A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

SEGURANÇA DA INFORMAÇÃO

PublicouGiovana Caldas Eger Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "SEGURANÇA DA INFORMAÇÃO"— Transcrição da apresentação:

1 SEGURANÇA DA INFORMAÇÃO
Professor: Richyan

2 CASO DA PETROBRÁS Recentemente acredito que todos acompanharam o incidente do roubo de equipamentos da Petrobrás contendo informações altamente sigilosas e estratégicas. Muito embora as investigações iniciais por parte da Polícia Federal apontavam para um caso de espionagem industrial, segundo entrevistas do próprio superintendente da PF, Jacinto Caetano em artigo publicado no site Folhaonline. Entretanto, o desfecho deste incidente mostrou que foi apenas um caso roubo de equipamentos.

3 Com base neste caso falaremos a respeito da segurança da informação

4 Segurança da informação: um termo cada vez mais citado como diferencial de mercado ou até mesmo sobrevivência das grandes e médias empresas no mundo inteiro.

5 O conjunto de medidas para a garantia da segurança dos sistemas em uma empresa varia muito de acordo com seus sistemas e processos de negócio.. Medidas distintas devem ser empregadas na proteção dos equipamentos utilizados.

6 Para cada aplicação crítica da empresa, diferentes controles devem ser empregados para endereçar a prevenção, identificação e resposta às ameaças que podem ser classificadas em três níveis de impacto às informações da empresa:

7 Integridade: perdas ou danos às informações armazenadas nos sistemas;
Disponibilidade: parada dos sistemas e/ ou das redes de comunicação entre sistemas ou redes para acesso aos sistemas; Confidencialidade: roubo de dinheiro, propriedade intelectual, informações confidenciais e estratégicas à organização por meio da invasão de sistemas vulneráveis.

8 Para análise de segurança de sistemas deve considerar algumas etapas essenciais, a seguir:
1)Avaliar junto à alta administração da empresa os objetivos corporativos de segurança da informação versus processos de negócio com base nos ativos e perda financeira envolvida. 2) Mapear os processos gerenciais e aplicações de negócio, redes, interfaces envolvidas, junto a gerência técnica (operacional e TI) a serem objeto da análise;

9 3) Definir quais os controles que melhor atendam aos requisitos do negócio, considerando o ambiente de TI da empresa . 4) Avaliar o grau de exposição das aplicações aos riscos, por meio de teste e comparação dos controles implementados com base nas boas práticas de mercado, junto ao corpo gerencial e de TI da empresa (como: operadores, analistas,etc.)

10 5) Enumerar recomendações com o objetivo de minimizar “a materialização” dos riscos identificados;
6) Discutir as recomendações com os gestores envolvidos e elaborar um plano de ação, com datas definidas para determinar tarefas de alta, média e baixa prioridade, conforme a urgência necessária, na implementação destas recomendações e manutenção de níveis aceitáveis de segurança nas aplicações de missão crítica da empresa.

11 Quais são os tipos de ataque
No local de trabalho: Acesso a informação restrita (lista de ramais, organogramas e etc.) por pessoal não autorizado. Por telefone: Contato efetuado por um sujeito que diz ser da área de Help-Desk informando que a estação de trabalho do usuário alvo necessita de uma atualização de software, de forma que ela fique em conformidade com as demais da organização e mais segura (patch de emergência).

12 Lixo: Vasculhar o lixo de uma organização para encontrar informações descartadas que possuem valor ou que forneçam dicas de ferramentas que podem ser utilizadas em um ataque de engenharia social. On-line: Envio de publicitário, oferecendo brindes para que o usuário participe de sorteios, solicitando os dados pessoais e profissionais.

13 Veja as principais formas de prevenção:
Implementar formalmente uma Política Corporativa de Segurança da Informação. Quando possível, efetuar palestras junto aos colaboradores para demonstrar a todos que você está comprometido a seguir o documento; Classificar as informações de forma a esclarecer para cada colaborador sobre que pode ser divulgado e o que não pode;

14 Desconfiar de grandes promoções, preços baixos e das ofertas veiculadas na Internet;
Desconfiar sempre que for surpreendido por um telefonema de alguém que não conheça. Nunca divulgar nada e pedir um número de retorno para verificar se a ligação é verdadeira; Conscientizar os colaboradores a respeito do tema, realizando palestras e treinamentos onde o assunto seja abordado, estando na maioria das vezes, presente.

15 Contudo, as conseqüências deste episódio poderiam ter sido muito mais danosas para aquela empresa considerando o tipo de informação guardada nos referidos equipamentos. Dessa forma, cabe fazer aqui algumas reflexões sobre este incidente, ou seja, aprender com o erro dos outros

16 1°) Por que informações tão importantes foram despachadas em um contêiner?
2º) Por que pelo menos 45 pessoas possuíam condições de abrir o referido contêiner, pois eram detentoras de cópias da chave? Isto não é um número elevado, considerando a importância do conteúdo transportado? Será que a empresa Halliburton responsável pelo transporte foi devidamente avisada sobre a importância deste conteúdo?

17 3º) Por que tais informações não estavam criptografadas (cifradas) de forma a garantir o seu sigilo?
4º) Será que todos os envolvidos no transporte deste conteúdo possuíam noções dos riscos envolvidos quanto à segurança destas informações? Foram treinadas para tal? 5º) Será se existem procedimentos escritos para o tratamento destes casos? E se existem, porque não foram observados? Estas são perguntas que somente a Petrobrás poderá responder. 

18 Que lições podemos aprender com este tipo de incidente?
1º) Não podemos ficar alheios este problema, pois ele também pode acontecer conosco. 2º) Informações estratégicas e confidenciais da empresa devem ser protegidas adequadamente, já existem mecanismos que permitem isto. 3º) O uso de notebooks é uma realidade assim como é também uma realidade o que número de furtos destes equipamentos vem crescendo vertiginosamente e isto não pode ser simplesmente ignorado e deixado para amanhã.

19 Fica, portanto a seguinte mensagem final:
4º) Nunca ignorar o elemento humano no processo da segurança. O treinamento deve ser constante bem como deve envolver todos aqueles que se utilizam deste tipo e equipamento.    5º) A terceirização de informações sensíveis deve, na medida do possível, ser evitada. Entretanto quando isto não for possível, controles adicionais devem ser adotados para mitigar o risco. Fica, portanto a seguinte mensagem final: “Quanto o assunto é Segurança da Informação é preferível aprender com o erro dos outros”.

20 Corroborando esta afirmação, vejamos o resultado de uma enquete realizada pelo site IT Web intitulado: “Como a sua empresa protege informações em notebooks?”. Os resultados parciais apresentados em são: Criptografia 15,79% Uso de tokens 7,89% Uso de senhas 15,79% Programas de conscientização 7,89% Biometria 5,26% Não há proteção para dados em notebooks 47,37%

21 Conclusão O resultado dessa enquete destaca que 47,37% das empresas ainda não adotaram nenhuma medida para proteger o conteúdo neste tipo de dispositivo, portanto, concluímos que a maioria das empresas ainda não tomou nenhuma medida para mitigar este tipo de risco, ou seja, a percepção de que isto somente acorre com o vizinho ainda persiste.    

22 Turma: AD6A Alunas: Dayse Débora Flávia Josélia Rosemeire

Carregar ppt "SEGURANÇA DA INFORMAÇÃO"

Apresentações semelhantes

II Seminário de Segurança da Informação

II Seminário de Segurança da Informação
Investigação de Acidentes Segurança, Saúde e Meio Ambiente

Investigação de Acidentes Segurança, Saúde e Meio Ambiente
Acordo de Nível de Serviço Gerenciamento de Disponibilidade

Acordo de Nível de Serviço Gerenciamento de Disponibilidade
Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Projeto do Semestre, agosto, 2010 Grupo 14F

Projeto do Semestre, agosto, 2010 Grupo 14F
NORMA NBR ISO 10002 OBJETIVO Esta norma - NBR 10002 - fornece princípios e orientações para a empresa implementar um processo eficaz e eficiente de tratamento.

NORMA NBR ISO OBJETIVO Esta norma - NBR fornece princípios e orientações para a empresa implementar um processo eficaz e eficiente de tratamento.
Segurança da Informação

Segurança da Informação
Confiança.

Confiança.
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
Modelos Fundamentais -> Segurança

Modelos Fundamentais -> Segurança
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
Elementos de um Programa Eficaz em Segurança e Saúde no Trabalho

Elementos de um Programa Eficaz em Segurança e Saúde no Trabalho
Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas
SIGE Municípios Adesão e Implantação Marcos Lopes - SPE.

SIGE Municípios Adesão e Implantação Marcos Lopes - SPE.
Public Key Infrastructure PKI

Public Key Infrastructure PKI
Segurança da Informação

Segurança da Informação
Informações e dicas importantes para implantação do SGA – Sistema de Gestão Ambiental em uma empresa Prof. Ronaldo.

Informações e dicas importantes para implantação do SGA – Sistema de Gestão Ambiental em uma empresa Prof. Ronaldo.
Segurança e auditoria de sistemas

Segurança e auditoria de sistemas
Gerenciamento de Dados

Gerenciamento de Dados

Apresentações semelhantes

Anúncios Google