A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

S EGURANÇA, C ONTROLE E A UDITORIA DE D ADOS 9 – Segurança da Informação.

Apresentações semelhantes


Apresentação em tema: "S EGURANÇA, C ONTROLE E A UDITORIA DE D ADOS 9 – Segurança da Informação."— Transcrição da apresentação:

1 S EGURANÇA, C ONTROLE E A UDITORIA DE D ADOS 9 – Segurança da Informação

2 S EGURANÇA DA I NFORMAÇÃO O que quer se proteger? Contra que ou quem? Quais as ameaças mais prováveis? Qual a importância de cada recurso? Qual o grau de proteção desejado?

3 S EGURANÇA DA I NFORMAÇÃO Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os objetivos de segurança desejados? Quais as expectativas dos usuários e clientes em relação à segurança da informação? Quais as conseqüências para a instituição se seus sistemas e informações forem corrompidas ou roubadas?

4 S EGURANÇA DA I NFORMAÇÃO Ao responder essas perguntas, define-se a política de segurança; Cada serviço ou medida preventiva (e corretiva) deve ser definido para atender o objetivo de segurança; Porém, deve haver um equilíbrio entre necessidade de segurança e custo.

5 S EGURANÇA DA I NFORMAÇÃO O primeiro passo, é o reconhecimento da necessidade de ter segurança; A alta gerencia deve ter comprometimento com a causa; A visão de “inibidor” e “camisa de força” é o principal impedimento; Deve ter a imagem de protetor da disponibilidade e qualidade das informações;

6 S EGURANÇA DA I NFORMAÇÃO A política deve ser resumida, clara e objetiva; Os detalhes devem estar somente em documentos específicos, e não da política; A política é o primeiro documento de todos os que virão depois; Esses que vêm depois são os que detalharão os procedimentos e padrões a serem aplicados;

7 S EGURANÇA DA I NFORMAÇÃO Existem vários grupos de pesquisa; Seus estudos algumas vezes viram padrões; Padrões podem virar, inclusive, leis; Padrões são internacionais, leis são nacionais, mas podem existir semelhanças entre leis de países diferentes;

8 S EGURANÇA DA I NFORMAÇÃO É importante consultar a legislação vigente para ter certeza da adequação das políticas; Outro fator que deve ser conferido é se as políticas está de acordo com os padrões recomendados pelas organizações competentes;

9 S EGURANÇA DA I NFORMAÇÃO Projeto de Lei do Senado, por Renan Calheiros, de 2000: define e tipifica os delitos de informática; Projeto de lei 84/1999: dispõe sobre os crimes cometidos na área de informática e suas penalidades; Lei 9.609/1998: dispõe sobre a proteção da propriedade intelectual de programa de computador e sua comercialização no pais;

10 S EGURANÇA DA I NFORMAÇÃO Lei 9.610/1998: altera, atualiza e consolida a legislação sobre direitos autorais; Lei 9.296/1996: regulamenta o inciso XII, parte final, do art. 5º, da Constituição Federal. Aplica- se à interceptação do fluxo de informação em sistemas de informática e telemática; Projeto de Lei do Senado 234/1996: dispõe sobre os crimes contra a inviolabilidade da comunicação de dados de computador;

11 S EGURANÇA DA I NFORMAÇÃO Projeto de Lei da Câmara dos Deputados 1.713/1996: dispõe sobre o acesso, a responsabilidade e os crimes cometidos nas redes integradas de computadores; Decreto /1988: regulamenta a Lei 7.646/1987, revogada pela Lei 9.609/1998; Decreto /1977: aprova o regulamento para salvaguarda de assuntos sigilosos.

12 S EGURANÇA DA I NFORMAÇÃO Instituições: International Organization for Standardization (ISO) International Electrotechnical Comission (IEC) International Telecommunications Union (ITU) Comité Européen de Normalisation (CEN) Comité Européen de Normalisation Eléctrotechnique (CENELEC) European Telecommunications Standards Institute (ETSI)

13 S EGURANÇA DA I NFORMAÇÃO Instituições: Institute of Electrical and Electronics Engineers (IEEE) National Institute for Standards and Technology (NIST) American National Standards Institute (ANSI) Tribunal de Contas da União (TCU)

14 S EGURANÇA DA I NFORMAÇÃO A política é um mecanismo preventivo de proteção; Pode ser usado para medir a qualidade e a segurança dos sistemas utilizados; Contém princípios organizacionais de como a instituição irá se proteger, controlar e monitorar seus recursos informacionais;

15 S EGURANÇA DA I NFORMAÇÃO Define também a responsabilidade das funções relacionadas com a segurança; Discrimina as principais ameaças, riscos e impactos envolvidos; Lista as principais medidas preventivas e corretivas para cada um dos itens de risco.

16 S EGURANÇA DA I NFORMAÇÃO Porém, não deve limitar-se a questões informacionais; Deve estar integrada com políticas institucionais de segurança em geral; Alinhamento com as metas de negócio e ao plano estratégico da organização.

17 S EGURANÇA DA I NFORMAÇÃO A política de segurança de informação gera impactos sobre todos os projetos de informática, sejam estes: Planos de desenvolvimentos de novos sistemas; Planos de contingências; Planejamento de capacidade. Não somente o setor de informática está envolvido, mas toda e qualquer fonte, e consumidor, de informação serão afetados.

18 S EGURANÇA DA I NFORMAÇÃO

19 É necessário que ela seja aprovada e reforçada pela alta gerencia; A política deve estar difundida por toda a organização; Todos os controles e medidas posteriores serão criadas com base na política;

20 S EGURANÇA DA I NFORMAÇÃO Apresenta os responsáveis pela implantação, sua linha gerencial e os instrumentos de controle e supervisão de seu trabalho. Orienta sobre análise e gerencia de riscos, princípios de conformidade dos sistemas computacionais, classificação das informações (pública, interna, confidencial e secreta) e padrões mínimos de qualidade.

21 S EGURANÇA DA I NFORMAÇÃO Contem, normalmente, princípios legais e éticos que devem ser atendidos, como: Direitos de propriedade de produção intelectual; Direitos sobre software e normas legais correlatas aos sistemas desenvolvidos; Princípios de implementação da segurança de informações; Políticas de controle de acesso a recursos e sistemas computacionais; e Princípios de supervisão constante das tentativas de violação da segurança de informações.

22 S EGURANÇA DA I NFORMAÇÃO Geralmente conta com outras “sub-políticas”, como: Política de senhas; Política de backup; Política de contratação, instalação de equipamentos e softwares; etc. Aliada também a definições de procedimentos e práticas, com regras mais específicas de como será feita a implementação, administração e verificação de conformidade à políticas.

23 S EGURANÇA DA I NFORMAÇÃO Independente da quantidade de documentos envolvidos, todos eles devem ser divulgados, completos ou em partes, às pessoas envolvidas ou atingidas pela política de segurança; Isso visa prover a todos de orientação básica de como agir corretamente, de modo a atender às regras, e saber quais as medidas (preventivas ou corretivas) podem ser tomadas, e quais as consequencias de uso inadequado.

24 S EGURANÇA DA I NFORMAÇÃO É recomendável que tenham introdução, para facilitar a leitura, e introduzir o leitor ao texto.

25 P ROCESSO DE I MPLANTAÇÃO A política, para ser implantada, passa por um processo relativamente longo; Esse processo deve ser flexível o suficiente para permitir modificações na política conforme as necessidades sejam descobertas; O processo é dividido em fases;

26 P ROCESSO DE I MPLANTAÇÃO Identificação dos recursos críticos; Classificação das informações; Definição, em linhas gerais, dos objetivos de segurança a serem atingidos; Análise das necessidades de segurança (identificação de possíveis ameaças, análise de risco e impactos);

27 P ROCESSO DE I MPLANTAÇÃO Elaboração da proposta de política; Discussão abertas com os envolvidos; Apresentação de documento formal à gerencia superior; Aprovação;

28 P ROCESSO DE I MPLANTAÇÃO Implementação; Avaliação da política e identificação da mudanças necessárias; Revisão.

29 I DENTIFICANDO OS R ECURSOS Aqui se identificam todos os recursos que estão sob algum tipo de risco. O que precisa ser protegido? Quais são os recursos mais importantes? Sob que formas a informação estão armazenadas? (papel, disquete, CD/DVD, HD)

30 I DENTIFICANDO OS R ECURSOS Hardware: processadores, placas, teclados, terminações, estações de trabalho, computadores pessoais, impressoras, unidades de disco, linhas de comunicação, servidores, roteadores; Software: utilitários, programas de diagnóstico, sistemas operacionais, programas de comunicação, aplicativos sob demanda; Suprimentos: papel, formulários, fitas, disquetes, CD-ROMs;

31 I DENTIFICANDO OS R ECURSOS Dados: em processamento, em trânsito nos dispositivos e linhas de comunicação, armazenados on-line e off-line, backups, log de auditoria, base de dados; Pessoas: usuários e funcionários necessários para o funcionamento dos sistemas; Documentação: sobre programas, hardware, sistemas, procedimentos administrativos.

32 C LASSIFICAÇÃO DAS I NFORMAÇÕES Cada tipo de informação tem seu valor, e por isso deve ser cuidado de modo diferente; Cada informação tem um proprietário, e é este que deverá classificá-la, pois é o que o que tem mais condições de aferir o real valor da mesma; Com sistemas de classes diferentes, toda informação deve ser tratada com a maior delas, com a que exige maior segurança;

33 C LASSIFICAÇÃO DAS I NFORMAÇÕES A classificação mais comum é: Pública: informações onde pouca ou nenhuma segurança é exigida, podendo ser divulgadas a qualquer pessoa sem que haja implicações para a instituição. Exemplos: Serviços de informação ao público geral; Informações divulgadas à imprensa ou pela Internet.

34 C LASSIFICAÇÃO DAS I NFORMAÇÕES Internas ou de uso interno: estas informações não devem sair da instituição. Porém, se isso ocorrer, as conseqüências não serão críticas. Exemplos: Serviços de informação interna; Documentos de trabalho corriqueiros, que somente interessam aos funcionários.

35 C LASSIFICAÇÃO DAS I NFORMAÇÕES Confidenciais: informações são protegidas contra acesso externo. Somente se terá acesso a estes documento se estritamente necessário, e se forem fundamentais para o desempenho satisfatório do seu trabalho. O acesso não autorizado pode causar danos financeiros ou perda de mercado. Exemplos: Dados de clientes e/ou fornecedores; Senhas; Balanços; Vulnerabilidades dos sistemas.

36 C LASSIFICAÇÃO DAS I NFORMAÇÕES Secretas: extremamente críticos para a organização. O número de pessoas com acesso deve ser restrito, e o controle sobre o uso dessas informações total. Exemplos: Dados militares; Segurança nacional.

37 C LASSIFICAÇÃO DOS S ISTEMAS Por ser extenso, o ideal é dividir o ambiente de sistemas de informação em níveis, e implementar controles de segurança por nível. AplicativosServiços SOHardware

38 C LASSIFICAÇÃO DOS S ISTEMAS Aplicativos: projetados para atender as necessidades específicas do usuário; Serviços: utilizados pelos aplicativos, como por exemplo os serviços prestados por um SGBD; SO: fornece serviços de baixo nível, como gerenciamento de arquivos; Hardware: processador e memória.

39 A NÁLISE DE R ISCOS Risco é geralmente confundido com ameaça; O risco, na verdade, é composto pela ameaça, vulnerabilidade e impacto; A análise de riscos busca por componentes críticos e avalia o custo potencial ao usuário do sistema; É ponto chave da política de segurança;

40 A NÁLISE DE R ISCOS Se analisam as ameaças e as probabilidades desta se concretizar; Caso se concretizem, quais os impactos e severidade da perda; Em alguns casos, o custo de evitar um risco é maior que a perda;

41 A NÁLISE DE R ISCOS Riscos serão somente reduzidos, é impossível eliminá-los por completo; A idéia é analisar as medidas de mitigação de riscos; Sempre equilibrando custos com impacto e probabilidade de ocorrência;

42 A NÁLISE DE R ISCOS Quebra de segurança sempre irá ocorrer, é tudo questão de tempo e recursos técnicos e econômicos envolvidos; Conhecer as ameaças com antecedência ajuda a compreender como elas se relacionam, e como mitigando uma pode vir a eliminar outra, cortando custos.

43 A NÁLISE DE A MEAÇAS Todo elemento que pode explorar fragilidades de segurança para impedir o funcionamento do sistema ou a disponibilidade de informação é considerado ameaça ou vulnerabilidade; Ameaça é o evento ou atitude que remove, desabilita, danifica ou destrói um recurso; A vulnerabilidade é a fraqueza ou deficiência que pode ser explorada pela ameaça;

44 A NÁLISE DE A MEAÇAS Ameaças podem ser acidental, ou deliberada; Pessoas e idéias também podem ser ameaças; Elas podem ainda ser divididas em passivas ou ativas: Ativas: são as que modificam ou corrompem as informações ou serviços; Passivas: apenas acessam as informações ou serviços, sem danificá-los.

45 A NÁLISE DE A MEAÇAS Vazamentos de informações; Violação de integridade; Indisponibilidade de serviços; Acesso e uso não autorizado.

46 A NÁLISE DE A MEAÇAS Mascaramento; Desvio de controle; Violação autorizada; Ameaças programadas.

47 A NÁLISE DE A MEAÇAS Ameaça | Recurso | Confidencialidade | Integridade | Disponibilidade


Carregar ppt "S EGURANÇA, C ONTROLE E A UDITORIA DE D ADOS 9 – Segurança da Informação."

Apresentações semelhantes


Anúncios Google