A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

Apresentações semelhantes


Apresentação em tema: "1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação."— Transcrição da apresentação:

1 1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação SEGURANÇA E AUDITORIA DE SISTEMAS Segurança de Informações Cynara Carvalho

2 2 Segurança de informações Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: MUDANÇA 1) ANTES do uso generalizado de equipamentos de processamento de dados, a segurança da informação considerada valiosa para uma organização era fornecida por principalmente por meios físicos e administrativos. Ex.: - Armários robustos com fechadura com segredo para armazenar documentos confidenciais.

3 3 Segurança de Informações MUDANÇA 2) Introdução de sistemas distribuídos e o uso de rede e recursos de comunicação para transmitir dados entre o usuário do terminal e o computador e entre computadores. Segurança inter-rede – empresas, governo e organizações acadêmicas interconectam seus equipamentos de processamento de dados com um conjunto de redes.

4 4 Segurança de Informações O que aconteceria se as informações institucionais caíssem nas mãos da concorrência ou fossem corrompidas, apagadas ou adulteradas? Quais seriam as conseqüências para a continuidade dos negócios da instituição? E se ocorressem desastres naturais ( incêndio, terremoto, enchentes)? E falhas estruturais ( interrupção de fornecimento de energia elétrica ou sobrecargas elétricas)?

5 5 Segurança de informações O vazamento de informações sobre seus clientes comprometeria sua credibilidade e daria maiores oportunidades aos concorrentes.

6 6 Segurança de informação Segurança é, portanto, a proteção de informações, sistemas, recursos e serviços contra desastres, erros e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança.

7 7 Segurança de Informações Política de Segurança Informações têm que estar disponíveis no momento e no local estabelecido, têm que ser confiáveis, corretas e mantidas fora do alcance de pessoas não autorizadas. Objetivos de Segurança Confidencialidade ou privacidade – informações protegidas de acesso não autorizado. Envolve medidas de controle de acesso e criptografia. (LEITURA) Integridade dos dados – Evitar alteração ou exclusão indevida de dados. (GRAVAÇÃO/ALTERAÇÃO/EXCLUSÃO). Disponibilidade – Garantia que os serviços prestados por um sistema estão sempre acessíveis a pessoas autorizadas. (BACKUP) Consistência – Garantia de que o sistema atua de acordo com a expectativa.

8 8 Segurança de Informações Política de Segurança Objetivos de Segurança Isolamento ou uso legítimo – Regular o acesso ao sistema. Acesso não autorizado é sempre um problema, pois tem que se identificar quem, quando, como e os resultados desta ação. Auditoria – Proteção contra erros e atos acidentais ou não dos usuários autorizados. Confiabilidade – Garantir que, mesmo em condições adversas, o sistema atuará conforme esperado. Dependendo da organização, um objetivo pode ser mais importante que o outro. Na maioria dos casos, é dada maior importância à disponibilidade e integridade.

9 9 Segurança de Informações Questões Relevantes O que se quer proteger ? Contra que ou quem ? Quais as ameaças mais prováveis ? Qual a importância de cada recurso ? Qual o grau de proteção desejado ? Quanto tempo e recursos para atingir os objetivos de segurança ? Qual a expectativa dos usuários e clientes em relação à segurança de informações ? Quais as conseqüências em caso de roubo ou dano?

10 10 Segurança de Informações Comprometimento da Gerência Superior Prioridade menor em relação a outros projetos. Segurança só é lembrada depois de um desastre ocorrido. Política considerada dispendiosa. Segurança vista como inibidor e não como uma garantia Rastreamento ou monitoramento de outras gerências. Uma real política de segurança deve ser posta em prática e encarada com seriedade por todos e ter o total apoio da alta gerência. O comprometimento deve ser formalizado, de forma clara e objetiva, baseados nos princípios gerais, deixando os detalhes para outros documentos mais específicos.

11 11 Segurança de Informações Definindo uma Política de Segurança de Informações Política de segurança é um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e usuários. Princípios básicos Como a organização irá proteger, controlar e monitorar seus recursos computacionais e suas informações. Responsabilidades das funções relacionadas com a segurança. Discriminação das principais ameaças, riscos e impactos envolvidos. Política de segurança de informações integrada à política de segurança em geral.

12 12 Segurança de Informações Relacionamento da Política de Segurança de Informações com a estratégia da organização. Estratégia geral da organização Plano Estratégico de Informática Política de segurança de Informações Planos de desenvolvimentos de sistemas Plano de continuidade de serviços Planejamento de capacidade Outros projetos Estabelece Especifica Gera Impactos sobre Contribui para o atingimento Define

13 13 Segurança de Informações Envolvimento de todos – O Segredo do Sucesso ! Para uma completa e efetiva Política de segurança de informações é imprescindível que sejam envolvidos a alta gerência, a gerência de segurança, a de recursos e de finanças, os demais gerentes e sobretudo, os usuários. Política de Segurança de Informações

14 14 Segurança de Informações Política de Segurança de Informações - Tópicos Importantes Conteúdo básico: orientações sobre análise e gerência dos riscos, princípios de conformidade dos sistemas com a PSI, classificação das informações e padrões mínimos de qualidade. Princípios legais e éticos: Direito à propriedade intelectual. Direitos sobre softwares. Princípios de implementação de segurança. Políticas de controle de acesso a recursos e sistemas. Princípios de supervisão das tentativas de violação da SI. Esses pontos devem ser claros e detalhados para serem compreendidos. Para um maior aprofundamento, pode-se dispor de outros documentos mais específicos.

15 15 Segurança de Informações Processo de Implantação da PSI Processo formal e longo; flexível para permitir ajustes conforme necessidades Fases: Identificação dos recursos críticos. Classificação das informações. Definição em linhas gerais, dos objetivos de segurança a serem atingidos. Análise das necessidades de segurança (ameaças, riscos e impactos). Elaboração da proposta inicial. Discussões abertas com os envolvidos. Apresentação do documento formal à gerência superior. Aprovação Implementação Avaliação da política e identificação das mudanças necessárias Revisão

16 16 Segurança de Informações Identificando os recursos O que precisa ser protegido? Quais os mais importantes? Hardware Software Dados Pessoas Documentação Suprimentos Classificação das informações – necessidade, responsabilidade. Públicas ou de uso irrestrito – ex.: serviços de informação ao público em geral; De uso interno – ex.: serviços de informação interna; Confidenciais – ex.:dados pessoais de clientes e funcionários, senhas... Secretas – ex.: dados militares e de segurança nacional.

17 17 Segurança de Informações Classificação dos Sistemas – camadas para facilitar os controles Aplicativos – necessidades específicas. Serviços – utilizados pelos aplicativos. Sistema Operacional – gerenciamento de recursos computacionais. Hardware Análise individual de cada camada em termos de segurança, configurada e monitoradas de forma compatível com o nível de segurança definido.

18 18 Segurança de Informações Analisando Riscos Risco = ameaça + vulnerabilidade + impactos. Identifica componentes críticos e custo potencial aos usuários. Ponto chave em qualquer política de segurança. Identificar ameaças e impactos, possibilidades de uma ameaça se concretizar e entender os riscos potenciais. Classificar por nível de importância, custos envolvidos na prevenção/ recuperação. Riscos podem ser apenas reduzidos, nunca eliminados. Medidas mais rígidas tornam os riscos menores, mas não eliminam. Conhecimento prévio das ameaças e seus impactos podem resultar em medidas mais efetivas para reduzir as ameaças, vulnerabilidades e impactos. É sempre melhor (e mais barato!) prevenir do que remediar.

19 19 Segurança de Informações Analisando ameaças – Contra quem proteger ? Custo pode ser mais alto do que os danos provocados. Conceitos Básicos: Recurso – componente de um sistema computacional. Ameaça – evento ou atitude indesejável que pode remover, desabilitar, danificar ou destruir um recurso. Vulnerabilidade – fraqueza ou deficiência que pode ser explorada por uma ameaça. Ataque – ameaça concretizada. Impacto – conseqüência de uma vulnerabilidade ter sido explorada por uma ameaça. Probabilidade – chance de uma ameaça atacar com sucesso. Risco – medida da exposição a qual o sistema está sujeito. Depende de uma ameaça atacar e do impacto resultante. Envolve esses componentes mais as vulnerabilidades.

20 20 Exercícios Propostos 1. Definir Política de Segurança. 2. Quais os Objetivos de Segurança citados por Cláudia Dias? Fale sobre cada um deles. 3. Quais as principais fases do processo de implantação de uma Política de Segurança? Fale sobre cada uma delas. 4. Quais os principais recursos de tecnologia da informação a serem protegidos? 5. Como podem ser classificadas as informações a serem protegidas em em uma organização? 6. Qual o objetivo da classificação das informações em uma organização? 7. Para efeito de elaboração e implementação de políticas de segurança, como podem ser subdivididos os sistemas de informações? Fale sobre cada um deles. 8. Quais os principais danos que podem causar uma ameaça hoje, no caso de concretizada uma invasão (acidentais ou deliberadas)? Fale sobre cada um deles. 9. O que são ameaças programadas? 10. Cite e comente sobre as diferentes nomenclaturas para as ameaças programadas. 11. Quais os principais tipos de vírus? Fale sobre cada um deles. 12. O que são Serviços de Segurança? Cite exemplos. 13. O que são mecanismos de Segurança? Cite exemplos. 14. Quais os 3 princípios básicos de segurança que devem ser vistos por uma Gerência de Segurança? 15. Como podem ser divididas as atividades de uma gerência de segurança? Cláudia Dias – págs


Carregar ppt "1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação."

Apresentações semelhantes


Anúncios Google