organizao

espera dos colaboradores ?
CAPACITAO
Que habilidade(s) a organizao quer

que seja desenvolvida?
132
RESULTADO
Conscientizao
Um profissional que, envolvido com a segurana da

informao, se comporta de maneira a proteger
informaes e ativos e planeja e aplica tcnicas de
proteo adequadas.
Capacitao
Tudo isso seguindo os princpios e diretrizes de

segurana estabelecidos pela organizao.
133
Polticas de Segurana
Alguns recursos teis para programas de Conscientizao:
Identificao visual (mascote, lema)
Palestras
Gincanas com premiaes
Banners (fsicos e digitais)

E-mails
Cartilhas
Faixas
Brindes com mensagens
e-Boletins
134
Uma boa ao pode gerar uma reao em
cadeia at que uma m ao a anule.

A segurana da informao comea e termina
em PESSOAS.
135
Ferramentas de Segurana
Segurana no um produto que se pode
comprar de prateleira, mas que consiste de
polticas, pessoas, processos e tecnologia

(Kevin Mitinik)
136
FERRAMENTAS DE SEGURANA
Tecnologias de Apoio
Autenticao
Criptografia
Tecnologias Preventivas e
Detectivas
Firewall
Anti-Malwares
IDS
VPN
137
Autenticao
um processo que verifica, a partir de uma identidade digital, se
o usurio possui o direito de acesso a
um sistema, um
computador ou um ambiente.
Pode ser baseada em um ou na combinao dos seguintes fatores:
Algo que o usurio conhece.
Algo que o usurio tem
Algo que o usurio

Onde o usurio est
138
Algumas recomendaes para uma boa senha (ISO/IEC 27001):
manter a confidencialidade das senhas;
evitar anotar senhas;
alterar senha sempre que existir qualquer indicao de comprometimento
de sua confidencialidade;
Selecionar senhas de qualidade
139
140
As foras armadas dos Estados Unidos utilizaram a senha

00000000 para proteger esses computadores
durante oito anos (de 1968 a 1976).
Para a sorte dos norte-americanos, na poca no havia

nenhum hacker esperto o bastante para utilizar um rob
de fora bruta para quebrar os cdigos e causar uma
catstrofe.
141
Outras Ferramentas de Autenticao
Biometria
142
Criptografia
Usada para embaralhar uma determinada informao que deve

ser mantida em segredo, protegendo-a do acesso por terceiros no
autorizados.
Somente as pessoas autorizadas conseguiro desembaralha-la
para ter o conhecimento de seu teor.
143
Uso da tecnologia de criptografia

Cifragem / Decifragem ou criptografia/decriptografia
Certificao digital
Assinatura Digital
144
Cifragem / Decifragem ou criptografia/decriptografia

dados no computador
dados em pendrive
contedos e anexos em e-mails
dados a serem trafegados em redes inseguras (internet)
confidencialidade
145
http://www.com.br
146
https://www2.bancobrasil.com.br
147
Certificao Digital
autenticidade
Identidade digital de pessoa, organizao, equipamento;

Emitido por instituio reconhecida como confivel entre as partes;
Utilizado para autenticar a identidade das partes em um transao
digital
148
Assinatura Digital
Autenticidade e integridade
Utiliza o certificado digital do signatrio

A assinatura digital garantia a integridade do contedo e autenticidade
do signatrio.
Vincula o contedo do arquivo com a assinatura.
A assinatura digital gerada atravs de certificado digital emitido por

entidade da ICP-Brasil tem validade legal.
149
Indicador de
Assinatura
Digital
Para
Criptografar
basta clicar
150
Outras ferramentas de segurana:
Firewall
Anti-malware
IDS Sistema de Deteco de Intruso
VPN Virtual Private Network
151
Segurana Fsica
152
SEGURANA FSICA
Permetros de Segurana
Consiste em isolar reas com diferentes nveis de risco e

criticidade
Segurana em camadas
Deve-se considerar os riscos de fora para dentro
Controle de Acesso Fsico
Prover segurana de acesso a reas delimitadas
salas de computadores, almoxarifado, sala de mquinas,

arquivo geral, ...
153
SEGURANA FSICA
154
SEGURANA FSICA
Recomendaes sobre controle de Acesso Fsico:
A entrada de pessoas em reas de segurana deve ser
controlada para que apenas pessoas autorizadas tenham acesso.
Controles:
Registro da data e hora da entrada e sada de visitantes
As permisses de acesso devem ser concedidas somente para

finalidades especficas e autorizadas
O acesso a reas em que so processadas ou armazenadas informaes

sensveis deve ser restrito s pessoas autorizadas;
Funcionrios, fornecedores e terceiros, e todos os visitantes, devem

possuir alguma forma visvel de identificao
155
SEGURANA FSICA
Infraestrutura de Utilidades
Energia eltrica, abastecimento de gua, tratamento de esgotos e ar-
condicionado;
Exige manutenes regulares para assegurar seu funcionamento correto;
Recomenda-se o uso de UPS (Uninterruptible Power Supply) para
suportar as paradas e desligamento dos equipamentos. O sistema mais

comum o no-break.
Deve ser considerado o emprego de um gerador de emergncia caso seja
necessrio para o negcio.
156
SEGURANA FSICA
Circuito Fechado de TV
O sistema de circuito fechado de TV mantm a vigilncia constante sobre
os pontos mais crticos.
Para realizao do monitoramento sem riscos legais:
Manter sempre aviso em especial na entrada do recinto
Contedo das filmagens s poder ser transcrito e utilizado em face de
investigao
Contedo das filmagens deve ter controle de acesso rgido.
Treinamento especfico aos responsveis pela anlise das imagens
Tambm se deve observar para que no haja exposio do colaborador

ao ridculo, tampouco gerar algum tipo de perseguio (colocar a
cmera vigiando apenas determinada pessoa e no todo o ambiente).
157
SEGURANA FSICA
Segurana Fsica em Equipamentos
Algumas consideraes:
Posicionamento do monitor de maneira a evitar visualizao de informaes

por pessoas no autorizadas;
Controles contra furtos e sabotagens;
Inibir comidas ou bebidas prximas a equipamentos;
Condies ambientais: temperatura, umidade, poeira, gazes;
Cabos de segurana para laptops.

158
SEGURANA FSICA
Segurana contra Fogo
Precaues:
Somente equipamentos em funcionamento devem ser mantidos ligados;
No se deve permitir qualquer atividade que produza fumaa ou qualquer

gs em recinto de instalao sensvel;
Antes da sada de pessoal de instalao sensvel:
Fechar todas as portas e aberturas entre os diversos compartimentos;
Papis e sucatas de papel devem ser recolhidos e removidos;
Retirar da energia equipamentos que no necessitam ficar ligados;
Verificar se sistema de combate e preveno de incidente est
operante;
Plano e Treinamento contra incndio.

159
SEGURANA FSICA
Segurana contra Fogo
9.
Classes de Incndio:
Classe A combustveis slidos
comuns; queimam em superfcie e em
profundidade.
Ex.:
papel,madeira,
tecido, fibras.
Classe B combustveis inflamveis
derivados do petrleo e outras fontes;
queimam na superfcie.Ex.: gasolina,
alcool, querosene, parafina, acetileno.
Classe C equipamentos eltricos e
eletrnicos com energia.Ex.: mquinas,
motores, instalaes eltricas.
Classe D metais pirofricos; requerem
agentes extintores especficos; se
inflamam em contato com o ar. Ex.:
magnsio, sdio, potssio, p de zinco.
160
ASPECTOS LEGAIS
161
ASPECTOS LEGAIS
Melhores Prticas
Educao
Polticas, normas e termos de responsabilidade
Monitoramento
Os recursos de TI so do empregador
Deve estar claro aos empregados de que no h privacidade no uso
dos recursos da empresa (e-mails corporativos, acesso Internet)
Os empregados devem estar cientes dos monitoramentos a que
esto submetidos (Internet, e-mails, filmagem, ...)

Medidas disciplinares
162
IV. GESTO DA SEGURANA DA INFORMAO
Ciclo PDCA
163
PLANEJAR
AGIR
Planos de Segurana:
Reviso Poltica e Normas
Programa de educao / capacitao
Implementao controles de segurana
Definio das metas e indicadores
Planejar monitoramento da
conformidade, gesto de risco e
gerenciamento dos incidentes
Tratar Incidentes
Identificar
causas
Responsabilizar
Tratar riscos
urgentes
Tratar desvios
nos indicadores
Gesto da
Segurana
da
Informao
Classificar incidentes
Analisar e Avaliar Riscos
Analisar medidas dos
indicadores
Analisar desvios de
conformidade
Novos requisitos de segurana?
Novos requisitos legais?
VERIFICAR
Execuo dos
Planos
164
EXECUTAR
OBRIGADA!
SORAIA DE FELICE
soraia.felice@sefaz.mt.gov.br
soraia.felice@gmail.com
165

Boas Praticas de Seguranca Da Informacao

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Boas Praticas de Seguranca Da Informacao

Încărcat de

Drepturi de autor:

Formate disponibile

BOAS PRTICAS DE SEGURANA DA

I. INTRODUO SEGURANA DA INFORMAO

I. INTRODUO SEGURANA DA INFORMAO

pela sua linha de produo ou pelo servio prestado, mas as

de casos de dengue por municpio

I. INTRODUO SEGURANA DA INFORMAO

I. INTRODUO SEGURANA DA INFORMAO

I. INTRODUO SEGURANA DA INFORMAO

I. INTRODUO SEGURANA DA INFORMAO

Segurana da informao a proteo da informao

vrios tipos de ameaas para garantir a

continuidade do negcio, minimizar o risco ao

I. INTRODUO SEGURANA DA INFORMAO

Vazamento de informao prejudicou

Prejuzo com o vazamento da prova do

Polcia investiga fraude no sistema

Autoescolas corrompem sistema

Confirmada fraude no concurso pblico do

I. INTRODUO SEGURANA DA INFORMAO

I. INTRODUO SEGURANA DA INFORMAO

uma caracterstica da informao que diz respeito ao

Medidas de segurana devem garantir que a informao

I. INTRODUO SEGURANA DA INFORMAO

I. INTRODUO SEGURANA DA INFORMAO

uma caracterstica da informao que diz respeito sua

autorizados e em situaes que efetivamente demandem a

I. INTRODUO SEGURANA DA INFORMAO

Dados preenchidos em cheque

Prescrio mdica para paciente internado

I. INTRODUO SEGURANA DA INFORMAO

Medidas de segurana devem garantir que a informao esteja

I. INTRODUO SEGURANA DA INFORMAO

ndice de mortalidade infantil por municpio

n de aposentadorias previstas para 2013

ramal de telefones atualizado na recepo

I. INTRODUO SEGURANA DA INFORMAO

Diz respeito certeza da origem da informao.

I. INTRODUO SEGURANA DA INFORMAO

I. INTRODUO SEGURANA DA INFORMAO

Ou irretratabilidade, diz respeito garantia de que o autor de

I. INTRODUO SEGURANA DA INFORMAO

Notificao judicial (entrega em mos por algum de f

Posse de um processo (controle de assinatura do

Acesso a determinado ambiente crtico (sistema por

I. INTRODUO SEGURANA DA INFORMAO

I. INTRODUO SEGURANA DA INFORMAO

I. INTRODUO SEGURANA DA INFORMAO

I. INTRODUO SEGURANA DA INFORMAO

Nenhuma corrente to forte quanto o seu elo mais fraco.

CENRIO SEGURANA FSICA

Pouca considerao com a localizao das

Mega exploso do depsito de combustveis de Buncefield

CENRIO SEGURANA FSICA

Barreiras e Controle de Acesso Fsico

CENRIO SEGURANA FSICA

CENRIO SEGURANA FSICA

CENRIO SEGURANA FSICA

CENRIO SEGURANA FSICA

CENRIO SEGURANA FSICA

CENRIO SEGURANA FSICA

CENRIO SEGURANA FSICA

Preveno e combate a incndio

CENRIO SEGURANA FSICA

CENRIO SEGURANA FSICA