A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança e Auditoria em Sistemas de Informação Dom Pedro II

Apresentações semelhantes


Apresentação em tema: "Segurança e Auditoria em Sistemas de Informação Dom Pedro II"— Transcrição da apresentação:

1 Segurança e Auditoria em Sistemas de Informação Dom Pedro II
Eduardo Bloisi MBA em Gestão da Informação – Unifacs Bacharel em Ciência da Computação – Unifacs MCP, CSM

2 Introdução Informação
Conceito de informação: É um conjunto de dados que fornece algum significado. Enquanto os dados estão em estado bruto, a informação possui um significado útil. E o conhecimento é a utilização da informação para a tomada de decisões. Ex.: Dados: 25° R$ 1000 Informação: Temperatura máxima em Salvador hoje: 25°. Média salarial no Brasil: R$ 1000. Conhecimento: Campanha de marketing de pacotes turísticos para Salvador. Venda de produtos destinados a classe C.

3 Introdução O mundo é movido a informação ! Guerra
Os alemães mandavam mensagem criptografadas para alinhar as suas posições. Para isso, desenvolveram uma máquina chamada Enigma. Os ingleses conseguiram decifrar o código da máquina e partir daí, os aliados ficaram sempre um passo adiante dos alemães. E se os alemães soubessem a data e o local do desembarque do “dia D” ?

4 Introdução Crise econômica de 2008:
Um grande rombo nas carteiras de empréstimos imobiliários norte-americanos levou o mundo a um colapso econômico-financeiro que perdura até os dias atuais. Crises econômicas são inevitáveis e sempre seremos atingidos, pois as economias dos países são interligadas em nível global. Para minimizar esse impacto ou até nos beneficiarmos dele, temos que estar um passo a frente. Como ? Em 2008 um grande banco liquidou em um só dia toda a sua carteira de hipotecas e minimizou muito o seu prejuízo. Quem comprou as carteiras na mão do banco teve sérios problemas, inclusive falência.

5 Introdução Receita Federal
Envio de informações dos contribuintes que devem ter sigilo fiscal. Cruzamento de dados (fontes pagadoras, declaração de renda, bens, cartão de crédito). Fiscalização baseada na inteligência da informação e não mais com métodos empíricos.

6 Introdução Governos precisam de informação para:
Formular políticas públicas para a segurança, saúde, trânsito, tributos e economia. Empresas precisam de informação para: Tomar decisões que envolvem estratégias comerciais, financeiras, contábeis, recrutamento e de produção. Indivíduos precisam de informação para: Decisões sobre a carreira, adquirir casa própria, programar férias e planejar a vida financeira.

7 Introdução A informação é um ativo bastante valioso para os indivíduos, organizações e governos. Algumas questões iniciais: Você tem um cópia dos seus documentos pessoais e de família ? Você conhece o posicionamento de sua organização em relação aos funcionários e prestadores de serviço no que diz respeito à proteção da informação ? O executivo de maior nível hierárquico da empresa está comprometido com a segurança da informação ? Os prestadores de serviços na sua vida pessoal são escolhidos considerando critérios de valor que você defende e acredita ?

8 Introdução O tratamento inadequado da informação: Estudo da Workshare
75% dos documentos arquivos em estações de trabalho das empresas contém informações “sensíveis” que poderiam causar estrago se caíssem em mãos de pessoas mal intencionadas. Gestora de fundos de investimento Fator A gestora de fundos de investimento Fator obteve informações indevidas durante o processo de privatização da estatal Copel. A Fator foi a primeira empresa do Brasil a ser punida por insider information. Cia aérea US Airways vendeu passagens a US$ 1,86 Um problema no sistema de vendas comerciais da US Airways reduziu bastante o valor das suas passagens. Na média, os bilhetes de ida e volta foram vendidos por US$ 40,00. Em alguns trechos, US$ 1,86.

9 Introdução Wikileaks WikiLeaks é uma organização transnacional sem fins lucrativos, sediada na Suécia, que publica, em seu site, posts de fontes anônimas, documentos, fotos e informações confidenciais, vazadas de governos ou empresas, sobre assuntos sensíveis. O seu conceito é diferente do wikipedia, não sendo aberto para qualquer um postar. Ele utiliza softwares e infra-estrutura que garantem a privacidade do usuário e não rastreabilidade das publicações. A organização informa ter sido fundada por dissidentes chineses, jornalistas, matemáticos e tecnólogos dos Estados Unidos, Taiwan, Europa, Austrália e África do Sul. Seu diretor é o australiano Julian Assange, jornalista e ciberativista. Em abril de 2010, WikiLeaks um vídeo feito em 12 de julho de 2007, que mostrava civis iraquianos sendo mortos durante um ataque aéreo das forças militares dos Estados Unidos. Em julho do mesmo ano, a organização ganhou maior visibilidade mundial, ao divulgar o uma compilação de mais de documentos secretos do governo americano sobre a Guerra do Afeganistão.

10 Introdução Stuxnet Stuxnet é um worm de computador projetado especificamente para atacar o sistema operacional SCADA, desenvolvido pela Siemens para controlar as centrífugas de enriquecimento de urânio iranianas. É o primeiro worm descoberto que espiona e reprograma sistemas industriais. O Stuxnet é capaz de reprogramar CLPs e esconder as mudanças. O vírus pode estar camuflado em mais de 100 mil computadores, porém, para sistemas operacionais domésticos como o Windows e Mac OS X, o worm é inofensivo. Só funciona efetivamente nas centrífugas de enriquecimento de urânio iranianas, já que cada usina possui sua própria configuração do sistema SCADA.

11 Introdução Stuxnet A origem do vírus Stuxnet ainda não foi definida. Mas a maioria dos especialistas de segurança desconfiam dos EUA. O worm Stuxnet faz as centrífugas girarem numa velocidade 40% acima do que deveriam, as danificando. Esse ataque acabou atrasando o programa nuclear uraniano. Posteriormente, o New York Times divulgou que a criação no Stuxnet começou nos EUA a pedido do governo Bush e teve a sua finalização e execução no mandato Obama.

12 Introdução Caso Yahoo Yahoo confirma brecha de segurança que permitiu roubo de 400 mil senhas. O Yahoo confirmou que um arquivo contendo mais de 400 mil senhas foi roubado durante uma invasão de hackers, de um grupo conhecido como D33D. O grupo publicou as senhas, que incluem dados pessoais de contas de usuários do Yahoo. Em nota, o Yahoo declarou: “Já estamos resolvendo a vulnerabilidade que permitiu o roubo e notificando as empresas que tiveram usuários prejudicados", disse Dana Langkeek, porta-voz do Yahoo, em comunicado. O Yahoo recomenda que os usuários troquem suas senhas de acesso à conta, bem como a senha de outros serviços, caso o usuário utilize a mesma senha.

13 A Segurança na Organização
A segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da organização seja realizado e sua missão seja alcançada. Edison Fontes. Como minimizar os riscos do negócio em relação à dependência dos recurso de TI ? Questões comuns nas organizações: Não encontro aquele relatório que elaborei no ano passado ! Mas essa não é a última versão da planilha ! Perdemos a versão atual ? Quem alterou esse contrato ? As finanças da empresa não vão bem. Vi em um relatório que esqueceram na impressora.

14 A Segurança na Organização
Proteger a informação significa a garantia dos itens abaixo: Disponibilidade: A informação deve estar acessível para a atuação das áreas de negócio da organização. O setor comercial da empresa não pode vender se o módulo de PDV não dispõe de informações de estoque. A gerência não pode fazer uma avaliação de desempenho da equipe de vendas se não possui a informação do faturamento. Integridade: A informação deve estar correta, sem estar corrompida e fidedigna. O setor de contabilidade não pode fechar o balancete se as contas não batem. O setor de logística não pode despachar uma entrega se não possui os dados correto da nota fiscal.

15 A Segurança na Organização
Confidencialidade: A informação deve ser acessada somente pelos profissionais que necessitam da mesma para a realização das suas atividades. O setor de logística não deve acessar o módulo de crédito dos clientes. Terceiros não podem acessar dados fiscais de contribuintes. Legalidade: O manuseio da informação deve respeitar a legislação vigente, os padrões éticos e normas da organização. Um funcionário público não deve vender informações sigilosas. Um funcionário privado não pode vazar informações para a concorrência.

16 A Segurança na Organização
Auditabilidade: As informações devem ter o registro de quem, quando e como foram acessadas. Um funcionário de uma instituição financeira oferece um empréstimo indevido para um cliente. Um funcionário público acessa a declaração do imposto de renda de um candidato a cargo eletivo. Não repúdio: A auditoria deve ser capaz de identificar quem, quando e como foram incluídas, alteradas ou excluídas informação no sistema. Um funcionário público negocia a extinção da dívida de um contribuinte. Um funcionário de uma telefônica atribui bônus indevidamente para ele ou terceiros. Um funcionário altera a folha de pagamento para remunerações maiores para ele ou terceiros.

17 A Segurança na Organização
Autenticação: Garantir que o usuário que está acessando a informação é de fato o usuário que está credenciado no sistema. Os usuários precisam se identificar para acessar ou modificar informações corporativas. Privacidade: Algumas aplicações precisam garantir que não será associado o usuário e as suas alterações no sistema. Voto eletrônico.

18 Fixação Baseado nos conceitos de segurança de informação (disponibilidade, integridade, confidencialidade, legalidade, auditabilidade, não repúdio, autenticação e privacidade), indique em quais casos abaixo elas se aplicam: Usuário da empresa informa que não enviou uma mensagem de correio eletrônico que chegou até a diretoria. Analista financeiro não consegue encontrar um relatório que foi elaborado no ano passado. Várias folhas de um relatório de auditoria é encontrado no lixo da empresa. Um contrato teve o seu valor alterado e não sabem quem o fez. Informação confidencial da empresa vaza para a imprensa. Setor financeiro trabalha com versão incorreta de sua principal planilha eletrônica.

19 A Segurança na Organização
Os objetivos vistos com relação a segurança da informação dependem de pessoas. Os colaboradores têm responsabilidade sobre a política de segurança da informação. A política de segurança tem que ser vista e praticada como um objetivo comum da organização. A política de segurança visa assegurar o sucesso da organização , logo o comprometimento tem que ser de todos ! Interrupção no andamento dos negócios, perda de informações ou vazamento para a concorrência resultam em perda de faturamento ou prejuízo, deixando os acionistas insatisfeitos.

20 A Segurança na Organização
Sobre a sua organização: Existe uma política de informação na sua organização ? Você conhece essa política de segurança da informação ? Você conhece as suas responsabilidades em relação à informação ? A informação está sempre disponível para você realizar suas atividades profissionais na organização ? Como é garantido, na sua organização, que cada usuário não possa negar que realizou determinado acesso e ação sobre uma organização ? Você acha que a política de segurança de informação de sua organização foi divulgada adequadamente ? Você consegue localizá-la ? Seus colegas conhecem a política se segurança de informação ? Da área de TI ? E demais áreas ? Você já leu, pela segunda vez, a política se segurança da informação ?

21 A segurança e o executivo
Negócios voltados para a área financeira, empresas aéreas ou e-comerce remetem de imediato à segurança da informação. Mas independente do segmento, todas as organização devem se preocupar com a segurança da informação, em diferentes níveis. Um executivo de uma organização não será um especialista em segurança, mas deverá saber: Não é somente um assunto relacionado a TI: somente soluções técnicas não garantem a segurança. É uma decisão empresarial: a segurança da informação garante o retorno do investimento da organização. Não acontece por milagre: exige recursos financeiros, humanos e tempo. Deve fazer parte dos requisitos de negócio: é um item que compõe o preço final do produto ou serviço.

22 A segurança e o executivo
Um executivo de uma organização não será um especialista em segurança, mas deverá saber: Exige postura profissional das pessoas: a segurança da informação deve ser tratada de forma profissional. Liberar a informação apenas para quem precisa: regulamentos e normas valem para todos. Implementar o conceito de gestor da informação: a informação pertence a área de negócio não à TI. Deve contemplar todos os colaboradores: não somente funcionários, mas terceiros, colaboradores, consultores devem ser envolvidos. As pessoas são um elemento vital: entender que a segurança da informação depende de pessoas para acontecer. Alinhamento do negócio: Envolver a segurança da informação desde o princípio. Nada na empresa deve prosseguir sem ela.

23 Casos Fabricante de semicondutores de Taiwan acusa concorrente chinesa de roubar tecnologia patenteada. Vários funcionários da TSMC saíram da empresa para trabalhar na concorrente, SMIC. Alguns deles tiraram várias cópias de projetos da TSMC nos fins de semana antes de deixarem a empresa. Apesar de todo o controle dos meios virtuais, a empresa se esqueceu de um dos meios de armazenar informação: papel.

24 Casos Ex-empregado acusa Huawei de copiar equipamento CISCO.
A cópia de projeto parece ter sido tão fiel, que ambas apresentaram exatamente o mesmo defeito. Um ex-funcionário depôs em juízo informando que de fato, os roteadores Huawei tiveram o seu projeto “copiado” da CISCO. O vazamento de informações cruciais sobre produtos pode comprometer totalmente o desempenho da empresa no mercado. O acesso restrito aos projetos da empresa são necessários para garantir a segurança.

25 Casos - Wired Sem violar senha, hacker destrói vida digital de repórter Às 17h do último dia 3, os dados do iPhone de Mat Honan, repórter da revista "Wired", foram apagados. Um minuto depois, foi a vez de seu iPad. Às 17h05, todas as informações armazenadas em seu MacBook Air também viraram fumaça. A seqüência de ataques foi feita remotamente por um hacker, que se identifica como Phobia, e fulminou a vida digital do jornalista. Além de fotos, apps e outros arquivos nos dispositivos, as contas no iCloud, no Twitter e no Google foram sequestradas. O mais assustador é que nenhuma senha foi violada por programas ou pragas virtuais. O criminoso se aproveitou de descuidos primários de Honan e de falhas da Apple e da Amazon em proteger informações de seus usuários.

26 Casos - Wired O alvo inicial era a conta do jornalista no Twitter, que indicava no próprio perfil um endereço do Gmail para interessados em fazer contato. O hacker supôs que os dois serviços estivessem ligados -para sequestrar o Twitter, seria preciso invadir o Gmail. Ele, então, pediu uma nova senha para o Google, que indicou parte do endereço secundário a recebê-la, o do serviço de da Apple. O próximo passo era ter acesso à ID Apple. A ajuda veio pelas mãos do serviço de assistência AppleCare, que fornece senhas provisórias por telefone mediante três informações pessoais: , endereço de cobrança e quatro últimos dígitos do cartão de crédito. O primeiro item era fácil de adivinhar. O segundo foi encontrado com uma busca rápida pela rede. O terceira foi obtido na Amazon. Pelo telefone, Phobia pediu à loja virtual que inserisse um novo número de cartão de crédito na conta do jornalista. Precisou apenas indicar e endereço físico.

27 Casos - Wired O criminoso, então, voltou a ligar para a Amazon pedindo uma nova senha, que foi concebida com dados de Honan que ele já tinha em mãos. Ao entrar na conta da Amazon, o hacker conseguiu os quatro últimos dígitos do cartão ligado à ID Apple. Em seguida, houve a sequência de invasões, que resultou na destruição da vida digital do repórter. Desde então, Honan já recuperou as contas no Twitter e no Google. Ele mandou o MacBook para a assistência técnica, mas não sabe se será possível recuperar os arquivos pessoais. Em resposta, a Amazon diz ter encerrado o serviço de acrescentar cartões via telefone. A Apple tomou medida parecida e suspendeu a emissão de senhas por telefone.

28 Política de Segurança da Informação
A política de segurança da informação deve explicitar o que cada colaborador da organização deve fazer. Isso independe de se tratar de um sistema convencional ou um sistema de informação. A política de segurança não pode surgir sozinha ou em separado. Ela deve estar alinhada com os objetivos da organização. A política de segurança deve garantir que os objetivos da organização sejam alcançados. Uma política define regras e normas. São elas que norteiam os funcionários da organização no sentido de lidar com as informações.

29 Política de Segurança da Informação
A política se segurança principal deve estar documentada de forma simples e concisa. A sua facilidade de entendimento permitirá a compreensão de todos os usuário envolvidos. O documento deve detalhar como a informação deve ser tratada e a responsabilidade de todos os usuários. O documento deve: Declarar e clarificar regras; Definir obrigações, responsabilidades e autoridade; Formalizar processos e procedimentos; Documentar a boa cultura empresarial; Evitar que informalidades no trato da segurança impeçam boas práticas; Possibilitar a sua utilização em questões legais; Estabelecer padrões; Se tornar a base da segurança da informação da organização.

30 Política de Segurança da Informação
Três aspectos devem ser considerados para que a política seja efetiva na organização: Apoio e patrocínio da alta gestão: O presidente e a alta direção devem referendar a política de segurança. Saber que a política não é o resultado de uma decisão apenas da área de TI reforça a sua utilização e cumprimento por toda a organização. Representar a realidade da organização: Definir regras que não estão incutidas nos valores da cultura da organização é uma forma difícil de assegurar a política. Capacidade de execução e implementação: As regras e normais devem ser possíveis de serem cumpridos pelos usuários.

31 Política de Segurança da Informação
Formatada a política de segurança em termos documentais, devemos: Divulgá-la de forma ampla, geral e irrestrita aos usuários; Garantir que o acesso a política seja sempre fácil; Atualizar a política sempre que necessário; Documentos adicionais com regras e normais também podem ser criados para complementar a política de segurança principal. Não somente a área de TI, mas as áreas de recursos humanos, jurídica, administrativa ou outras que sejam necessárias. A elaboração da política apenas pela área de TI, pode parecer um ganho de prazo, já que não envolve mais nenhuma outra. Mas o envolvimento de outras áreas garante uma consistência maior da política, ainda que seja mais demorado de produzir uma documentação final.

32 Planejamento da Segurança
Em muitas situações, a organização só prioriza as questões de segurança da informação em situações de crise: Um vírus que destrói informações importantes; Um hacker que trocou a página principal da empresa; Uma informação que vazou para o mercado indevidamente. O planejamento da segurança visa a adoção de uma postura pró-ativa por parte da organização e não apenas reativa. Assim como o plano diretor de informática ou planejamento estratégico de TI, a segurança da informação deve ser planejada de forma efetiva, contínua e coerente com o negócio da organização.

33 Planejamento da Segurança
Aspectos do planejamento da segurança da informação: Características do negócio: A exigência de aspectos como disponibilidade e confidencialidade variam de acordo com o negócio da organização. Estrutura do negócio: Como é a disposição da informação e estrutura administrativa ? Centralizada ou descentralizada ? Vertical ou horizontal ? Plano estratégico de segurança: É a definição das políticas, responsabilidades, escopo de recursos envolvidos que constituem o contexto para o processo de segurança. Mapeamento das vulnerabilidades: A variedade de plataformas e tipos de recursos envolvidos pode exigir implementações distintas. Recursos necessários: Hardware e software são necessários. Mas o mais caro é o tempo dos usuários para que eles se conscientizem. Definição de níveis de segurança: Verificar quais são os níveis de segurança que a organização necessita.

34 Planejamento da Segurança
A importância da segurança da informação nos leva a executar ações operacionais para garantir o bom andamento dos negócios. O planejamento estratégico é uma visão mais ampla que garante de fato a correção das fragilidades em termos de segurança. O planejamento estratégico da segurança da informação deve: Estar alinhada com a legislação e políticas da organização: as diretrizes de segurança não podem ferir a legislação vigente no país nem se contrapor às políticas organizacionais da empresa; Considerar as iniciativas de negócio: a execução do negócio é a razão de ser da empresa. Se a política se segurança não permite essa execução, ela não tem sentido. Definir a estrutura da área de segurança: escolher os colaboradores que farão parte do projeto. Determinar qual o posicionamento da área de segurança no organograma da empresa. Pensar na possibilidade de contratação de terceiros com especialização na área. Definir a forma de atuação: além da área computacional, verificar quais outras áreas precisam ser revistas como a proteção física ou acesso de pessoas à organização.

35 Planejamento da Segurança
A estratégia de segurança é dividida em três elementos: Arquitetura: A definição da arquitetura consiste em dividir o assunto segurança de forma equilibrada e facilitada. Ex.: norma NBR ISSO Compromisso do usuário: O usuário deverá ser treinado para entender o seu comprometimento com a segurança da informação. Ações de proteção: procedimentos técnicos e não técnicos para assegurar a proteção da informação.

36 Planejamento da Segurança
Conformidade com a regulamentação Estrutura Arquitetura Atuação Compromisso do usuário Proteção de recursos Iniciativas de negócio

37 Segurança e Negócios Como alinhar a política se segurança aos negócios da empresa ? Não fazer isso é o primeiro passo para o fracasso. Para estar alinhada, a segurança da informação deverá possibilitar que a empresa desenvolva os seus planos de negócios como a devida proteção e disponibilidade. Primeiro, a política se segurança deverá atender os requisitos de negócio. Segundo, a área de negócio deverá esclarecer quais são as suas necessidades em relação aos recursos de informação. Agindo de acordo com as duas vias acima, a tendência é a diminuição do atrito entre a política de segurança e as áreas de negócio.

38 Segurança e Negócios Ações concretas de alinhamento
Participar no desenvolvimento de produtos e sistemas: Os responsáveis pela segurança devem ser envolvidos desde o início no desenvolvimento de novos negócios. O envolvimento no final ou não envolvimento deixa o objetivo de ambiente seguro mais longe. Ter nível hierárquico adequado: a equipe de segurança deve possuir independência para identificar as vulnerabilidades sem restrições. Conhecer o planejamento estratégico: o gestor da segurança da informação deve conhecer os planos da empresa para poder se antecipar aos problemas que envolvem a segurança. Planejar estrategicamente: uma vez que o gestor da área de segurança tenha conhecimento do planejamento estratégico da organização, ele poderá formular o próprio plano estratégico da segurança para possibilitar que as áreas de negócio utilizem os recursos te TI com segurança. Seguir o negócio: o ritmo de execução dos projetos vem da área do negócio a ser desenvolvido. Ele é a razão da empresa existir. A área de segurança deverá sempre se lembrar disso.

39 ROI ROI (Return Of Investiment)
O retorno sobre o investimento realizado em um projeto é a única forma de convencer a alta gerência a aprová-lo. Com a política de segurança não é diferente. O responsável executivo pela segurança tem um trabalho árduo em convencer diretores e acionistas sobre os investimentos da área. Segurança da informação é uma área difícil de demonstrar o ROI. A alta direção questiona de quanto será o retorno sobre o montante investido.

40 ROI Três situações para projetos x ROI:
Projetos que podem quantificar um ROI: soluções de segurança que podem diminuir a utilização do helpdesk da empresa se traduzem em uma economia clara. Projetos que identificam uma meta-ROI: soluções de segurança que só evidenciam o seu retorno no caso de desastre. Ou seja, quanto dinheiro a empresa perderia caso um infortúnio aconteça. Projetos em que a segurança é despesa e parte do negócio: a solução de segurança nesse caso é imprescindível para a realização do negócio, mas não apresenta um retorno de investimento. É de fato uma despesa. Um exemplo claro é o e-commerce.

41 Segurança e Aprendizado
Os conceitos de aprendizagem organizacional pregam que a empresa deve contar com a sinergia do conhecimento dos recursos integrantes da organização, aliada ao conhecimento existente fora da mesma: Informação Válida: os colaboradores de uma empresa precisam ter noção do valor das informações para a realização dos negócios. Dessa forma, os gestores podem saber o impacto da perda ou indisponibilidade das informações para os negócios. Escolha Livre: não existe a solução de segurança mais correta para todos os casos. A empresa deve conhecer as opções e adotar a solução que mais se adequar as suas necessidades. Comprometimento: uma vez que os colaboradores da empresa possuem acesso a todas as informações válidas e a livre escolha para decidir o nível de proteção da informação, será mais fácil ter comprometimento.

42 Áreas de Apoio A área de segurança de informação sempre é associada a área de tecnologia. Mas um plano estratégico de segurança da informação deve contemplar a interação com outras áreas: Jurídica: as políticas e regulamentos de segurança devem ser validados pela área jurídica. Caso contrário, colocaremos em risco o futuro da organização. Recursos humanos: a área não deve se limitar apenas ao termo de compromisso entregue ao novo funcionário. A avaliação de desempenho e treinamento dos funcionários deve prever a manipulação da informação na organização. Administração: o cuidado no controle do meio físico, desde o acesso, gravação de imagens e o descarte de insumos e materiais utilizados para a realização do trabalho devem passar pelo setor administrativo (papel, mídias e computadores). Nível operacional e apoio: o envolvimento do pessoal da vigilância, limpeza, telefonia, não deve ser negligenciado. Muitos problemas relativos a segurança passa por esses profissionais.

43 Aspectos Sócio-técnicos
A segurança da informação não deve se preocupar apenas com os aspectos técnicos. O ambiente o comportamento das pessoas também devem ser levados em conta. Planejamento: Até o momento abordamos apenas os aspectos técnicos do planejamento da segurança da informação. Para termos um planejamento mais abrangente, devemos abordar os aspectos sociais.

44 Aspectos Sociais Regulamentos: as políticas, normas e procedimentos estabelecem um padrão de conduta. Deixar essa regras explícitas e claras é o primeiro passo para que sejam cumpridas. Cultura Organizacional: esse aspecto leva algum tempo para poder absorver a política de segurança. Não podemos afrouxar a política por conta da cultura, mas devemos considerar o seu impacto nos indivíduos que fazem parte da organização. Clima Organizacional: uma empresa com bom clima organizacional, onde impera uma alta confiança entre os colaboradores facilita a implantação de qualquer política, inclusive a de segurança. Processo Contínuo de Treinamento: a importância da política se torna clara para os colaboradores da empresa quando a mesma planeja treinamentos na área de segurança ou aborda o assunto em outras. Profissionalismo: a falta de profissionalismo e alta informalidade afeta negativamente as organizações em vários aspectos. A política de informação é muito prejudicada numa empresa com pouco profissionalismo.

45 Aspectos Técnicos Atualização da Tecnologia: a dinâmica da atualização de soluções tecnológicas propõe novas soluções para a para a área de negócio da empresa. A busca da atualização das ferramentas e processos na área de segurança é necessária para acompanhar a área de negócio. Fornecedor da Solução: os fornecedores de soluções de TI devem ser escolhidos com bastante critério em relação as preocupações com a segurança e continuidade do negócio. Requisitos de Segurança devem ser mantidos: sempre considerar os aspectos de segurança, mesmo com novas soluções ou produtos.

46 Gestor da Informação O gestor da informação é responsável por cuidar do acesso às informações de uma determinada área da empresa. Esse papel de gestor deve ser formalizado e tratado com total profissionalismo. Antes de mais nada, a informação pertence a empresa e o gestor é um preposto que operacionaliza a sua liberação. Um gestor só deve liberar informações para os usuários que realmente precisam e que devem ter acesso a elas. Além do acesso, é importante definir o nível de acesso e as operações que podem ser realizadas sobre as informações.

47 Reflexão Cada informação da sua organização possui o respectivo gestor ? Você conhece os gestores de informação da sua organização ? Na sua opinião, os gestores de informação de sua organização foram indicados de forma correta ? Você tem justificativa profissional para as informações que está autorizado a acessar ? Em caso de auditoria, pode-se identificar quem autorizou o acesso à informação e quando foi feita essa autorização ?

48 Casos Reais Presidente do TCU x Dataprev
O presidente do TCU acusou o sistema mantido pela Dataprev como um dos principais focos de corrupção do Brasil. Segundo o presidente, um técnico do TCU acessou o sistema com a senha de usuário comum e aumentou a aposentadoria do seu pai. Não houve nenhuma apuração posterior, demonstrando como o sistema é falho. O presidente informou a falha a dois ex-ministros da previdência. Fonte: Folha de São Paulo – 2004 O usuário que efetuou a alteração precisava de acesso sistema. Mas o mesmo deve ser dado de maneira segmentada. Um grupo de usuário

49 Casos Reais Três mil clandestinos na folha salarial da união
A Secretaria da Administração Federal descobriu (SAF) descobriu que 3000 pessoas tiveram acesso indevidamente ao sistema que prepara as folhas de pagamento do funcionalismo público federal. Alguns logins estavam associados inclusive a funcionários mortos. Fonte: Folha de São Paulo – 1994 A funcionalidade de autenticação de usuários deve possuir uma expiração automática depois de um certo tempo. A senha expirada deve ser renovada para que o usuário tenha acesso novamente às informações.

50 Vulnerabilidade Falhas em projetos, configurações e implantações de sistemas de informação que podem resultar na invasão, indisponibilidade ou destruição de informações corporativas. As vulnerabilidades não são em sua maioria propositais. A política de segurança da informação tem por objetivo evitar que elas ocorram. As vulnerabilidades são promovidas muitas vezes por negligência da alta administração. Alguns exemplos: Compartilhamento de senhas ou senhas fracas. Soluções frágeis. Configurações incorretas ou default. Desatualização de software e hardware. Falta de procedimentos de teste.

51 Vulnerabilidade Exemplos fora da TI:
Problemas de estrutura hidráulica, elétrica ou de limpeza. Cuidado com o acesso físico. Treinamento para manipulação de informações fora do ambiente computacional. Falta de normas e procedimentos disciplinares formais.

52 Vulnerabilidade Novas tecnologias e negócios
Redes sociais como Facebook e Twitter Cloud Computing SOA (Service Oriented Architecture) Novos padrões wifi e 3G/4G Novas tecnologias sempre vêm acompanhadas de maior facilidade e rapidez para manipular a informação. Se a política de segurança não estiver preparada para evoluir com elas, as vulnerabilidades tendem a aumentar.

53 Risco Ameaça Risco Fatores que aumentam o risco
É a causa potencial de um incidente que não é desejado pela organização, pois resulta em dano que prejudica os negócios. Risco Representa o perigo, a probabilidade ou a possibilidade de ocorrência de algum dano. Risco = Probabilidade x Impacto Fatores que aumentam o risco A dinâmica dos mercados exigem que produtos e serviços sejam lançados com rapidez, dispensando a política de segurança. A evolução das comunicações tornou o mundo incrivelmente conectado. Aumento e organização de grupos com diversas motivações para invasões. Combinação de tecnologias diversas ou criação de novas. Os riscos devem ser tratados e evitados pela política de segurança. Caso as coisas dêem errado e o risco ocorra, contingências e planos de mitigação devem estar prontos para ação.

54 Risco O adequado tratamento para riscos em sistemas de informação prevê: Evitar Aceitar Transferir Mitigar

55 Governança Palavra muito utilizado quando falamos de gestão corporativa. O significado e motivação da governança cresceram junto com a onda de fraudes e ilicitudes que assolou as empresas e mercados nos últimos anos: Enron e crise de 2008. Empresas aparentemente saudáveis e sólidas tornaram obrigatória a criação de normas e regulamentos que sustentam a chamado governança corporativa. A governança corporativa teve que ser aplicada a várias áreas. Entre as áreas, foram incluídas a segurança da informação e a tecnologia da informação.

56 Governança e a segurança da informação
Aspectos da governança da segurança da informação A existência da segurança da informação deve ser decidida pela alta administração. Devemos ter um ou mais profissionais responsáveis pelo processo de governança. Devemos ter recursos operacionais, financeiros e humanos para implementar a governança. As pessoas responsáveis pela governança da segurança devem ter domínio do assunto. A autonomia para atuar de forma independente e com liberdade para aplicar a política de segurança.

57 Governança e a segurança da informação
Aspectos da governança da segurança da informação Aplicar o ciclo PDCA para que o processo apresente uma evolução e melhoria constante. Alinhamento e sincronismo entre a segurança da informação e o negócio da empresa. A governança da segurança da informação deverá estar contida na governança corporativa da empresa. Haver a real necessidade da governança de segurança da informação. Avaliação contínua dos riscos, políticas e procedimentos relativos a segurança da informação.

58 Questões Sobre segurança da informação, analise: I. É obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.  II. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída aumenta a eficácia da implementação de um controle de acesso centralizado.  III. Os controles de segurança precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.  IV. É importante para os negócios, tanto do setor público como do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes.  Está correto o que consta em   a) I, II, III e IV.  b) I, III e IV, apenas  c) I e IV, apenas.  d) III e IV, apenas.  e) I e II, apenas. Prova: FCC TRE-CE - Técnico Judiciário - Programação de Sistemas

59 Questões A propriedade que garante que nem o emissor nem o destinatário das informações possam negar a sua transmissão, recepção ou posse é conhecida como   a) autenticidade.  b) integridade.  c) irretratabilidade.  d) confidenciabilidade.  e) acessibilidade. Prova: FCC TRE-CE - Técnico Judiciário - Programação de Sistemas

60 Questões Sobre a Segurança da Informação é INCORRETO afirmar:
 a) Dentre as opções para o adequado tratamento de riscos estão: reduzir, aceitar, evitar, transferir, ignorar e ocultar.  b) A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.  c) As organizações, seus sistemas de informação e redes de computadores são expostos a diversos tipos de ameaças à segurança da informação, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, incêndio e inundação.  d) Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação.  e) É importante que a análise/avaliação de riscos seja repetida periodicamente para contemplar quaisquer mudanças que possam influenciar os resultados desta análise/avaliação

61 Questões Com relação aos requisitos de segurança da informação, assinale a opção correta.  a) A integridade é diretamente obtida quando se tem a confidencialidade.  b) A disponibilidade não é afetada pela obtenção da integridade e da confidencialidade.  c) A integridade requer que a informação só seja acessada por quem estiver autorizado.  d) A confidencialidade garante que a informação não será alterada por quem não estiver autorizado.  e) A adição da integridade a um sistema com confidencialidade eleva o seu nível de segurança. Prova: CESPE INMETRO - Pesquisador - Ciência da Computação


Carregar ppt "Segurança e Auditoria em Sistemas de Informação Dom Pedro II"

Apresentações semelhantes


Anúncios Google