A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança, Controle e Auditoria de Dados

PublicouRicardo Gil Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança, Controle e Auditoria de Dados"— Transcrição da apresentação:

1 Segurança, Controle e Auditoria de Dados
10 – Análise de Impactos e Cálculo de Riscos

2 Análise de Impactos Analisa-se impactos em dois aspectos:
Curto prazo; Longo prazo. Em função do tempo que o impacto permanece afetando os negócios. De acordo com esta ótica, existem 6 classificações.

3 Análise de Impactos 0 – Impacto irrelevante;
1 – Efeito pouco significativo, sem afetar a maioria dos processos de negócio da instituição; 2 – Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e fornecedores, além de pequenas perdas financeiras;

4 Análise de Impactos 3 – Perdas financeiras de maior vulto e perda de clientes para a concorrência; 4 – Efeitos desastrosos, porém sem comprometer a sobrevivência da organização; 5 – Efeitos desastrosos que comprometem, de algum modo, a sobrevivência da organização;

5 Análise de Impactos Além desses níveis, outros, intrinsecamente relacionados aos negócios da organização, podem ser definidos; Estes níveis devem ser criados por aqueles que mais entendem dos negócios, e que trabalham com os processos diariamente; Exemplos de níveis criados:

6 Análise de Impactos 01 – Modificação de dados
02 – Sistemas vitais não disponíveis 03 – Divulgação de informações confidenciais 04 – Fraude 05 – Perda de credibilidade 06 – Possibilidade de processo legal contra a instituição 07 – Perda de clientes para a concorrência

7 Análise de Impactos Além de impactos, também tem-se níveis de probabilidade; Estes níveis, de modo padrão semelhante ao anterior de impacto, também vão de 0 a 5; Os níveis são como mostrados a seguir:

8 Análise de Impactos 0 – Ameaça completamente improvável de ocorrer;
1 – Probabilidade da ameaça ocorrer menos de uma vez por ano; 2 – Probabilidade da ameaça ocorrer pelo menos uma vez por ano;

9 Análise de Impactos 3 – Probabilidade da ameaça ocorrer pelo menos uma vez por mês; 4 – Probabilidade da ameaça ocorrer pelo menos uma vez por semana; 5 – Probabilidade da ameaça ocorrer diariamente.

10 Matriz de Relacionamento
A maneira mais fácil de visualizar as ameaças, impactos e probabilidades é a matriz de relacionamento; A matriz agrupará as ameaças em categorias; As ameaças são associadas aos impactos; Para cada par ameaça/impacto, associasse níveis de impacto e probabilidade;

11 Matriz de Relacionamento
Ameaças Tipo de Impacto Impacto 0 - 5 Probab. 0 – 5 Erros Humanos Destruição acidental de informação Configuração incorreta Identificação e Autenticação Ameaça com mascara de identificação Disponibilidade Sabotagem Falha de equipamento Roubo

12 Matriz de Relacionamento
O risco é calculado com base nessa matriz; Risco = Probabilidade X Impacto Valor mínimo = 0: nenhum risco Valor máximo = 25: altíssimo risco Quanto maior o risco, mais atenção devem ter as medidas de segurança para a ameaça em questão;

13 Matriz de Relacionamento
Economicamente, e tecnicamente, nem todos os riscos serão minimizados; Recomenda-se estabelecer um nível aceitável de risco, e tratar as ameaças com risco maior que este; Isso visa diminuir o tempo de implementação de segurança, e o custo total envolvido;

14 Análise de Risco Para cada ameaça, define-se linhas de ação:
Eliminar risco; Reduzir risco a nível aceitável; Limitar o dano, reduzindo o impacto; Compensar o dano, por meio de seguros. Caso seja impossível eliminar o risco, tenta reduzi-lo a um nível aceitável, limitar o dano caso o mesmo ocorra, ou compensar os danificados, controlando o ambiente ameaçado.

15 Análise de Risco Devido à complexidade dos ambientes computacionais, recomenda-se o controle em camadas; Isso evita que, caso a proteção seja quebrada, todo o ambiente fique desprotegido; Caso a proteção de uma camada seja quebrada, ainda existem a dos outros níveis;

16 Análise de Risco Camadas:
Programas e aplicativos, Serviços; SO; Hardware. Levar em consideração controles de segurança física e outros controles administrativos;

17 Análise de Risco Deste modo, mesmo que um invasor consiga quebrar uma das camadas, ainda existem outras barreiras a transpor; Porém, isso somente funciona das camadas mais acima para as inferiores; App -> SO Hardware -/-> SO

18 Análise de Risco Assim, quanto mais inferior a camada, mais criteriosa deverá ser a escolha das medidas de segurança aplicadas; ISO define categorias de serviço de segurança: Autenticação; Controle de Acesso; Confidencialidade de Dados; Integridade de Dados; Disponibilidade; Não repudio.

19 Gerência de Segurança Pessoa, ou grupo de pessoas, que desenvolve as políticas de segurança definidas; Após definida a política, é o gerente de segurança que deve encabeçar sua implantação; Deve estar diretamente ligado à alta gerência, para evitar que suas sugestões (ou ordens) sejam ignoradas;

20 Gerência de Segurança Deve ter em mente três princípios básicos:
Prevenir o acesso de pessoas não autorizadas aos sistemas e informações; Impedir que aqueles que conseguirem acesso, autorizado ou não, danifiquem ou adulterem qualquer coisa; e Uma vez ocorrida a contingência, estar preparado para identificar suas causas, recuperar os sistemas e dados, e modificar os controles para que o problema não torne a acontecer.

21 Gerência de Segurança Pode ser dividida em: Outros responsáveis:
Gerência de segurança de sistemas; Gerência dos serviços de segurança; Gerência dos mecanismos de segurança; Gerência de auditoria de segurança. Outros responsáveis: Proprietário ou dono do sistema; Gerente do sistema; Usuário.

22 Gerência de Segurança - Checklist
Elaborar, divulgar e manter atualizado o documento que descreva a política de segurança de informações; A alta gerência deve estar comprometida com a política de segurança de informações, a qual deve ser implantada de acordo com o documento formal por ela aprovado;

23 Gerência de Segurança - Checklist
Definir uma estrutura organizacional responsável pela segurança, a qual deve aprovar e revisar as políticas de segurança, designar funções de segurança e coordenar a implantação da política; Estabelecer procedimentos de segurança de pessoal, com o intuito de reduzir ou evitar erros humanos, mal uso de recursos computacionais, fraudes ou roubos, por meio de um processo rigoroso de recrutamento e de controle sobre acesso a dados confidenciais;

24 Gerência de Segurança - Checklist
Todos os funcionários devem ter conhecimento dos riscos de segurança de informações e de suas responsabilidades com relação a este assunto; É recomendável que exista um treinamento de segurança para difusão de boas práticas e padrões de segurança, promovendo uma cultura de segurança na organização;

25 Gerência de Segurança - Checklist
Controlar e classificar os recursos computacionais de acordo com seu grau de confidencialidade, prioridade e importância para a organização; Todos os recursos (hardware, software, dados, documentação etc.) devem ser administrados por um responsável designado seu proprietário; Definir padrões adequados de segurança física para prevenir acesso não autorizado, danos ou interferência em atividades críticas;

26 Gerência de Segurança - Checklist
Devem ser estabelecidos limites de acesso ou áreas de segurança com dispositivos de controle de entrada; Todos os equipamentos e cabeamentos de energia e de telecomunicação devem ser protegidos contra interceptação, dano, falha de energia, picos de carga e outros problemas elétricos; Implantar controle de acesso lógico aos sistemas de forma a prevenir acessos não autorizados;

27 Gerência de Segurança - Checklist
O controle de acesso lógico pode ser feito via processo seguro de logon, senhas fortemente seguras, registro formal de usuários, monitoramento por trilhas de auditoria etc; Administrar os recursos computacionais e as redes seguindo requisitos de segurança previamente definidos;

28 Gerência de Segurança - Checklist
Definir procedimentos de backup e de restauração dos sistemas computacionais para garantir a integridade e a disponibilidade de dados e software; A freqüência de backup deve ser apropriada e pelo menos uma cópia do mesmo deve ser guardada em local seguro; Os procedimentos de restauração devem ser periodicamente testados para garantir sua efetividade quando forem necessários;

29 Gerência de Segurança - Checklist
Antes da inclusão de qualquer programa nos sistemas computacionais da organização, tomar as medidas de segurança exigidas na política da organização; Investigar qualquer incidente que comprometa a segurança dos sistemas e informações; Os registros desses incidentes devem ser mantidos e periodicamente analisados para detectar vulnerabilidades na política de segurança adotada;

30 Controles de Acesso Lógico
Recursos utilizados para proteger, de modo lógico, os recursos informacionais; Pode ser por: Senhas; Token; Biometria. Cada usuário deverá ter acesso somente aos recursos estritamente necessários, assim como o que pode fazer com estes também é controlado;

31 Controles de Acesso Lógico - Cheklist
Conceder acesso, aos usuários, somente aos recursos realmente necessários para execução de suas tarefas; Restringir e monitorar o acesso a recursos críticos; Utilizar softwares de controle de acesso lógico; Utilizar criptografia segura;

32 Controles de Acesso Lógico - Cheklist
Revisar periodicamente as listas de controle de acesso; Evitar dar orientações ao usuário durante o processo de logon; Bloquear a conta do usuário após um determinado número de tentativas frustradas de logon; Restringir acesso a determinados periféricos;

33 Controles de Acesso Lógico - Cheklist
Fornecer contas apena a pessoas autorizadas; Não fornecer a mesma conta para mais de um usuário; Ao conceder a conta ao usuário, informá-lo sobre as políticas de senha da organização; Bloquear, se possível, a escolha de senhas frágeis;

34 Controles de Acesso Lógico - Cheklist
Orientar o usuário na escolha de senhas seguras; Orientar o usuário a não armazenarem senhas em arquivos ou enviá-las por ; Armazenas as senhas no sistema sob a forma criptografada; Prevenir o uso freqüente de senhas já utilizadas pelo mesmo usuário anteriormente;

35 Controles de Acesso Lógico - Cheklist
Estabelecer prazo máximo de utilização de uma mesma senha; Informar os usuários quanto aos perigos de divulgação de senhas; Impedir que o usuário seja capaz de ler arquivos e senha, identificar e trocar senhas de outros usuários;

36 Controles de Acesso Lógico - Cheklist
Desabilitar contas inativas, sem senhas, ou com senhas padronizadas; Desabilitar a senha de ex-funcionários; Não armazenas senhas em logs; Manter e analisar trilhas de auditoria e logs;

37 Controles de Acesso Lógico - Cheklist
Limitar o número de sessões concorrentes e o horário de uso dos recursos; Configurar time-out automático; Revisar e incorporar as listas de verificações propostas na política de segurança e nos outros tópicos de caráter mais específico, de acordo com a área ou plataforma a ser auditada.

38 Controles de Acesso Físico
Recursos protegidos: Servidores; Estações de trabalho; CPU, Placas; Monitores; etc Controles Administrativos: Crachás; Câmeras; Controle de entrada e saída de equipamentos; etc

39 Controles de Acesso Físico
Controles Específicos: Cadeados; Fechaduras eletrônicas; Fechaduras biométricas; Guardas; etc

40 Controles de Acesso Físico - Checklist
Instituir formas de identificação capazes de distinguir um funcionário de um visitante, e categorias diferentes de usuários, se for o caso; Exigir a devolução de bens e propriedade da instituição quando o funcionário é desligado ou demitido; Controlar a entrada e saída de equipamentos, registrando data, horários e responsável;

41 Controles de Acesso Físico - Checklist
Controlar a entrada e saída de visitantes, registrando data, horários e local de visita e, dependendo do grau de segurança necessário, acompanhá-los até o local de destino; Instituir vigilância no prédio, 24/7; Supervisionar a atuação da equipe de limpeza, manutenção e vigilância;

42 Controles de Acesso Físico - Checklist
Não instalar, em áreas de acesso público, equipamentos que possam acessar a rede interna; Orientar os funcionários a não deixarem os computadores sem qualquer supervisão de pessoa autorizada, por exemplo, durante o horário de almoço ou quando se ausentarem de sua sala por tempo prolongado;

43 Controles de Acesso Físico - Checklist
Encorajar o bloqueio de teclado, a guarda de documentos confidenciais, disquetes, cd’s, backups e laptops em armários com chave; Utilizar mecanismos de controle de acesso físico, tais como fechaduras, câmeras de vídeo e alarmes; Proteger as linhas telefônicas e outros dispositivos de comunicação contra “grampo”; Proteger fisicamente os backups;

44 Controles de Acesso Físico - Checklist
Restringir o acesso a computadores e impressoras que manipulem dados confidenciais; Instituir política de descarte de equipamentos, dispositivos e documentos em papel que possam conter informações confidenciais; Revisar e incorporar as listas de verificações propostas na política de segurança e nos outros tópicos de caráter mais específico, de acordo com a área ou plataforma a ser auditada.

45 Controles de Acesso Ambiental
É com vocês!!

Carregar ppt "Segurança, Controle e Auditoria de Dados"

Apresentações semelhantes

Análise e Projeto de Sistemas I

Análise e Projeto de Sistemas I
Proteção da máquina e travas de segurança:

Proteção da máquina e travas de segurança:
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Introdução aos Sistemas de Informações Módulo 6

Introdução aos Sistemas de Informações Módulo 6
Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Administração e segurança de redes

Administração e segurança de redes
Auditoria de Sistemas ● Introdução

Auditoria de Sistemas ● Introdução
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
SEGURANÇA E AUDITORIA DE SISTEMAS

SEGURANÇA E AUDITORIA DE SISTEMAS
SEGURANÇA E AUDITORIA DE SISTEMAS

SEGURANÇA E AUDITORIA DE SISTEMAS
1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Criptografia e Segurança em Rede Capítulo 1

Criptografia e Segurança em Rede Capítulo 1
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
Projeto Final - APGS Adriana P. de Medeiros

Projeto Final - APGS Adriana P. de Medeiros
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
Transparência Total! O Software Secullum TI.Net foi desenvolvido para facilitar o gerenciamento das informações que circulam nos computadores conectados.

Transparência Total! O Software Secullum TI.Net foi desenvolvido para facilitar o gerenciamento das informações que circulam nos computadores conectados.
Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas
DESCRIÇÃO/OBJETIVOS O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos.

DESCRIÇÃO/OBJETIVOS O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos.
Auditoria e Segurança de Sistemas – Cód

Auditoria e Segurança de Sistemas – Cód
EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ

EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ

Apresentações semelhantes

Anúncios Google