A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança e Auditoria de Sistemas

PublicouIan Sales Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança e Auditoria de Sistemas"— Transcrição da apresentação:

1 Segurança e Auditoria de Sistemas
Aula 1 - Introdução

2 O que será estudado nesta disciplina
Problemas de segurança: avaliar o risco e impacto. Como descrever uma Política de Segurança. Conhecer as principais técnicas utilizadas para comprometer um sistema. Inibir as principais ameaças a um sistema. Estratégias de segurança: firewall, proxy, criptografia, assinatura digital. Aspectos sobre Auditoria.

3 Motivação A cada dia, mais informações são produzidas e passíveis de ataques. Esses ataques estão cada vez mais eficientes. Acreditamos que esses ataques nunca acontecerão conosco. Políticas de segurança devem ser criadas para minimizar as possibilidades de ataques.

4 Antigamente... Sistemas trabalhavam de forma isolada. Não havia comunicação internet. A informação era levada de um computador a outro por meio de fitas ou disquetes. Tempos depois a comunicação entre os computadores ainda era restrita à redes locais. Riscos eram apenas internos, portanto mais fáceis de resolver.

5 Nos dias de hoje... O ambiente está todo conectado: celular, smartphone, tablet, notebook etc. Quase todos os computadores tem acesso a internet. Redes wireless por toda parte. Computação nas nuvens. Programas de mensagem instantânea e estão cada vez mais populares. Vírus que são transmitidos por meio de pen- drives, spams e lista de s.

6 Realizar a análise de riscos. Identificar as ameaças.
Como evitar/prevenir? Realizar a análise de riscos. Identificar as ameaças. Implementar uma política de segurança. Elaborar um plano de auditoria. Auditar Auditoria: descobrir irregularidades em departamentos

7 Informação: o bem mais valioso
Toda empresa guarda a 7 chaves suas informações, afinal hoje é considerado o bem mais valioso da empresa. Antigamente as informações eram documentadas em papel e arquivadas em local de acesso restrito. Hoje as informações são digitais.

8 Informação: o bem mais valioso
Para gerar informação, é preciso que os dados sejam íntegros, confiáveis e estejam disponíveis. Segurança da Informação Confidencialidade Integridade Disponibilidade Independente da técnica, o objetivo é tratar estas três questões.

9 Princípios básicos de um sistema de segurança
Confidencialidade dos dados: refere-se à proteção contra o acesso não autorizado a dados, ou seja, a informação deve ser acessada somente por pessoas autorizadas. Uma vez desrespeitado esse princípio, temos o que chamamos de incidente de segurança da informação por quebra de confidencialidade.

10 Princípios básicos de um sistema de segurança
Integridade dos dados: refere-se à proteção contra alteração dos dados, isto é, a informação deve ser mantida inalterada ou íntegra. Esses dados só podem ser alterados por uma pessoa autorizada.

11 Princípios básicos de um sistema de segurança
Disponibilidade de dados: refere-se à proteção contra a interrupção do acesso a dados ou serviços. Resumidamente, a informação deve estar acessível sempre que pessoas autorizadas necessitam.

12 Identificar o grau de proteção que cada tipo de informação precisa.
Análise de Riscos Identificar o grau de proteção que cada tipo de informação precisa. Proporcionar a proteção em grau adequado para o negócio. Coletar informações sobre o grau de segurança existente em determinado ambiente da organização e elaborar um plano de segurança. Primeiro passo para implementar uma política de segurança

13 Campos de Riscos É melhor segmentar os campos de risco para facilitar a análise. Deve-se levar em consideração o custo (restrições) para implantar tais seguranças.

14 Empresas que realizam análise de riscos e sua frequência
Ameaças que mais geram perdas financeiras. 24% são usuários 20 % hackers Pesquisa realizada em 2006 pela empresa Módulo

15 O custo não deve exceder o valor do ativo que se deseja proteger.
Quanto investir? Os investimentos em diminuição dos riscos não devem exceder a 1% do faturamento da organização. (CAMPOS, 2007, p. 52). O custo não deve exceder o valor do ativo que se deseja proteger. CAMPOS, A. Sistema de segurança da informação: controlando os riscos. 2. ed. Florianópolis: Visual Books, 2007. É melhor segmentar os campos de risco para facilitar a análise. Deve-se levar em consideração o custo (restrições) para implantar tais seguranças.

16 Valor médio dedicado para a Segurança da Informação
Ameaças que mais geram perdas financeiras. 24% são usuários 20 % hackers Porcentagem retirada do valor total investido na área de TI Pesquisa realizada em 2006 pela empresa Módulo

17 Mais alguns dados 33% que não sabem quantificar as perdas.
21% não sabem sequer identificar os responsáveis pelo problema. 35% não possuem planejamento para segurança. Falhas de segurança: 24% causadas por funcionários. 20% por hackers. 77% de aumento nos problemas relacionados a segurança nos próximos anos. 600 questionários com empresas de todo o ramo

18 Problemas que geram perdas financeiras
Ameaças que mais geram perdas financeiras. 24% são usuários 20 % hackers Pesquisa realizada em 2006 pela empresa Módulo

19 Políticas de segurança
Abrange um conjunto de controles que buscam diminuir as vulnerabilidades do sistema de informação. Deve ser divulgada para que todos na organização a conheçam e saibam das penalidades para quem não a cumprir. Elaborada e implementada processo contínuo de revisão, com regras claras e simples.

20 Políticas de segurança
A partir de uma política, espera-se: Diminuir a probabilidade de ocorrência. Diminuir os prejuízos causados por eventuais ocorrências. Elaborar procedimentos para recuperação de desastres. Para que uma política seja aplicável, deve apresentar algumas características.

21 Políticas de segurança
Ser simples a política deve apresentar uma linguagem simples, facilitando sua leitura e compreensão. Ser objetiva a política não deve ser um documento muito extenso, deve apenas focar nos objetivos a serem alcançados. Ser consistente a política deve estar alinhada com as demais normas, como por exemplo, as legislações públicas.

22 Políticas de segurança
Definir metas a política deve apresentar as metas a serem alcançadas. Definir responsabilidades a política deve estabelecer as responsabilidades sobre o uso da informação. Definir penalidades a política deve conter procedimentos de punição caso não seja cumprida.

23 Políticas de segurança
Acessível a todos Conhecimento geral da instituição Aprovada pela direção Dinâmica: apresentar atualizações Exequível: deve ser aplicável

24 Principal obstáculo para implementar a Segurança da Informação
Ameaças que mais geram perdas financeiras. 24% são usuários 20 % hackers Pesquisa realizada em 2006 pela empresa Módulo

25 Modelo de política de segurança
1. OBJETIVO Descrever o objetivo. 2. ÂMBITO Descrever a abrangência (todos os funcionários). 3. DEFINIÇÕES Definir termos técnicos. 4. POLÍTICA 4.1 USO ACEITÁVEL O que a política permite. 4.2 USO INACEITÁVEL O que a política proíbe. O modelo completo está no final da unidade 1.

26 Modelo de política de segurança
5. SANÇÕES As penalidades. 6. CONTROLE DE VERSÃO Colocar versão, data e nome do autor. O modelo completo está no final da unidade 1.

27 Conclusão Vimos que com a evolução da tecnologia estamos mais vulneráveis. Vimos a importância da segurança da informação e quais as principais ameaças que geram prejuízos. Vimos os 3 princípios básicos para um sistema de segurança. Vimos sobre análise de riscos e política de segurança.

Carregar ppt "Segurança e Auditoria de Sistemas"

Apresentações semelhantes

II Seminário de Segurança da Informação

II Seminário de Segurança da Informação
Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Plano de Contingência profa_samaris@yahoo.com.br.

Plano de Contingência
Administração e segurança de redes

Administração e segurança de redes
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
SEGURANÇA E AUDITORIA DE SISTEMAS

SEGURANÇA E AUDITORIA DE SISTEMAS
SEGURANÇA E AUDITORIA DE SISTEMAS

SEGURANÇA E AUDITORIA DE SISTEMAS
1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Segurança em Redes Elmar Melcher

Segurança em Redes Elmar Melcher
Criptografia e Segurança em Rede Capítulo 1

Criptografia e Segurança em Rede Capítulo 1
MECANISMOS DE SEGURANÇA

MECANISMOS DE SEGURANÇA
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
SEGURANÇA Imagens: http://www.seginfo.com.br.

SEGURANÇA Imagens:
Planejamento Estratégico Escola de Negócios

Planejamento Estratégico Escola de Negócios
Atividade de Informática - My Drivers -

Atividade de Informática - My Drivers -
Sistemas de Gestão e Segurança da Informação

Sistemas de Gestão e Segurança da Informação
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
Segurança em Aplicações 1. Introdução

Segurança em Aplicações 1. Introdução
Desenvolvimento de estratégias de segurança e gerência

Desenvolvimento de estratégias de segurança e gerência
Maio de 2007 M. Pedrosa de Barros Estratégia Segurança da Informação Contributos A Estratégia da Informação Nacional Simpósio - Academia Militar.

Maio de 2007 M. Pedrosa de Barros Estratégia Segurança da Informação Contributos A Estratégia da Informação Nacional Simpósio - Academia Militar.

Apresentações semelhantes

Anúncios Google