1 / 30

UNIPAR – UNIVERSIDADE PARANAENSE Unidade Universitária Paranavaí-PR

UNIPAR – UNIVERSIDADE PARANAENSE Unidade Universitária Paranavaí-PR. Segurança em Ambientes de Redes e Internet. Prof. Júlio César Pereira – juliocesarp@unipar.br. Plano de contingência.

duncan-donovan
Download Presentation

UNIPAR – UNIVERSIDADE PARANAENSE Unidade Universitária Paranavaí-PR

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. UNIPAR – UNIVERSIDADE PARANAENSE Unidade Universitária Paranavaí-PR Segurança em Ambientes de Redes e Internet Prof. Júlio César Pereira – juliocesarp@unipar.br

  2. Plano de contingência Após a ocorrência de um incidente de segurança, os profissionais de TI de sua empresa sabem exatamente como agir para que seu negócio volte a operar em tempo mínimo? Um plano de contingência, devidamente documentado e atualizado, ajuda a atingir esse objetivo.

  3. Plano de contingência Garantir a continuidade do negócio tornou-se uma preocupação atual e prioritária para os responsáveis dos sistemas de informação das organizações, já que atualmente a maioria das empresas depende de seus recursos computacionais para operar normalmente. Incidentes ou eventualidades que provoquem a parcial ou total paralisação desses recursos podem ocorrer a qualquer momento e, para que o problema seja sanado no menor tempo possível (de forma que a empresa dê continuidade aos seus processos de trabalho já em andamento e, além disso, não perca novas oportunidades de negócio), é preciso adotar medidas emergenciais - ou contingenciais.

  4. Plano de contingência Alguns dos incidentes de segurança mais comuns são: Infecção por vírus Queima de equipamentos Falha de comunicação na rede Rompimento de cabos de rede Queda de um link de comunicação Alterações indevidas em software Perda de um disco rígido (e dos arquivos nele gravados)

  5. Plano de contingência Um plano de contingência nada mais é, conforme seu próprio nome sugere, um documento que descreve, passo a passo, quais ações a empresa (ou, mais especificamente, a área de TI) deve tomar a fim de retomar normalmente seus processos de trabalho, após a ocorrência de um incidente de segurança (ou uma contingência). Trata-se de um documento desenvolvido com o intuito de treinar, organizar, orientar, facilitar, agilizar e uniformizar as ações necessárias às respostas de controle e combate às ocorrências anormais. Sem um plano de contingência, as ações de correção e eliminação de problemas emergenciais tornam-se desorientadas, arriscadas, sem garantia de eficácia, geralmente porque são executadas contra o relógio, com medidas desesperadas, não bem raciocinadas com a devida calma, não testadas e sem planejamento prévio.

  6. Plano de contingência Assim, um plano de contingência bem elaborado (personalizado de acordo com o contexto operacional da empresa) é capaz de garantir um nível de serviço mínimo que permita executar aquelas aplicações ou serviços que suportam processos de negócio considerados vitais ou imprescindíveis para a empresa, após a ocorrência de um desastre que afete facilidades, recursos e informações, isoladas ou simultaneamente.

  7. Plano de contingência O plano de contingência detalha aonde, quando, como e quais ações corretivas devem ser efetuadas a fim de que informações perdidas ou indisponibilizadas em um incidente sejam rapidamente recuperadas .

  8. Plano de contingência De forma geral, um plano de contingência é composto por um plano de backup e pelos planos de emergência e recuperação. Ele deverá ser acionado sempre que o plano de emergência não for capaz de evitar o desastre e ficará vigente até que a capacidade de processamento da empresa seja recuperada totalmente. Ele deve ser: Testado periodicamente Documentado por escrito Atualizado sempre que necessário Formalmente aprovado pela diretoria da empresa Arquivado de forma e em local seguros (mas de fácil acesso aos responsáveis por sua aplicação) Elaborado por profissionais especializados, de acordo com as premissas da política de segurança da empresa

  9. Plano de contingência Sem esse documento, a empresa nem sequer saberá por onde começar para se recuperar de um incidente de segurança e, além de sofrer prejuízos pela paralisação prolongada de determinados processos, correrá um alto risco de voltar a enfrentar os mesmos ou até outros problemas futuros (devido ao fato do incidente não ter sido resolvido da forma adequada).

  10. O que um departamento de segurança da informação faz? As atividades de segurança da informação englobam o desenho, implementação, controle e monitoração de métodos e processos que visam assegurar os ativos de informação de uma organização ou pessoa. Sua atuação numa empresa está diretamente envolvida com as áreas de negócio, principalmente com a área de tecnologia, uma vez que esta sustenta a maioria dos processos de negócio da empresa.

  11. O que um departamento de segurança da informação faz? A sinergia da área com os projetos e departamentos da organização é caráter fundamental para a boa prática da segurança da informação no ambiente corporativo. Para desenvolver uma política e uma cultura de segurança da informação, a TI precisa antes garantir a entrega dos recursos e da informação para os usuários, além de mantê-los íntegros e confidenciais. As informações de negócio de uma organização estão dispostas em um complexo ecossistema formado por processos de negócio, pessoas e tecnologia.

  12. O que um departamento de segurança da informação faz? Para garantir a continuidade do negócio de uma organização, é preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela própria organização e normatizações externas, nacionais e internacionais. Vamos apresentar aqui um conjunto de boas práticas de mercado que ajuda a manter todos os recursos disponíveis e seguros para as tomadas de decisão da organização. Cada organização tem seu core businness e para cada um podemos olhar e encontrar particularidades que devemos trabalhar para garanti-las também.

  13. O que um departamento de segurança da informação faz? Mas o principal objetivo nunca muda e em todos os programas de desenvolvimento de uma política e cultura de segurança da informação vamos encontrar estes três itens: Garantir disponibilidade dos recursos/informação; Garantir integridade da informação; Garantir confidencialidade da informação.

  14. O que um departamento de segurança da informação faz? Garantindo a disponibilidade dos recursos Recursos de informação como dados, servidores, aplicações, equipamentos de telecom devem estar disponíveis à demanda e necessidade do negócio. É preciso mapear quais são estes ativos principais – críticos – para o negócio e controlar as necessidades de atualizações de toda esta infra-estrutura a fim de minimizar paradas no ambiente. Estas paradas ainda podem ser causadas por variáveis não controláveis como falhas de hardware, problemas de software, ataques a rede computacional, ausência de recursos humanos, entre outras.

  15. O que um departamento de segurança da informação faz? Para estas devemos ter o cuidado de procurar desenvolver processos detalhados para suprir quaisquer problemas que a organização possa enfrentar, quais os impactos de uma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um recurso. Este assunto é trabalhado dentro de um item chamado de Gerenciamento de Riscos. Seguinte a isso encontramos por exemplo o Plano de Recuperação de Desastres (ou DRP, de Disaster Recovery Plan).

  16. O que um departamento de segurança da informação faz? Os principais itens trabalhados num plano de projeto para manutenção e disponibilidade de recursos, sobretudo tecnológicos são: Prevenção e detecção de ameaças a rede computacional, também monitoração e controle da rede; Definição de políticas e processos de uso de recursos de rede; Desativamento de recursos e serviços não necessários em servidores e aplicações; Ajuste fino de servidores e aplicações (Hardening); Cuidados com gerenciamento de identidades e controles de acesso a rede; Definição de um plano para aplicação de patches e atualizações no ambiente; Definição de um plano de contingência para os recursos e um plano para recuperação de desastres.

  17. O que um departamento de segurança da informação faz? Garantindo a integridade da informação Entende-se em garantir integridade da informação o trabalho de colocá-la disponível aos recursos que a utilizarão na forma de sua última versão válida. O principal item desta etapa que eu gostaria de trabalhar aqui são os processos de auditoria, essenciais para a garantia de integridade das informações e recursos da organização. Os principais objetivos desta etapa são entender os métodos como processos de negócio são aprovados e repassados, quem são seus proprietários/responsáveis e usuários e buscar ferramentas para monitorar e controlar estas alterações a fim de garantir a integridade. Recursos como firewalls, antivírus, criptografia, assinatura digital, backup, processos e outras ferramentas devem ser usadas para garantir o bom funcionamento do ambiente.

  18. O que um departamento de segurança da informação faz? Garantindo a confidencialidade da informação Onde através de processos e ferramentas buscamos entender e mapear todos os recursos e acima de tudo assegurar as informações estratégicas para o negócio da organização. As informações devem estar disponíveis apenas a pessoas e/ou outros recursos que tenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques a rede computacional da empresa, vazamento de dados através do envio de informações de negócio sem autorização por e-mails, impressões, cópias em dispositivos móveis, também acesso a informações de projetos e departamentos armazenadas em servidores por pessoas não autorizadas.

  19. O que um departamento de segurança da informação faz? .... Garantindo a confidencialidade da informação Sem esquecer as variáveis incontroláveis que também estão presentes aqui, como por exemplo possíveis perdas ou furtos de dispositivos como notebooks, smartphones e pendrives que porventura possam conter informações confidenciais.

  20. O que um departamento de segurança da informação faz? Mudança de paradigma Primeiro vamos começar quebrando um paradigma. No começo da informática era fácil encontrar os ativos digitais de uma empresa. Eles ficavam num lugar chamado de CPD (Central de Processamento de Dados). Hoje a coisa complicou muito! Podemos encontrar informações das empresas circulando em notebooks, fitas de backups, pendrives, smartphones, e-mails etc. Como garantir o bom uso e a segurança das informações críticas para o negócio agora? Apenas um firewall protegendo a rede já não adianta mais, pois os dados estão circulando por diversos meios, em diversos estados e até fora do perímetro da organização.

  21. O que um departamento de segurança da informação faz? ... Mudança de paradigma Através do uso de processos e tecnologia, a área de segurança da informação hoje pode entregar resultados fantásticos para as empresas diminuindo sensivelmente os riscos para o negocio.

  22. O que um departamento de segurança da informação faz? Classificação da informação Todo ativo de informação deve ter um gestor como responsável para aprovação e controle. A classificação da informação deve ficar evidente e de fácil reconhecimento pelo usuário ou colaborador, para que este possa utilizar e compartilhar o recurso apenas com as áreas de negócio que tenham acesso. Este mapeamento deve ser organizado e gerenciado por um comitê de segurança da informação e os ativos avaliados, digitais ou não, devem ser entendidos junto a seus proprietário e usuários, para a obtenção de melhores resultados.

  23. O que um departamento de segurança da informação faz? Classificação da informação Ativos digitais críticos para a organização (como projetos estratégicos, planilhas financeiras, relatório de vendas etc.) são algumas das informações estratégicas mais comuns e sensíveis para as empresas – e sua segurança merece total atenção. Confidencial – informações e recursos disponíveis a projetos e trabalhos críticos para a continuidade do negócio da organização. Uso interno – informações e recursos disponíveis e gerados por departamentos e grupos de projeto, de uso restrito dentro da organização. Uso público – informações que podem ou devem ser divulgadas, a fornecedores, colaboradores externos, mídias de publicidade, etc.

  24. O que um departamento de segurança da informação faz? Entendendo os diferentes estados da informação Armazenada: são considerados dados armazenados os que residem em notebooks, desktops e servidores; Em movimento: são considerados dados em movimento os que residem em pen drives, smartphones, CDs e e-mails; Em uso: são considerados dados em uso os que se encontram em estado de processamento (sistemas de e-commerce, bancos de dados, ERPs etc.).

  25. O que um departamento de segurança da informação faz? Administração e controle de senhas Usuários e senhas já fazem parte do dia-a-dia de todos, é o que utilizamos isto para acessar a conta do banco, o sistema da empresa, o computador de casa, etc. Garantir a segurança e o bom uso destas identidades é crucial para evitarmos vazamento ou roubo de informações. A maioria dos softwares que requerem algum tipo de autenticação para administração da ferramenta e/ou uso de outros perfis utilizam de um conjunto formado por um nome de usuário e uma senha, como “Administrator” “senha” “password” “pass” entre outros. A mudança do nome destes usuários e senhas padrão nas ferramentas deve ocorrer se possível logo ao término da sua instalação.

  26. O que um departamento de segurança da informação faz? Faça uma senha longa o suficiente. Uma boa senha possui de 8 a 12 dígitos.  E quanto mais longa, melhor. Não utilize palavras e nomes conhecidos. Programas de quebra de senha possuem uma base bastante aprimorada com diversos dicionários, a fim de testar cada uma destas palavras e tentar então quebrar esta senha. Utilize caracteres alfanuméricos como números, pontuação além de também alternar entre letras maiúsculas e minúsculas. Evite anotar suas senhas em papéis ou divulgar para outras pessoas. Trabalhe num conjunto de caracteres que possam representar simbolicamente algo para você e que possa ser facilmente lembrado.

  27. O que um departamento de segurança da informação faz? Use senhas diferentes para suas contas. Obviamente é mais cômodo ter apenas uma boa senha, mas em caso de furto ou vazamento, todas as contas e sistemas que você utilizam desta senha para acesso poderão ser facilmente acessados por quem se beneficiar. Mude suas senhas com frequência. Isto com certeza pode ajudar no caso de alguém estar bisbilhotando alguma conta sua particular ou na sua empresa e não estiver deixando rastros. Sempre que possível utilize criptografia. Com isso você pode garantir que apenas as pessoas autorizadas possam ter acesso a suas contas e informações.

  28. O que um departamento de segurança da informação faz? Gestão de identidades e acessos O bom desenho da infra-estrutura computacional e processos de tecnologia é de extrema importância para o controle dos acesso aos ativos de informação. Todas as mudanças nos perfis de acesso dos colaboradores devem ser documentadas e estes registros devem ficar disponíveis para futuras consultas e auditorias. A área de segurança da informação deve garantir o cumprimento dos prazos e controles para validação e concessão dos acessos.

  29. O que um departamento de segurança da informação faz? Mudança cultural A política de segurança da informação deve ser divulgada e de fácil acesso pelos colaboradores. Workshops e treinamentos são boas maneiras de divulgá-la e orientar os usuários de como a área de segurança da informação está trabalhando para proteger os ativos de informação da empresa e quais são as responsabilidades dos colaboradores dentro deste ecossistema. Como é certo dizer que hoje qualquer processo de negócio de uma empresa depende de tecnologia e informação, a forma não mais fácil, porém melhor, de garantir interação da área de segurança da informação para cumprimento da política é orientar que cada projeto ou área de negócio da empresa comunique e solicite colaboração para avaliação de riscos e implementação de controles. O contrário disso pode demandar um esforço de “venda” das atividades na empresa que seguramente não apresentará bons resultados no final de cada trabalho.

More Related