Embed Size (px)
DESCRIPTION
Slide com a apresentação de um trabalho acadêmico sobre politica de segurança simulado no ambiente da ESBJ - Ser educacional.
Citation preview
“Conte-me, e eu vouesquecer.
Mostre-me, e eu voulembrar.
Envolva-me, e eu vouentender.”
Confúcio
Introdução
Com o avanço da tecnologia e o custo cada vez menor do acesso a Internet, é uma realidade afirmar que existem mais usuários conectados a rede mundial de computadores, e por esse motivo é maior a exposição das organizações.
Política de Segurança
O que é Política de Segurança da Informação?
Política de Segurança
A Política de Segurança nada mais é do que um framework para as normas e procedimentos de segurança adotados por uma organização. Tornando-se uma base para toda e qualquer norma, procedimento de segurança da informação ...
• É o conjunto de critérios e soluções para problemas tecnológicos e humanos.
• É o primeiro passo efetivo para resolver qualquer esforço de segurança da informação.
• Existe para evitar problemas.
Política de Segurança
Fazer Análisede Risco
Problemas =
Vulnerabilidades e Ameaças
Deve se basear na análise de risco e visa à padronização de ambientes e processo de modo a evitar as vulnerabilidades existentes.
Objetivo
Este documento tem como objetivo específico definir uma Política de Segurança para o Ensino Superior Bureau Jurídico, especialmente quanto à proteção dos seus ativos relacionados ao acesso físico e lógico da empresa.
Garantindo:Confidencialidade;Integridade; eDisponibilidade
Organização da Política
A estrutura normativa da Segurança da Informação do Ensino Superior Bureau Jurídico é composta por um conjunto de documentos com três níveis hierárquicos distintos...
Organização da Política
•(Política): constituída neste documento, define a estrutura, as diretrizes e as obrigações referentes à segurança da informação;•(Normas): estabelecem obrigações e procedimentos definidos de acordo com as diretrizes da Política, a serem seguidos em diversas situações em que a informação é tratada;•(Procedimentos): instrumentalizam o disposto nas Normas e na Política, permitindo a direta aplicação nas atividades do Ensino superior Bureau Jurídico.
Organização da Política
•A política deverá ser divulgada a todos da empresa;
•Cada setor tem sua responsabilidade definida no documento oficial; (Diretoria executiva, Diretoria Jurídica...);
• Deverá ser criado o CGSI – Comitê Gestor de segurança da informação com responsabilidades e membros específicos ; ( Analisar casos de violação, propor ajustes na política...)
Informação
As formas da informação
• Impressa ou escrita em papel• Armazenada eletronicamente• Transmitida pelo correio ou através de meios eletrônicos• Mostrada em filmes • Falada em conversas
Gestão de Ativos
Tudo que manipula informação, inclusive ela própria.
• Tecnologia• Infra-estrutura• Aplicações• Informações• Pessoas
A Área de Gestão de Segurança deverá ter controle rígido das informações prestadas/tramitadas e controle de seus ativos físicos.
Classificação da Informação
A informação é um ativo que como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida.
As informações tramitadas pela ESBJ, seguem um critério no qual consiste na preservação da confidencialidade, integridade e disponibilidade da informação ...
Segurança da InformaçãoPreservação da confidencialidade, integridade e disponibilidade da informação no entendimento da ESBJ
Garantia de que o acessoà informação seja obtido
somente por pessoas autorizadas.
Salvaguarda da exatidãoe completeza da
informação e dos métodos de
processamento.
Garantia de que os usuáriosautorizados tenham
acesso à informação e aos ativos correspondentes
sempre que necessário.
Segurança Física
• Ambiente físico é aquele composto por todo o ativo permanente utilizado na ESBJ, para o provimento de informações/serviços.
• As responsabilidades pela segurança física dos sistemas da ESBJ estão definidos e atribuídos a indivíduos claramente identificados;
• A localização das instalações e o sistema provimento das informações da ESBJ não são publicamente identificados;
• Os sistemas da ESBJ estão localizados em área protegida ou afastada de fontes potentes de magnetismo ou interferência de rádio freqüência;
Segurança Física
• O acesso aos componentes da infra-estrutura, atividade fundamental ao funcionamento dos sistemas de ERP, como painéis de controle de energia, comunicações e cabeamento, é restrito ao pessoal autorizado;
• Sistemas de detecção de intrusão (IDS) são utilizados para monitorar e registrar os acessos físicos aos servidores nas horas de utilização;
• Os ambientes onde ocorrem os processos críticos da ESBJ são monitorados, em tempo real, com as imagens registradas por meio de sistemas de CFTV;
Gestão de Operação
Garantir uma operação segura, correta e coesa dos sistemas computacionais da ESBJ.
Gestão de Operação
Uso da Rede Local:Estabelecer critérios para a disponibilidade das informações, protegendo contra o seu uso indevido ou não autorizado, e que toda a movimentação de informações (seja escrita, leitura, cópia ou deleção) esteja devidamente identificada. Os serviços e recursos computacionais da ESBJ são destinados apenas para atividades acadêmicas e administrativas de interesse da ESBJ, salvo autorizações especiais concedidas formalmente por sua Diretoria e limitados usos privativos.
Aspectos
Direitos e responsabilidades dos usuários • utilização de contas de acesso;• utilização de softwares e informações, incluindo
questões de instalação, licenciamento e copyright;• proteção e uso de informações (sensíveis ou não), como
senhas, dados de configuração de sistemas e dados confidenciais da organização;
• uso aceitável de recursos como email, news e Web;• direito à privacidade, e condições nas quais esse direito
pode ser violado pelo provedor dos recursos(a empresa);
• uso de antivírus.
Gestão de Operação – Rede Local
Amostra de diretriz:•Em sistemas de computação compartilhados, todo usuário possui uma identificação. Ninguém deve usar o sistema utilizando a identificação de outro usuário sem sua permissão explícita. •Mensagens enviadas devem sempre conter a identificação do remetente. Todo o tráfego na rede é considerado confidencial. •Os recursos computacionais da ESBJ devem ser empregados de forma parcimoniosa, respeitando o espírito comunitário da empresa.
Gestão de Operação – Internet
Estabelecer regras para as transações com o meio publico de comunicação (internet). Não permitir o acesso (ou decesso) da informação sem o devido controle e analise quanto a sua segurança e confiabilidade.
Registrar toda e qualquer transação com a internet e ser capaz de recuperá-la a qualquer momento.
Gestão de Operação – Internet
Amostra de Diretriz:
Causar tráfego impróprio na rede que congestione por longo tempo ou se ocupar de atividades inativas, não relacionadas a empresa, acarreta em punição.
A única pessoa permitida a usar uma conta é o usuário a quem aquela conta e senha foram emitidas pelo NTI;
Controle de Acesso
Existem áreas que merecem maior atenção quanto ao controle da entrada de pessoas, estas áreas são departamentos que contém informações ou equipamentos que devem ser protegidos, como por exemplo: sala de servidores, departamentos como financeiro, setor de documentação, departamento de recursos humanos
Controle de Acesso – Mesa limpa, tela limpa
A política de mesa limpa deve ser considerada para os departamentos e utilizada pelos funcionários da ESBJ, de modo que papéis não fiquem expostas à acessos não autorizado.Diretriz:A política de tela limpa deve considerar que se o usuário não estiver utilizando a informação ela não deve ficar exposta, reduzindo o risco de acesso não autorizado, perda e danos à informação.
Controle de Acesso – Acesso Lógico
Usuários e aplicações que necessitem ter acesso a recursos da ESBJ são identificados e autenticados;
Controle de Acesso – E-mail
O correio eletrônico fornecido pela EMPRESA é um instrumento de comunicação interna e externa para a realização do negócio da EMPRESA.
Gestão de Incidentes
Tem como principal objetivo restaurar a operação normal do serviço o mais rápido possível, minimizando os prejuízos à operação do negócio. Informando fragilidades e eventos de segurança permitindo a tomada de ação corretiva em tempo hábil para, garantir o melhor nível de serviço e disponibilidade.
Gestão de Continuidade
Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil.A gestão de continuidade convém que seja implementada para minimizar o impacto de algum risco vim a ocorrer para a organização e recuperação de perda de ativos de informação.
Conformidade Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil.A gestão de continuidade convém que seja implementada para minimizar o impacto de algum risco vim a ocorrer para a organização e recuperação de perda de ativos de informação.
Fatores importantes para o sucesso de uma política de segurança
• apoio por parte da administração superior;• a política deve ser ampla, cobrindo todos os aspectos
que envolvem a segurança dos recursos computacionais e da informação sob responsabilidade da organização;
• a política deve ser periodicamente atualizada de forma a refletir as mudanças na organização;
• O Comitê Gestor de Segurança da Informação deve ser responsável por verificar se a política está sendo respeitada;
Sucesso
• todos os usuários da organização devem tomar conhecimento da política e manifestar a sua concordância em submeter-se a ela antes de obter acesso aos recursos computacionais;
• a política deve estar disponível em um local de fácil acesso aos usuários, tal como a intranet da organização.
Fatores que levam a políticade segurança ao fracasso
• a política não deve ser demasiadamente detalhada ou restritiva;
• o excesso de detalhes na política pode causar confusão ou dificuldades na sua implementação;
• não devem ser abertas exceções para indivíduos ou grupos;
• a política não deve estar atrelada a softwares e/ou hardwares específicos.
Muito Obrigadopela atenção
![INOVAÇÃO NA POLÍTICA DE SEGURANÇA PÚBLICA: O … · 301 Silva Filho, Eurico Alves da S586i Inovação na política de segurança pública [manuscrito] : o Conselho de 2010 Segurança](https://img.document.onl/doc/110x75/5f66708518faf8667d2352fc/inovafo-na-poltica-de-segurana-pblica-o-301-silva-filho-eurico-alves.jpg)
