Boas Praticas de Seguranca Da Informacao

BOAS PRTICAS DE SEGURANA DA

INFORMAO

CONTEDO

I. Introduo Segurana da Informao

II. Cenrio da Segurana da Informao

1. Segurana Fsica

2. Pessoas

3. Tecnologia da Informao

4. Aspectos Legais

III. Boas Prticas de Segurana da Informao

1. Srie ABNT NBR ISO/IEC 27000

2. Poltica de Segurana da Informao

3. Organizao

4. Classificao da Informao

5. Gesto de Risco

6. PCN

7. Desenvolvimento de Pessoas

IV. Gesto da Segurana - Ciclo PDCA2

INTRODUO SEGURANA DA INFORMAO

Parte I

3

4Informao e Segurana

Em um mundo onde existe uma riqueza de

informao, existe freqentemente uma

pobreza de ateno.

Ken Mehlman

I. INTRODUO SEGURANA DA INFORMAO

O bem mais valioso de uma organizao pode no ser o produzido

pela sua linha de produo ou pelo servio prestado, mas as

informaes relacionadas com esse bem de consumo ou servio.

Exemplos:

n de casos de dengue por municpio

Cadastro de servidores (agentes pblicos)

Mapeamento e descrio dos processos de negcio

Censo escolar

Indicadores da segurana pblica

Imagens de satlite

5


6Uma informao pode ser armazenada sob diversos meios:

Papel (escrita)

Dispositivos digitais

Memria Humana (voltil)


7Uma informao pode se transmitida por diversos meios:


8 fato:

Uma organizao pode ter prejuzos incalculveis ou at mesmo ser

descontinuada por um incidente envolvendo informaes.

No existe 100% de segurana.

preciso cercar o ambiente de informaes com medidas que

garantam sua segurana efetiva a um custo aceitvel.


9Segurana da informao a proteo da informao

contra vrios tipos de ameaas para garantir a

continuidade do negcio, minimizar o risco ao

negcio, maximizar o retorno sobre os investimentos

e as oportunidades de negcio.

O que segurana da informao?


10

Segurana da informaes na administrao pblica

Fraudes marcam a distribuio de aes.

Gaeco apura vazamento de informao

sobre operao em MT

Vazamento de informao prejudicou

operao no Rio, diz delegado

Prejuzo com o vazamento da prova do

Enem pode chegar a R$ 34 milhes

FRAUDE NA PREVIDNCIA

CHEGA A R$ 1,6 BILHO - MEIO

MILHO DE MORTOS-VIVOS

MPF/AP denuncia servidor pblico por fraude ao sistema

de Dvida Ativa da Unio - Os prejuzos aos cofres pblicos

foram estimados em R$ 11 milhes.

Confirmada fraude no concurso pblico do

Governo do Mato Grosso.

Polcia investiga fraude no sistema

da Nota Fiscal Paulista

Autoescolas corrompem sistema

digital e oferecem esquema para

renovar CNH em SP


11

Dimenses de proteo da informao

Con

fiden

cia

lidade

Segurana da

InformaoIn

tegri

dade

Dis

pon

ibil

idade

Autenticidade

No Repdio


12

uma caracterstica da informao que diz respeito ao

direito de acesso.

Medidas de segurana devem garantir que a informao

esteja acessvel apenas para quem tem permisso de

acesso, evitando, assim, revelao no autorizada.

Confidencialidade


13

Confidencialidade

Balancete contbil Secretaria (pblica acesso a todos os interessados)

Informaes tticas de operao policial a ser realizada (apenas os

envolvidos no plano)

Senha da conta bancria (somente o correntista)

Gabarito de Prova no realizada (apenas os elaboradores da prova)

Lista dos aprovados em concurso pblico (pblica - todos os interessados)


14

uma caracterstica da informao que diz respeito sua

exatido.

Medidas de segurana devem garantir que a informao seja

alterada somente por pessoas e/ou ativos associados

autorizados e em situaes que efetivamente demandem a

alterao legtima.

Integridade


15

Integridade

Plano de Vo

Dados preenchidos em cheque

Contedo de um Edital a ser publicado

Prescrio mdica para paciente internado


16

Medidas de segurana devem garantir que a informao esteja

disponvel, sempre que necessrio, aos usurios e/ou sistemas

associados que tenham direito de acesso a ela.

Disponibilidade


17

Disponibilidade

Extrato bancrio

Dados gerenciais para tomada de deciso

ndice de mortalidade infantil por municpio

tamanho das reas devastadas por queimadas

n de aposentadorias previstas para 2013

Dados para operacionalizao de procedimentos

ramal de telefones atualizado na recepo

declarao de rendimentos para IRPF


18

Diz respeito certeza da origem da informao.

Medidas de segurana devem garantir que a informao provem

da fonte anunciada e que no foi alvo de mutao ao longo de

sua transmisso.

Autenticidade


19

Autenticidade

Pgina web do banco para digitar n da conta e senha

Certificado de Registro de Veculo para transferncia de proprietrio

Atestado mdico para justificar falta de funcionrio


20

Ou irretratabilidade, diz respeito garantia de que o autor de

determinada ao no possa negar tal ao.

Medidas de segurana devem garantir meios que identifique

inequivocamente o autor de uma ao.

No repdio


21

No repdio

Notificao judicial (entrega em mos por algum de f

pblica)

Notificao extrajudicial (registradas)

Posse de um processo (controle de assinatura do

receptor, data e hora do recebimento).

Acesso a determinado ambiente crtico (sistema por

biometria).


22

Confidencialidade Integridade Disponibilidade

Autenticidade No Repdio


Dimenses da segurana da informao:

24

Segurana da Informao Proteo


Ativos:

A prpria informao

Infraestrutura fsica

Tecnologia da Informao

Pessoas

Negcio

Informaes

Ativos

suportam

manipuladas

25

Proteo: Medidas / Controles de Segurana da Informao


26

Segurana da Informao como uma corrente cuja fora medida pelo

seu elo mais fraco.

Nenhuma corrente to forte quanto o seu elo mais fraco.


II. CENRIO

27

Segurana Fsica

CENRIO SEGURANA FSICA

Pouca considerao com a localizao das

Instalaes

28

30

Uma mega exploso no depsito de, umgrande terminal de distribuio decombustvel, que armazena leo, gasolina equerosene, foi ouvida a 322 km de distncia.A interrupo dos negcios foi sentida portodas as empresas de Maylands 48 horasaps o incidente, sendo que a maioria foiafetada por longo tempo e muitas ainda estosofrendo dos efeitos ps-incidente.Cerca de 90 empresas foram severamenteafetadas pelo incidente com destruio totalou parcial de suas instalaes e outros ativos.A maioria delas ainda est sofrendo os efeitos do incidente.

Mega exploso do depsito de combustveis de Buncefield

Barreiras e Controle de Acesso Fsico

31



32

33


Infraestrutura de Utilidades :

Energia eltrica,

Abastecimento de gua,

Sistema de climatizao

34


35


Equipamentos

36


37


Preveno e combate a incndio


38


39


40

II. CENRIO

41

PESSOAS

42

CENRIO PESSOAS

Ignorncia

M-fNegligncia

Incidentes de Segurana provocados por Pessoas

CENRIO PESSOAS

44

CENRIO PESSOAS

45

46

A Engenharia Social

CENRIO PESSOAS

47

A Engenharia Social

" a cincia que estuda como o conhecimento do comportamento

humano pode ser utilizado para induzir uma pessoa a atuar

segundo seu desejo. No se trata de hipnose ou controle da mente,

as tcnicas de Engenharia Social so amplamente utilizadas por

detetives (para obter informao) e magistrados (para comprovar se

um declarante fala a verdade).

Tambm utilizada para lograr todo tipo de fraudes, inclusive

invaso de sistemas eletrnicos."

Mrio Peixoto em Engenharia Social e Segurana da Informao na Gesto Corporativa. Rio de Janeiro: Brasport, 2006.

CENRIO PESSOAS

Espionagem industrial,

Obter informaes privilegiadas para obter vantagem,

Obter informaes confidenciais para cometer alguma fraude ou

extorso,

Roubo de senhas de bancos ou cartes de crdito,

Invadir sistemas por pura diverso o suficiente.

48

Objetivos do Engenheiro Social

CENRIO PESSOAS

http://pharma.msc.edu.eg/ATC.asp

Egito

CENRIO PESSOAS

49

Subject: Parabns voc ganhou uma TV LCD Philips

Grtis.

From: [email protected]

Date: Mon, 21 Mar 2011 21:31:20 -0700

CENRIO PESSOAS

50

51

Por que as pessoas so vulnerveis a manipulaes?

Seis tendncias bsicas da natureza humana facilitam ataques de

engenharia social:

Autoridade

Afabilidade

Reciprocidade

Validao Social

Escassez

CENRIO PESSOAS

52

Por que as pessoas so vulnerveis a manipulaes?

Outros aspectos humanos tambm devem ser considerados, como

Ambio

Vaidade

Carncia afetiva

Curiosidade

Etc

CENRIO PESSOAS

53

Eu consegui porque entrei e ningum

me perguntou nada e nem pediu

nenhuma identificao.

CENRIO PESSOAS

54

CENRIO PESSOAS

As pessoas acabam caindo nas minhas

mentiras porque eu mexo com a ambio

delas. Sou quem eles quiserem que eu

seja. Marcelo Rocha

55

CENRIO PESSOAS

II. CENRIO

56

Segurana na Tecnologia da Informao

57

CENRIO DAS ORGANIZAES

CENRIO TECNOLOGIA DA INFORMAO

58

Negcios dependentes cada vez mais dos sistemas de informao e da

Internet

Problemas:

Infeco por vrus,

Acesso no autorizado,

Ataques denial of service contra redes e sistemas,

Furto de informao proprietria,

Invaso de sistemas, fraudes internas e externas,

Espionagem sobre as redes,

entre outras.



59

60


61


62

Motivadores

A difuso da Internet

O aumento do nmero de vulnerabilidades nos sistemas existentes

Esforo e custo para mitigar tais vulnerabilidades com a aplicao

de correes do sistema

A complexidade e a sofisticao dos ataques tambm contribuem de

maneira direta para o aumento dos incidentes.


63

Quem so os atacantes?


64

Hacker e Cracker

Fascnio pelo poder do controle;

Alto conhecimento tcnico de protocolos de redes

e de sistemas operacionais;

Cracker so os maiores responsveis pelos danos de dados roubados e

de fraudes em sistemas;

Muitas organizaes contratam hackers (ticos) para testarem a

segurana de suas organizaes.


hacker britnico

Gary McKinnon

65

Crackers inexperientes (geralmente das camadas etrias mais novas);

Utilizam o trabalho intelectual dos verdadeiros especialistas tcnicos;

Almejam fama ou outros tipos de lucros pessoais.

Utilizam exploits, trojans e ferramentas de cracking construdos por terceiros

para alcanar seus objetivos.

Aes mais comuns: defacement (alterao do

contedo original de pginas web), fraudes

com cartes de crdito e fraudes bancrias.

Script Kiddie


66

Possuem autorizao legtima para

acesso e uso de informao, sistema, rede.

Fazem mau uso dos privilgios que possuem

Legitimamente.

Tentam obter de maneira ilcita acessos com mais poderes.

Motivaes: vingana ((ex)funcionrio insatisfeito), ganho financeiro (fraude,

roubo de informao privilegiada), desafio.

Atacantes Internos

Ex-servidora da Previdncia Jorgina de

Freitas


80% dos incidentes de segurana em uma organizao so causados por usurios internos.

68

SOFISTICAO DOS ATAQUES

Cdigo auto-replicveis

Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software

engineering; outubro 2000; disponvel em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.

Alta

Baixa

1985 1990 1995 200520001980 2002

Advinhao de senhas

Programas password cracking

Explorao de vulnerabilidades conhecidas

Desativao de

auditoria

Overflow / Worm

Backdoors Sniffers

Port ScannersSpoofing de pacotes IP

Scanners de vulnerabilidades

DoS /DDoS

Ataques Web

Rootkits Exploits


69Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software


Conhecimento Tcnico

Alto

Baixo

1985 1990 1995 200520001980 2002

Especialistas, estudiosos

Script Kiddies

Richard Skrenta

Criador 1 virus

PERFIL DOS ATACANTES


70

Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software


Alto

Baixo

1985 1990 1995 200520001980 2002

Sofisticao das ferramentas

Nvel de Conhecimento


71


Ambientes mais complexos e heterogneos

Diversos fornecedores

Necessidade de pessoal com formaes especializadas

Complexidade na administrao dos ambientes

Muita demanda de servios via TI e urgncias

Problemtica dos ambientes de TI

72


73

2. CENRIO TECNOLOGIA DA INFORMAO

II. CENRIO

74

ASPECTOS LEGAIS

Cenrio no ambiente de trabalho

Problemas mais comuns:

Uso dos recursos de Tecnologia da Informao (TI) da

organizao para interesses pessoais

Uso malicioso ou negligente dos recursos de Tecnologia da

Informao (TI) da organizao

ASPECTOS LEGAIS

76

ASPECTOS LEGAIS

Pesquisa com 1,6 mil pessoas realizada por empresa de consultoria em produtividade:

80% gastam at trs horas do tempo de trabalho com atividades que

no contribuem para o servio, e boa parte est ligada internet;

36% afirmam que acessam Internet sem o foco do trabalho;

40% dizem repassar correntes e tambm piadas por email;

20% curtem joguinhos online;

56% fazem compras pela internet e;

11% veem pornografia no computador.

Tudo em plena hora de trabalho!


77

ASPECTOS LEGAIS

Quem paga a conta?

Salrio + encargos;

Banda Internet;

Armazenamento dos downloads;

Trabalho dos administradores de TI;

Atrasos nas entregas do trabalho e desdobramentos;

Ataques de cdigos maliciosos na rede da organizao;

Outros custos diretos e indiretos

um problema tico do empregado e da organizao permissiva.


Responsabilidade Civil dos Executivos , Gestores e Profissionais

em geral

Executivos, gestores e profissionais de TI respondem legalmente pelos

danos causados atravs dos meios eletrnicos.

O Cdigo Civil prev que o empregador responsvel por tudo o que os

trabalhadores fazem usando as conexes e os equipamentos da empresa.

78

Isso significa que, se um funcionrio cometer um crime por meio

do computador do trabalho, a empresa responde judicialmente

pelo caso. O funcionrio tambm poder responder pelo crime,

mas os prejudicados costumam processar as empresas por conta

de elas terem mais poder e dinheiro em caso de indenizaes.

ASPECTOS LEGAIS

79

Art. 186. Aquele que, por ao ou omisso

voluntria, negligncia ou imprudncia, violar direito

e causar dano a outrem, ainda que exclusivamente

moral, comete ato ilcito.

Por ter praticado oudeixado como estava

No ter tomado os devidos cuidados

ASPECTOS LEGAIS

80

ASPECTOS LEGAIS

STJ - Demisso que ocorre por empregado ceder sua senha eletrnica para burlar sistema eletrnico legal

TRT-SP: Empregado que assediava colegas por e-mail demitido por justa causa

Para TRT-SP, copiar documento sigiloso sem autorizao d justa causa

TST admite que banco investigue e-mail de trabalho do empregado

TRT-RS: ao deixar de tomar providncias para apurao de envio de e-mails de contedo ofensivo, o empregador responsvel pela indenizao dos danos morais.

TJ-SC: Banco Ita indenizar correntista que foi vtima da ao de hackers

TRT-MG: Advogado acusa escritrio de monitorar empregados e indenizao rejeitada

III. BOAS PRTICAS DE SEGURANA DA INFORMAO

84

SRIE NBR ISO/IEC 27000

Para que reinventar a roda?


85

ISO 27001

Define os requisitos para um sistemas de

gesto de segurana da informao

ISO 27002

ISO 27003

ISO 27004

ISO 27005


86

ISO 27001

Boas prticas para a gesto de segurana da

informaoISO 27002

ISO 27003

ISO 27004

ISO 27005


87

ISO 27001

Guia para a implantao de um sistema de

gesto de segurana da informao

(metodologia)

ISO 27002

ISO 27003

ISO 27004

ISO 27005


88

ISO 27001

Define mtricas e meios de medio para

avaliar a eficcia de um sistema de gesto

de segurana da informao

ISO 27002

ISO 27003

ISO 27004

ISO 27005


89

ISO 27001

Fornece as diretrizes para o processo de

gesto de riscos de segurana da informao

ISO 27002

ISO 27003

ISO 27004

ISO 27005


ISO 27002 Cdigo de prticas para a gesto de segurana da informao

Poltica de Segurana da Informao

Organizando a Segurana da

Informao

Gesto de Ativos

Classificao da Informao

Segurana em Recursos Humanos

Segurana Fsica e do Ambiente

Gesto das Operaes e Comunicaes

Controle de Acesso

Aquisio, Desenvolvimento e

Manuteno de Sistemas de Informao

Gesto de Incidentes de Segurana da

Informao

Gesto da Continuidade do Negcio

Conformidade

90


Segurana em Recursos Humanos

Antes da contratao

papis e responsabilidades definidos e documentados

seleo (referncias, verificao das informaes do currculo, qualificaes

acadmicas e profissionais, verificaes financeiras e criminais)

Termos e condies

Durante a contratao

Responsabilidades da direo

conscientizao, educao e treinamento

Processo disciplinar

Encerramento ou mudana de contratao

Encerramento de atividades

Devoluo de ativos

Retirada de direitos de acesso91


92

Poltica de Segurana da Informao

Gosto no se discute, mas poltica de segurana se

deve discutir, e muito!

POLTICA DE SEGURANA DA INFORMAO

O que so polticas de segurana da informao?

93

Uma Poltica de Segurana da Informao um documento que deve

descrever as prticas que a organizao espera que sejam seguidas

por todos os empregados para proteger seus ativos de informao.

Scott Barman


Polticas so importantes para:

Comunicar os objetivos e as diretrizes da segurana da informao;

Garantir a implementao apropriada de controles de segurana;

Demonstrar o compromisso e apoio da alta administrao;

Evitar problemas legais (indenizaes, multas);

Alcanar um nvel de segurana consistente evitando esforos

segmentados.

94


Desafio

95


Motivos de resistncia

Pessoas, naturalmente, no gostam de regras e vem polticas como

controles;

Consideram um impedimento produtividade;

Diferentes vises sobre necessidades de segurana;

Dificuldades de seguir e implementar.

96


Objetivo ISO 27002

Uma poltica de segurana da informao tem como objetivo

prover uma orientao e apoio da alta administrao para a

segurana da informao de acordo com os requisitos do negcio

e com as leis e regulamentaes pertinentes.

Pesquisa e clnica mdia

Administrao pblica

Indstria Alimentcia

Seguradora

Financeiras

Telefonia ...

ANVISA

CRM

Sarbane-Oxley

Banco Central

ANATEL

ANAC


Fatores Crticos de Sucesso

Implementvel e aplicvel

Concisa e de fcil entendimento por todos

Equilibrar proteo e produtividade

Revisada periodicamente

COMUNICADA, DIVULGADA, DISSEMINADA

98

???


Documentos que compem um Poltica de Segurana

Os documentos que compem uma poltica de segurana de informao

variam bastante em cada organizao, porm a grande maioria segue a

estrutura:

Carta de comprometimento da alta administrao

Diretrizes ou Poltica de Segurana

Normas de Segurana

Procedimentos e Instrues

99

100

Fonte: Segurana e Auditoria de Sistemas UNIBAN - Thiago

Bordini


102


No Poder Executivo da Administrao Pblica do Estado de Mato Grosso, atravs de resolues do COSINT:

Polticas e Diretrizes da Segurana da Informao Estadual (Res. 003/2010)

Norma de Segurana Estadual para Acesso Informao (Res. 008/2010)

Procedimento para concesso e bloqueio de acesso

Procedimento para manter Termo de Responsabilidade e Sigilo

Norma de Segurana para Uso do Correio Eletrnico Corporativo (Res. 009/2011)

Norma de Segurana de Acesso Internet (Res. 010/2011)

Norma de Segurana para Administrao de Senhas (Res. 011/2011)


103

Organizao da Segurana da Informao

104

Em que nvel se enquadra a segurana da informao em uma organizao?

Estratgico

Ttico

Operacional

A ORGANIZAO DA SEGURANA DA INFORMAO

105

Alta Administrao

Comit Multi-disciplinar

Gestores

Colaboradores


Um modelo ...

Gestor SeguranaInformao

106

ComitMultidisciplinar

Exemplo de formao de um Comit de Segurana


Asse

sso

ria

Ju

rd

ica

Re

cu

rso

sH

um

an

os

107

Alta Administrao

ComitMultidisciplinar

Gestores

Gestor Segurana daInformao

Gestores Gestores

Colaboradores Colaboradores Colaboradores



108

Classificao da Informao

109

CLASSIFICAO DA INFORMAO

A informao sempre tem valor.

Se voc no o souber, sempre h

algum que imagina o quanto ela

vale; e voc pode ficar sabendo

somente quando for tarde demais.

Caruso&Steffen

110

A Classificao da Informao permite identificar o grau de proteo

necessrio baseado no valor da informao.

Tal proteo designa-se a evitar destruio, modificao e/ou revelao

no autorizada.


DisponibilidadeIntegridade

Confidencialidade


111

O que ?

o processo de identificar os nveis apropriados de proteo

informao, a partir de critrios bem definidos, garantindo a sua

confidencialidade, integridade e disponibilidade.

Por que?

Permite a proteo adequada s informaes. A Classificao da

informao formalizada e instituda evita equvocos por subjetividade nas

medidas de proteo das informaes de uma organizao.


112

Exemplo

Nveis de Confidencialidade ou Sensibilidade:

Nvel Critrios

Confidencial informaes que, em razo de lei, interesse pblico ou

para a preservao de direitos individuais, devam ser de

conhecimento reservado e, portanto, requeiram medidas

especiais de segurana e salvaguarda.

Restrita informaes que, por sua natureza, s podem ser

divulgadas a grupo restrito de pessoas;

Uso interno informaes que, por sua natureza, so de interesse

exclusivo da organizao;

Pblica Todas as demais informaes.

113

A proteo da informao deve considerar todos os aspectos de

manipulao, tais como:

Controle de cpia

Armazenamento

Transporte interno

Transporte externo

Transmisso via linha telefnica ou fax

Transmisso por redes de comunicao

Descarte



BOM LEMBRAR .....

Valor da

InformaoCusto da Proteo

Custo X Benefcio114

Diretrizes

Normas

Procedimentos


115

Instrumentos para instituio da Classificao da Informao:

Poltica e Diretrizes para Classificao da Informao

Norma de Segurana para Classificao da Informao

Instrues para Proteo da Informao


116

Gesto de Risco

GESTO DE RISCOS

117

O maior risco crer

que no h riscos.

Caruso&Steffen

Prtica preventiva;

Consiste em:

Reconhecer os potenciais riscos sobre determinado objeto (contexto)

que se quer proteger,

Mensurar a capacidade desses riscos em causar danos e a severidade

dos possveis danos,

Tratar esses riscos preventivamente, modificando-o para um nvel

aceitvel.

Referncia: ABNT NBR ISO 31000 Gesto de riscos Princpios e

diretrizes

118

GESTO DE RISCOS

Determinar o contexto

Analisar os riscos

Avaliar os riscosTratar os riscos

Acompanhamento dos riscos

Ambiente,

Sistema,

Projeto,

Servio

Ameaas,

Vulnerabilidades,

Controles,

Impactos,

Probabilidade

Grandeza (Quantitativa ou Qualitativa)

Urgncia

Aceitar Evitar Minimizar o impacto Diminuir a probabilidade Transferir ou compartilhar

GESTO DE RISCOS

119

120carpete


121

Plano de Continuidade do Negcio

122

depois, no adianta chorar o leite desrramado.

PLANO DE CONTINUIDADE DO NEGCIO

FATOS ...

Dentre as empresas que sofrem grandes incidentes sem possuir um

plano:

40% no sobrevivem

40% encerram suas atividades em 18 meses

12% encerram suas atividades em 5 anos

8 % sobrevivem

Fonte: Safetynet/Guardian IT

123


124

PCN um conjunto de planos que se complementam,

oferecendo uma soluo completa para a continuidade dos

negcios essenciais numa situaao de falha ou interupo nos

componentes que suportam os principais processos.

Modulo Security

Tem o foco na continuidade das funes vitais do negcio;

Geralmente contm o plano de recuperao de desastres e o plano

de contingncia TI;

Convm ter o plano de gerenciamento de crise

Fonte: ABNT NBR 15999-1 e 2 Gesto de Continuidade de Negcio


Garante a continuidade

Operacional dos Processos

de Negcios Vitais

Recupera / restaura os

componentes que suportam os

Processos de Negcios

Plano de

Contingncia

Plano de

Recuperao de

Desastre

Gerenciamento de

Crise

Coordena aes,

minimiza perdas, salva

vidas, estabelece porta-

voz, ...


125

126


127


Tinha PCN ???

128

Um bom PCN evita a falsa sensao de segurana.



129

Desenvolvimento de Pessoas

Segurana da Informao comea e

termina em pessoas.

130

DESENVOLVIMENTO DE PESSOAS

131

S existe uma maneira de manter seguros os negcios de uma organizao:

Ter uma fora de trabalho consciente e treinada.

COMO?

Desenvolvendo uma estratgia para aumentar o nvel de conscincia

da segurana da informao e a habilidade de aplicar os princpios e

conceitos s atividades funcionais

crtico empreender os dois princpios de aprendizagem:

CONSCINCIA e CAPACITAO.


132

Que comportamento a organizaoespera dos colaboradores ?

Que habilidade(s) a organizao querque seja desenvolvida?

CONSCIENTIZAO

CAPACITAO


133

Um profissional que, envolvido com a segurana da

informao, se comporta de maneira a proteger

informaes e ativos e planeja e aplica tcnicas de

proteo adequadas.

Tudo isso seguindo os princpios e diretrizes de

segurana estabelecidos pela organizao.

Conscientizao

Capacitao

RESULTADO

Polticas de Segurana


134

Alguns recursos teis para programas de Conscientizao:

Identificao visual (mascote, lema)

Palestras

Gincanas com premiaes

Banners (fsicos e digitais)

E-mails

Cartilhas

Faixas

Brindes com mensagens

e-Boletins


135

Uma boa ao pode gerar uma reao em

cadeia at que uma m ao a anule.

A segurana da informao comea e termina

em PESSOAS.



136

Ferramentas de Segurana

Segurana no um produto que se pode

comprar de prateleira, mas que consiste de

polticas, pessoas, processos e tecnologia

(Kevin Mitinik)

Tecnologias de Apoio

Autenticao

Criptografia

Tecnologias Preventivas e

Detectivas

Firewall

Anti-Malwares

IDS

VPN

137

FERRAMENTAS DE SEGURANA

Autenticao

138

um processo que verifica, a partir de uma identidade digital, se

o usurio possui o direito de acesso a um sistema, um

computador ou um ambiente.


Pode ser baseada em um ou na combinao dos seguintes fatores:

Algo que o usurio conhece.

Algo que o usurio tem

Algo que o usurio

Onde o usurio est

139

Algumas recomendaes para uma boa senha (ISO/IEC 27001):

manter a confidencialidade das senhas;

evitar anotar senhas;

alterar senha sempre que existir qualquer indicao de comprometimento

de sua confidencialidade;

Selecionar senhas de qualidade


140


141


As foras armadas dos Estados Unidos utilizaram a senha

00000000 para proteger esses computadores

durante oito anos (de 1968 a 1976).

Para a sorte dos norte-americanos, na poca no havia

nenhum hacker esperto o bastante para utilizar um rob

de fora bruta para quebrar os cdigos e causar uma

catstrofe.

Outras Ferramentas de Autenticao

142

Biometria


Criptografia

143

Usada para embaralhar uma determinada informao que deve

ser mantida em segredo, protegendo-a do acesso por terceiros no

autorizados.

Somente as pessoas autorizadas conseguiro desembaralha-la

para ter o conhecimento de seu teor.


144

Uso da tecnologia de criptografia

Cifragem / Decifragem ou criptografia/decriptografia

Certificao digital

Assinatura Digital


Cifragem / Decifragem ou criptografia/decriptografia

dados no computador

dados em pendrive

contedos e anexos em e-mails

dados a serem trafegados em redes inseguras (internet)


145

confidencialidade

146


http://www.com.br

147


https://www2.bancobrasil.com.br

148

Identidade digital de pessoa, organizao, equipamento;

Emitido por instituio reconhecida como confivel entre as partes;

Utilizado para autenticar a identidade das partes em um transao

digital

Certificao Digital


autenticidade

149

Assinatura Digital

Utiliza o certificado digital do signatrio

A assinatura digital garantia a integridade do contedo e autenticidade

do signatrio.

Vincula o contedo do arquivo com a assinatura.

A assinatura digital gerada atravs de certificado digital emitido por

entidade da ICP-Brasil tem validade legal.


Autenticidade e integridade

150

Indicador deAssinatura

Digital

Para Criptografar basta clicar


151

Firewall

Anti-malware

IDS Sistema de Deteco de Intruso

VPN Virtual Private Network

Outras ferramentas de segurana:



152

Segurana Fsica

Permetros de Segurana

Consiste em isolar reas com diferentes nveis de risco e

criticidade

Segurana em camadas

Deve-se considerar os riscos de fora para dentro

Controle de Acesso Fsico

Prover segurana de acesso a reas delimitadas

salas de computadores, almoxarifado, sala de mquinas,

arquivo geral, ...

153

SEGURANA FSICA

SEGURANA FSICA

154

Recomendaes sobre controle de Acesso Fsico:

A entrada de pessoas em reas de segurana deve ser

controlada para que apenas pessoas autorizadas tenham acesso.

Controles:

Registro da data e hora da entrada e sada de visitantes

As permisses de acesso devem ser concedidas somente para

finalidades especficas e autorizadas

O acesso a reas em que so processadas ou armazenadas informaes

sensveis deve ser restrito s pessoas autorizadas;

Funcionrios, fornecedores e terceiros, e todos os visitantes, devem

possuir alguma forma visvel de identificao

155

SEGURANA FSICA

Infraestrutura de Utilidades

Energia eltrica, abastecimento de gua, tratamento de esgotos e ar-

condicionado;

Exige manutenes regulares para assegurar seu funcionamento correto;

Recomenda-se o uso de UPS (Uninterruptible Power Supply) para

suportar as paradas e desligamento dos equipamentos. O sistema mais

comum o no-break.

Deve ser considerado o emprego de um gerador de emergncia caso seja

necessrio para o negcio.

156

SEGURANA FSICA

Circuito Fechado de TV

O sistema de circuito fechado de TV mantm a vigilncia constante sobre

os pontos mais crticos.

Para realizao do monitoramento sem riscos legais:

Manter sempre aviso em especial na entrada do recinto

Contedo das filmagens s poder ser transcrito e utilizado em face de

investigao

Contedo das filmagens deve ter controle de acesso rgido.

Treinamento especfico aos responsveis pela anlise das imagens

Tambm se deve observar para que no haja exposio do colaborador

ao ridculo, tampouco gerar algum tipo de perseguio (colocar a

cmera vigiando apenas determinada pessoa e no todo o ambiente).

157

SEGURANA FSICA

Segurana Fsica em Equipamentos

Algumas consideraes:

Posicionamento do monitor de maneira a evitar visualizao de informaes

por pessoas no autorizadas;

Controles contra furtos e sabotagens;

Inibir comidas ou bebidas prximas a equipamentos;

Condies ambientais: temperatura, umidade, poeira, gazes;

Cabos de segurana para laptops.

158

SEGURANA FSICA

Segurana contra Fogo

Precaues:

Somente equipamentos em funcionamento devem ser mantidos ligados;

No se deve permitir qualquer atividade que produza fumaa ou qualquer

gs em recinto de instalao sensvel;

Antes da sada de pessoal de instalao sensvel:

Fechar todas as portas e aberturas entre os diversos compartimentos;

Papis e sucatas de papel devem ser recolhidos e removidos;

Retirar da energia equipamentos que no necessitam ficar ligados;

Verificar se sistema de combate e preveno de incidente est

operante;

Plano e Treinamento contra incndio.159

SEGURANA FSICA

9. Segurana contra Fogo

Classes de Incndio:

Classe A combustveis slidos

comuns; queimam em superfcie e em

profundidade. Ex.: papel,madeira,

tecido, fibras.

Classe B combustveis inflamveis

derivados do petrleo e outras fontes;

queimam na superfcie.Ex.: gasolina,

alcool, querosene, parafina, acetileno.

Classe C equipamentos eltricos e

eletrnicos com energia.Ex.: mquinas,

motores, instalaes eltricas.

Classe D metais pirofricos; requerem

agentes extintores especficos; se

inflamam em contato com o ar. Ex.:

magnsio, sdio, potssio, p de zinco.

SEGURANA FSICA

160


161

ASPECTOS LEGAIS

Melhores Prticas

Educao

Polticas, normas e termos de responsabilidade

Monitoramento

Os recursos de TI so do empregador

Deve estar claro aos empregados de que no h privacidade no uso

dos recursos da empresa (e-mails corporativos, acesso Internet)

Os empregados devem estar cientes dos monitoramentos a que

esto submetidos (Internet, e-mails, filmagem, ...)

Medidas disciplinares

162

ASPECTOS LEGAIS

IV. GESTO DA SEGURANA DA INFORMAO

163

Ciclo PDCA

164

Gesto da

Segurana

da

Informao

AGIR PLANEJAR

EXECUTARVERIFICAR

Planos de Segurana:

Reviso Poltica e Normas Programa de educao / capacitao Implementao controles de segurana Definio das metas e indicadores Planejar monitoramento da conformidade, gesto de risco e

gerenciamento dos incidentes

Execuo dos

Planos

Classificar incidentes Analisar e Avaliar Riscos Analisar medidas dos indicadores

Analisar desvios de conformidade

Novos requisitos de segurana? Novos requisitos legais?

Tratar Incidentes Identificar causas

Responsabilizar Tratar riscos urgentes

Tratar desvios nos indicadores

165

OBRIGADA!

SORAIA DE FELICE

[email protected]

[email protected]

Documents

Boas Praticas de Seguranca Da Informacao