Segurança da Informação Conscientização de empregados e contratados Introdução ao Pensamento Gerencial.

Apresentação em tema: "Segurança da Informação Conscientização de empregados e contratados Introdução ao Pensamento Gerencial."— Transcrição da apresentação:

1 Segurança da Informação Conscientização de empregados e contratados Introdução ao Pensamento Gerencial

2 Fatos… Fonte: THE NEW YORK TIMES, Outubro 2003
 "...O Brasil tem sido a base mais atuante dos malfeitores da internet, segundo a M2G Intelligence, consultoria de risco digital de Londres…” Fonte: THE NEW YORK TIMES, Outubro 2003

3 Fatos… “(…) A agência de espionagem Kroll foi contratada pela presidente da Brasil Telecom, Carla Cico, para investigar a Telecom Italia, sócia da empresa, e com quem o banqueiro Daniel Dantas, dono do Banco Opportunity e principal controlador da concessionária de telefonia fixa, mantém uma briga pelo controle das ações. (…) Kroll violou s de Gushiken. O presidente do Banco do Brasil, Cássio Casseb, também foi espionado pela empresa multinacional.” Fonte: Jornal do Brasil / JB On Line Julho de 2004

4 Fatos… Lâmina pode ter cortado pneu do Concorde da Air France “(…) Uma lâmina metálica de 40 centímetros de comprimento, achada na pista na qual utilizou o Concorde que caiu em Gonesse, em 25 de julho, foi provavelmente a causa do corte no pneu que se rompeu na decolagem, anunciou hoje a BEA _agência de investigação de acidentes francesa. O acidente causou a morte de 113 pessoas.” Fonte: Folha Online 10/08/2000

5 Fatos… Plataforma Petrobras 36 afunda NOTA A IMPRENSA
“ A Petrobras informa que às 10h45 de hoje (ontem) teve início o processo irreversível de afundamento da plataforma P-36. Por razões de segurança, todas as pessoas e embarcações já haviam sido afastadas da área, desde às 2h30, quando houve um movimento brusco da plataforma. O Plano de Contingência Ambiental da Petrobras, acionado desde os primeiros momentos do acidente, dispõe de nove embarcações com técnicos e equipamentos para combater qualquer afloramento de óleo.” Fonte: Terra Notícias - Março 2001 Bacia de Campos, 19 de março de 2001 O presidente da Petrobras, Henri Philippe Reichstul, enfrenta mais uma tragédia em sua administração

6 Este servidor está seguro???
500 metros Nuclear Bunker Concreto Servidor “desligado” Cercado de concreto Bunker Nuclear 500 metros abaixo do solo

7 Infelizmente nada é 100 % seguro …

8 O cerne da questão é …RISCO !
O que pode acontecer? Qual o impacto? Com qual frequência? O quão certo estou das respostas acima? Ativos Ameaças RISCO CONCEITO CHAVE INCERTEZA ! Vulnerabilidades

9 Qual é a ameaça? ?

10 Qual é a ameaça? Não Qual mas Quem?

11 Quem é a ameaça - Hackers

12 Quem é a ameaça- Administradores

13 Quem é a ameaça - Usuários

14 Todos nós somos uma ameaça !
Euuuu ???

15 O que fazer? Ou Não fazer?

16 SEGURANÇA DA INFORMAÇÃO
O que é Segurança? Confidencialidade Integridade Disponibilidade + SEGURANÇA DA INFORMAÇÃO

17 Sistemas de Informação
O que é Segurança? Organização Possui Negócios Mantidos por Sistemas de Informação Que dependem de que podem ter ... Ativos

18 QUE PÕEM EM RISCO OS NOSSOS NEGÓCIOS !!!
O que é Segurança? VULNERABILIDADES QUE PÕEM EM RISCO OS NOSSOS NEGÓCIOS !!!

19 O que é Segurança? Um pouco de filosofia … “"Nós somos aquilo que fazemos repetidas vezes. A excelência, então, não é um ato, mas um hábito".  Aristóteles ( A.C.)

20 O que é Segurança? Conscientize-se ! “ De que adianta ter o melhor alarme em seu carro se você esquece de ligá-lo?”

21 O que é Segurança? Segurança também é… Compromisso ! Atitude !
Responsabilidade !

22 O que é Segurança? Estar consciente é saber:
Quais são as suas responsabilidades Quais sistemas de informação você interage e porquê O que você precisa fazer para protegê-los Estar ciente e comprometido com as políticas e diretrizes de segurança

23 Concluindo … “ Segurança da informação é Confidencialidade Integridade
Disponibilidade e acima de tudo, uma questão de hábito “

24 Responsabilidades Gerenciais
O que fazer? Consultar o Security Office em caso de dúvidas; Deixar claro para os colaboradores a importância do assunto para companhia; Conhecer as políticas de diretrizes de segurança vigentes que tenham influência em seu trabalho; Compreender suas responsabilidades quanto a proteção dos ativos de TI da companhia (Pcs, Laptops, softwares, etc)

25 O que fazer? Responsabilidades Gerenciais
Conhecer os softwares utilizados em seu setor e assegurar que todos foram obtidos de acordo com as políticas de licenciamento vigentes Assegurar que os novos empregados e contratados sejam informados sobre a existência da política de segurança bem como onde buscar maiores informações Riscos relativos aos sistemas de informação sob sua gestão.

26 Responsabilidades Gerenciais
O que NÃO fazer? Ser complacente com a segurança das informações ou pensar: “não vai acontecer com você” Esperar para procurar por ajuda ou demorar a agir se você achar que “algo está errado”. Procure ajuda o mais cedo possível. Considerar segurança como uma necessidade que se aplica a somente a sistemas complexos e especializados Tentar resolver você mesmo todos os problemas – Não hesite em em pedir ajuda

27 O que NÃO fazer? Responsabilidades Gerenciais
Esquecer que o FAX, telefone e celulares também tem seus próprios requerimentos de segurança Esquecer de recuperar ativos de informação (Ex. Notebooks) de empregados que estejam deixando a companhia. Você pode ser responsabilizado caso eles não sejam recuperados!

28 O que fazer? Responsabilidades dos Empregados
Informe qualquer coisa suspeita. Você pode contactar seu gerente, o Security Office ou mesmo seu suporte local de acordo com a natureza do problema. Proteja a informação da companhia mantendo-a segura; Informe-se sobre que tipo de informação precisa ser protegida e siga os procedimentos existentes a respeito de Classificação da Informação Informação é poder! Procure saber quais políticas e diretrizes afetam seu trabalho e então as siga.

29 O que NÃO fazer? Responsabilidades dos Empregados
Permitir que visitantes tenham acesso as dependências da companhia desacompanhados. Divulgar informações consideradas confidenciais pela companhia sem a devida autorização. Conceder a visitantes ou consultores externos acessos a computadores ou aos sistemas de informação da companhia sem a devida autorização da gerência Tentar utilizar algum computador ou qualquer sistema sem que tenha a devida autorização para tal. Lembre-se você pode estar sendo monitorado!

30 O que NÃO fazer? Responsabilidades dos Empregados
Permitir a qualquer visitante conectar computadores pessoais ou notebooks a rede. Em caso de necessidade consultar o suporte local. Utilizar equipamento para outro fim que não sejam atividades relacionadas ao seu negócio.

31 O que fazer? Incidentes e Falhas de Segurança
Informar IMEDIATAMENTE ao seu Gerente ou ao Security Office sobre o ocorrido Identifique o computador ou sistema que você acha que está comprometido e desconecte-o da rede local. Evite utilizá-lo até que o problema esteja completamente resolvido. Avalie e documente os impactos do ocorrido para o negócio. Mantenha um registro escrito dos eventos para ajudar a investigação.

32 Incidentes e Falhas de Segurança
O que NÃO fazer? Ignorar ou “encobrir” incidentes Demorar para comunicar um incidente Assumir que um incidente “foi resolvido” antes de confirmar a informação com o suporte local Permitir a reutilização de equipamentos sob suspeita antes de ação corrretiva

33 Senhas O que fazer? Elabore suas senhas de forma a dificultar sua quebra: Mínimo de 8 caracteres Números e símbolos Incluindo o uso de UPPERCASE e LOWERCASE alternadamente Não repita seu USERNAME ! Evite caracteres repetidos Evite temas comuns (seu time, placa carro, filho, sogra..)

34 O que fazer? Senhas Mantê-la em segredo é sua responsabilidade
Use “Password Protect” Screen Savers Mude sua senha regularmente

35 Senhas O que NÃO fazer? Deixar seu PC ou Laptop sozinho quando quando estiver logado Repetir a mesma senha quando o sistema solicitar que você mude. Anotar sua senha para não esquecer e deixá-la próxima ao seu micro (Post it ..) Revelar (mesmo ao funcionário de suporte local)

36 O que fazer? Computadores Pessoais
Use seu computador somente para fins autorizados Proteja seu PC da observação alheia (visitantes, clientes) Faça backup dos arquivos que você considera crítico - Faça isso regularmente Armazene seus “backups” em um lugar seguro

37 Computadores Pessoais
O que NÃO fazer? Mudar as configurações do antivírus Trazer equipamento particular para empresa e conectá-lo a rede da companhia. Usar equipamento para fins não autorizados Transferir PC´s ou qualquer outro equipamento de sua locação sem autorização por escrito da gerência responsável

38 O que fazer? Proteção Antivírus IMPORTANTE!
SUSPEITE de QUALQUER arquivo atachado recebido por , MESMO DE CONHECIDOS !!! Se você receber um CD ou disquete de uma fonte desconhecida, utilize seu software antivírus para proceder com uma verificação preliminar Cheque regularmente se seu antivírus está atualizado. Caso não esteja, entre em contato com o suporte local

39 O que fazer? Proteção Antivírus Se houver suspeita de vírus:
Desconecte o cabo de rede do equipamento Entre em contato com o suporte local e aguarde o atendimento Informe ao seu Gerente ou ao Security Office sobre o ocorrido. Tente determinar de onde veio a contaminação e informe ao seus colegas de trabalho sobre sua suspeita pedindo que eles verifiquem seus equipamentos.

40 O que NÃO fazer? Proteção Antivírus
Alterar as configurações ou “desligar” software antivírus Criar compartilhamentos “abertos” (Everyone Full control) em sua máquina Repassar avisos sobre vírus aos seus colegas de trabalho a menos que ele seja proveniente de avisos internos ou do Security Office. Eles podem ser um HOAX

41 O que fazer? Segurança Física
Lista atualizada de pessoas autorizadas a entrarem em ambientes de acesso restrito com as respectivas razões Trocar os códigos de acesso periodicamente Controles ambientais (Umidade, Temperatura, Fumaça, detecção e supressão de incêndios) Notebooks trancados em armários

42 O que NÃO fazer? Segurança Física
Manter as mídias de backup no mesmo lugar que os equipamentos Servidores em áreas abertas PC´s próximos a locais de fácil observação externa Transferir equipamentos sem a anuência do suporte local / pessoal de inventário

43 Uso de E-mail e Internet
Uso inapropriado da Internet Uso dos serviços Internet para negócios particulares ou pessoais. Que vise o acesso não autorizado a quaisquer recursos dentro ou fora da empresa. Prejudique o uso da Internet. Desperdice recursos (pessoal, capacidade, computador). Destrua a integridade ou faça uso indevido de quaisquer informações dos servidores. Comprometa a privacidade de quaisquer usuários. Não obedeça a legislação local e nacional aplicáveis. Comprometa informações proprietárias ou confidenciais da empresa. Não respeite outras políticas ou procedimentos da empresa.

44 O que fazer? Trocando Informações
Movimentação das informações devem estar autorizadas Assegure que as informações enviadas estão completas e acuradas Mecanismos adequados para transferência de grandes arquivos (FTP) Registro de dados trocados com pessoas ou organizações externas

45 O que NÃO fazer? Trocando Informações
Aceitar ou usar dados/programas de fontes externas quando em dúvida sobre a autenticidade ou integridade Transferir arquivos grandes para outros usuários através de s. “Carregar” qualquer programa que não se saiba a origem – Evite surpresas …

46 O que fazer? Acesso Remoto Autorizado pela gerência
Personal Firewall instalado Mudar regularmente sua Senha e ID

47 O que NÃO fazer? Acesso Remoto
Permitir outras pessoas usarem seu equipamento ou facilidades de acesso remoto disponibilizadas pela companhia Deixar sua conexão aberta sem utilização Conectar o LAPTOP à rede de terceiros

48 O que fazer? Manipulando Informações
As informações armazenadas em seu PC é propriedade da empresa contratante e com tal é considerada um ativo da companhia ! Backup SEMPRE e REGULARMENTE ! Cuidado ao compartilhar informações

49 O que NÃO fazer? Manipulando Informações
Acessar, copiar ou transferir dados a menos que esteja autorizado Acessar dados confidenciais, mesmo que disponíveis, fora do seu nível de autoridade

50 Fato … Computer Crime PL84/99 – Aprovação prevista para este ano
“ (…) Em 31/12/2003, data histórica que marca a primeira condenação penal no país por crimes de estelionato (artigo 171, caput, combinado com parágrafo 3º do Código Penal), formação de quadrilha (artigo 288 do Código Penal) e violação de sigilo bancário (Lei Complementar 105/2001) cometidos via internet. Estamos falando da sentença proferida pela juíza Janete Lima Miguel Cabral, da 2ª Vara da Justiça Federal de Campo Grande, localizada em Mato Grosso do Sul, que condenou Guilherme Amorim de Oliveira Alves, de 19 anos, a seis anos, cinco meses e seis dias de prisão. Além de Guilherme, a juíza condenou também um de seus comparsas, Evânancy Soares de Alcântara, a quatro anos, oito meses e vinte dias de prisão.” PL84/99 – Aprovação prevista para este ano FONTE: Módulo

51 O que fazer? Computer Crime
Reportar circunstâncias suspeitas a gerência Monitorar log´s dos sistemas críticos Gravar e guardar evidências para posterior avaliação

52 O que NÃO fazer? Computer Crime Destruir evidências
Demorar a reportar incidentes Divulgar suspeitas de incidentes

53 Concluindo … “ Consideramos Computer Crime os danos causados de forma deliberada à equipamentos, dados ou softwares. Incluindo-se também: Propagar vírus Acessar dados não autorizados Quebrar privacidade alheia Espionagem

54 O que fazer? Licença de Softwares a Copyright
Trate programas e software com ativos da companhia Esteja ciente que todo os programas e sistemas escritos por empregados da empresa no curso de suas atividades pertencem a empresa contratante Saiba que a violação ou desrespeito às normas de licenciamento de software constitui CRIME, bem como violação do código de ÉTICA das empresas

55 O que NÃO fazer? Licença de Softwares a Copyright Copiar software
Usar software não autorizado/licenciado Fazer “download” de FREEWARE ou SHAREWARE sem a devida autorização da gerência

56 Políticas de Segurança
CONCEITO “ Uma declaração formal de regras que devem ser obedecidas pelas pessoas as quais são concedidos acessos a tecnologias e ativos de informação de uma organização “ RFC 2196 (Site Security Handbook) ...