A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança e Auditoria de Sistemas Aula 1 - Introdução.

Apresentações semelhantes


Apresentação em tema: "Segurança e Auditoria de Sistemas Aula 1 - Introdução."— Transcrição da apresentação:

1 Segurança e Auditoria de Sistemas Aula 1 - Introdução

2 Problemas de segurança: avaliar o risco e impacto. Como descrever uma Política de Segurança. Conhecer as principais técnicas utilizadas para comprometer um sistema. Inibir as principais ameaças a um sistema. Estratégias de segurança: firewall, proxy, criptografia, assinatura digital. Aspectos sobre Auditoria. O que será estudado nesta disciplina

3 A cada dia, mais informações são produzidas e passíveis de ataques. Esses ataques estão cada vez mais eficientes. Acreditamos que esses ataques nunca acontecerão conosco. Políticas de segurança devem ser criadas para minimizar as possibilidades de ataques. Motivação

4 Sistemas trabalhavam de forma isolada. Não havia comunicação internet. A informação era levada de um computador a outro por meio de fitas ou disquetes. Tempos depois a comunicação entre os computadores ainda era restrita à redes locais. Riscos eram apenas internos, portanto mais fáceis de resolver. Antigamente...

5 O ambiente está todo conectado: celular, smartphone, tablet, notebook etc. Quase todos os computadores tem acesso a internet. Redes wireless por toda parte. Computação nas nuvens. Programas de mensagem instantânea e e-mail estão cada vez mais populares. Vírus que são transmitidos por meio de pen- drives, spams e lista de e-mails. Nos dias de hoje...

6 Realizar a análise de riscos. Identificar as ameaças. Implementar uma política de segurança. Elaborar um plano de auditoria. Auditar Como evitar/prevenir?

7 Toda empresa guarda a 7 chaves suas informações, afinal hoje é considerado o bem mais valioso da empresa. Antigamente as informações eram documentadas em papel e arquivadas em local de acesso restrito. Hoje as informações são digitais. Informação: o bem mais valioso

8 Para gerar informação, é preciso que os dados sejam íntegros, confiáveis e estejam disponíveis. Informação: o bem mais valioso Segurança da Informação Segurança da Informação Confidencialidade Integridade Disponibilidade

9 1.Confidencialidade dos dados: refere-se à proteção contra o acesso não autorizado a dados, ou seja, a informação deve ser acessada somente por pessoas autorizadas. Uma vez desrespeitado esse princípio, temos o que chamamos de incidente de segurança da informação por quebra de confidencialidade. Princípios básicos de um sistema de segurança

10 2.Integridade dos dados: refere-se à proteção contra alteração dos dados, isto é, a informação deve ser mantida inalterada ou íntegra. Esses dados só podem ser alterados por uma pessoa autorizada. Princípios básicos de um sistema de segurança

11 3.Disponibilidade de dados: refere-se à proteção contra a interrupção do acesso a dados ou serviços. Resumidamente, a informação deve estar acessível sempre que pessoas autorizadas necessitam. Princípios básicos de um sistema de segurança

12 Identificar o grau de proteção que cada tipo de informação precisa. Proporcionar a proteção em grau adequado para o negócio. Coletar informações sobre o grau de segurança existente em determinado ambiente da organização e elaborar um plano de segurança. Análise de Riscos

13 Campos de Riscos

14 Empresas que realizam análise de riscos e sua frequência Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf

15 Quanto investir? Os investimentos em diminuição dos riscos não devem exceder a 1% do faturamento da organização. (CAMPOS, 2007, p. 52). O custo não deve exceder o valor do ativo que se deseja proteger. CAMPOS, A. Sistema de segurança da informação: controlando os riscos. 2. ed. Florianópolis: Visual Books, 2007.

16 Valor médio dedicado para a Segurança da Informação Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf Porcentagem retirada do valor total investido na área de TI

17 33% que não sabem quantificar as perdas. 21% não sabem sequer identificar os responsáveis pelo problema. 35% não possuem planejamento para segurança. Falhas de segurança: 24% causadas por funcionários. 20% por hackers. 77% de aumento nos problemas relacionados a segurança nos próximos anos. Mais alguns dados

18 Problemas que geram perdas financeiras Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf

19 Abrange um conjunto de controles que buscam diminuir as vulnerabilidades do sistema de informação. Deve ser divulgada para que todos na organização a conheçam e saibam das penalidades para quem não a cumprir. Elaborada e implementada processo contínuo de revisão, com regras claras e simples. Políticas de segurança

20 A partir de uma política, espera-se: Diminuir a probabilidade de ocorrência. Diminuir os prejuízos causados por eventuais ocorrências. Elaborar procedimentos para recuperação de desastres. Políticas de segurança

21 Ser simples a política deve apresentar uma linguagem simples, facilitando sua leitura e compreensão. Ser objetiva a política não deve ser um documento muito extenso, deve apenas focar nos objetivos a serem alcançados. Ser consistente a política deve estar alinhada com as demais normas, como por exemplo, as legislações públicas. Políticas de segurança

22 Definir metas a política deve apresentar as metas a serem alcançadas. Definir responsabilidades a política deve estabelecer as responsabilidades sobre o uso da informação. Definir penalidades a política deve conter procedimentos de punição caso não seja cumprida. Políticas de segurança

23

24 Principal obstáculo para implementar a Segurança da Informação Pesquisa realizada em 2006 pela empresa Módulo http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf

25 1. OBJETIVO Descrever o objetivo. 2. ÂMBITO Descrever a abrangência (todos os funcionários). 3. DEFINIÇÕES Definir termos técnicos. 4. POLÍTICA 4.1 USO ACEITÁVEL O que a política permite. 4.2 USO INACEITÁVEL O que a política proíbe. Modelo de política de segurança

26 5. SANÇÕES As penalidades. 6. CONTROLE DE VERSÃO Colocar versão, data e nome do autor. Modelo de política de segurança

27 Vimos que com a evolução da tecnologia estamos mais vulneráveis. Vimos a importância da segurança da informação e quais as principais ameaças que geram prejuízos. Vimos os 3 princípios básicos para um sistema de segurança. Vimos sobre análise de riscos e política de segurança. Conclusão


Carregar ppt "Segurança e Auditoria de Sistemas Aula 1 - Introdução."

Apresentações semelhantes


Anúncios Google