Recomendações de Segurança para Serviços Eletrônicos do Governo do Estado de São Paulo M anual de S egurança Fábio R. N. Fernandes

Slides:



Advertisements
Apresentações semelhantes
II Seminário de Segurança da Informação
Advertisements

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Sistema Estadual de informática de Governo e ATI
a4 Papel Digital Sistemas e Armazenagem Ltda.
Administração e segurança de redes
Ações de Segurança da Informação no MPS 2002 a Marcus Vinicius A. Liberato Analista de Sistemas Divisão de Suporte Operacional/CGI/MPS.
Segurança na Web: Uma janela de oportunidades
Equipamentos Todos os gabinetes possuem o mesmo quantitativo e marcas de equipamentos Equipamentos disponibilizados pela CMBH 3 microcomputadores 2.
GERENCIAMENTO DE REDES
Forense Digital: dando o quarto passo da segurança em TI
Segurança de dados william.
Fundação Aplicações de Tecnologias Críticas - Atech
Transparência Total! O Software Secullum TI.Net foi desenvolvido para facilitar o gerenciamento das informações que circulam nos computadores conectados.
ONAP-HOME INFORMÁTICA LTDA
Segurança e Auditoria de Sistemas
2º Bimestre Os testes de Auditoria
A PRESENTAÇÃO I NIT N ET A INIT NET é uma empresa idealizada no final de 1999 tendo como finalidade fornecer soluções comerciais baseadas em três pilares:
SGI Apresentação Técnica.
Auditoria e Segurança de Sistemas – Cód
1.1 – Conceitos Básicos Definições e Propriedades; Ameaças; Ataques;
Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002)
Políticas de Backup FATEC – Americana
Segurança da Informação
Segurança e auditoria de sistemas
Segurança e auditoria de sistemas
Segurança e Controle de Recursos de Sistemas e Informações Marcos Giansante Bocca.
A Segurança da Informação nas Organizações Modernas
Paulo Silva Tracker Segurança da Informação
Política de Segurança.
I NIT O FFICE S ERVER - IOS Solução desenvolvida para empresas que necessitam armazenar e compartilhar arquivos e informações de maneira eficaz e segura.
Institucional.
Segurança da Informação nas Empresas Modernas
Gestão de Segurança em Comércio Eletrônico
Centro de instrução Almirante Wandenkolk
Segurança & Auditoria de Sistemas AULA 10
Security Policy: Truth vs. Myth
Entendemos que cada cliente é um parceiro e procuramos assim garantir sua satisfação com nossa qualidade no atendimento e competência técnica.Missão Permitir.
Segurança da Informação
A Planejamento de Tecnologia da Informação nas Empresas – 3ª Fase continuação Diagrama de Entidade - Relacionamento Representa o relacionamento de todas.
Objetivos do Capítulo Explicar a importância da implementação de processos e tecnologias de gerenciamento de dados numa organização. Explicar as vantagens.
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
INCIDENTE DE SEGURANÇA Corresponde a quaquer evento adverso relacionado á segurança; Por exemplo: Ataques de Negação de Serviços(Denial of Service - DoS);
Plano de Continuidade.
Sistema de Gestão de Segurança da Informação
Segurança da informação
CONECTIVIDADE Prof.: Alessandro V. Soares Ferreira
Segurança da Informação e seus Critérios
Sistemas de Informações em Recursos Humanos
Segurança da Informação
Prof. Antonio Felicio Netto
POLITICAS DE SEGURANÇA
Banco de Dados Representa o arquivo físico de dados, armazenado em dispositivos periféricos, para consulta e atualização pelo usuário. Possui uma série.
Informação É recomendável que seja sempre protegida adequadamente, seja qual for a forma apresentada: Impressa; Escrita em papel; Armazenada eletronicamente;
Introdução aos Sistemas Operacionais
Segurança da Informação
EXTRANET Luciano Chede Abad
Segurança Da Informação
FIREWALL.
Auditoria e Segurança de Sistemas – Cód Prof. MSc. Ronnison Reges Vidal.
Superintendência de Gestão da Informação
COMUNICAÇÃO Novas Ferramentas de Gestão Palestrante: Eng. Fernando Ferreira.
Segurança da Informação
Gustavo e Thiago – 3H15 Técnicas de Defesa AgendaTécnicasClassificaçãoDadosConclusão Agenda -Técnicas; -Classificações; -Dados/gráficos; -Conclusão.
SEGURANÇA EM INFORMÁTICA. Origem Década de 50: Primeiras preocupações 1984: Estados Unidos pioneiro no avanço da segurança Garantir a confiabilidade de.
Segurança da Informação
FATEC – Americana Diagnóstico e solução de problemas em TI
COORDENAÇÃO DE CENTRO DE PESQUISA
Projeto de Redes 4º Semestre Aula 3 Prof. Carlos Vinícius SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC.
MODALIDADES DE AUDITORIA
Introdução ao Gerenciamento de Redes de Computadores Curso Técnico em Redes de Computadores Professor Emerson Felipe Capítulo 01 Gerenciamento de Redes.
Transcrição da apresentação:

Recomendações de Segurança para Serviços Eletrônicos do Governo do Estado de São Paulo M anual de S egurança Fábio R. N. Fernandes Marcos Tadeu Yazaki

P auta Apresentação do Manual de Segurança Introdução Segurança física Segurança lógica Hospedagem Monitoramento Modelo organizacional Considerações finais

I ntrodução Manual é um conjunto de recomendações básicas de segurança, baseado nas melhores práticas do mercado –Comitê Gestor da Internet no Brasil –ISO/IEC –Documentos de Governança A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação

I nformação A importância da Informação –Um dos bens mais valiosos do governo –Informações de terceiros custodiadas –Imagem do governo Armazenada em diversos meios Transita por diversos meios Cidadão Empresas s Arquivos Conversas Documentos Apresentações Papel Eletrônico Deve ser devidamente protegida !!!

R ede C omplexa INTERNET Secretarias Órgãos Empresas Redes Privadas Redes Públicas Rede do Governo G2B G2C G2G G2EG2E

R iscos Indisponibilidade Vazamento de informação Violação da integridade Fraude Acesso não autorizado Uso indevido Sabotagem Roubo de informações Ameaças programadas (vírus, worms, trojans) Espionagem

N úmero A tuais Tentativas de Ataque ao Ambiente

P ilares da S egurança Confidencialidade Integridade Disponibilidade Legalidade, Auditabilidade, Transparência, Não Repudio

Ações da Segurança Tecnologia Processos Pessoas Funcionários Fornecedores Clientes Parceiros Consultorias Cidadão

Segurança Física Ambiente Sala dos servidores CPD Datacenter Equipamentos Microcomputadores Roteadores Switches

1o) Terreno: muro, controle de acesso: guarita, seguranças PRODESP Perímetros 2o) Prédio: paredes, controle de acesso: recepção, seguranças, catracas 3o) Callcenter: 2 portas de vidro, controle de acesso: crachá, segurança 4o) Datacenter: 2 portas de aço, controle de acesso: crachá + biometria 5o) Racks com chave, cameras 6o) Sala cofre

Segurança dos Ambientes Recomendações –Paredes sólidas –Portas e janelas protegidas –Alarme –Mecanismos de controle de acesso Prever riscos como –Fogo –Inundação –Explosão –Manifestações Levar em conta riscos dos prédios vizinhos

Segurança dos Equipamentos Proteger contra: acesso não autorizado Roubo / perda (notebook) Violações Considerar: Equipamento próprios Equipamentos alienados Equipamentos externos Proteger a infraestrutura: Cabines de fornecimento de energia elétrica Salas de distribuição dos cabeamentos lógicos (rede/telecomunicação) contra falhas ou anomalias de energia (estabilizadores, no-breaks, geradores) Manutenção preventiva Manter contingência dos sistemas críticos

S egurança L ógica Internet WAN, MAN ACLVPNFirewallVLAN´sIPS/IDSAutenticaçãoCriptografia Certificado Digital Sistema Operacional LAN Informação Regras de controle de acessos (quem, o que, quando, como) Auditoria: logs Premissa: Tudo deve ser proibido a menos que seja expressamente permitido Proteger pontos de rede Proteger dispositivos de rede (switches, routers) Segmentar rede

Deve-se definir uma política de backup As mídias devem ser: Controladas fisicamente protegidas contra roubo, furto e desastres naturais (fogo, inundação) armazenadas em locais adequados (cofres, controle de humidade) Os Data Centers podem ser utilizados para espelhamento dos sistemas críticos B ackup

O utros Manutenção preventiva e periódica Deve-se adotar uma política de aplicação das correções de segurança dos sistema operacionais e softwares Deve-se analisar as vulnerabilidades Deve-se utilizar softwares antivírus Recomenda-se a utilização de anti-spywares Deve-se ter cuidado com o descarte das informações Atenção com fotocopiadoras, gravadores de CD, FAX, filmadoras, câmeras em áreas críticas

H ospedagem Todos os órgãos e entidades da Administração Pública Estadual devem utilizar os “Data Centers” do Governo (Resolução CC-9, de 25/02/2005) –Hospedagem –Publicação de informações –Serviços eletrônicos via Internet Modalidades: –Colocation –Hosting Hospedagem dos servidores Hospedagem de conteúdo, aplicativos e serviços

H ospedagem ColocationHosting Acesso Restrito e ControladoXX AntivírusOpcionalX BackupOpcionalX Monitoramento 24x7XX Segurança física e lógicaXX Aplicação de PatchesOpcionalX RedundânciaXX Gerenciamento RemotoXX Upgrades Hardware/Softw.N.A.X Infraestrutura Link com a Internet Link com a Intranet Hardware Software Treinamento Manutenção Equipe de profissionais Climatização XXXXXXXXXXXX XXXXXXXXXXXXXXXXXXX Redução de Custos Segurança Confiabilidade Disponibilidade

M onitoramento Garantir a continuidade dos serviços Identificar anomalias e incidentes de segurança Acompanhar tendência de crescimento (capacity planning) Outros: alimentação elétrica, climatização, no-breaks, conectividade Disco Processamento Memória Segurança (patches, antivírus) Conectividadade (rede local, switches, roteadores, etc.) Equipamentos Login (usuário, data e hora, terminal) Acessos ao sistema Tentativas de acessos indevidos Serviços

M odelo O rganizacional Definição e adoção de um Modelo Organizacional, baseado na criação de um Grupo de Resposta à Incidentes Interno Distribuído Interno Centralizado Combinado Coordenador É importante o relacionamento do grupo de resposta à incidentes com áreas não técnicas, como Recursos Humanos e Jurídico Terceirização deve ser feita com cautela uma vez que envolve riscos Não existe um modelo mais indicado. Deve-se buscar implementar o que for melhor para a empresa.

Modelos Organizacionais Interno Distribuído Modelo inicial Possui um Coordenador para responder aos incidentes em conjunto com as áreas envolvidas O Coordenador não precisa ser um especialista em Segurança, mas alguém que se preocupe não somente em resolver o incidente como também procurar as causas e trabalhar para que não ocorra novamente. Interno Centralizado Existência de uma área de Segurança Funcionários exclusivos Serviços pró-ativos e reativos Atuação direta na resolução de problemas e manutenção das informações necessárias para investigação das causas e propostas de solução. Combinado (Distribuído e Centralizado) Coordenador Modelo para entidades que possuem órgãos ligados diretamente. A entidade organiza um grupo que coordena os demais grupos de segurança dos órgãos

C onsiderações F inais Política de Segurança Uma vez que o ambiente não conte com uma infra-estrutura física ou lógica adequada, deve- se utilizar os Data Centers do Estado Consultar outras instituições e sites As recomendações devem ser selecionadas e usadas de acordo com a legislação e regulamentações vigentes A simples aplicação destas recomendações auxilia, porém não garante a segurança da informação

L inks para C onsultas Comitê Gestor da Internet no Brasil NIC BR Security Office CAIS-Centro de Atendimento a Incidentes de Segurança

Fábio R. N. Fernandes Perguntas ? FIM

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.