A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Política de Seg. e Ética Prof Emmanuel Nolêto

PublicouCarolina Azevedo Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Política de Seg. e Ética Prof Emmanuel Nolêto"— Transcrição da apresentação:

1 Política de Seg. e Ética Prof Emmanuel Nolêto ejnoleto@yahoo.com.br

2 O que é uma P.S.E. ?

3 Definição Uma política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções que comandam as atuações de trabalho e definem os critérios de segurança para que sejam adotadas com o objetivo de estabelecer, padronizar e normalizar a segurança, tanto no escopo humano como no tecnológico. É na política de segurança que todas as atividades e características envolvidas na proteção dos recursos existentes na organização são definidas.

4 Padrões Internacionais
A informação pode existir de diversas formas, ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meio eletrônico, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou meio através do qual a informação é compartilhada ou armazenada, é recomendado que seja sempre protegida adequadamente. (NBR ISO/IEC 17799, setembro 2001)

5 Tríade grega e segurança
Analise o problema levando em consideração tudo que conhece: se o problema é a segurança da informação, este deve ser avaliado prestando atenção em tudo que poderá afetar o processo de segurança, visando a criação de uma solução para o problema. Sintetize uma solução para o problema a partir de sua análise: sabendo tudo o que pode prejudicar o processo de segurança, neste momento é importante a criação de uma solução que foi estabelecida a partir das informações analisadas anteriormente. Avalie a solução e aprenda em quais aspectos não correspondeu a sua expectativa: a solução adotada deve ser avaliado, visando a verificação de medidas ou decisões que não foram satisfatórias para a implantação do processo de segurança, podendo voltar a análise do problema e passando pelas etapas do processo de segurança novamente.

6 Tríade grega e segurança
Avaliação Síntese Análise

7 Conceito Nenhuma área da informática é tão apreciada como a segurança da informação, todo processo de segurança inicia e tem seu termino em um ser humano. Segurança não é uma questão técnica, mas uma questão gerencial e humana. Não adianta adquirir uma série de dispositivos de hardware e software sem treinar e conscientizar o nível gerencial da empresa e todos os seus funcionários. (OLIVEIRA, 2001, p.43)

8 Request for Comments (RFC) 2196
É um guia para desenvolvimento de políticas de segurança de computador, comenta sobre como selecionar e manter senhas. As senhas são efetivas apenas quando usadas corretamente, requer alguns cuidados na sua escolha e uso, como: Não utilize palavras que estão no dicionário (nacionais ou estrangeiros); Não utilize informações pessoais fáceis de serem obtidas, como o número de telefone, nome da rua, nome do bairro, cidade, data de nascimento, etc;

9 Request for Comments (RFC) 2196
Não utilize senhas somente com dígitos ou com letras; Utilize senha com, pelo menos, oito caracteres; • Misture caracteres maiúsculos e minúsculos; • Misture números, letras e caracteres especiais; • Inclua, pelo menos, um caractere especial; Utilize um método próprio para lembrar da senha, de modo que ela não precise ser escrita em nenhum local, em hipótese alguma; Não anote sua senha em papel ou em outros meios de registro de fácil acesso;

10 Request for Comments (RFC) 2196
Não utilize o nome do usuário; Não utilize o primeiro nome, o nome do meio ou o sobrenome; Não utilize nomes de pessoas próximas, como da esposa(o), dos filhos, de amigos; Não utilize senhas com repetição do mesmo dígito ou da mesma letra; Não forneça sua senha para ninguém, por razão alguma; Utilize senhas que podem ser digitadas rapidamente, sem a necessidade de olhar para o teclado.

11 Norma BS 7799 É a tradução da NBR ISO

12 Planejamento Para começar a desenvolver uma política de segurança deve ser realizada uma visão abrangente dos riscos, para que eles sejam entendidos e enfrentados. Essa abordagem deve ser pró-ativa e ter uma política de segurança bem definida com atribuições e responsabilidade individuais claras que facilitem a segurança em toda a empresa.

13 Níveis de Política de Segurança
Pode ser dividida em vários níveis. Nível mais genérico, como o objetivo que os executivos possam entender o que está sendo definido. Nível dos usuários de maneira que eles tenham consciência de seus papéis para a manutenção da segurança na organização. Nível técnico que se refere aos procedimentos específicos como, por exemplo, a implementação das regras de filtragem do firewall.

14 Diagrama

15 Riscos Identificação Quantificar Tratamento Plano de Contingência
Planejar Contenções Contingências Plano de Contingência

16 Identificação do Risco
Tentativa de especificar todos os riscos que podem afetar a segurança da informação em todo o seu ciclo de vida. Ativos importantes que serão analisados, determinando-se os riscos e vulnerabilidades associados. Utilizar ferramentas como brainstorming, entrevistas, checklists, análise de premissas, documentações de redes, equipamentos, softwares e modelo de negócio.

17 Quantificação do Risco
Mensurar a probabilidade e o impacto do risco. Pode ser classificada na seguinte escala de ocorrência: Extremamente provável, Muito provável, Provável e Improvável. Severidade pode ser dividida em: Crítica, Moderada e desprezível. Com esse produto teremos a quantificação do risco , expresso como impacto.

18 Tratamento do Risco Impacto Aceitável: Impacto Aceitável com Reação:
Nenhum Plano de Contenção será criado para diminuir a probabilidade de ocorrência ou impacto, nem tão pouco qualquer Plano de Contingência caso ocorra o evento do risco. Impacto Aceitável com Reação: Nenhum Plano de Contenção será elaborado, porém, um Plano de Contingência deverá ser feito caso ocorra o evento do risco. Remanejar para Terceiros: Transferir os riscos e suas conseqüências para terceiros, porém, não visa diminuir, nem tão pouco eliminar a possibilidade de ocorrência. O terceiro poderá elaborar os Planos de Contenção / Contingência.

19 Tratamento do Risco Mitigar: Eliminar:
Reduzir a probabilidade de ocorrência e/ou impacto do risco através de criação de um Plano de Contenção do risco, que se transformará em atividades no cronograma, e Plano de Contingência. Eliminar: Reduzir a probabilidade de ocorrência do risco em 0% (zero por cento) através de criação de um Plano de Contenção do risco, que se transformará em atividades no cronograma.

20 Planejar as Contenções e Contingências
Risco que foi enquadrado em Remanejar para terceiros, Mitigar ou Eliminar, deverá ser feito um planejamento de contenção cujo propósito é de diminuir ou eliminar a possibilidade de ocorrência do impacto do risco. Risco que foi enquadrado em Impacto Aceitável com Reação, Remanejar para Terceiros ou Mitigar, deverá ser feito um planejamento de contingência que poderá ser útil caso um evento de risco ocorra.

21 Pontuação dos riscos Nota Descrição do critério originário da nota
Não existe definido o requisito de segurança para o risco identificado 1 Existe ou foi definido o requisito de segurança para o risco identificado. Não atende. 2 Existe ou foi definido o requisito de segurança para o risco identificado. Atende parcialmente. 3 Existe ou foi definido o requisito de segurança para o risco identificado. Atende. 4 Existe ou foi definido o requisito de segurança para o risco identificado. Foi documentado. Atende parcialmente. 5 Existe ou foi definido o requisito de segurança para o risco identificado. Foi documentado. Atende. 6 Existe ou foi definido o requisito de segurança para o risco identificado. Foi documentado. Foi comunicado às áreas interessadas. Atende parcialmente. 7 Existe ou foi definido. Foi documentado. Foi comunicado às áreas interessadas. Atende. 8 Existe ou foi definido. Foi documentado. Foi comunicado às áreas interessadas. O processo ou equipamento é sempre atualizado quando necessário. 9 Existe ou foi definido. Foi documentado. Foi comunicado às áreas interessadas. Existe Auditoria / Verificação. 10 Existe ou foi definido. Foi documentado. Foi comunicado às áreas interessadas. O processo ou equipamento é sempre atualizado quando necessário. Existe Auditoria / Verificação documentada.

22 Critérios de Pontuação
Inicial: O processo é caótico. Poucos processos são definidos e o sucesso depende de cada indivíduo. Considerado como inexistente; Repetível: Processos básicos de gestão de projetos são estabelecidos para acompanhar custo, cronograma e funcionalidade. É possível repetir sucessos anteriores; Definido: Processos documentados. Existe um padrão aprovado;

23 Critérios de Pontuação
Gerenciado: Medidas detalhadas do processo e da qualidade do produto são realizados. O processo e os produtos são quantitativamente entendidos e controlados; Otimização: A melhoria do processo é realimentada pelo retorno medido do processo, por melhorias tecnológicas e estudos inovadores;

24 A equação do risco Modelando o Risco
= Ameaças x Vulnerabilidades x Impacto Contra medidas Perfil do attacker, Recursos disponíveis Falhas do software, Políticas superficiais, Protocolos, Etc. Prejuízos calculados Práticas e tecnologias

25 Modelagem do Risco Define escopo Identifica processos críticos
O papel da Política Modelagem Risco Define escopo Identifica processos críticos Identifica recursos críticos Pontos de falhas Define objetivos Testa a política Arquitetura Segurança Política Segurança Visibilidade e Controle

Carregar ppt "Política de Seg. e Ética Prof Emmanuel Nolêto"

Apresentações semelhantes

Normas de Segurança da Informação

Normas de Segurança da Informação
Análise e Projeto de Sistemas I

Análise e Projeto de Sistemas I
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Gerenciamento do escopo

Gerenciamento do escopo
REQUISITOS NORMATIVOS PARA POLÍTICA DO SISTEMAS DE GESTÃO:

REQUISITOS NORMATIVOS PARA POLÍTICA DO SISTEMAS DE GESTÃO:
S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica

S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica
Administração e segurança de redes

Administração e segurança de redes
Profa. M.Sc. Yáskara Menescal

Profa. M.Sc. Yáskara Menescal
Faculdade de Ciências Sociais de Aplicadas de Petrolina – FACAPE

Faculdade de Ciências Sociais de Aplicadas de Petrolina – FACAPE
SISTEMA DE INFORMAÇÕES DESENVOLVIMENTO DE SISTEMAS

SISTEMA DE INFORMAÇÕES DESENVOLVIMENTO DE SISTEMAS
Código de Prática para a Gestão de Segurança de Informação.

Código de Prática para a Gestão de Segurança de Informação.
Gerenciamento de Riscos

Gerenciamento de Riscos
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias marcely.dias@unibratec.edu.br.

Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias
DESCRIÇÃO/OBJETIVOS O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos.

DESCRIÇÃO/OBJETIVOS O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos.
Blaschek@attglobal.net José Roberto Blaschek Gerência do Escopo blaschek@attglobal.net José Roberto Blaschek.

José Roberto Blaschek Gerência do Escopo José Roberto Blaschek.
Prof.Alfredo Parteli Gomes

Prof.Alfredo Parteli Gomes
Auditoria da Qualidade

Auditoria da Qualidade
Universidade São Marcos Curso: Gestão de Negócios Internacionais

Universidade São Marcos Curso: Gestão de Negócios Internacionais
PMBOK 5ª Edição Capítulo 11

PMBOK 5ª Edição Capítulo 11

Apresentações semelhantes

Anúncios Google