A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

1. Programa 1. Segurança da Informação a. Conceitos e Princípios de Segurança da Informação b. A Segurança e o Ciclo de Vida da Informação c. Classificação.

Apresentações semelhantes


Apresentação em tema: "1. Programa 1. Segurança da Informação a. Conceitos e Princípios de Segurança da Informação b. A Segurança e o Ciclo de Vida da Informação c. Classificação."— Transcrição da apresentação:

1 1

2 Programa 1. Segurança da Informação a. Conceitos e Princípios de Segurança da Informação b. A Segurança e o Ciclo de Vida da Informação c. Classificação e Controle dos Ativos de Informação d. Aspectos Humanos da Segurança da Informação e. Segurança do Ambiente Físico e Lógico f. Controle de Acesso g. A Organização da Segurança h. A Segurança no Contexto da Governança de TI 2. Segurança no Desenvolvimento de Software a. Modelos de Especificação da Segurança b. Especificação da Segurança Desejada c. Segurança do Ambiente de Desenvolvimento d. Garantia da Segurança da Aplicação 3. Auditoria em Sistemas de Informação a. Fundamentos em Auditoria de Sistemas de Informação b. Metodologia de Auditoria de Sistemas de Informação c. Ferramentas de Auditoria de Sistemas de Informação d. Técnicas de Auditoria de Sistemas de Informação e. Auditoria na Aquisição, Desenvolvimento, Documentação e Manutenção de Sistemas de Informação f. Auditoria no Processo ou Metodologia de Desenvolvimento de Sistema de Informação g. Auditoria de Sistemas de Informação em Produção 4. Política de Segurança a. Os Planos de Segurança 2

3 3

4 Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005 A Norma foi influenciada pelo padrão inglês BS7799 (British Standard). A série de normas ISO/IEC foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos. 4

5 Compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas de qualquer porte ou setor. O grande objetivo da norma é o de garantir a continuidade dos negócios por meio da implantação de controles, reduzindo muito as possibilidades de perda das informações. 5

6 A ISO define como barreiras de segurança quaisquer medidas preventivas que impeçam os ataques aos ativos da informação Dois tipos de medidas Físicas – muros, cercas e trancas Lógicas – senhas, firewalls, certificados digitais, assinatura digital, criptografia, etc. 6

7 Segurança do Ambiente Físico 7

8 Para garantir a segurança física dos ativos da informação é preciso combinar medidas de: Prevenção; Detecção; e Reação aos possíveis incidentes de segurança. 8

9 Importante definir o perímetro de segurança do ambiente físico: Contorno ou linha imaginária que delimita uma área ou região O perímetro ajuda a estabelecer melhor os investimentos e definir os tipos de barreiras mais adequados Exemplos de perímetro: salas, prédios, geradores, cofres, etc. 9

10 É importante elaborar um projeto de áreas de segurança dentro de um perímetro seguro de ameaças de: poeira, fumaça, vibração, vazamento de água, explosão ou desastres naturais Áreas que contenham equipamentos exigem medidas contra acesso não autorizado, dano ou furto Exemplo: treinamento específico para os prestadores de serviços de limpeza e manutenção 10

11 Os equipamentos precisam ser protegidos contra: Falha de energia Problemas na alimentação elétrica Defeitos de Hardware Medidas: Alimentação com múltiplas fontes Uso de nobreaks e geradores Manutenção periódicas nos equipamentos 11

12 Implantar mecanismos para proteção dos documentos em papel: Tratamento das cópias (acidez do papel, técnicas de restauração de livros); Armazenamento ( umidade do ambiente); Transmissão; Descartes seguros; 12

13 Controles para proteção dos papéis: Uso de rótulos para identificar documentos; Política de armazenamento em local adequado; Procedimentos especiais para impressão, cópia e transmissão; Recepção e envio de correspondências sigilosas. 13

14 Controles para proteção dos documentos eletrônicos: Aparato tecnológico que os torne visíveis aos seus usuários; Integridade das informações Arquivamento dos documentos 14

15 Mídias devem ser guardados, quando não estiverem sendo utilizados, em gavetas adequadas, com fechaduras, especialmente fora do horário normal de trabalho Grande preocupação com a Segurança de backups Política específica para: Armazenamento, controle de acesso, transporte, cópia e descarte 15

16 Recomendações para cabeamento elétrico e telecomunicações: Sempre que possível utilizar linhas subterrâneas Proteção do cabeamento de redes contra interceptação não autorizada Separação dos cabos elétricos dos cabos de comunicação Uso de conduítes 16

17 Segurança do Ambiente Lógico 17

18 A segurança das redes deve abranger problemas de autenticação de usuários e interfaces de segurança entre o ambiente interno e externo Mecanismos de proteção Criptografia Antivírus Gateways Firewalls Assinatura e Certificado Digital... Estes mecanismos são usados para: Manter confidencialidade, integridade controlar o tráfego que entra e sai das redes, estabelecer rotas obrigatórias e dividir grandes redes em domínios lógicos separados 18

19 Implementando Defesas de Segurança 19

20 Existem muitas soluções de segurança, dentre elas: Maior treinamento aos usuários, Uso de tecnologias, Escrita de software sem bugs. Defesa em profundidade é a teoria de segurança mais comum – múltiplas camadas de segurança é melhor do que menos camadas. 20

21 Política de segurança descreve o que está sendo protegido Ex: Os usuários não devem compartilhar suas senhas Sem uma política, é impossível que os usuários e os administradores saibam: o que é permissível, o que é obrigatório e o que não é permitido Deve ser um documento atualizado permanentemente e divulgada para as pessoas envolvidas 21

22 Avaliação de vulnerabilidade procura saber se a política de segurança foi implementada corretamente A principal atividade das avaliações de vulnerabilidades é um teste de penetração As varreduras de vulnerabilidades normalmente são feitas em ocasiões em que o uso do computador é relativamente baixo Quando apropriado, são feitas em sistemas de teste 22

23 Senhas curtas ou fáceis de descobrir Programas não-autorizados nos diretórios do sistema Processos de longa duração não previstos Proteções de diretórios impróprias nos diretórios do usuário e do sistema Proteções impróprias nos arquivos de dados do sistema, como arquivo de senhas, drivers de dispositivos 23

24 Um sistema altamente secreto só pode ser acessado de dentro de um prédio também considerado altamente secreto Porém, é impossível trancar uma máquina em uma sala secreta e desativar todo o acesso remoto As varreduras de portas determinam os detalhes da aplicação escutando as portas e tentando determinar se possui alguma vulnerabilidade 24

25 As ferramentas de varredura de porta podem ser utilizadas por um cracker, em vez de alguém tentando melhorar a segurança As mesmas ferramentas podem ser usadas para o bem ou para o mal Alguns defendem a segurança da obscuridade, onde nenhuma ferramenta deveria ser criada, pois as ferramentas são usadas para encontrar brechas na segurança. 25

26 Proteger sistemas está ligada a detecção de intrusão A detecção de intrusão se esforça para detectar intrusões tentadas ou realizadas 26

27 Pote de mel-Utilizado para desviar a atividade de um intruso Um recurso falso, uma isca para o atacante Para o invasor, o recuso parece ser real e permite ao sistema monitorar e receber informações sobre o ataque 27

28 Esforços de detecção de intrusão para detectar intrusões tentadas ou bem sucedidas Detecção baseada em assinatura busca padrões de comportamento problemáticos - Ataques conhecidos. Ex: busca de pacotes /etc/passwd/ Detecção de anomalia busca diferenças do comportamento normal, visa detectar ataques previamente desconhecidos Problema: Falsos positivos e falsos negativos- Saber se a atividade invasora não está incluída nas atividades normais 28

29 A proteção contra vírus é um aspecto importante para a segurança do sistema, pois os vírus podem danificá-lo Os programas antivirus pesquisam todos os programas em um sistema em busca de um padrão específico de instruções conhecidas por compor o vírus Quando encontram o padrão conhecido, removem as instruções, desinfectando o sistema 29

30 Auditoria, contabilidade e logging de todas as atividades da rede ou específicas do sistema A contabilidade pode ser usada para encontrar mudanças de desempenho que revelem problemas de segurança, onde são detectadas anomalias 30

31 Pode ser geral ou específico Todas as execuções de chamadas de sistema podem ser registradas para análise de comportamento do programa Normalmente os eventos suspeitos são registrados em log As falhas de autenticação e autorização podem dizer muito sobre tentativas de invasão 31

32 32

33 A autenticação é o processo de verificação da identidade de um usuário, isto é, garantir que um usuário é de fato quem diz ser.

34 SYK – Something You Know (algo que você sabe): estas técnicas de autenticação são baseadas em informações conhecidas pelo usuário, como seu nome de login e sua senha.

35 SYH – Something You Have (algo que você tem): são técnicas que se baseiam na posse de alguma informação mais complexa, como um certificado digital ou uma chave criptográfica, ou algum dispositivo material, como um smartcard, um cartão magnético, um código de barras, etc.

36 SYA – Something You Are (algo que você é): se baseiam em características intrinsecamente associadas ao usuário, como seus dados biométricos: impressão digital, padrão da íris, timbre de voz, etc.

37 37

38 Conceito Uma firewall (em português: parede de fogo) é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. Pode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem autorização. É possível evitar que os usuários acessem serviços ou sistemas indevidos, permitindo auditoria.

39 Um firewall pode ser um computador, um roteador, um servidor, um appliance ou a combinação destes que determine qual informação ou serviços podem ser acessados de fora e a quem é permitido usar a informação e os serviços de fora.

40

41 Todo tráfego entre a rede interna e a externa (entrada e saída) deve passar pelo Firewall Somente o tráfego autorizado passará pelo Firewall, todo o resto será bloqueado O Firewall em si deve ser seguro e impenetrável

42 Controle de Serviço: determina quais serviços Internet (tipos) estarão disponíveis para acesso Controle de Sentido: determina o sentido de fluxo no qual serviços podem ser iniciados Controle de Usuário: controla o acesso baseado em qual usuário está requerendo (tipicamente os internos, ou externo via VPN) Controle de Comportamento: controla como cada serviço pode ser usado (ex: anti-spam)

43 O Firewall não protege contra ameaças internas O Firewall não protege contra transferência de arquivos infectados por vírus, pois seria impraticável analisar o conteúdo de tudo que trafega

44 Filtragem de pacotes Firewalls de aplicação Firewalls baseados no estado

45 Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem.

46 IP de origem: É o endereço de IP que o pacote lista como seu emissor. IP de destino: É o endereço de IP para onde o pacote está sendo mandado. ID de protocolo IP: Um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17). Numero de portas TCP ou UDP : O numero da porta indica que tipo de serviço o pacote é destinado. Flag de fragmentação: Pacotes podem ser quebrados em pacotes menores. Ajuste de opções do IP: Funções opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall possa descartar pacotes com opções de IP determinadas.

47 Com a utilização deste tipo de firewall, podemos usufruir da filtragem na base em informação de nível de aplicação (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso); Possibilita o modo de acordo com a informação e não simplesmente com base em regras de acesso estáticas;

48 Firewall de Pacotes + Firewall de Aplicação Possibilita o funcionamento ao nível da aplicação de uma forma dinâmica Inclui funcionalidades de encriptação e encapsulamento e balanceamento de carga A manutenção e configuração requerem operações menos complexas Alto custo

49 49

50 Conceito Tipos: IDS localizados em hosts (H-IDS) IDS localizados na rede (N-IDS) IDS Híbridos

51

52 Conceito refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. Mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados; Aplicado em redes onde a velocidade de transmissão é muito alta como em redes Gigabit Ethernet; Usados também quando não se confia na segurança corporativa da rede em que o servidor está instalado.

53 Acesso a arquivos Integridade de arquivos Varredura de portas Modificação e privilégios de usuários Processos do sistema Execução de programas Uso de CPU Conexões

54 Ataques que ocorrem fisicamente num servidor podem ser detectados. Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes. Independem da topologia da rede Geram poucos falsos positivos, que são alarmes falsos de ataques. Não necessita de hardware adicional.

55 São de difícil monitoramento, já que em cada estação deve ser instalado e configurado um IDS; Podem ser desativados por DoS; Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho; O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada; Fica difícil de configurar e gerenciar em todos os hosts de uma rede.

56 Necessita de espaço de armazenamento adicional para os registros do sistema. É dependente do SO. HIDS para Linux é diferente de um HIDS Windows. Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria. Apresenta diminuição do desempenho do host monitorado.

57 Os sensores que cuidam dos segmentos de redes, fazem a captura, formatação de dados e análise de tráfego. Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta para cada tipo de comportamento suspeito detectado. A comunicação entre sensores e gerenciador é criptografada.

58 Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede Difíceis de serem percebidos por atacantes e com grande segurança contra ataques Pode detectar tentativas de ataques (ataques que não tiveram resultados). Fica mais difícil um invasor apagar seu rastro.

59 Podem falhar em reconhecer um ataque em um momento de trafego intenso; Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam; Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões; Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.

60 Tripwire Swatch Portsentry OSSEC-HIDS

61 Snort RealSecure NFR

62 OSSEC-HIDS + Snort

63 63

64 Falhas técnicas: falha no disco rígido (HD), falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicação e de software; Falhas ambientais: descargas elétricas provindas de raios, enchentes, incêndios; Falhas humanas: detém 84% das perdas de dados e são devidas à exclusão ou modificação de dados acidental ou mal-intencionada, vírus, roubo de equipamentos e sabotagem.

65 Backup normal Backup diferencial Backup incremental

66 Um backup normal copia todos os arquivos selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo é desmarcado). Com backups normais, você só precisa da cópia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez.

67 VANTAGENS: Os arquivos são mais fáceis de localizar porque estão na mídia de backup atual. Requer apenas uma mídia ou um conjunto de mídia para a recuperação dos arquivos. DESVANTAGENS: É demorado. Se os arquivos forem alterados com pouca freqüência, os backups serão quase idênticos.

68 Um backup diferencial copia arquivos criados ou alterados desde o último backup normal ou incremental. Não marca os arquivos como arquivos que passaram por backup (o atributo de arquivo não é desmarcado). Se você estiver executando uma combinação dos backups normal e diferencial, a restauração de arquivos e pastas exigirá o último backup normal e o último backup diferencial.

69 VANTAGENS: A recuperação exige a mídia apenas dos últimos backups normal e diferencial. Fornece backups mais rápidos do que um backup normal. DESVANTAGENS: A restauração completa do sistema pode levar mais tempo do que se for usado o backup normal. Se ocorrerem muitas alterações nos dados, os backups podem levar mais tempo do que backups do tipo incremental.

70 Um backup incremental copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo é desmarcado). Se você utilizar uma combinação dos backups normal e incremental, precisará do último conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.

71 VANTAGENS: Requer a menor quantidade de armazenamento de dados. Fornece os backups mais rápidos. DESVANTAGENS: A restauração completa do sistema pode levar mais tempo do que se for usado o backup normal ou diferencial.

72 Frequência de Modificações X Importância da Informação Backup Diário Backup Semanal Backup Mensal Backup Anual

73 73

74

75 Conceito Histórico Tipos Criptografia Simétrica; Criptografia Assimétrica

76 kryptos (oculto, secreto), graphos (escrever). Texto aberto: mensagem ou informação a ocultar Texto cifrado: informação codificada; Cifrador: mecanismo responsável por cifrar/decifrar as informações Chaves: elementos necessários para poder cifrar ou decifrar as informações Espaço de chaves: O número de chaves possíveis para um algoritmo de cifragem

77 Algoritmo computacionalmente seguro Custo de quebrar excede o valor da informação O tempo para quebrar excede a vida útil da informação Meios de criptoanálise Força bruta Mensagem conhecida Mensagem escolhida (conhecida e apropriada) Análise matemática e estatística Engenharia social Conceitos para bom algoritmo de criptografia Confusão: transformações na cifra de forma irregular e complexa Difusão: pequena mudança na mensagem, grande na cifra

78 Cifrador de César mensagem aberta: Reunir todos os generais para o ataque mensagem cifrada com k = 1: Sfvojs upept pt hfofsbjt qbsb p bubrvf mensagem cifrada com k = 2: Tgwpkt vqfqu qu igpgtcku rctc q cvcswg mensagem cifrada com k = 3: Uhxqlu wrgrv rv jhqhudlv sdud r dwdtxh

79 Criptografia AES (Advanced Encryption Standard) Chaves de 128 bits, ou seja, espaço de chaves com possibilidades chaves diferentes

80 Cifras de Transposição Cifras de Substituição: Cifra de substituição simples ou monoalfabética ; Cifra de substituição polialfabética; Cifra de substituição de polígramos ; Cifra de substituição por deslocamento.

81 Algoritmo É o próprio processo de substituição ou transposição. Consiste nos passos a serem tomados para realizar a encriptação. Chave Define o alfabeto cifrado exato que será utilizado numa codificação em particular. O algoritmo utilizado em um processo de encriptação pode ser divulgado sem problemas. A chave, porém, deve ser uma informação confidencial do remetente e do destinatário.

82

83 Se uma pessoa quer se comunicar com outra com segurança, ela deve passar primeiramente a chave utilizada para cifrar a mensagem. Grandes grupos de usuários necessitam de um volume grande de chaves, cujo gerenciamento é complexo

84 Postulada pela primeira vez em meados de 1975 por Withfield Diffie e Martin Hellman Algoritmos de chave pública e privada Baseada em princípios de manipulação matemática. Os algoritmos são computacionalmente pesados e lentos.

85

86 RSA Ron Rivest / Adi Shamir / Leonard Adleman Criado em É o algoritmo de chave pública mais utilizado. Utiliza números primos. A premissa por trás do RSA é que é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número.

87 Cerca de 95% dos sites de comércio eletrônico utilizam chaves RSA de 512 bits. O desenvolvimento dos algoritmos de criptografia assimétrica possibilitou o aparecimento de aplicações que trafegam dados internet de forma segura, notadamente do e-commerce.

88 88

89 Assim como o RG ou o CPF identificam uma pessoa, um certificado digital contém dados que funcionam como um certificado físico, contendo informações referentes a: pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereço; sua chave pública e respectiva validade; número de série; e nome da empresa que emitiu seu certificado (chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.

90 Qualquer modificação realizada em um certificado digital o torna inválido e por isso é impossível falsificá-lo. O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora – AC) garante a veracidade das informações nele contidas. Fazendo uma analogia, a AC faz o papel dos órgãos públicos como a Secretaria de Segurança Pública quando emite um RG, ou seja, ela garante quem você é, dando-lhe legitimidade através de sua assinatura digital.

91

92 Um documento pode ser considerado genuíno quando não sofreu alterações. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais. No mundo virtual, este item pode ser assegurado através do uso de assinaturas digitais.

93 A assinatura digital visa garantir que um determinado documento não seja alterado após assinado. Etapas: O autor, através de um software próprio, realiza uma operação e faz um tipo de resumo dos dados do documento que quer enviar, também chamado de função hash. O Autor usa a chave privada de seu certificado digital para encriptar este resumo.

94

95 A função primordial da senha? Autenticidade Métodos de quebra de senha: Dedução inteligente Ataques de dicionário Automatização ou Força Bruta

96 Não utilize palavras existentes em dicionários nacionais ou estrangeiros; Não escreva suas senhas em papéis, muito menos salve na máquina documentos digitais, como o Word ou o bloco de notas; Não utilize informações pessoais fáceis de serem obtidas, tais como: nome ou sobrenome do usuário, nome da esposa, filhos ou animais de estimação, matrícula na empresa, números de telefone, data de nascimento, cidades de origem, etc.; Não utilize senhas constituídas somente por números ou somente por letras; Utilize senhas com, pelo menos, seis caracteres; Misture caracteres em caixa baixa e alta (minúsculas e maiúsculas);

97 Crie senhas que contenham letras, números e caracteres especiais (*,#,$,%...); Inclua na senha, pelo menos, um caractere especial ou símbolo; Utilize um método próprio para lembrar das senhas que dispense registrar a mesma em qualquer local; Não empregue senhas com números ou letras repetidos em sequência; Não forneça sua senha para ninguém; Altere as senhas, pelo menos, a cada 3 meses; Utilize senhas que possam ser digitadas rapidamente, sem que seja preciso olhar para o teclado; Para facilita a memorização da senha é possível criar uma frase secreta e extrair delas as iniciais de cada letra. Por exemplo da frase É melhor 1 pássaro na mão do que 2 voando se extrai Em1pnmdq2v.

98

99 A organização da Segurança 99

100 Para organizar a segurança é preciso criar um departamento (Comitê Corporativo de Segurança da Informação) É preciso ter uma visão clara das etapas da organização; E formalizar os processos 100

101 Etapas da Organização da Segurança: Comitê Corporativo de Segurança; Mapeamento da Segurança Estratégia da Segurança Planejamento de Segurança Implementação de Segurança Administração de Segurança Segurança na cadeia produtiva 101

102 Orienta as ações corporativas de segurança e mede os resultados; Alinha o plano considerando valores, buscando o melhor retorno dos investimentos; Coordena os agentes de segurança; Garante o sucesso da Implantação de Segurança; Promove a consolidação do Modelo de Gestão Corporativo de Segurança. 102

103 Identificar os diversos processos de negócio, perímetros e infra- estruturas; Inventariar os ativos físicos, tecnológicos e humanos. Considerar as variáveis que interferem nos riscos da empresa. Identificar o cenário atual: ameaças, vulnerabilidades e impactos Mapear as necessidades em relação ao manuseio, armazenamento, transporte e descarte de informações Organizar as demandas de segurança do negócio. 103

104 Definir um plano de ação consistindo de particularidades do negócio junto aos executivos: Estratégica Tática Operacional Definir também riscos: Físicos, tecnológicos e humanos 104

105 Organizar os comitês e oficializar suas responsabilidades; Iniciar ações preliminares de capacitação dos executivos e técnicos; Elaborar uma Política de Segurança detalhando: processos de negócio, perímetro e infra-estrutura, diretrizes, normas e procedimentos; Realizar ações corretivas emergenciais em função do risco iminente. 105

106 Divulgar a Política de Segurança Capacitar, conscientizando os usuários no manuseio, armazenamento, transporte e descarte da informação Implementar mecanismos de controles físicos, tecnológicos e humanos que irão permitir a eliminação das vulnerabilidades 106

107 Monitorar os controles implementados, medindo sua eficiência Projetar o Retorno sobre os investimentos Garantir a adequação e a conformidade do negócio com as normas Manter plano estratégicos para contingência e recuperação de desastres, objetivando garantir a disponibilidade 107

108 Equalizar as medidas de segurança junto aos parceiros: Fornecedores Clientes Governo Objetivo: Nivelar o fator de risco sem que uma das partes exponha informações compartilhadas e represente ameaça. 108


Carregar ppt "1. Programa 1. Segurança da Informação a. Conceitos e Princípios de Segurança da Informação b. A Segurança e o Ciclo de Vida da Informação c. Classificação."

Apresentações semelhantes


Anúncios Google