A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Política de Segurança.

PublicouVítor Braga Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Política de Segurança."— Transcrição da apresentação:

1 Política de Segurança

2 Objetivos A NOVATEL Consultoria em TIC, pretende apresentar e definir a política de segurança da CONNECTOWAY INFORMÁTICA LTDA, a qual foi elaborada de acordo com as normas NBR ISO/IEC que trata da Gestão da Segurança da Informação.

3 O que é uma política de segurança da informação?

4

5 Ciclo de evolução da política de Segurança

6 Histórico

7

8

9 Fatos Os negócios estão cada vez mais dependentes da tecnologia da Informação Os ambientes estão cada vez mais complexos, heterogêneos e integrados; As fraudes são cada vez mais via computador; A nova ordem econômica (fusões, privatizações, Nasdaq), tornam o problema ainda mais complexo;

10 Fatos Conscientização do Corpo Executivo; Atualização Tecnológica
Orçamento, prioridade para a segurança... Atualização Tecnológica Autenticação, Política de Segurança... Gerência de Mudanças; Capacitação, responsabilização, implementação... Planejamento Estratégico; Priorização de Ações, integração com o negócio.. Plano de Ação

11

12 Fatos Controle Centralizado; Auditabilidade;
Velocidade na implementação de soluções; Conhecimento de ameaças e vulnerabilidades; Ambiente padronizado; Estratégia de Segurança; Pessoal técnico capacitado; Integração com o negócio; Gestão do investimento.

13 Políticas de Segurança
As conseqüências de uma política de segurança implementada e corretamente seguida podem ser resumidas em três aspectos: Redução de probabilidade de ocorrências; Redução dos danos provocados por eventuais ocorrências; Criação de procedimentos para se recuperar de eventuais danos.

14

15

16

17

18 Macro solução de Segurança

19

20 FIM DA APRESENTAÇÃO DE ILIDIO

21 Gestão de Ativos de TI

22 Ativos Tudo que manipula informação, inclusive ela mesma.
Ativos são os elementos que sustentam a operação do seu negócio e estes sempre trarão consigo... VULNERABILIDADES Que, por sua vez, submetem os ativos a .... AMEAÇAS

23 Inventário Identificar todos os Hardwares
Computadores, servidores, impressoras, switches.. Identificar todos os Softwares Proprietário Licenças Piratas... Combater. Permitir que os gestores tenham controle total sobre todos os ativos da empresa. Alertar quando houver roubo, furto... Alertar sobre legalização de software...

24 Tipo de Ativos Exemplos de Ativos

25 Tipos de ativos Ativos de informação
Base de dados de contratos e acordos; Documentação de sistema; Manuais; Material de treinamento Ativos físicos Equipamentos computacionais, de comunicação, mídias removíveis; Serviços Serviços de computação, comunicações, refrigeração, iluminação, eletricidade; Ativos de softwares Aplicativos; Sistemas; Ferramentas de desenvolvimento; Utilitários Pessoas qualificações, habilidades e experiências Ativos intangíveis Reputação, imagem, credibilidade

26

27

28

29 Ação Sobre os Ativos

30 Proprietário dos Ativos

31 Mesmo que parte do processo da manutenção de um ativo seja delegada pelo proprietário a um terceiro, ele ainda continua sendo o responsável primário pela proteção adequada dos ativos.

32 Uso Aceitável dos Ativos

33 FIM DA APRESENTAÇÃO DE AGENOR

34 Segurança Física dos Ativos

35 Segurança Física do Ambiente

36 “Antigamente”... Época dos mainframes: os ativos de informação ficavam centralizados e ocupavam uma única sala com poucos acessos;

37 Atuais ambientes Nos atuais ambientes distribuídos e de computação móvel: a abrangência e demanda de proteção física do ambiente aumentou significativamente;

38 Segurança Física do Ambiente
Prevê proteção ao ambiente onde estão hospedados os ativos da empresa

39 Ameaças à Segurança Física
Efeitos da natureza: Estas ameaças são de difícil controle quando ocorrem e não temos como antecipá-las. Exemplos são: tempestades, erupções vulcânicas, furacões, tornados, incêndios e enchentes. No Brasil não temos muitos efeitos naturais como em outros países, mas as chuvas trazendo enchentes e o calor gerando incêndios em nossas matas são preocupações que o profissional de segurança deve estar atento; Falhas em sistemas de suprimentos: Correspondem aos elementos que fazem a operação funcionar e são essenciais em toda a infra-estrutura física. Ex: energia, comunicação e encanamento; É importante que a disposição desses elementos esteja protegida, pois existem casos conhecidos de tratores que partiram fibras óticas subterrâneas que ligavam prédios, ou um cano estourar nas instalações que contenham equipamentos elétricos ou mesmo no datacenter; A energia elétrica deve ser sempre mensurada para suportar o ambiente físico e elementos críticos devem ter proteções adicionais; Ameaças Humanas: As diversas pessoas internas ou externas que tenham acesso direto ou indireto aos ativos da empresa com a possibilidade de afetá-los estão incluídos em ameaças de origem humana; Como exemplo desses tipos de ameaças, temos: sabotagens, armas ou agentes químicos, ataque cracker; Ameaças por motivação política: Muitas vezes uma empresa pode, dependendo de sua posição no mercado, sofrer ameaças de terroristas ou competição acirrada; Por exemplo, a empresa pode sofrer com ataques a bombas ou espionagem industrial, entre outros.

40 Ameaças à Segurança Física
Qual a melhor forma de identificar o grau de exposição da segurança física às diversas ameaças?

41 Perímetro de Segurança Física
Áreas exteriores: geralmente tem menos controle; Fronteiras: É a área sob responsabilidade da empresa, mas que não possuem ativos a serem protegidos; São normalmente jardins e os estacionamentos; O uso de controles de vigilância armada e câmeras de monitoração são suficientes; Entradas das instalações: Todos os locais de acesso, incluindo portas, janelas, escadas de incêndio e outros que podem não ser tão comuns mas que permitem acesso à organização; Devem ter controles que trate o acesso e identifique o acesso indevido a uma dessas entradas; Andares e escritórios: Áreas de acesso aos locais onde possui dados sensíveis; odas as pessoas, incluindo funcionários, terceiros e visitantes devem estar identificados, sendo que pelo menos os funcionários e terceiros devem possuir identificação com foto; Os visitantes só poderão ter acesso a áreas de processamento e manipulação de dados acompanhados de funcionário ou terceiro identificado, que seja responsável pelo visitante; O acesso a estas áreas dependerá também de uma autorização de acesso para o colaborador e seu convidado; Locais de trabalho: São os recursos tecnológicos propriamente ditos, que ficam dentro dos escritórios; Ex: computadores, fax, sistemas de comunicação, entre outros; Esses ativos devem ser protegidos contra o acesso indevido, além de roubo dos mesmos; O uso de travas nos Racks dos servidores, bem como cadeado para desktops, notebooks e impressoras vem crescendo nas organizações.

42 Controle de entrada física

43 Proteção contra ameaças externas e do meio ambiente

44 Trabalhando em áreas seguras
No datacenter: a área de operação deve ficar separada dos equipamentos que estão processando os dados; No caso de uma visita apenas a operação deve ser apresentada; Registros de imagens devem ser proibidos;

45 Trabalhando em áreas seguras
Manutenções em equipamentos apenas com aprovação; Supervisão ininterrupta de algum colaborador da empresa;

46 Acesso do público, áreas de entrega e de carregamento
É comum que a área de carga e descarga de materiais esteja localizada próximo às áreas seguras; É comum que o acesso e controle destas áreas não seja tão eficaz como o aplicado às áreas seguras; Em especial, recomenda-se que esta área seja distante das áreas consideradas seguras; O acesso das pessoas que estão levando o material deve ser feito em local protegido do acesso à área interna da organização; O material deve ser inspecionado, verificado e autorizado antes do mesmo ter sua entrada permitida;

47 Segurança de equipamentos

48 Instalação e Proteção do Equipamento
Deve ser evitado que os dados que estão sendo manipulados sejam facilmente visualizados pelo público ou por transeuntes (mesmo que funcionários identificados) e que os dados de armazenamento fiquem em locais protegidos; Os controles continuam com a disponibilização de infra-estrutura elétrica, cabeamento, refrigeração, umidificação e todos aqueles que visem manter o ativo em perfeito funcionamento. Controles que vimos para proteção de áreas seguras devem estar disponíveis para proteger os equipamentos, como proteções elétricas e hidráulicas; Adicionalmente deve se evitar o consumo de alimentos e fumo próximo aos equipamentos a ser protegidos; Este trabalho é feito inicialmente pela política de segurança e reforçado pela campanha de conscientização;

49 Segurança do cabeamento
Tanto o fornecimento de energia quanto a comunicação dos dados são feitos normalmente através de cabos ou de comunicação em redes sem fio; Todo o cabeamento deve ser, portanto, protegido quanto a sua interrupção, devendo os mesmo passar por locais protegidos fisicamente; Recomenda-se que cheguem ao datacenter pelo subterrâneo, longe do conhecimento público. Os princípios de cabeamento estruturado exigem distância entre os cabos lógicos (redes) e elétricos (energia);

50 Manutenção dos equipamentos
Como os equipamentos são mecânicos e estão sujeitos a uma série de efeitos externos (como poeira, umidade, etc.) os mesmos devem sofrer revisão e manutenção preventiva periodicamente; Esta medida tem por finalidade a garantia de integridade e disponibilidade dos equipamentos; Como forma de controle de falhas, todas as ocorrências devem ser registradas e casos repetidos devem ser tratados o mais breve possível (normalmente através da substituição do componente falho). Deve-se tomar cuidado adicional com a manutenção de equipamentos que armazenem informações sensíveis de forma que os mesmos sejam manuseados por pessoas de confiança; Deve-se se assegurar que as informações sensíveis foram removidas dos equipamentos antes da manutenção;

51 Reutilização e alienação segura dos equipamentos
Quando o equipamento fica obsoleto o mesmo precisa ser descartado; No entanto esse descarte deve ser feito com as preocupações devidas dentro dos padrões da segurança da informação; A principal é a de remoção completa das informações armazenadas em discos de armazenamentos; Atualmente uma série de técnicas para recuperação de dados, mesmo em discos defeituosos estão crescendo aceleradamente; Isso é útil quando no caso do famoso desastre de 11 de setembro de 2000, muitas informações foram recuperadas, mas pode ser perigoso quando dados são recuperados cm o intuito de usar a informação para fins ilícitos como espionagem industrial;

52 Remoção de propriedade

Carregar ppt "Política de Segurança."

Apresentações semelhantes

Agência Nacional de Vigilância Sanitária www.anvisa.gov.br Organização NBR ISO/IEC 17025: 2001 - 4.1 INMETRO NIT DICLA 083:00 - 6.1.

Agência Nacional de Vigilância Sanitária Organização NBR ISO/IEC 17025: INMETRO NIT DICLA 083:
OHSAS Antecedentes: Versão 1999

OHSAS Antecedentes: Versão 1999
Programa de Qualidade: certificações, etapas e custos

Programa de Qualidade: certificações, etapas e custos
S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica

S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica
Administração e segurança de redes

Administração e segurança de redes
Administração e segurança de redes

Administração e segurança de redes
Informações Gerais Ênfase maior a Saúde x Segurança

Informações Gerais Ênfase maior a Saúde x Segurança
Personal Lines.

Personal Lines.
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
Administração de Sistemas de Informação II

Administração de Sistemas de Informação II
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
«Políticas e Procedimentos de Gestão da Segurança da Informação – Relato de Experiências no Sector Privado» Não faz sentido preocuparmo-nos apenas com.

«Políticas e Procedimentos de Gestão da Segurança da Informação – Relato de Experiências no Sector Privado» Não faz sentido preocuparmo-nos apenas com.
Capítulo 4 Auditoria de Sistemas

Capítulo 4 Auditoria de Sistemas
Gestão do Conhecimento com WINISIS

Gestão do Conhecimento com WINISIS
A PRESENTAÇÃO I NIT N ET A INIT NET é uma empresa idealizada no final de 1999 tendo como finalidade fornecer soluções comerciais baseadas em três pilares:

A PRESENTAÇÃO I NIT N ET A INIT NET é uma empresa idealizada no final de 1999 tendo como finalidade fornecer soluções comerciais baseadas em três pilares:
Um pouco sobre nós A Detto tem como alvo a satisfação de seus cliente, por isto contamos com colaboradores com mais de 5 anos de experiência no mercado.

Um pouco sobre nós A Detto tem como alvo a satisfação de seus cliente, por isto contamos com colaboradores com mais de 5 anos de experiência no mercado.
Manutenção Produtiva Total - TPM -

Manutenção Produtiva Total - TPM -
Intrudução Normas Mardoqueu de Lima n°05 3H15 Seções de controle.

Intrudução Normas Mardoqueu de Lima n°05 3H15 Seções de controle.
Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002)

Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002)
Fundamentos da Auditoria de Sistemas de Informação

Fundamentos da Auditoria de Sistemas de Informação

Apresentações semelhantes

Anúncios Google