Segurança da Informação alunosdoheron@yahoogrupos.br

Professor Heron Duarte Especialista em Inteligência Segurança da Informação alunosdoheron@yahoogrupos.com.br

Segurança da Informação • Segurança da Informação é a proteção da informação • de vários tipos de ameaças para garantir • a continuidade do negócio, minimizar o risco ao negócio.

Podemos ainda definir Segurança da Informação como • uma área do conhecimento dedicada • à proteção de ativos da informação • contra acessos não autorizados, • alterações indevidas ou a sua indisponibilidade.

O ciclo de vida da informação Geralmente é composto por 4 etapas • Manuseio: Local onde se iniciou o ciclo e onde a informação é manipulada. • Armazenamento : Momento em que a informação é armazenada, (pode ser em papel, em mídia CD etc.). • Transporte: Momento do envio ou transporte (pode ser correio eletrônico, fax, sinais). • Descarte: Momento em que a informação é eliminada, apagada (destruída de forma definitiva).

O método PDCA – (Plan, Do, Check e Action) • Plan: o profissional responsável deverá definir o que quer. Deverá planejar o que será feito e estabelecer metas. Deverá definir os métodos que permitirão atingir as metas propostas. • Do: o profissional responsável deverá tomar iniciativas como: educar e treinar as pessoas envolvidas, implementar e executar o planejado conforme as metas e métodos definidos. • Check: o profissional responsável deverá observar os resultados obtidos e verificar continuamente os trabalhos afim de ver se estes estão sendo executados da forma definida. • Action: o profissional responsável deverá fazer correções de rotas e tomar ações corretivas ou melhorias, caso tenham sido constatadas na fase anterior a necessidade de corrigir ou melhorar processos.

Segurança da Informação ATIVO:Ativo: qualquer elemento que tenha valor para uma organização Valor do Ativo: quantificação de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade afetadas.

Ativos

Segurança da Informação ATIVO:É tudo aquilo que possui valor para uma organização. Exemplo de classificação dos ativos:

O que é a Segurança da informação? Primeiras idéias: • Proteção das informações • Proteção dos dados • Proteção das máquinas • Proteção dos sistemas

Segurança da Informação • Mais ainda: • Segurança da Informação é obtida a partir da • implementação de um conjunto de controles adequados, • incluindo políticas, processos, procedimentos, • estruturas organizacionais e funções de • software e hardware.

Segurança da Informação • Segurança é manter os ATIVOS do ambiente sistêmico, garantido sua estabilidade conforme sua: • Confidencialidade, • Integridade, • Disponibilidade. • Agindo em seu manuseio, armazenamento, transporte e descarte.

Segurança da Informação Os 3 princípios básicos: Confidencialidade Toda informação deve ser protegida conta acesso de pessoas não explicitamente autorizadas. Integridade Toda informação deve ser protegida afim de se evitar que dados sejam apagados ou alterados de alguma forma não autorizada. Disponibilidade Toda informação deve ser protegida afim de que os serviços de informática de tal forma que não sejam degradados ou tornados indisponíveis.

Segurança da Informação Os Aspectos da Segurança: Autenticação Processo de identificação e reconhecimento formal da identidade dos elementos que entram em comunicação ou fazem parte de uma transação eletrônica. Legalidade característica das informações que possuem valor legal dentro de um processo de comunicação, estando de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes.

C I D A L C -Confidencialidade I -Integridade D - Disponibilidade A - Autenticação L - Legalidade

Outros conceitos de CIDAL • Confidencialidade: a informação estará acessível somente para pessoas autorizadas. • Integridade: as informações e os métodos de processamento somente podem ser alterados através de ações planejadas e autorizadas. • Disponibilidade: os usuários autorizados devem ter acesso à informação e aos ativos correspondentes, sempre que necessário para o desenvolvimento de suas atividades. • Autenticidade: para evitar o não-repúdio, ou não recusa, deverá ser garantido a autenticidade da fonte. Essa é a garantia que o emissor de uma mensagem é quem realmente diz ser. • Legalidade: é a situação de conformidade com as leis atualmente vigentes no pais.

Segurança da Informação Vulnerabilidades Ameaças

Elementos de segurança • Identificação e Autenticação: distinguir, determinar e validar a identidade do usuário/entidade (se é quem diz ser) • Controle de acesso: limitar/controlar nível de autorizações de usuários/entidades a uma rede, sistema ou informação • Não-repúdio: impedir que seja negada a autoria ou ocorrência de um envio ou recepção de informação

Elementos de segurança • Integridade: impedir informação/transmissão de ser alterada/ danificada de forma não-autorizada, imprevista ou acidental • Confidencialidade: proteção da informação contra descoberta ou interceptação não autorizada; privacidade • Disponibilidade: confiabilidade de redes, sistemas e equipamentos sobre evitar ou se recuperar de interrupções

Princípio da integridade da informação • Permite garantir que a informação não tenha sido alterada em seu conteúdo e, portanto, é íntegra • Uma informação íntegra é uma informação que não foi alterada de forma indevida ou não autorizada

Princípio da confidencialidade da informação • Garantir que apenas a pessoa correta tenha acesso à informação que queremos distribuir • Deverá ser mantido para que as pessoas não-autorizadas não tenham acesso a ela • Ter a segurança de que o que foi dito a alguém ou escrito em algum lugar só será escutado ou lido por quem tiver autorização para tal • Ocasiona perda de segredo

Princípio da disponibilidade da informação • Garantir que as informações essenciais ao negócio da empresa estejam disponíveis o maior tempo possível • Conhecer seus usuários para que se possa organizar e definir as formas de disponibilização, garantindo, conforme cada caso, seu acesso e uso quando necessário • A disponibilidade da informação deve ser considerada com base no valor que a informação tem e no impacto resultante de sua falta de disponibilidade

Princípio da disponibilidade da informação Principais ações para garantir a disponibilidade da informação: • A configuração segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicação • Cópias de segurança – backup • Definir estratégias para situações de contingência • Estabelecer rotas alternativas para o trânsito da informação, para garantir seu acesso e a continuidade dos negócios

Políticas de Segurança • Conjunto de normas e diretrizes destinadas para proteção dos bens da organização • Definir a forma da utilização dos seus recursos através de procedimentos para prevenir e atender incidentes de segurança • As ameaças são agentes capazes de explorar as falhas de segurança, que denominamos Vulnerabilidades (pontos fracos), e, como conseqüência, provocar perdas ou danos aos ativos de uma empresa, afetando os seus negócios

Política de segurança • Item 5 da ISO 17799:2005 • É um conjunto de leis, regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos. É um documento que formaliza e detalha todo o conceito informal ou formal sobre segurança, podendo este ser físico ou lógico e que deverá ser aplicado na empresa. • Permite o estabelecimento de limites (direitos e deveres) dos usuários ou departamentos ao utilizarem os recursos da empresa.

Os 3 blocos e as camadas de atuação da Política de Segurança Diretrizes, Normas e Procedimentos, sendo destinados respectivamente às camadas estratégica, tática e operacional: • Camada Estratégica: define o rumo a ser seguido. • Camada Tática: define a padronização para melhor controlar e fazer com que todos os pontos da empresa tenham o mesmo nível de segurança. • Camada Operacional: detalha se os procedimentos estão formalmente descritos. Um procedimento deverá possuir apenas um método de execução.

Filosofia dos Planos • Fechado: tudo aquilo que não é permitido é explicitamente proibido. • Aberto: tudo aquilo que não é proibido explicitamente é permitido.

Os 4 P’s dos planos de Segurança Existem diversas filosofias para planos de segurança: Eis os principais tipos: • Paranóico: tudo é proibido, mesmo aquilo que deveria ser permitido. • Proibitivo: tudo aquilo que não é permitido é explicitamente proibido. • Permissivo: oposto ao proibitivo. tudo aquilo que não é proibido é explicitamente permitido. • Promíscuo: tudo é permitido, incluindo aquilo que deveria ser proibido.

Segurança da Informação Medidas de Segurança São as práticas, os procedimentos e os mecanismos usados para a proteção da informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades. São ações voltadas à eliminação de vulnerabilidades com vista a evitar a concretização de uma ameaça.

Medidas de Segurança • Podem ter as seguintes características: • Preventivas, • Detectáveis, • Corretivas

Segurança da Informação Medidas de Segurança Preventivas Medidas de segurança que tem o objetivo de evitar que incidentes venham a ocorrer. Visam manter a segurança já implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança na instituição. São: Políticas de Segurança; instruções e procedimentos de trabalho; campanhas e palestras de conscientização de usuários; ferramentas como firewall, antivírus, etc...

Segurança da Informação Medidas de Segurança Detectáveis Medidas de segurança que visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem vulnerabilidades. São: análise de riscos; sistemas de detecção de intrusão; alertas de segurança; câmeras de vigilância, alarmes, etc...

Segurança da Informação Medidas de Segurança Corretivas Ações voltadas à correção de uma estrutura tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à redução dos impactos; São: equipes para emergências, restauração de backup; plano de continuidade operacional; plano de recuperação de desastres; etc...

A segurança é um fator crítico de sucesso • A segurança se faz protegendo todos os elos da corrente, todos os ativos que compõem seu negócio. Se algum componente falhar, todo o processo estará prejudicado.

Procedimentos de Segurança Características de um plano de segurança: • ser fácil de entender ou não será posto em prática; • ter sua finalidade explicada ou será ignorado; • ser implementado com energia ou exceções serão criadas e virarão regras; • possuir sanções para os violadores; • cada colaborador deverá conhecer apenas os procedimentos de segurança que lhe dizem respeito; • deve estar documentado formalmente e incluir diretivas claras. • Formato dos procedimentos de segurança

Formato dos procedimentos de segurança O procedimento de segurança deverá possuir as seguintes características: • ser aprovado pelo mais alto nível da hierarquia da empresa. • ser claro, ser conciso. • ser elaborado por um responsável direto. • ser dirigido para atingir o nível de segurança adequado aos bens que se quer proteger. • causar o mínimo de alterações no funcionamento da organização....

não deve ser muito específico. • ser possível executar. • deve quantificar os recursos necessários para seu funcionamento. • deve prever as ações concretas e quem as realiza. • deve prever o que fazer em casos de falha na execução dos procedimentos (plano B).

Fatores para o sucesso da política de segurança • A política de segurança deverá ter o aval da pessoa mais graduada (CEO, Presidente, etc), a fim de evitar tentativas de coação / pressão dos administradores. • Possuir cultura organizacional (consciência coletiva). • A alta direção deve estar comprometida e dar amplo apoio aos seus implementadores. • Deve ter bom entendimento dos requisitos de segurança, avaliação e gestão de riscos. • A presença de um marketing interno eficaz para a segurança dentro da organização.

Divulgação para todos os funcionários e contratados (Guia da Política de Segurança da Informação). • Treinamento. • Alocação de recursos pessoais e financeiros. • Procurar embasamento jurídico, principalmente no tocante a ações / punições eventuais a serem aplicadas. • E muita cooperação!!!

Início de análise de risco • Não se pode se proteger de algo que não se conheça. Com o conhecimento dos riscos é possível planejar as políticas e procedimentos que poderão ser implementados para a sua redução.

Os três pilares da segurança • Segurança Física. • Segurança Técnica. • Segurança Lógica.

Riscos • Probabilidade de que as ameaças explorem os pontos fracos. • Causam perdas ou danos aos ativos e impactos no negócio. • Acarreta perda de: confidencialidade, a integridade e a disponibilidade da informação

Risco = Ameaça x Vulnerabilidade x Valor do patrimônio

O que é a análise de risco? • É o processo de avaliar o que é ou não aceitável para uma organização num determinado contexto. • Só devemos aceitar um risco quando o custo do controle aplicado para mitigá-lo for maior do que o custo do próprio bem em risco. • O nível de risco no qual uma organização aceita operar é denominado de risco aceitável

Análise de Risco: o que se diz, o que se faz, e o que realmente é • Os cinco pontos são: • Identificação e Classificação dos Processos de Negócio. • Identificação e Classificação dos Ativos • Análise de Ameaças e Danos • Análise de Vulnerabilidades • Análise de Risco

Norma • Utiliza-se como métrica as melhores práticas de segurança da informação do mercado, apontadas na norma ISO/IEC 17799. A partir destas informações faz-se possível a elaboração do perfil de risco que segue a fórmula: RISCO.= • (Ameaça) x (Vulnerabilidade) x (Valor do Ativo)

Análise de risco Como analisar o meu risco? • Existem diversas formas de calcular o risco, tudo dependerá dos índices a serem utilizados.

Fórmula: Risco = ((A x V x I)/M) R = Risco A = Total das Ameaças V = Total das Vulnerabilidades I = Total dos Impactos M = Medidas de Proteção Acrescentando-se a variável P, probabilidade de ocorrer o evento (vezes por ano), Ficaria então: ((A x V x I)/M)*P

O conceito de análise de risco Intimamente relacionado à figura de Competitive Intelligence (Inteligência Competitiva). Agrega “solidez” à informação corporativa. Com a condição de controlar as ameaças, poderemos derivar dessa ferramenta o conceito de “administração de cenários.

Aspectos na análise de risco Deve ser feita considerando vários aspectos como: • ativos; • ameaças; • vulnerabilidades.

Para cada cenário deverão ser previstos : • os prejuízos; • recursos envolvidos para evitar a concretização do risco no cenário; • custos; • benefícios.

Segurança da Informação alunosdoheron@yahoogrupos.br

Segurança da Informação alunosdoheron@yahoogrupos.br

Presentation Transcript

NR 32 - SEGURAN A E SA DE NO TRABALHO EM SERVI OS DE SA DE

LA SALLE Curso Técnico em Informática

Prevenção e Controlo de Congestão

INFORMÁTICA 1

Paradigmas de Programación

Gestión del Conocimiento

Információbiztonság

INFORMA CIN ĖS VISUOMENĖS KOMPIUTERIJA

INFORMÁTICA

AUDITORIA INFORMÁTICA PAPELES DE TRABAJO DE CONTROLES GENERALES DE TI`Cs

Seguridad Informática

Seguridad Informática: Estamos seguros ?

La Administración de P royectos en Informática

Introdução à Informática Prof. Roberto Cabral de Mello Borges Instituto de Informática - UFRGS

RASN Informática

C U A D E R N O D E E J E R C I C I O S: A C T I V I D A D 1.

Negócio da TDP Informática

Programación modular

Az információs technológiák a szakszervezetek munkájának összehangolásában

Adatmodellezés, adatbázis-tervezés

Tutorial. UML y Proceso Unificado en Informática Biomédica

INFORMĀCIJAS SISTĒMU METODOLOĢIJAS (DSP404)