Segurança da Informação e Políticas de Segurança
-
Upload
gilberto-sudre -
Category
Technology
-
view
10.081 -
download
1
description
Transcript of Segurança da Informação e Políticas de Segurança
Gilberto Sudré ©
Segurança da Informaçãoe
Políticas de Segurança
Gilberto Sudré
vidadigital.blog.brwww.gilberto.sudre.com.br
Gilberto Sudré2
Gilberto Sudré3
Agenda
➢ A Segurança da Informação
➢ Serviços de Segurança da Informação
➢ Classificação de Segurança
➢ Riscos e Ameaças➢ Vírus➢ Internet
➢ Políticas de Segurança
Gilberto Sudré ©
A Segurança da
Informação
Gilberto Sudré5
Nova economia
➢ Acirramento da competição científica e econômica
➢ O conhecimento como expressão de poder e vantagem competitiva
➢ Capital intelectual – Ativo das organizações
Gilberto Sudré6
Conhecimento e Informação
➢ Natureza estratégica
➢ Diferencial competitivo
➢ Alto valor agregado
➢ Instrumento de poder
Gilberto Sudré7
Desafios da segurança
➢ Redução do riscos contra vazamento de informações confidenciais
➢ Redução da probabilidade de fraudes
➢ Diminuição de erros devido a treinamentos e mudanças de comportamento
➢ Manuseio correto de informações confidenciais
Gilberto Sudré8
Desafios da segurança
➢ Administrar uma gama muito grande de:➢ Ambientes
➢ Usuários
➢ Sistemas e Aplicações
➢ Perfis de Trabalho
➢ Especialidades
➢ Mudanças
Gilberto Sudré9
Eu odeio segurança !!
➢ Todos nós odiamos as restrições impostas pelos controles de segurança em nossa liberdade de ir, vir, ler, escrever e falar.
➢ Ninguém gosta de ter que carregar chaves de portas e de lembrar de senhas.
➢ Ficamos impacientes em esperar por aprovação para entrar em um prédio ou na sala de espera em um aeroporto. Reclamamos das portas de segurança dos bancos e dos limites de de velocidade das vias públicas.
➢ Mas ela é cada vez mais necessária...
Gilberto Sudré10
Gilberto Sudré11
Definições de Segurança
segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção.
[Aurélio]
Gilberto Sudré12
Definições de Segurança
Segurança em sistemas de computadores resume-se a uma série de soluções técnicas para problemas não técnicos.
[Garfinkel e Spafford]
Gilberto Sudré13
Definições de Segurança
“Segurança não é uma questão técnica, mas uma questão gerencial e humana. Não adianta adquirir uma série de dispositivos de hardware e software sem treinar e conscientizar o nível gerencial da empresa e todos os seus funcionários”
Christopher KlausCTO - Chief Technology OfficerISS – Internet Security System
Gilberto Sudré14
Solução de Segurança
Ferramentas Controles
Políticas de Segurança
Gilberto Sudré15
Pergunta...
O que é pior que não termos segurança alguma em nossos sistemas?
Gilberto Sudré16
! ! ! ...
É possuírmos a falsa impressão de segurança
Gilberto Sudré ©
Serviços de
Segurança da
Informação
Gilberto Sudré18
Serviços de Seg. da Informação
➢ Existem diferentes aspectos que caracterizam a segurança de um sistema de computadores. Estes aspectos são denominados serviços de segurança.
➢ Os serviços de segurança devem ter:➢ Confidencialidade➢ Integridade➢ Autenticidade➢ Disponibilidade➢ Controle de acesso➢ Não-repúdio➢ Auditoria
Gilberto Sudré ©
Classificação de
Segurança
Gilberto Sudré20
Classificação de Segurança
➢ O que é segurança?
Gilberto Sudré21
Classificação de SegurançaSegurança Física
➢ Backups
➢ Ambientes de alta disponibilidade➢ Plano de Contingência➢ Dualização de servidores
➢ Área Segura➢ Controle de acesso➢ Limitado pelo Perímetro de Segurança
➢ Descarte e lixo
➢ Política de mesa e tela limpas
➢ Segurança de Equipamentos
Gilberto Sudré22
Classificação de SegurançaSegurança Lógica
➢ Antivírus
➢ Autenticação➢ Senhas➢ Biometria
➢ Criptografia
➢ Ferramentas de:➢ Bloqueio de acesso➢ Detecção de invasões➢ Detecção de Vulnerabilidades➢ VPN (Virtual Private Network)
Gilberto Sudré ©
Riscos e
Ameaças
Gilberto Sudré24
Vírus de Computador
➢ Como surgiram?➢ Início dos anos 80➢ Fred Cohem, estudante da University of Southern
California➢ Experiências com códigos “hostis”➢ Tese de doutorado
➢ Qual foi o primeiro Vírus?➢ 1986➢ Origem Pakistão➢ Nome: Brain
Gilberto Sudré25
Worms(vermes)
➢ Termo genérico utilizado para qualquer software capaz de propagar a si próprio em redes de computadores
➢ Normalmente utilizam a exploração de falhas de código
➢ Exemplo:➢ Code Red➢ Explora falha de buffer overflow no Microsoft IIS Web
Server
Gilberto Sudré26
Cavalo de Tróia(Trojan Horse)
➢ Programa que é executado na máquina atacada (Servidor), controlado a partir do programa cliente instalado na máquina do atacante (Cliente)
➢ Normalmente não se propaga automaticamente, aguarda que o usuário o instale em sua máquina
Gilberto Sudré27
Hackers
➢ Experimentadores (“Lammers” , “Script Kiddies”)
➢ Vândalos
➢ Cybercriminosos (“Crackers”)
➢ Soldados (“InfoWarFare”)
Gilberto Sudré28
E-mail e Mensagens Instantâneas
➢ Meio de propagação de vírus e outras pragas virtuais
➢ Divulgação de informações enganosas e mentirosas
➢ Perda de produtividade
➢ Vazamento de informações sigilosas
Gilberto Sudré29
Programas piratas
➢ Ilegal➢ Multa até 2000 x o valor da cópia original
➢ Responsabilidade criminal➢ Administradores
➢ Caixa de surpresas➢ Você nunca sabe o que tem dentro !!!
Gilberto Sudré30
Navegação na Internet
➢ Disseminação de Vírus e Cavalos de Tróia
➢ Captura de informações pessoais
➢ Perda de produtividade
Gilberto Sudré ©
Política de
Segurança
Gilberto Sudré32
Política de SegurançaO que é?➢ Política de segurança é a expressão formal das regras
pelas quais é fornecido acesso aos recursos tecnológicos da empresa.
➢ Quem, quando e como pode ter acesso as informações
➢ Considerações➢ Serviços oferecidos X Segurança fornecida➢ Facilidade de uso X Segurança➢ Custo da segurança X Risco da perda
Gilberto Sudré33
Política de Segurança
➢ É importante para:
➢ Garantir a implementação de controles de segurança apropriados
➢ Auxiliar na seleção de produtos e no desenvolvimento de processos
➢ Documentar as preocupações da alta direção sobre segurança
➢ Evitar responsabilidade da empresa nos casos de quebra de segurança
➢ Transformar a segurança em um esforço comum
Gilberto Sudré34
Política de SegurançaTipos
➢ Fechada
➢ Tudo aquilo que não é permitido explicitamente é
proibido.
➢ Aberta
➢ Tudo aquilo que não é proibido explicitamente é
permitido.
Gilberto Sudré35
Política de Segurança
➢ Segurança da Informação precisa ser tratada corporativamente
➢ Verdadeiro
➢ É fator crítico de sucesso tratar os problemas de segurança de forma ampla e completa, pois diferente disso, as empresas terão apenas soluções isoladas e pontuais que pouco contribuirão para elevar o nível de controle e segurança das informações da empresa
Gilberto Sudré36
Política de SegurançaO que não deve prever ?
➢ Detalhes técnicos
➢ Copiar políticas e implementações de outro local
Gilberto Sudré37
Política de SegurançaComitê de Segurança
➢ Montar comitê representativo da Cultura da Organização (exemplos)
➢ Infra-estrutura➢ Informática, Engenharia
➢ Apoio➢ RH, Auditoria, Jurídico, Qualidade, Segurança
➢ Atividades-fim da Organização
Gilberto Sudré38
Uma solução evolutiva
Planejamento
ElaboraçãoMonitoramento
Implantação e
treinamento
Gilberto Sudré ©
Conclusão
Gilberto Sudré40
Conclusão
➢ A informação é o ativo mais importante da sociedade atual
➢ Segurança da informação é fator fundamental para garantir o uso correto das informações em um sistema de computadores
➢ A solução completa de segurança da informação deve contar, além dos recursos tecnológicos, com uma política e administração de segurança global, sistematicamente controlada (Pessoas, Procedimentos e Técnicas)
Perguntas !! Perguntas !!
Gilberto Sudré ©
Segurança da Informaçãoe
Políticas de Segurança
Gilberto Sudré
vidadigital.blog.brwww.gilberto.sudre.com.br