A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Auditoria e Segurança de Sistemas – Cód. 30135 Prof. MSc. Ronnison Reges Vidal.

PublicouTânia Azenha da Fonseca Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "Auditoria e Segurança de Sistemas – Cód. 30135 Prof. MSc. Ronnison Reges Vidal."— Transcrição da apresentação:

1 Auditoria e Segurança de Sistemas – Cód. 30135 Prof. MSc. Ronnison Reges Vidal

2 SEGURANÇA DAS INFORMAÇÕES – AULA 8 Politica de segurança das informações

3 Sumário Políticas de Segurança das Informações  Introdução  Objetivos de Segurança  Definindo uma política de segurança de informações  Identificando os recursos  Controles de segurança  Implementando e auditando políticas de segurança

4 POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕES Introdução

5 Informação é considerada o principal patrimônio de uma organização – recursos críticos Estão sob constante risco A segurança das informações tornou se crucial para a sobrevivência das instituições Evolução da segurança de informações Informações em papel -> a segurança era simples Restrição do acesso físico Computadores de grande porte -> segurança sofisticada acesso lógico, entretanto centralizada Computadores pessoais e redes computadores -> segurança de grande complexidade Necessidade de equipe de implementação e gerência

6 Introdução Importância das informações para a sociedade Concretização de negócios Tomada de decisões Governamentais Sociais – bem estar social Educativas Um erro pode comprometer Instituições do mercado Financeiro, industrial, sistemas de telecomunicações, assistência médica

7 Introdução Expectativas Usuário – Não interessa saber se o dado foi perdido ou apagado por conta de um ex-funcionário ou vírus, importa é que o dado foi adulterado ou perdido Consciência da integridade, disponibilidade e privacidade – Qualidade Departamento de informática – segurança está relacionada com teste de hardware, software e prevenção de erros cometidos pelos usuários Atender as necessidades do usuário e proteger as informações contra ameaças - Eficiência

8 Introdução Outros aspectos considerados pela gerência Operação de forma adequada e garantias de segurança Necessidade de ambientes controlados Proteção contra desastres naturais (incêndios, terremotos, enchentes) Falhas estruturais (interrupção do fornecimento de energia elétrica, sobrecargas elétricas) Sabotagem Fraudes Acessos não autorizados (hackers, espionagem digital, venda de informações confidenciais para a concorrência)

9 Introdução Segurança é: Proteção de informações, sistemas, recursos e serviços contra desastres, erros e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança

10 POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕES Objetivos de Segurança

11 Confidencialidade ou privacidade – proteger as informações contra o acesso de qualquer pessoa não explicitamente autorizada Integridade de dados - evitar que os dados sejam apagados sem permissão Disponibilidade – proteger os serviços de tal forma que não sejam degradados ou tornados indisponíveis sem a devida autorização

12 Objetivos de Segurança Consistência – certificar-se que o sistema está de acordo com as expectativas do usuário Isolamento ou uso legítimo – regular o acesso ao sistema Auditoria – proteger os sistemas contra os erros e atos maliciosos cometidos pelos usuários autorizados Confiabilidade – garantir que, mesmo em condições adversas, o sistema atue conforme o esperado. Ex: sistemas de energia nuclear, de controle de tráfego aéreo e de controle de vôo.

13 Objetivos de Segurança Apesar de todos os objetivos citados serem importantes, dependendo do tipo de organização, alguns são mais importantes do que outros Antes da implementação de um programa de segurança de informações é aconselhável responder alguns questões

14 Objetivos de Segurança O que quer se proteger? Contra o que ou quem? Quais são as ameaças mais prováveis? Qual a importância de cada recurso? Qual o grau de proteção desejado? Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os objetivos de segurança desejados? Quais as expectativas dos usuários e clientes em relação à segurança de informações? Quais as consequências para a instituição se seus sistemas e informações forem corrompidos ou roubados?

15 POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕES Definindo uma política de segurança de informações

16 Estratégia geral da organização Plano estratégico De informática Política de Segurança De informações Planos de desenvolvimento de sistemas Plano de continuidade de serviços Planejamento de capacidades Outros projetos Especifica Estabelece Define Contribui para atingir a Gera impactos sobre

17 DEFININDO UMA POLÍTICA DE SEGURANÇA DE INFORMAÇÕES Tópicos importantes

18 Definindo uma política de segurança de informações Processo de implantação  É aconselhável que esse processo seja flexível Para permitir atualizações conforme as necessidades Ocorre em um determinado número de fases

19 Definindo uma política de segurança de informações Identificação dos recursos críticos Classificação das informações Definição, em linhas gerais, dos objetivos de segurança a serem atingidos Análise das necessidades de segurança (identificação das possíveis ameaças, análise de riscos e impactos) Elaboração de projeto de política

20 Definindo uma política de segurança de informações Discussões abertas com os envolvidos Apresentação de documento formal à gerência superior Aprovação Implementação Avaliação da política e identificação das mudanças necessárias revisão

21 POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕES Identificando recursos

22 Hardware Software Dados Pessoas Documentação Suprimentos

23 Identificando recursos Classificação das informações  Públicas ou de uso irrestrito  Internas ou de uso interno  Confidenciais  Secretas

24 Identificando recursos Classificação dos sistemas  Programas aplicativos  Serviços  Sistema operacional  Hardware Camadas de um sistema de informações Aplicativos serviços Sistema operacional hardware

25 POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕES Controles de Segurança

26 Eliminar os riscos Reduzir os riscos a um nível aceitável Limitar o dano, reduzindo o impacto Compensar o dano, por meio de seguros

27 Controles de Segurança Definindo serviços de segurança Categorias básicas  Autenticação  Controle de acesso  Confidencialidade de dados  Integridades de dados  Disponibilidade  Não repúdio

28 Controles de Segurança Definindo serviços de segurança Medidas preventivas importantes  Segurança física  Segurança dos recursos computacionais  Segurança administrativa  Segurança de meios magnéticos  Controles de desenvolvimento de apĺicativos

29 Controles de Segurança Definindo mecanismos de segurança  Sistemas criptográficos Texto em claro Chave Algoritmo XXXXXXXXXX Texto cifrrado

30 Controles de Segurança Definindo mecanismos de segurança  Assinatura digital  Mecanismos de controle de acesso  Mecanismos de integridade de dados  Mecanismos de disponibilidade  Trocas de autenticações  Enchimento de tráfego  Controles de roteamento

31 POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕES Implementando e auditando políticas de segurança

32 Lista de verificação Elaborar, divulgar e manter atualizado documento que descreva a política de segurança das informações A alta gerência deve estar comprometida coma a política de segurança de informações, a qual deve ser implantada de acordo com o documento formal por ela aprovado Definir uma estrutura organizacional responsável pela segurança, a qual deve aprovar e recisar as políticas de segurança, designar funções de segurança e coordenar a implantação da política

33 Lista de verificação Estabelecer procedimentos de segurança de pessoal, com intuito de reduzir ou evitar erros humanos, mal uso de recursos computacionais, fraude ou roubo, por meio de um processo rigoroso de recrutamento de pessoal e de controle sobre acesso a dados confidenciais Todos os funcionários devem ter conhecimento dos riscos de segurança de informações e de suas responsabilidades com relação a esse assunto. É a conselhavel que haja um treinamento de segurança para difusão de boas práticas e padrões de segurança, promovendo uma cultura de segurança na organização

34 Lista de verificação Controlar e classificar os recursos computacionais de acordo com seu grau de confidencialidade, prioridade e importância para a orgenização. Todos os recursos (hardware, software, dados, documentação, etc) devem ser administrados por um responsável designado seu proprietário Definir padrões adequados de segurança física para previr acessos não autorizados, danos ou interferência em atividades críticas. Devem ser estabelecidos limites de acesso ou áreas de segurança com dispositivos de controle de entrada. Todos os equipamentos e cabeamentos de energia elétrica e de telecomunicações devem ser protegidos contra interceptação, dano, falha de energia, picos de luz, e outros problemas elétricos

35 Lista de verificação Implantar controle de acesso lógico aos sistemas de forma a precenir acessos não autorizados. Esse controle pode ser feito via processo seguro de logon, senhas fortemente seguras, registro formal de usuários, monitoramento por trilhas de auditoria, etc Administrar os recursos computacionais e as redes seguindo requisitos de segurança previamente definidos Definir procedimentos de backup e de restauração dos sistemas computacionais para garantir a integridade e a desponivilidades de dados e software. A frequencia de backup deve ser apropriada e pelo menos uma cópia do backup de ser guardada em local seguro. Os procedimentos de restauração devem ser periodicamente testados para garantir sua efetividade quando forem necessários

36 Lista de verificação Antes da inclusão de qualquer programa nos sistemas computacionais da organização, tomar as medidas de segurança exigidas na política da organização Investigar qualquer incidente que comprometa a segurança dos sistemas. Os registros desses incidentes devem ser mantidos e periodicamente analisados para detectar vulnerabilidades na política de segurança adotada Após uma violação da política de segurança, tomar as medidas necessárias para identificação de susas causas e agentes, correção das vulnerabilidades e punição aos infratores Auditar regularmente todos os aspectos de segurança a fim de determinar se as políticas estão sendo efetivamente cumpridas ou se são necessárias modificações

37 exercícios Ler capítulo II – Segurança de Informações Política de Segurança de informações Livro – Segurança e auditoria da Tecnologia da Informação, Cláudia Dias

Carregar ppt "Auditoria e Segurança de Sistemas – Cód. 30135 Prof. MSc. Ronnison Reges Vidal."

Apresentações semelhantes

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Auditoria de Controles Organizacionais

Auditoria de Controles Organizacionais
Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Administração e segurança de redes

Administração e segurança de redes
Administração e segurança de redes

Administração e segurança de redes
Auditoria de Sistemas ● Introdução

Auditoria de Sistemas ● Introdução
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
SEGURANÇA E AUDITORIA DE SISTEMAS

SEGURANÇA E AUDITORIA DE SISTEMAS
SEGURANÇA E AUDITORIA DE SISTEMAS

SEGURANÇA E AUDITORIA DE SISTEMAS
1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Criptografia e Segurança em Rede Capítulo 1

Criptografia e Segurança em Rede Capítulo 1
Parte 2 – Marcos Regulatórios Prof. Luís Fernando Garcia

Parte 2 – Marcos Regulatórios Prof. Luís Fernando Garcia
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
Segurança da Informação:

Segurança da Informação:
Capítulo 4 Auditoria de Sistemas

Capítulo 4 Auditoria de Sistemas
Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas
Auditoria e Segurança de Sistemas – Cód

Auditoria e Segurança de Sistemas – Cód
2º Bimestre Os testes de Auditoria

2º Bimestre Os testes de Auditoria

Apresentações semelhantes

Anúncios Google