Upload
isaque-cordeiro-clementino
View
225
Download
4
Embed Size (px)
Citation preview
Desempenho e Desempenho e Segurança em Segurança em Sistemas de Sistemas de InformaçãoInformação
Profa.: Me. Christiane Zim ZapeliniE-mails:
[email protected]@yahoo.com.br
Aula 25 2
Desempenho e Desempenho e Segurança em Sistemas Segurança em Sistemas de Informaçãode Informação Aula 25
Política de Segurança Aula 2
Aula 25 3
Exemplo de Algumas Exemplo de Algumas NÃO PráticasNÃO Práticas
Sobre Adoções de Padrões:
Ignore requisitos legaisAssuma que os usuários irão ler a política de
segurança porque você pediu a elesUse modelos de documentos de segurança
sem adaptá-losCrie políticas de segurança que você não
poderá fazer cumprir
Aula 25 4
Exemplo de Algumas Exemplo de Algumas NÃO PráticasNÃO Práticas
Sobre Adoções de Padrões:
Siga cegamente requisitos das normas, sem criar uma arquitetura de segurança completa
Crie sua política de segurança só para marcar um ponto em uma checklist
Contrate alguém para escrever a sua política de segurança sem conhecer sua realidade
Aula 25 5
Exemplo de Algumas Exemplo de Algumas NÃO PráticasNÃO Práticas
Sobre Adoções de Padrões:
Esconda dos funcionários a sua políticaAssuma que se as políticas funcionaram para
o ano passado, funcionarão para o próximoAssuma que atender as normas significa que
você está seguroAssuma que as políticas não se aplicam aos
executivos
Aula 25 6
Exemplo de Algumas Exemplo de Algumas NÃO PráticasNÃO Práticas
Sobre Adoções de Padrões:
Em um ambiente multi-idiomas, traduza a sua política sem manter significados consistentes em todas as traduções
Faça cumprir políticas cuja aprovação formal é incompleta ou insuficiente
Esconda-se dos auditores
Aula 25 7
Exemplo de Algumas Exemplo de Algumas NÃO PráticasNÃO Práticas
Sobre Ferramentas de Segurança:
Ative uma ferramenta de segurança como veio na caixa, sem configurá-la
Compre ferramentas de segurança sem considerar os custos de ativação e manutenção
Dependa de anti-vírus e firewall, sem controles adicionais
Aula 25 8
Exemplo de Algumas Exemplo de Algumas NÃO PráticasNÃO Práticas
Sobre Ferramentas de Segurança:
Adote verificações regulares de vulnerabilidades, mas não acompanhe com atenção os resultados
Deixe seu anti-vírus, IDS e outras ferramentas rodando no piloto automático
Empregue múltiplas tecnologias de segurança sem entender quanto cada uma delas contribui
Aula 25 9
Exemplo de Algumas Exemplo de Algumas NÃO PráticasNÃO Práticas
Sobre Ferramentas de Segurança:
Configure o IDS (sistema de detecção de intrusão) para ser sensível demais, ou de menos
Se apresse para comprar produtos caros quando uma correção simples e barata corrigiria sozinha 80% do problema
Aula 25 10
Exemplo de Algumas Exemplo de Algumas NÃO PráticasNÃO Práticas
Sobre Gestão de Risco:Tente aplicar o mesmo rigor a todos os ativos
de informação, independente do seu perfil de risco
Dê a alguém o título de Gestor dos Riscos, mas não lhe dê o poder de tomada de decisões correspondente
Ignore o quadro geral, e se concentre nas análises quantitativas
Aula 25 11
Exemplo de Algumas Exemplo de Algumas NÃO PráticasNÃO Práticas
Sobre Gestão de Risco:Assuma que você não precisa se preocupar com
segurança, porque sua organização é muito pequena ou insignificante
Assuma que você está seguro porque não se tem notícia de que foi invadido recentemente
Seja paranóico sem considerar o valor do recurso ou o seu fator de exposição
Classifique todos os seus dados como “top secret”
Aula 25 12
Interesses da Política de Interesses da Política de SegurançaSegurança
Seriedade no tratamento dos aspectos de segurança
Interesse e postura proativaConsciência e ponderação dos riscosPostura éticaAtendimento a requisitos/exigências legaisPlanejamento e integração do uso das técnicas
de segurançaConscientização dos usuários e administradores
dos SI
Aula 25 13
Política de SegurançaPolítica de SegurançaEtapas:
Planejamento Importante: avaliação e entendimento dos riscos e APOIO
dos executivos!Elementos
Vigilância: Todo membro da organização é um guardião!Atitude: Postura, conduta, compreensão e cumplicidade –
treinamentoEstratégias e Tecnologia (soluções)
Definição e conhecimento do ambiente de SI/TI Implementação
Aula 25 14
Documentação da Documentação da Política de SegurançaPolítica de Segurança
Definição de regras que devem especificar de forma clara e simples quem pode acessar quais recursos, quais os tipos de usos permitidos no sistema, procedimentos e controles necessários para proteger as informações
Responsabilidades dos usuários:Exemplo: modificações de senhas
Responsabilidades dos administradores do SI:Medidas de segurança e comportamento esperado
dos administradoresProcedimentos de monitoração, registro e controle de
incidentes
Aula 25 15
Documentação da Documentação da Política de SegurançaPolítica de Segurança
Modo apropriado de utilização dos recursos do SI:
Quem e quando pode usar recursos O que pode e o que não pode ser feito Modos de controle de uso, inclusive monitoração
existente Ações a executar quando um problema de
segurança for detectado:
O que fazer, quem deve ser notificadoPassos a serem seguidos para conter um ataque e
limitar seus efeitos
Aula 25 16
OrientaçõesOrientaçõesDefinição de segurança da informação,
resumo das metas, do escopo e a importância da segurança para a organização, enfatizando seu papel estratégico como mecanismo para possibilitar o compartilhamento da informação e o andamento dos negócios
Declaração do comprometimento do corpo executivo, apoiando as metas e os princípios da segurança da informação
Aula 25 17
OrientaçõesOrientaçõesBreve explanação das políticas, princípios,
padrões e requisitos de conformidade de segurança no contexto específico da organização, por exemplo: Conformidade com a legislação e eventuais cláusulas contratuais Requisitos na educação e treinamento em segurança Prevenção e detecção de vírus e programas maliciosos Gerenciamento da continuidade dos negócios Consequências das violações na política de segurança
Aula 25 18
OrientaçõesOrientaçõesDefinição de responsabilidades gerais e
específicas na gestão da segurança de informações, incluindo o registro dos incidentes de segurança
Referências que possam apoiar a política, por exemplo, políticas, normas e procedimentos de segurança mais detalhados de sistemas ou áreas específicas, ou regras de segurança que os usuários devem seguir
Aula 25 19
OrientaçõesOrientaçõesNão deve conter detalhes técnicos
específicos de mecanismos a serem utilizados ou procedimentos que devem ser adotados por indivíduos particulares
Deve ter regras gerais e estruturais que se aplicam ao contexto de toda a organização
Deve ser curta o suficiente para que seja lida e conhecida por todos os funcionários da empresa
Aula 25 20
DivulgaçãoDivulgação Comunicação interna (e-mails, painéis, páginas
na Internet) Reuniões de divulgação e conscientização Treinamento específico ou inclusão em
programas vigentes Dramatização de exemplos clássicos em curtas
peças teatrais Incorporação ao programa de recepção a novos
funcionários Pôsteres, protetores de tela e mouse pads
oferecidos com dicas de segurança Executivos DEVEM seguir fielmente e servir de
EXEMPLO!
Aula 25 21
ObstáculosObstáculos Além das dificuldades naturais ... Falta de verbas (falta de convencimento dos
executivos) Dificuldade dos executivos em compreender os
reais benefícios Compreensão total dos executivos, não somente
aprovação Enfim, CONSCIENTIZAÇÃO de todos os envolvidos
EXECUTIVOS e demais membros da organização da importância da política de segurança
Aula 25 22
Alguns tópicosAlguns tópicos Política para senhas Política para firewall Política para acesso remoto Política para acesso a Internet Política para uso de e-mail Política para uso de unidades externas de
armazenamento Política de acesso as unidades da organização Política de compra e manutenção de software
comercial ...
Aula 25 23
Exemplo de EstruturaExemplo de Estrutura1. Introdução1.1. Política de segurança1.1.1. Informações gerais1.1.2. Objetivos1.2. Estrutura de responsabilidade organizacional1.2.1.1. Serviços de informação corporativo1.2.1.2. Serviços de informação de unidades de
negócio1.2.1.3. Organizações internacionais1.2.1.4. Encarregados
Aula 25 24
Exemplo de EstruturaExemplo de Estrutura1.2.2. Padrões de segurança1.2.2.1. Confidencialidade1.2.2.2. Integridade1.2.2.3. Autorização1.2.2.4. Acesso1.2.2.5. Uso apropriado1.2.2.6. Privacidade dos funcionários
Aula 25 25
2. Descrição do sistema2.1. Papel do sistema2.1.1. Tipo de informação manipulada pelo sistema2.1.2. Tipos de usuários (administrador,
usuário,visitante,...)2.1.3. Número de usuários2.1.4. Classificação dos dados (dados acessíveis por
determinadas unidades,...)2.1.5. Quantidade de dados (número de bytes)2.1.6. Configuração do sistema (número de:
terminais, consoles de controle, software, mídias,...)
Exemplo de EstruturaExemplo de Estrutura
Aula 25 26
3. Requisitos de segurança e medidas3.1. Ameaças3.2. Natureza e recursos de possíveis
atacantes3.3. Impactos4. Plano de resposta a incidentes de
segurança e responsabilidades5. Contatos e outros recursos6. Referências
Exemplo de EstruturaExemplo de Estrutura
Aula 25 27
Exemplo de Política de Exemplo de Política de SegurançaSegurançaPolítica de Segurança da Informação da
Humaitá Investimentos Ltda:
PoliticadeSegurancadaInformacaoHumaita.pdf
Aula 25 28
BibliografiaBibliografia GEUS, Paulo Lício, NAKAMURA, Emílio
Tissato; Segurança de Redes em Ambientes Corporativos. São Paulo: Novatec Editora, 2007.
Artigo “Política de Segurança de Informação: um modelo de como não fazer”, Augusto Campos Carreira, 2009.