View
215
Download
1
Category
Preview:
Citation preview
Auditoria e Segurança de Sistemas – Cód. 30135Prof. MSc. Ronnison Reges Vidal
SEGURANÇA DAS INFORMAÇÕES – AULA 8Politica de segurança das informações
Sumário
Políticas de Segurança das Informações Introdução Objetivos de Segurança Definindo uma política de segurança de
informações Identificando os recursos Controles de segurança Implementando e auditando políticas de segurança
POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕESIntrodução
Introdução
• Informação é considerada o principal patrimônio de uma organização – recursos críticos• Estão sob constante risco
• A segurança das informações tornou se crucial para a sobrevivência das instituições
• Evolução da segurança de informações• Informações em papel -> a segurança era simples
• Restrição do acesso físico• Computadores de grande porte -> segurança sofisticada
• acesso lógico, entretanto centralizada• Computadores pessoais e redes computadores -> segurança de grande
complexidade• Necessidade de equipe de implementação e gerência
Introdução
• Importância das informações para a sociedade• Concretização de negócios• Tomada de decisões
• Governamentais• Sociais – bem estar social• Educativas
• Um erro pode comprometer• Instituições do mercado
• Financeiro, industrial, sistemas de telecomunicações, assistência médica
Introdução
• Expectativas• Usuário – Não interessa saber se o dado foi perdido ou
apagado por conta de um ex-funcionário ou vírus, importa é que o dado foi adulterado ou perdido• Consciência da integridade, disponibilidade e privacidade –
Qualidade• Departamento de informática – segurança está relacionada
com teste de hardware, software e prevenção de erros cometidos pelos usuários• Atender as necessidades do usuário e proteger as informações
contra ameaças - Eficiência
Introdução
• Outros aspectos considerados pela gerência• Operação de forma adequada e garantias de segurança• Necessidade de ambientes controlados• Proteção contra desastres naturais (incêndios, terremotos,
enchentes)• Falhas estruturais (interrupção do fornecimento de energia
elétrica, sobrecargas elétricas)• Sabotagem• Fraudes• Acessos não autorizados (hackers, espionagem digital, venda
de informações confidenciais para a concorrência)
Introdução
• Segurança é:• Proteção de informações, sistemas, recursos e serviços
contra desastres, erros e manipulação não autorizada, de forma a reduzir a probabilidade e o impacto de incidentes de segurança
POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕESObjetivos de Segurança
Objetivos de Segurança
Confidencialidade ou privacidade – proteger as informações contra o acesso de qualquer pessoa não explicitamente autorizada
Integridade de dados - evitar que os dados sejam apagados sem permissão
Disponibilidade – proteger os serviços de tal forma que não sejam degradados ou tornados indisponíveis sem a devida autorização
Objetivos de Segurança
Consistência – certificar-se que o sistema está de acordo com as expectativas do usuário
Isolamento ou uso legítimo – regular o acesso ao sistema Auditoria – proteger os sistemas contra os erros e atos
maliciosos cometidos pelos usuários autorizados Confiabilidade – garantir que, mesmo em condições
adversas, o sistema atue conforme o esperado. Ex: sistemas de energia nuclear, de controle de tráfego aéreo e de controle de vôo.
Objetivos de Segurança
Apesar de todos os objetivos citados serem importantes, dependendo do tipo de organização, alguns são mais importantes do que outros
Antes da implementação de um programa de segurança de informações é aconselhável responder alguns questões
Objetivos de Segurança
O que quer se proteger? Contra o que ou quem? Quais são as ameaças mais prováveis? Qual a importância de cada recurso? Qual o grau de proteção desejado? Quanto tempo, recursos financeiros e humanos se pretende
gastar para atingir os objetivos de segurança desejados? Quais as expectativas dos usuários e clientes em relação à
segurança de informações? Quais as consequências para a instituição se seus sistemas e
informações forem corrompidos ou roubados?
POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕESDefinindo uma política de segurança de informações
Definindo uma política de segurança de informações
Estratégia geral da organização
Plano estratégicoDe informática
Política de SegurançaDe informações
Planos de desenvolvimento de sistemasPlano de continuidade de serviços
Planejamento de capacidadesOutros projetos
Especifica
Estabelece
Define
Contribui para atingir a
Gera impactos sobre
DEFININDO UMA POLÍTICA DE SEGURANÇA DE INFORMAÇÕESTópicos importantes
Definindo uma política de segurança de informações
Processo de implantação É aconselhável que esse processo seja flexível
Para permitir atualizações conforme as necessidades
Ocorre em um determinado número de fases
Definindo uma política de segurança de informações
Identificação dos recursos críticos Classificação das informações Definição, em linhas gerais, dos objetivos de segurança a
serem atingidos Análise das necessidades de segurança (identificação das
possíveis ameaças, análise de riscos e impactos) Elaboração de projeto de política
Definindo uma política de segurança de informações
Discussões abertas com os envolvidos Apresentação de documento formal à gerência superior Aprovação Implementação Avaliação da política e identificação das mudanças
necessárias revisão
POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕES
Identificando recursos
Identificando recursos
Hardware Software Dados Pessoas Documentação Suprimentos
Identificando recursos
Classificação das informações Públicas ou de uso irrestrito Internas ou de uso interno Confidenciais Secretas
Identificando recursos
Classificação dos sistemas Programas aplicativos Serviços Sistema operacional Hardware
Camadas de um sistema de informaçõesAplicativos
serviçosSistema operacional
hardware
POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕES
Controles de Segurança
Controles de Segurança
Eliminar os riscos Reduzir os riscos a um nível aceitável Limitar o dano, reduzindo o impacto Compensar o dano, por meio de seguros
Controles de Segurança
Definindo serviços de segurança Categorias básicas
Autenticação Controle de acesso Confidencialidade de dados Integridades de dados Disponibilidade Não repúdio
Controles de Segurança
Definindo serviços de segurança Medidas preventivas importantes
Segurança física Segurança dos recursos computacionais Segurança administrativa Segurança de meios magnéticos Controles de desenvolvimento de apĺicativos
Controles de Segurança
Definindo mecanismos de segurança Sistemas criptográficos
Texto em claroChave
AlgoritmoXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Texto cifrrado
Controles de Segurança
Definindo mecanismos de segurança Assinatura digital Mecanismos de controle de acesso Mecanismos de integridade de dados Mecanismos de disponibilidade Trocas de autenticações Enchimento de tráfego Controles de roteamento
POLÍTICAS DE SEGURANÇA DAS INFORMAÇÕES
Implementando e auditando políticas de segurança
Lista de verificação
Elaborar, divulgar e manter atualizado documento que descreva a política de segurança das informações
A alta gerência deve estar comprometida coma a política de segurança de informações, a qual deve ser implantada de acordo com o documento formal por ela aprovado
Definir uma estrutura organizacional responsável pela segurança, a qual deve aprovar e recisar as políticas de segurança, designar funções de segurança e coordenar a implantação da política
Lista de verificação
Estabelecer procedimentos de segurança de pessoal, com intuito de reduzir ou evitar erros humanos, mal uso de recursos computacionais, fraude ou roubo, por meio de um processo rigoroso de recrutamento de pessoal e de controle sobre acesso a dados confidenciais
Todos os funcionários devem ter conhecimento dos riscos de segurança de informações e de suas responsabilidades com relação a esse assunto. É a conselhavel que haja um treinamento de segurança para difusão de boas práticas e padrões de segurança, promovendo uma cultura de segurança na organização
Lista de verificação
Controlar e classificar os recursos computacionais de acordo com seu grau de confidencialidade, prioridade e importância para a orgenização. Todos os recursos (hardware, software, dados, documentação, etc) devem ser administrados por um responsável designado seu proprietário
Definir padrões adequados de segurança física para previr acessos não autorizados, danos ou interferência em atividades críticas. Devem ser estabelecidos limites de acesso ou áreas de segurança com dispositivos de controle de entrada. Todos os equipamentos e cabeamentos de energia elétrica e de telecomunicações devem ser protegidos contra interceptação, dano, falha de energia, picos de luz, e outros problemas elétricos
Lista de verificação
Implantar controle de acesso lógico aos sistemas de forma a precenir acessos não autorizados. Esse controle pode ser feito via processo seguro de logon, senhas fortemente seguras, registro formal de usuários, monitoramento por trilhas de auditoria, etc
Administrar os recursos computacionais e as redes seguindo requisitos de segurança previamente definidos
Definir procedimentos de backup e de restauração dos sistemas computacionais para garantir a integridade e a desponivilidades de dados e software. A frequencia de backup deve ser apropriada e pelo menos uma cópia do backup de ser guardada em local seguro. Os procedimentos de restauração devem ser periodicamente testados para garantir sua efetividade quando forem necessários
Lista de verificação
Antes da inclusão de qualquer programa nos sistemas computacionais da organização, tomar as medidas de segurança exigidas na política da organização
Investigar qualquer incidente que comprometa a segurança dos sistemas. Os registros desses incidentes devem ser mantidos e periodicamente analisados para detectar vulnerabilidades na política de segurança adotada
Após uma violação da política de segurança, tomar as medidas necessárias para identificação de susas causas e agentes, correção das vulnerabilidades e punição aos infratores
Auditar regularmente todos os aspectos de segurança a fim de determinar se as políticas estão sendo efetivamente cumpridas ou se são necessárias modificações
exercícios
• Ler capítulo II – Segurança de Informações• Política de Segurança de informações• Livro – Segurança e auditoria da Tecnologia da Informação,
Cláudia Dias
Recommended