Apresenta - PowerPoint PPT Presentation

1 / 20
About This Presentation
Title:

Apresenta

Description:

Autarquia Educacional do Vale do S o Francisco AEVSF Faculdade de Ci ncias Sociais e Aplicadas de Petrolina FACAPE Curso de Ci ncias da Computa o – PowerPoint PPT presentation

Number of Views:25
Avg rating:3.0/5.0
Slides: 21
Provided by: usur85
Category:

less

Transcript and Presenter's Notes

Title: Apresenta


1
Autarquia Educacional do Vale do São Francisco
AEVSF Faculdade de Ciências Sociais e Aplicadas
de Petrolina FACAPE Curso de Ciências da
Computação
SEGURANÇA E AUDITORIA DE SISTEMAS Segurança de
Informações Cynara Carvalho cynaracarvalho_at_yaho
o.com.br
2
Segurança de informações
  • Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro
    de uma organização passaram por duas mudanças
    importantes nas últimas décadas
  • MUDANÇA 1)
  • ANTES do uso generalizado de equipamentos de
    processamento de dados, a segurança da informação
    considerada valiosa para uma organização era
    fornecida por principalmente por meios físicos e
    administrativos.
  • Ex. - Armários robustos com fechadura com
    segredo para armazenar documentos confidenciais.

3
Segurança de Informações
  • MUDANÇA 2)
  • Introdução de sistemas distribuídos e o uso de
    rede e recursos de comunicação para transmitir
    dados entre o usuário do terminal e o computador
    e entre computadores.
  • Segurança inter-rede empresas, governo e
    organizações acadêmicas interconectam seus
    equipamentos de processamento de dados com um
    conjunto de redes.

4
Segurança de Informações
  • O que aconteceria se as informações
    institucionais caíssem nas mãos da concorrência
    ou fossem corrompidas, apagadas ou adulteradas?
  • Quais seriam as conseqüências para a continuidade
    dos negócios da instituição?
  • E se ocorressem desastres naturais ( incêndio,
    terremoto, enchentes)?
  • E falhas estruturais ( interrupção de
    fornecimento de energia elétrica ou sobrecargas
    elétricas)?

5
Segurança de informações
  • O vazamento de informações sobre seus clientes
    comprometeria sua credibilidade e daria maiores
    oportunidades aos concorrentes.

6
Segurança de informação
  • Segurança é, portanto, a proteção de informações,
    sistemas, recursos e serviços contra desastres,
    erros e manipulação não autorizada, de forma a
    reduzir a probabilidade e o impacto de incidentes
    de segurança.

7
Segurança de Informações
  • Política de Segurança
  • Informações têm que estar disponíveis no momento
    e no local estabelecido, têm que ser confiáveis,
    corretas e mantidas fora do alcance de pessoas
    não autorizadas.
  • Objetivos de Segurança
  • Confidencialidade ou privacidade informações
    protegidas de acesso não autorizado. Envolve
    medidas de controle de acesso e criptografia.
    (LEITURA)
  • Integridade dos dados Evitar alteração ou
    exclusão indevida de dados. (GRAVAÇÃO/ALTERAÇÃO/EX
    CLUSÃO).
  • Disponibilidade Garantia que os serviços
    prestados por um sistema estão sempre acessíveis
    a pessoas autorizadas. (BACKUP)
  • Consistência Garantia de que o sistema atua de
    acordo com a expectativa.

8
Segurança de Informações
  • Política de Segurança
  • Objetivos de Segurança
  • Isolamento ou uso legítimo Regular o acesso ao
    sistema. Acesso não autorizado é sempre um
    problema, pois tem que se identificar quem,
    quando, como e os resultados desta ação.
  • Auditoria Proteção contra erros e atos
    acidentais ou não dos usuários autorizados.
  • Confiabilidade Garantir que, mesmo em
    condições adversas, o sistema atuará conforme
    esperado.
  • Dependendo da organização, um objetivo pode ser
    mais importante que o outro. Na maioria dos
    casos, é dada maior importância à disponibilidade
    e integridade.

9
Segurança de Informações
  • Questões Relevantes
  • O que se quer proteger ?
  • Contra que ou quem ?
  • Quais as ameaças mais prováveis ?
  • Qual a importância de cada recurso ?
  • Qual o grau de proteção desejado ?
  • Quanto tempo e recursos para atingir os
    objetivos de segurança ?
  • Qual a expectativa dos usuários e clientes em
    relação à segurança de informações ?
  • Quais as conseqüências em caso de roubo ou dano?

10
Segurança de Informações
  • Comprometimento da Gerência Superior
  • Prioridade menor em relação a outros projetos.
  • Segurança só é lembrada depois de um desastre
    ocorrido.
  • Política considerada dispendiosa.
  • Segurança vista como inibidor e não como uma
    garantia
  • Rastreamento ou monitoramento de outras
    gerências.
  • Uma real política de segurança deve ser posta em
    prática e encarada com seriedade por todos e ter
    o total apoio da alta gerência.
  • O comprometimento deve ser formalizado, de forma
    clara e objetiva, baseados nos princípios gerais,
    deixando os detalhes para outros documentos mais
    específicos.

11
Segurança de Informações
  • Definindo uma Política de Segurança de
    Informações
  • Política de segurança é um mecanismo preventivo
    de proteção dos dados e processos importantes de
    uma organização que define um padrão de segurança
    a ser seguido pelo corpo técnico e gerencial e
    usuários.
  • Princípios básicos
  • Como a organização irá proteger, controlar e
    monitorar seus recursos computacionais e suas
    informações.
  • Responsabilidades das funções relacionadas com a
    segurança.
  • Discriminação das principais ameaças, riscos e
    impactos envolvidos.
  • Política de segurança de informações integrada à
    política de segurança em geral.

12
Segurança de Informações
Relacionamento da Política de Segurança de
Informações com a estratégia da organização.
Estratégia geral da organização
Estabelece
Contribui para o atingimento
Plano Estratégico de Informática
Política de segurança de Informações
Define
Gera Impactos sobre
Especifica
Planos de desenvolvimentos de sistemas Plano de
continuidade de serviços Planejamento de
capacidade Outros projetos
13
Segurança de Informações
Política de Segurança de Informações
  • Envolvimento de todos O Segredo do Sucesso !
  • Para uma completa e efetiva Política de
    segurança de informações é imprescindível que
    sejam envolvidos a alta gerência, a gerência de
    segurança, a de recursos e de finanças, os demais
    gerentes e sobretudo, os usuários.

14
Segurança de Informações
  • Política de Segurança de Informações - Tópicos
    Importantes
  • Conteúdo básico orientações sobre análise e
    gerência dos riscos, princípios de conformidade
    dos sistemas com a PSI, classificação das
    informações e padrões mínimos de qualidade.
  • Princípios legais e éticos
  • Direito à propriedade intelectual.
  • Direitos sobre softwares.
  • Princípios de implementação de segurança.
  • Políticas de controle de acesso a recursos e
    sistemas.
  • Princípios de supervisão das tentativas de
    violação da SI.
  • Esses pontos devem ser claros e detalhados para
    serem compreendidos. Para um maior
    aprofundamento, pode-se dispor de outros
    documentos mais específicos.

15
Segurança de Informações
  • Processo de Implantação da PSI
  • Processo formal e longo flexível para permitir
    ajustes conforme necessidades
  • Fases
  • Identificação dos recursos críticos.
  • Classificação das informações.
  • Definição em linhas gerais, dos objetivos de
    segurança a serem atingidos.
  • Análise das necessidades de segurança (ameaças,
    riscos e impactos).
  • Elaboração da proposta inicial.
  • Discussões abertas com os envolvidos.
  • Apresentação do documento formal à gerência
    superior.
  • Aprovação
  • Implementação
  • Avaliação da política e identificação das
    mudanças necessárias
  • Revisão

16
Segurança de Informações
  • Identificando os recursos
  • O que precisa ser protegido? Quais os mais
    importantes?
  • Hardware
  • Software
  • Dados
  • Pessoas
  • Documentação
  • Suprimentos
  • Classificação das informações necessidade,
    responsabilidade.
  • Públicas ou de uso irrestrito ex. serviços de
    informação ao público em geral
  • De uso interno ex. serviços de informação
    interna
  • Confidenciais ex.dados pessoais de clientes e
    funcionários, senhas...
  • Secretas ex. dados militares e de segurança
    nacional.

17
Segurança de Informações
  • Classificação dos Sistemas camadas para
    facilitar os controles
  • Aplicativos necessidades específicas.
  • Serviços utilizados pelos aplicativos.
  • Sistema Operacional gerenciamento de recursos
    computacionais.
  • Hardware
  • Análise individual de cada camada em termos de
    segurança, configurada e monitoradas de forma
    compatível com o nível de segurança definido.

18
Segurança de Informações
  • Analisando Riscos
  • Risco ameaça vulnerabilidade impactos.
  • Identifica componentes críticos e custo
    potencial aos usuários.
  • Ponto chave em qualquer política de segurança.
  • Identificar ameaças e impactos, possibilidades
    de uma ameaça se concretizar e entender os riscos
    potenciais.
  • Classificar por nível de importância, custos
    envolvidos na prevenção/ recuperação.
  • Riscos podem ser apenas reduzidos, nunca
    eliminados. Medidas mais rígidas tornam os riscos
    menores, mas não eliminam.
  • Conhecimento prévio das ameaças e seus impactos
    podem resultar em medidas mais efetivas para
    reduzir as ameaças, vulnerabilidades e impactos.
    É sempre melhor (e mais barato!) prevenir do que
    remediar.

19
Segurança de Informações
  • Analisando ameaças Contra quem proteger ?
  • Custo pode ser mais alto do que os danos
    provocados.
  • Conceitos Básicos
  • Recurso componente de um sistema
    computacional.
  • Ameaça evento ou atitude indesejável que pode
    remover, desabilitar, danificar ou destruir um
    recurso.
  • Vulnerabilidade fraqueza ou deficiência que
    pode ser explorada por uma ameaça.
  • Ataque ameaça concretizada.
  • Impacto conseqüência de uma vulnerabilidade
    ter sido explorada por uma ameaça.
  • Probabilidade chance de uma ameaça atacar com
    sucesso.
  • Risco medida da exposição a qual o sistema
    está sujeito. Depende de uma ameaça atacar e do
    impacto resultante. Envolve esses componentes
    mais as vulnerabilidades.

20
Exercícios Propostos
  • 1. Definir Política de Segurança.
  • 2. Quais os Objetivos de Segurança citados por
    Cláudia Dias? Fale sobre cada um deles.
  • 3. Quais as principais fases do processo de
    implantação de uma Política de Segurança? Fale
    sobre cada uma delas.
  • 4. Quais os principais recursos de tecnologia da
    informação a serem protegidos?
  • 5. Como podem ser classificadas as informações a
    serem protegidas em em uma organização?
  • 6. Qual o objetivo da classificação das
    informações em uma organização?
  • 7. Para efeito de elaboração e implementação de
    políticas de segurança, como podem ser
    subdivididos os sistemas de informações? Fale
    sobre cada um deles.
  • 8. Quais os principais danos que podem causar uma
    ameaça hoje, no caso de concretizada uma invasão
    (acidentais ou deliberadas)? Fale sobre cada um
    deles.
  • 9. O que são ameaças programadas?
  • 10. Cite e comente sobre as diferentes
    nomenclaturas para as ameaças programadas.
  • 11. Quais os principais tipos de vírus? Fale
    sobre cada um deles.
  • 12. O que são Serviços de Segurança? Cite
    exemplos.
  • 13. O que são mecanismos de Segurança? Cite
    exemplos.
  • 14. Quais os 3 princípios básicos de segurança
    que devem ser vistos por uma Gerência de
    Segurança?
  • 15. Como podem ser divididas as atividades de uma
    gerência de segurança?
  • Cláudia Dias págs
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Apresenta" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!