A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

SEGURANÇA E AUDITORIA DE SISTEMAS

Apresentações semelhantes


Apresentação em tema: "SEGURANÇA E AUDITORIA DE SISTEMAS"— Transcrição da apresentação:

1 SEGURANÇA E AUDITORIA DE SISTEMAS
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação SEGURANÇA E AUDITORIA DE SISTEMAS “Segurança de Informações” Cynara Carvalho

2 Segurança de informações
Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: MUDANÇA 1) ANTES do uso generalizado de equipamentos de processamento de dados, a segurança da informação considerada valiosa para uma organização era fornecida por principalmente por meios físicos e administrativos. Ex.: - Armários robustos com fechadura com segredo para armazenar documentos confidenciais.

3 Segurança de Informações
MUDANÇA 2) Introdução de sistemas distribuídos e o uso de rede e recursos de comunicação para transmitir dados entre o usuário do terminal e o computador e entre computadores. Segurança inter-rede – empresas, governo e organizações acadêmicas interconectam seus equipamentos de processamento de dados com um conjunto de redes.

4 Segurança de Informações
O que aconteceria se as informações institucionais caíssem nas mãos da concorrência ou fossem corrompidas, apagadas ou adulteradas? Quais seriam as conseqüências para a continuidade dos negócios da instituição? E se ocorressem desastres naturais ( incêndio, terremoto, enchentes)? E falhas estruturais ( interrupção de fornecimento de energia elétrica ou sobrecargas elétricas)?

5 Segurança de informações
O vazamento de informações sobre seus clientes comprometeria sua credibilidade e daria maiores oportunidades aos concorrentes.

6 Segurança de informação
Segurança é, portanto, a proteção de informações, sistemas, recursos e serviços contra desastres, erros e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança.

7 Segurança de Informações
Política de Segurança Informações têm que estar disponíveis no momento e no local estabelecido, têm que ser confiáveis, corretas e mantidas fora do alcance de pessoas não autorizadas. Objetivos de Segurança Confidencialidade ou privacidade – informações protegidas de acesso não autorizado. Envolve medidas de controle de acesso e criptografia. (LEITURA) Integridade dos dados – Evitar alteração ou exclusão indevida de dados. (GRAVAÇÃO/ALTERAÇÃO/EXCLUSÃO). Disponibilidade – Garantia que os serviços prestados por um sistema estão sempre acessíveis a pessoas autorizadas. (BACKUP) Consistência – Garantia de que o sistema atua de acordo com a expectativa.

8 Segurança de Informações
Política de Segurança Objetivos de Segurança Isolamento ou uso legítimo – Regular o acesso ao sistema. Acesso não autorizado é sempre um problema, pois tem que se identificar quem, quando, como e os resultados desta ação. Auditoria – Proteção contra erros e atos acidentais ou não dos usuários autorizados. Confiabilidade – Garantir que, mesmo em condições adversas, o sistema atuará conforme esperado. Dependendo da organização, um objetivo pode ser mais importante que o outro. Na maioria dos casos, é dada maior importância à disponibilidade e integridade.

9 Segurança de Informações
Questões Relevantes O que se quer proteger ? Contra que ou quem ? Quais as ameaças mais prováveis ? Qual a importância de cada recurso ? Qual o grau de proteção desejado ? Quanto tempo e recursos para atingir os objetivos de segurança ? Qual a expectativa dos usuários e clientes em relação à segurança de informações ? Quais as conseqüências em caso de roubo ou dano?

10 Segurança de Informações
Comprometimento da Gerência Superior Prioridade menor em relação a outros projetos. Segurança só é lembrada depois de um desastre ocorrido. Política considerada dispendiosa. Segurança vista como inibidor e não como uma garantia Rastreamento ou monitoramento de outras gerências. Uma real política de segurança deve ser posta em prática e encarada com seriedade por todos e ter o total apoio da alta gerência. O comprometimento deve ser formalizado, de forma clara e objetiva, baseados nos princípios gerais, deixando os detalhes para outros documentos mais específicos.

11 Segurança de Informações
Definindo uma Política de Segurança de Informações Política de segurança é um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e usuários. Princípios básicos Como a organização irá proteger, controlar e monitorar seus recursos computacionais e suas informações. Responsabilidades das funções relacionadas com a segurança. Discriminação das principais ameaças, riscos e impactos envolvidos. Política de segurança de informações integrada à política de segurança em geral.

12 Segurança de Informações
Relacionamento da Política de Segurança de Informações com a estratégia da organização. Estratégia geral da organização Estabelece Contribui para o atingimento Plano Estratégico de Informática Define Política de segurança de Informações Gera Impactos sobre Especifica Planos de desenvolvimentos de sistemas Plano de continuidade de serviços Planejamento de capacidade Outros projetos

13 Segurança de Informações
Política de Segurança de Informações Envolvimento de todos – O Segredo do Sucesso ! Para uma completa e efetiva Política de segurança de informações é imprescindível que sejam envolvidos a alta gerência, a gerência de segurança, a de recursos e de finanças, os demais gerentes e sobretudo, os usuários.

14 Segurança de Informações
Política de Segurança de Informações - Tópicos Importantes Conteúdo básico: orientações sobre análise e gerência dos riscos, princípios de conformidade dos sistemas com a PSI, classificação das informações e padrões mínimos de qualidade. Princípios legais e éticos: Direito à propriedade intelectual. Direitos sobre softwares. Princípios de implementação de segurança. Políticas de controle de acesso a recursos e sistemas. Princípios de supervisão das tentativas de violação da SI. Esses pontos devem ser claros e detalhados para serem compreendidos. Para um maior aprofundamento, pode-se dispor de outros documentos mais específicos.

15 Segurança de Informações
Processo de Implantação da PSI Processo formal e longo; flexível para permitir ajustes conforme necessidades Fases: Identificação dos recursos críticos. Classificação das informações. Definição em linhas gerais, dos objetivos de segurança a serem atingidos. Análise das necessidades de segurança (ameaças, riscos e impactos). Elaboração da proposta inicial. Discussões abertas com os envolvidos. Apresentação do documento formal à gerência superior. Aprovação Implementação Avaliação da política e identificação das mudanças necessárias Revisão

16 Segurança de Informações
Identificando os recursos O que precisa ser protegido? Quais os mais importantes? Hardware Software Dados Pessoas Documentação Suprimentos Classificação das informações – necessidade, responsabilidade. Públicas ou de uso irrestrito – ex.: serviços de informação ao público em geral; De uso interno – ex.: serviços de informação interna; Confidenciais – ex.:dados pessoais de clientes e funcionários, senhas... Secretas – ex.: dados militares e de segurança nacional.

17 Segurança de Informações
Classificação dos Sistemas – camadas para facilitar os controles Aplicativos – necessidades específicas. Serviços – utilizados pelos aplicativos. Sistema Operacional – gerenciamento de recursos computacionais. Hardware Análise individual de cada camada em termos de segurança, configurada e monitoradas de forma compatível com o nível de segurança definido.

18 Segurança de Informações
Analisando Riscos Risco = ameaça + vulnerabilidade + impactos. Identifica componentes críticos e custo potencial aos usuários. Ponto chave em qualquer política de segurança. Identificar ameaças e impactos, possibilidades de uma ameaça se concretizar e entender os riscos potenciais. Classificar por nível de importância, custos envolvidos na prevenção/ recuperação. Riscos podem ser apenas reduzidos, nunca eliminados. Medidas mais rígidas tornam os riscos menores, mas não eliminam. Conhecimento prévio das ameaças e seus impactos podem resultar em medidas mais efetivas para reduzir as ameaças, vulnerabilidades e impactos. É sempre melhor (e mais barato!) prevenir do que remediar.

19 Segurança de Informações
Analisando ameaças – Contra quem proteger ? Custo pode ser mais alto do que os danos provocados. Conceitos Básicos: Recurso – componente de um sistema computacional. Ameaça – evento ou atitude indesejável que pode remover, desabilitar, danificar ou destruir um recurso. Vulnerabilidade – fraqueza ou deficiência que pode ser explorada por uma ameaça. Ataque – ameaça concretizada. Impacto – conseqüência de uma vulnerabilidade ter sido explorada por uma ameaça. Probabilidade – chance de uma ameaça atacar com sucesso. Risco – medida da exposição a qual o sistema está sujeito. Depende de uma ameaça atacar e do impacto resultante. Envolve esses componentes mais as vulnerabilidades.

20 Exercícios Propostos 1. Definir Política de Segurança.
2. Quais os Objetivos de Segurança citados por Cláudia Dias? Fale sobre cada um deles. 3. Quais as principais fases do processo de implantação de uma Política de Segurança? Fale sobre cada uma delas. 4. Quais os principais recursos de tecnologia da informação a serem protegidos? 5. Como podem ser classificadas as informações a serem protegidas em em uma organização? 6. Qual o objetivo da classificação das informações em uma organização? 7. Para efeito de elaboração e implementação de políticas de segurança, como podem ser subdivididos os sistemas de informações? Fale sobre cada um deles. 8. Quais os principais danos que podem causar uma ameaça hoje, no caso de concretizada uma invasão (acidentais ou deliberadas)? Fale sobre cada um deles. 9. O que são ameaças programadas? 10. Cite e comente sobre as diferentes nomenclaturas para as ameaças programadas. 11. Quais os principais tipos de vírus? Fale sobre cada um deles. 12. O que são Serviços de Segurança? Cite exemplos. 13. O que são mecanismos de Segurança? Cite exemplos. 14. Quais os 3 princípios básicos de segurança que devem ser vistos por uma Gerência de Segurança? 15. Como podem ser divididas as atividades de uma gerência de segurança? Cláudia Dias – págs


Carregar ppt "SEGURANÇA E AUDITORIA DE SISTEMAS"

Apresentações semelhantes


Anúncios Google