A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança da Informação Conscientização de empregados e contratados Introdução ao Pensamento Gerencial.

Apresentações semelhantes


Apresentação em tema: "Segurança da Informação Conscientização de empregados e contratados Introdução ao Pensamento Gerencial."— Transcrição da apresentação:

1

2 Segurança da Informação Conscientização de empregados e contratados Introdução ao Pensamento Gerencial

3 Fatos… "...O Brasil tem sido a base mais atuante dos malfeitores da internet, segundo a M2G Intelligence, consultoria de risco digital de Londres… Fonte: THE NEW YORK TIMES, Outubro 2003

4 (…) A agência de espionagem Kroll foi contratada pela presidente da Brasil Telecom, Carla Cico, para investigar a Telecom Italia, sócia da empresa, e com quem o banqueiro Daniel Dantas, dono do Banco Opportunity e principal controlador da concessionária de telefonia fixa, mantém uma briga pelo controle das ações. (…) Kroll violou s de Gushiken. O presidente do Banco do Brasil, Cássio Casseb, também foi espionado pela empresa multinacional. Fonte: Jornal do Brasil / JB On Line Julho de 2004 Fatos…

5 Lâmina pode ter cortado pneu do Concorde da Air France (…) Uma lâmina metálica de 40 centímetros de comprimento, achada na pista na qual utilizou o Concorde que caiu em Gonesse, em 25 de julho, foi provavelmente a causa do corte no pneu que se rompeu na decolagem, anunciou hoje a BEA _agência de investigação de acidentes francesa. O acidente causou a morte de 113 pessoas. Fonte: Folha Online 10/08/2000

6 Fatos… Plataforma Petrobras 36 afunda NOTA A IMPRENSA A Petrobras informa que às 10h45 de hoje (ontem) teve início o processo irreversível de afundamento da plataforma P-36. Por razões de segurança, todas as pessoas e embarcações já haviam sido afastadas da área, desde às 2h30, quando houve um movimento brusco da plataforma. O Plano de Contingência Ambiental da Petrobras, acionado desde os primeiros momentos do acidente, dispõe de nove embarcações com técnicos e equipamentos para combater qualquer afloramento de óleo. Fonte: Terra Notícias - Março 2001 Bacia de Campos, 19 de março de 2001 O presidente da Petrobras, Henri Philippe Reichstul, enfrenta mais uma tragédia em sua administração

7 Este servidor está seguro??? Nuclear Bunker Concreto 500 metros Servidor desligado Cercado de concreto Bunker Nuclear 500 metros abaixo do solo

8 Infelizmente nada é 100 % seguro …

9 RISCO CONCEITO CHAVE INCERTEZA ! O cerne da questão é …RISCO ! O que pode acontecer? Qual o impacto? Com qual frequência? O quão certo estou das respostas acima? Ativos Vulnerabilidades Ameaças

10 Qual é a ameaça? ?

11 Não Qual mas Quem?

12 Quem é a ameaça - Hackers

13 Quem é a ameaça- Administradores

14 Quem é a ameaça - Usuários

15 Todos nós somos uma ameaça ! Euuuu ???

16 O que fazer? Ou Não fazer?

17 ConfidencialidadeIntegridade Disponibilidade + + SEGURANÇA DA INFORMAÇÃO O que é Segurança?

18 Organização Negócios Sistemas de Informação Ativos Possui Mantidos por Que dependem de que podem ter... O que é Segurança?

19 VULNERABILIDADES NEGÓCIOS !!! QUE PÕEM EM RISCO OS NOSSOS NEGÓCIOS !!! O que é Segurança?

20 Um pouco de filosofia … "Nós somos aquilo que fazemos repetidas vezes. A excelência, então, não é um ato, mas um hábito". Aristóteles ( A.C.) O que é Segurança?

21 Conscientize-se ! De que adianta ter o melhor alarme em seu carro se você esquece de ligá-lo? O que é Segurança?

22 Compromisso ! O que é Segurança? Atitude ! Responsabilidade ! Segurança também é…

23 Estar consciente é saber: Quais são as suas responsabilidades Quais sistemas de informação você interage e porquê O que você precisa fazer para protegê-los Estar ciente e comprometido com as políticas e diretrizes de segurança O que é Segurança?

24 Concluindo … Segurança da informação é Confidencialidade Integridade Disponibilidade e acima de tudo, uma questão de hábito

25 O que fazer? Consultar o Security Office em caso de dúvidas; Deixar claro para os colaboradores a importância do assunto para companhia; Conhecer as políticas de diretrizes de segurança vigentes que tenham influência em seu trabalho; Compreender suas responsabilidades quanto a proteção dos ativos de TI da companhia (Pcs, Laptops, softwares, etc) Responsabilidades Gerenciais

26 O que fazer? Conhecer os softwares utilizados em seu setor e assegurar que todos foram obtidos de acordo com as políticas de licenciamento vigentes Assegurar que os novos empregados e contratados sejam informados sobre a existência da política de segurança bem como onde buscar maiores informações Riscos relativos aos sistemas de informação sob sua gestão. Responsabilidades Gerenciais

27 O que NÃO fazer? Ser complacente com a segurança das informações ou pensar: não vai acontecer com você Esperar para procurar por ajuda ou demorar a agir se você achar que algo está errado. Procure ajuda o mais cedo possível. Considerar segurança como uma necessidade que se aplica a somente a sistemas complexos e especializados Tentar resolver você mesmo todos os problemas – Não hesite em em pedir ajuda Responsabilidades Gerenciais

28 O que NÃO fazer? Esquecer que o FAX, telefone e celulares também tem seus próprios requerimentos de segurança Esquecer de recuperar ativos de informação (Ex. Notebooks) de empregados que estejam deixando a companhia. Você pode ser responsabilizado caso eles não sejam recuperados! Responsabilidades Gerenciais

29 O que fazer? Informe qualquer coisa suspeita. Você pode contactar seu gerente, o Security Office ou mesmo seu suporte local de acordo com a natureza do problema. Proteja a informação da companhia mantendo-a segura; Informe-se sobre que tipo de informação precisa ser protegida e siga os procedimentos existentes a respeito de Classificação da Informação Informação é poder! Procure saber quais políticas e diretrizes afetam seu trabalho e então as siga. Responsabilidades dos Empregados

30 O que NÃO fazer? Permitir que visitantes tenham acesso as dependências da companhia desacompanhados. Divulgar informações consideradas confidenciais pela companhia sem a devida autorização. Conceder a visitantes ou consultores externos acessos a computadores ou aos sistemas de informação da companhia sem a devida autorização da gerência Tentar utilizar algum computador ou qualquer sistema sem que tenha a devida autorização para tal. Lembre-se você pode estar sendo monitorado! Responsabilidades dos Empregados

31 O que NÃO fazer? Permitir a qualquer visitante conectar computadores pessoais ou notebooks a rede. Em caso de necessidade consultar o suporte local. Utilizar equipamento para outro fim que não sejam atividades relacionadas ao seu negócio. Responsabilidades dos Empregados

32 O que fazer? Informar IMEDIATAMENTE ao seu Gerente ou ao Security Office sobre o ocorrido Identifique o computador ou sistema que você acha que está comprometido e desconecte-o da rede local. Evite utilizá-lo até que o problema esteja completamente resolvido. Avalie e documente os impactos do ocorrido para o negócio. Mantenha um registro escrito dos eventos para ajudar a investigação. Incidentes e Falhas de Segurança

33 O que NÃO fazer? Ignorar ou encobrir incidentes Demorar para comunicar um incidente Assumir que um incidente foi resolvido antes de confirmar a informação com o suporte local Permitir a reutilização de equipamentos sob suspeita antes de ação corrretiva Incidentes e Falhas de Segurança

34 O que fazer? Elabore suas senhas de forma a dificultar sua quebra: Mínimo de 8 caracteres Números e símbolos Incluindo o uso de UPPERCASE e LOWERCASE alternadamente Não repita seu USERNAME ! Evite caracteres repetidos Evite temas comuns (seu time, placa carro, filho, sogra..) Senhas

35 O que fazer? Mantê-la em segredo é sua responsabilidade Use Password Protect Screen Savers Mude sua senha regularmente Senhas

36 O que NÃO fazer? Deixar seu PC ou Laptop sozinho quando quando estiver logado Repetir a mesma senha quando o sistema solicitar que você mude. Anotar sua senha para não esquecer e deixá-la próxima ao seu micro (Post it..) Revelar (mesmo ao funcionário de suporte local) Senhas

37 O que fazer? Use seu computador somente para fins autorizados Proteja seu PC da observação alheia (visitantes, clientes) Faça backup dos arquivos que você considera crítico - Faça isso regularmente Armazene seus backups em um lugar seguro Computadores Pessoais

38 O que NÃO fazer? Mudar as configurações do antivírus Trazer equipamento particular para empresa e conectá-lo a rede da companhia. Usar equipamento para fins não autorizados Transferir PC´s ou qualquer outro equipamento de sua locação sem autorização por escrito da gerência responsável Computadores Pessoais

39 O que fazer? IMPORTANTE! SUSPEITE de QUALQUER arquivo atachado recebido por , MESMO DE CONHECIDOS !!! Se você receber um CD ou disquete de uma fonte desconhecida, utilize seu software antivírus para proceder com uma verificação preliminar Cheque regularmente se seu antivírus está atualizado. Caso não esteja, entre em contato com o suporte local Proteção Antivírus

40 O que fazer? Se houver suspeita de vírus: Desconecte o cabo de rede do equipamento Entre em contato com o suporte local e aguarde o atendimento Informe ao seu Gerente ou ao Security Office sobre o ocorrido. Tente determinar de onde veio a contaminação e informe ao seus colegas de trabalho sobre sua suspeita pedindo que eles verifiquem seus equipamentos. Proteção Antivírus

41 O que NÃO fazer? Alterar as configurações ou desligar software antivírus Criar compartilhamentos abertos (Everyone Full control) em sua máquina Repassar avisos sobre vírus aos seus colegas de trabalho a menos que ele seja proveniente de avisos internos ou do Security Office. Eles podem ser um HOAX Proteção Antivírus

42 O que fazer? Lista atualizada de pessoas autorizadas a entrarem em ambientes de acesso restrito com as respectivas razões Trocar os códigos de acesso periodicamente Controles ambientais (Umidade, Temperatura, Fumaça, detecção e supressão de incêndios) Notebooks trancados em armários Segurança Física

43 O que NÃO fazer? Manter as mídias de backup no mesmo lugar que os equipamentos Servidores em áreas abertas PC´s próximos a locais de fácil observação externa Transferir equipamentos sem a anuência do suporte local / pessoal de inventário Segurança Física

44 Uso inapropriado da Internet Uso dos serviços Internet para negócios particulares ou pessoais. Que vise o acesso não autorizado a quaisquer recursos dentro ou fora da empresa. Prejudique o uso da Internet. Desperdice recursos (pessoal, capacidade, computador). Destrua a integridade ou faça uso indevido de quaisquer informações dos servidores. Comprometa a privacidade de quaisquer usuários. Não obedeça a legislação local e nacional aplicáveis. Comprometa informações proprietárias ou confidenciais da empresa. Não respeite outras políticas ou procedimentos da empresa. Uso de e Internet

45 O que fazer? Movimentação das informações devem estar autorizadas Assegure que as informações enviadas estão completas e acuradas Mecanismos adequados para transferência de grandes arquivos (FTP) Registro de dados trocados com pessoas ou organizações externas Trocando Informações

46 O que NÃO fazer? Aceitar ou usar dados/programas de fontes externas quando em dúvida sobre a autenticidade ou integridade Transferir arquivos grandes para outros usuários através de s. Carregar qualquer programa que não se saiba a origem – Evite surpresas … Trocando Informações

47 O que fazer? Autorizado pela gerência Personal Firewall instalado Mudar regularmente sua Senha e ID Acesso Remoto

48 O que NÃO fazer? Permitir outras pessoas usarem seu equipamento ou facilidades de acesso remoto disponibilizadas pela companhia Deixar sua conexão aberta sem utilização Conectar o LAPTOP à rede de terceiros Acesso Remoto

49 O que fazer? As informações armazenadas em seu PC é propriedade da empresa contratante e com tal é considerada um ativo da companhia ! Backup SEMPRE e REGULARMENTE ! Cuidado ao compartilhar informações Manipulando Informações

50 O que NÃO fazer? Acessar, copiar ou transferir dados a menos que esteja autorizado Acessar dados confidenciais, mesmo que disponíveis, fora do seu nível de autoridade Manipulando Informações

51 Fato … (…) Em 31/12/2003, data histórica que marca a primeira condenação penal no país por crimes de estelionato (artigo 171, caput, combinado com parágrafo 3º do Código Penal), formação de quadrilha (artigo 288 do Código Penal) e violação de sigilo bancário (Lei Complementar 105/2001) cometidos via internet. Estamos falando da sentença proferida pela juíza Janete Lima Miguel Cabral, da 2ª Vara da Justiça Federal de Campo Grande, localizada em Mato Grosso do Sul, que condenou Guilherme Amorim de Oliveira Alves, de 19 anos, a seis anos, cinco meses e seis dias de prisão. Além de Guilherme, a juíza condenou também um de seus comparsas, Evânancy Soares de Alcântara, a quatro anos, oito meses e vinte dias de prisão. PL84/99 – Aprovação prevista para este ano FONTE: Módulo Computer Crime

52 O que fazer? Reportar circunstâncias suspeitas a gerência Monitorar log´s dos sistemas críticos Gravar e guardar evidências para posterior avaliação Computer Crime

53 O que NÃO fazer? Destruir evidências Demorar a reportar incidentes Divulgar suspeitas de incidentes Computer Crime

54 Concluindo … Consideramos Computer Crime os danos causados de forma deliberada à equipamentos, dados ou softwares. Incluindo-se também: Propagar vírus Acessar dados não autorizados Quebrar privacidade alheia Espionagem

55 O que fazer? Trate programas e software com ativos da companhia Esteja ciente que todo os programas e sistemas escritos por empregados da empresa no curso de suas atividades pertencem a empresa contratante Saiba que a violação ou desrespeito às normas de licenciamento de software constitui CRIME, bem como violação do código de ÉTICA das empresas Licença de Softwares a Copyright

56 O que NÃO fazer? Copiar software Usar software não autorizado/licenciado Fazer download de FREEWARE ou SHAREWARE sem a devida autorização da gerência Licença de Softwares a Copyright

57 Políticas de Segurança CONCEITO Uma declaração formal de regras que devem ser obedecidas pelas pessoas as quais são concedidos acessos a tecnologias e ativos de informação de uma organização RFC 2196 (Site Security Handbook)...


Carregar ppt "Segurança da Informação Conscientização de empregados e contratados Introdução ao Pensamento Gerencial."

Apresentações semelhantes


Anúncios Google