Upload
israellfelipe
View
4.229
Download
1
Embed Size (px)
DESCRIPTION
Apresentação do dia 05/05/11 PPGA-UFRN - prof Manoel VerasIsrael FelipeMárcio Brito
Citation preview
Risco e Segurança da Informação
Israel José dos Santos FelipeMárcio Carvalho de Brito
UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTECENTRO DE CIÊNCIAS SOCIAIS APLICADAS
PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃOPPGA-UFRN
CONHECIMENTOCONHECIMENTO ORGANIZAÇÕESORGANIZAÇÕES AMEAÇASAMEAÇAS
Inteligência Competitiva segundo Elisabeth Braz, PhD em inteligência competitiva pela UFRJ.É um processo sistemático e ético usado para identificar, coletar, analisar e disseminar informações analisadas, ou seja, com valor agregado, de forma a minimizar o risco do tomador de decisão em suas ações.
Ex.://www.cimentoitambe.com.br/itambe-empresarial/nao-basta-ter-inteligencia-e-preciso-inteligencia-competitiva/
Fonte: Módulo Risk Manager News.
INTRODUÇÃO
Segurança da Informação e Inteligência Competitiva
DIFUSÃO DO CONHECIMENTO
Três Mecanismos de Difusão
1º. Aprender através da inspeção física dos produtos patenteados dos concorrentes e através de informações sobre a logística do produto obtidas de várias fontes (fornecedores e distribuidores).
2º. A informação patenteada é também difundida quando se incorpora aos bens de capital produzidos por fornecedores externos. A menos que as empresas na indústria produzam seus próprios bens de capital ou protejam a informação que eles dão aos fornecedores, suas tecnologias podem ser adquiríveis pelos concorrentes.
DIFUSÃO DO CONHECIMENTO
3º. A rotatividade da mão-de-obra aumenta o número de pessoas que passa a conhecer o domínio tecnológico, abrindo uma brecha de vulnerabilidade para que essas informações cheguem a outras empresas.
Três Mecanismos de Difusão
Gestão do Risco
A História do Risco e Fontes de Risco
Ainda Keynes (apud BERNSTEIN 1997, p. 12) teve de admitir que “se a natureza humana não caísse na tentação de enfrentar riscos...talvez pouco se inventasse como resultado da fria avaliação”.
A síntese utilizada por Longenecker, Moore e Petty (2004, p. 634), diz-se que “nada é certo, exceto a morte e os impostos”. Os empresários provavelmente ampliaram esse adágio da seguinte maneira: “ Nada é certo, exceto a morte, os impostos e os riscos em pequenas empresas”.
Entretanto as fontes de risco associado as empresas Gitman e Joehnk (2005) e Delloite apresentam exaustivas literatura a respeito com pontos parecendo comuns.
Definição de Risco
“Risco é a incerteza inerente aos ganhos e perdas que podem ocorrer como resultado das decisões exigidas por toda a organização.”
Risco está relacionado à escolha, não ao acaso
Gestão de Riscos é o enfoque estruturado que alinha estratégia, processos, pessoal, tecnologia e conhecimento, com o objetivo de avaliar e gerenciar essas incertezas como forma de criação de valor.
O processo de gerenciamento de riscos
Gerenciar o risco é a melhor estratégia para as organizações no contexto atual, Brealey e Myers (2005, p. 309)
Segundo Bodie e Merton (2002, p.262) discorre que o processo de gerenciamento de risco é uma tentativa sistemática de analisar e de gerir o risco. Portanto as organizações precisam de gestores capazes de assumir e conhecer os riscos inerentes para que possam gerenciá-las de forma sistemática através de ferramentas descritas.
Grupos de Riscos
Risco Estratégico: Falta de capacidade da empresa em proteger-se, adaptar-se ou antecipar-se a mudanças (econômicas, tecnológicas, mercadológicas e etc) que possam impedir o alcance dos objetivos e metas estabelecidas;
Risco Operacional: Fraudes, erros de sistemas de informações, extrapolação de autoridade dos empregados, desempenho insatisfatório, falhas na adoção dos critérios de subscrição;
Grupos de Risco
Risco Atuarial: Metodologias e/ou cálculos incorretos da tarifação do seguro, pela insuficiência da manutenção de tabelas de preços, bem como de reajustes periódicos a serem aplicados nas apólices, e pela inadequada constituição das reservas técnicas;
Risco Legal: Documentação incorreta das transações, descumprimento da legislação vigente, novas leis, decisões judiciais.
Grupos de Riscos
Risco de Crédito: Não recebimento de créditos concedidos.
Risco de Liquidez: Deficiência de fundos, decorrentes de dificuldade de se obter recursos, impossibilitando fazer face aos compromissos assumidos em decorrência de gestão insatisfatória.
Risco de Mercado: Decorre da variabilidade dos preços e produtos e das variáveis externas que afetam estes dois itens.
Por que a Gestão de Riscos?
Tarefa fundamental da direção da empresa.
Reduz a volatilidade dos ganhos.
Maximiza valor aos acionistas.
Promove a melhoria contínua dos processos.
Assumir riscos é fundamental no propósito do mercado .
RISCOS MAIS RELEVANTES
Fonte: Brasiliano & Associados, 2003.
52.60%
48.70%
48.0%
46.10%
40.80%
39.5%
38.2%
26.3%
25.0%
19.7%
15.8%
15.8%
11.8%
6.6%
Sequestro de executivos
Fuga de informações
Responsabilidade Civil
Incêndio
Risco Ambiental
Risco de internet
Fraude
Roubo de carga
Sabotagem
Furto interno
Álcool de Drogas
Vandalismo
Chantagem
Roubo às Instalações
PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO//2003
EMPRESA MÓDULO SECURITY SOLUTIONS S.A. RESULTADO: FUNCIONÁRIOS INSATISFEITOS E
VAZAMENTO DE INFORMAÇÃO
DIFUSÃO DO CONHECIMENTO
66%
53%
51%
49%
47%
41%
39%
37%
31%
29%
Vírus
Funcionário insatisfeito
Divulgação de senha
Acesso indevido
Vazamento de informação
Fraudes, erros e acidentes
Hackers
Falhas na segurança física
Uso de notebooks
Fraudes em e-mail
PRINCIPAIS AMEAÇAS À SEGURANÇA DA INFORMAÇÃO
Fonte: Módulo Security, 2003
MINIMIZAÇÃO DE PERDAS E MAXIMIZAÇÃO DOS LUCROS SEM
GERAÇÃO DE RECEITAS
PREVENÇÃO DE PERDAS SEGURANÇA EMPRESARIAL
(patrimonial, pessoal e da informação) SEGURANÇA DE SAÚDE
OCUPACIONAL; MEIO AMBIENTE; SEGURANÇA DO TRABALHO.
*1º Incêndio – 1ª REVOLUÇÃO INDUSTRIAL
FLORESCIMENTO DAS SEGURADORES
AUMENTO DE SINISTROS X ATOS CRIMINOSOS
*GERAÇÃO DE PADRÕES DIFERENCIADOS DOS ATIVOS – de acordo com o cuidado da empresa na PREVENÇÃO.
INDÚSTRIA DO SEGURO – Ator coadjuvante para prevenção de
PERDAS POTENCIAIS.
E O QUE SIGNIFICA PREVENÇÃO e menores custos para segurar o ativo?
Projeto consistente;Treinamento;Proximidade com equipes de bombeiros ou
próprios.
OUTRAS AMEAÇAS foram surgindo para PERDA DE PRODUÇÃO:
ROUBOS PELOS FUNCIONÁRIOS;ATOS DE VANDALISMO;PERDAS DE MATERIAIS E
EQUIPAMENTOS POR FALTA DE CONTROLE.
AS SEGURADORAS IMPÕE OUTROS PADRÕES DE PREVENÇÃO:
Prêmios para indústrias com procedimentos preventivos para controle de perdas devido as sabotagens industriais e sindicatos com diminuição dos ativos representados pela terra e bens de produção.
ATUALMENTE É A SOCIEDADE DO CONHECIMENTO – ATIVO MAIS VALORIZADO QUE NÃO DEPRECIA COM O TEMPO, AO CONTRÁRIO, AUMENTA A VALORIZAÇÃO.
Segundo Peck: Aumenta a tendência da aplicação de ativos inatingíveis com RISCOS diretamente relacionados a valor e custo de proteção ao bem.
“A medida que o conhecimento se torna mais essencial para a criação de riqueza, a empresa começa a ser considerada uma intensificadora do conhecimento, necessitando, portanto, promover mecanismos de proteção das suas informações e ao mesmo tempo desenvolver meios de obtenção de informações sobre os planos, os produtos e os lucros de seus adversários.”
A GUERRA TOTAL PELA INFORMAÇÃO
ESPIONAGEMESPIONAGEM INTELIGÊNCIA COMPETITIVAINTELIGÊNCIA COMPETITIVA
MILITARESMILITARES AMBIENTES DE NEGÓCIOSAMBIENTES DE NEGÓCIOS
Espionagem Empresarial XX Inteligência Competitiva
A GUERRA TOTAL PELA INFORMAÇÃO
• Associação Brasileira dos analistas de inteligência competitiva ABRAIC.
• Lei da Espionagem econômica e Industrial Brasileira;
• Contra – Inteligência Competitiva;
• SEBRAE em parceria com a ABRAIC;
• PLATT, Washington (1974) e SANTOS, Néri dos (2000).
INTELIGÊNCIA COMPETITIVA NO BRASIL
Fonte: PLATT, Washington (1974) e SANTOS, Néri dos (2000).
INFORMAÇÕES ESTRATÉGICAS – IEINFORMAÇÕES ESTRATÉGICAS – IE INTELIGÊNCIA COMPETITIVA – ICINTELIGÊNCIA COMPETITIVA – IC
A produção de uma informação sobre determinado assunto compreende a seleção e reunião dos fatos relativos ao problema, sua avaliação, seleção e interpretação, e a expressiva, como informação acabada, oral ou escrita.
É um processo sistemático de agregação de valor, que converte dados em informação e, na seqüência, informação em conhecimento estratégico para apoiar a tomada de decisão organizacional.
SEMELHANÇAS NAS ABORDAGENS ENTRE IE E IC.
www.gomesebraga.com.br
www.informal.com.br
www.abraic.org.br
SUGESTÕES PARA APROFUNDAMENTO EM IC.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
Conforme o autor Kovacich (1998) ..Embora não exista uma forma padronizada de se classificar a informação existente nas organizações, do ponto de vista de seu conteúdo ela costuma ser divida em três (03) categorias, a saber:
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
• Informação Pessoais
• Informação de Segurança Nacional
• Informação de Negócio
Podem incluir dados individuais de empregados, clientes e outras pessoas, incluindo
- Informação Pessoais
Idade Endereço Números de telefone Peso Salário, etc
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
É toda aquela que precisa ser protegida para
GARANTIR A SEGURANÇA
da sociedade
e do Estado.
- Informação de Segurança Nacional
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
- Informação de Negócios
Correspondem ás informações utilizadas pelas organizações para desempenhar sua
MISSÃO.
Segundo a NBR ISO/IEC 17799 a segurança de um ambiente é caracterizada pela manutenção de três fatores primordiais
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
Confidencialidade
Integridade
Disponibilidade das Informações Críticas
Para a NBR a Informação é
"um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para organização e conseqüentemente necessita ser adequadamente protegido“.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
É definida pela NORMA como sendo:
a garantia de que a informação só pode ser acessada e manipulada por pessoas autorizadas, ou seja, ela é restrita a um conjunto de entidades, que podem ser seres humanos ou podem ser um sistema eletrônico.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
A Confiabilidade
Implica que toda vez que uma informação é manipulada ela está consistente, ou seja, que não foi alterada ou adulterada por um acesso legal ou ilegal.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
A Integridade
É a garantia de que uma informação sempre poderá ser acessada, pelas pessoas e processos autorizados, independentemente do momento em que ela é requisitada e do local no qual está armazenada
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
A Disponibilidade
Afirmar que um ambiente é aderente à Norma de Segurança da Informação significa dizer que o mesmo utiliza os recursos adequados para garantir a
Disponibilidade Confidencialidade e a Integridade de suas informações.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
Mas para isto devem ser aplicados ao ambiente alguns ou todos os controles existentes na norma de segurança.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
Contudo, a lista dos controles que devem ser aplicados depende de características do próprio ambiente, como por exemplo:
forma e local de armazenamento das informações, valor das informações armazenadas, quem pode acessá-las, quais servidores estão instalados, que tipo de serviços são disponibilizados aos usuários da
rede interna e da rede externa e etc.
De acordo com o nível de segurança necessário um conjunto de "Controles de Segurança" deve ser implementado
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
Política de segurança da informação: este é um documento que descreve quais
atividades os usuários estão autorizados a realizar, como e quando podem ser realizadas.
É de vital importância que a alta administração apóie o uso da Política e demonstre o seu comprometimento com a aplicação de suas penalidades cabíveis;
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
Definição das responsabilidades de segurança: este controle visa esclarecer a quem "pertence" cada ativo da organização, bem como quem deve ser contactado em caso de problemas de segurança relacionados a ativo em questão;
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
A melhor forma de evitar mal uso das informações é educar seus usuários,
Assim é de vital importância que todo e qualquer usuário passe por um treinamento antes de ter acesso as informações contidas no ambiente.
Processo de treinamento
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
O ser humano sempre se preocupou com a sua segurança e de seus bens, isto faz parte de nossos instintos.
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
Como nos dia atuais, o maior bem que a humanidade possui são as informações e conhecimentos gerados por ela, houve a necessidade do desenvolvimento de métodos e técnicas que permitissem a sua proteção.
SEGURANÇAFÍSICA
SEGURANÇA DA INFORMAÇÃO SEGURANÇA DA INFORMAÇÃO
INTRODUÇÃO
Segurança física e lógica Base para proteção de qualquer
investimento Sistemas vulneráveis = perda de
todos os recursos
INTRODUÇÃO
Estatísticas:
72% próprios funcionários 15% a 20% terceiros formalmente
autorizados 5% a 8% pessoas externas
Fonte: FBI
CONTROLE DE ACESSO LÓGICO
Alternativas:Manual;Automático;Híbrida.
O Security Office tem o papel de analisar e escolher a melhor solução.
CONTROLE DE ACESSO LÓGICO
Segundo Ferreira (2003,p. 124), “o controle de acesso físico (manual ou automatizado) deve ser capaz de distinguir entre a pessoa autorizada e a não autorizada, mediante sua identificação[...]”.
CONTROLE DE ACESSO LÓGICO
Deve-se respeitar pelo menos duas entre três premissas básicas:
Quem é o indivíduo? O que o indivíduo possui? O que o indivíduo sabe?
CONTROLE DE ACESSO LÓGICO
Sistemas de controle de acesso com apenas uma premissa:
Invasões ocasionadas por perda;
Uso indevido e falsificações.
CONTROLE DE ACESSO LÓGICO
Características:
Proteção contra ataques forçados; Atualização do produto/ferramenta; Registro dos acessos; Autenticação por senha; Bloqueio de múltiplos acessos; Flexibilidade; Monitoração; Backup de segurança; Proteção do computador.
CONTROLE DE ACESSO LÓGICO
Cada organização tem sua própria realidade e os níveis de segurança exigidos acabam sendo diferentes de empresa para empresa.
Segundo Ferreira (2003,p.127) “o controle de acesso físico é toda e
qualquer aplicação de procedimentos ou o uso de
equipamentos com o objetivo de proteger ambientes, equipamentos ou informações de acesso restrito”.
CONTROLE DE ACESSO FÍSICO
A política e o investimento... Ativos Custo/benefício
Uma política de controle de acesso físico eficaz depende muito mais da gestão dos modelos de segurança do que apenas o uso de tecnologias.
CONTROLE DE ACESSO FÍSICO
Quanto maior o investimento em prevenção menor será o prejuízo em caso de eventos.
CONTROLE DE ACESSO FÍSICO
CONTROLE DE ACESSO FÍSICO
Tipos de controle de acesso físico.
Grades, muros e portas; Guardas; Crachás; Controle de acesso
biométrico.
CONTROLES AMBIENTAIS
De acordo com Ferreira (2003) os equipamentos devem ser fisicamente protegidos contra ameaças à segurança e perigos ambientais.
Alguns itens à serem considerados: As instalações de processamento e
armazenamento de informação que tratam as informações sensíveis devem ser projetadas para reduzir riscos de espionagem de informação durante o seu uso;
Os itens que necessitam de proteção especial devem ser isolados para reduzir o nível geral de proteção exigida;
Adotar controles de forma a minimizar ameaças potenciais;
Aspectos ambientais devem ser monitorados para evitar condições que possam afetar a operação das instalações de processamento da informação;
Utilização de métodos de proteção especial (equipamentos);
Desastre nas proximidades da instalação.
CONTROLES AMBIENTAIS
SEGURANÇA FÍSICA DE COMPUTADORES PESSOAIS
Deve ser adotada uma política formal.
Devem ser tomadas precauções ao utilizar recursos de computação móvel em locais públicos.
Recursos de computação móvel nunca devem ser deixados sem observação.
INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL
1º Passo
Análise dos riscos e vulnerabilidades físicas que a organização possa estar exposta.
2º Passo
Levantamento das necessidades de componentes e processos de segurança física.
INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL - Cont.
3º Passo
Implementação do plano de segurança física.
CONSIDERAÇÕES FINAIS
Os controles de segurança devem atender às necessidades de segurança da organização.
Política de Segurança
Definição
A Política de Segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar as informações e serviços importantes para a empresa. Garantindo confidencialidade, integridade e disponibilidade.
Construção da Política
Aspectos importantes Estabelecimento do conceito que as informações são um ativo
importante da organização; Envolvimento da alta administração com relação à segurança
da informação; Responsabilidade formal dos colaboradores sobre os recursos
da informação; Estabelecimento de padrões para a manutenção da SI.
Considerações importantes para o desenvolvimento da Política
Deve ser criada antes da ocorrência de problemas com a segurança;
Criação de um Comitê de Segurança da Informação composta por diversos profissionais, cada um responsável pelo controle de acesso.
As Políticas devem ser:
Simples; Compreensíveis; Homologadas e assinadas pela Alta administração; Estruturadas de forma a permitir implantação por fases; linhadas com estratégias de negócios da empresa, padrões e
procedimentos já existentes; Flexíveis; Positivas.
Etapas da Construção da Política
O processo de desenvolvimento é dividido em 04 fases:
• Fase I – Levantamento das Informações;
• Fase II – Desenvolvimento do Conteúdo das Políticas e Normas de Segurança;
• Fase III - Elaboração dos Procedimentos de Segurança da Informação;
• Fase IV – Revisão, Aprovação e Implementação das Políticas, Normas e Procedimentos de Segurança da Informação.
Fatores comuns a todas as Políticas
As Políticas de Informações contemplam os seguintes aspectos:
• Especificação da Política;
• Declaração da Alta Administração;
• Autores/Patrocinadores da Política;
• Referências a outras Políticas, Normas e Procedimentos;
• Procedimentos para Requisição de Exceções à Política;
• Procedimentos para Mudanças da Política;
• Data de Publicação, Validade e Revisão.
Pontos críticos para o sucesso
Devido às necessidades de proteção das informações e dependência da TI (uma tendência nas empresas), a Segurança da Informação aborda como ter sucesso na Política de Segurança:
- Formalização dos processos e instruções de trabalho;- Utilização de tecnologias capazes de prover segurança;- Atribuição formal das responsabilidades e das penalidades;- Classificação das informações;- Treinamento e conscientização constantes.
Conceitos na Política Corporativa:
Confidencialidade; Integridade; Disponibilidade; Legalidade; Auditabililidade; Não-repúdio.
A segurança pode ser desmembrada em 4 grandes aspectos:
Segurança computacional; Segurança lógica; Segurança física; Continuidade de negócios.
Características
Ser verdadeira Ser complementada com a disponibilidade de
recursos Ser válida para todos Ser simples Comprometimento da alta administração da
organização
BenefíciosCurto prazo- Formalizar e documentar o procedimentos de segurança;- Implementar novos procedimentos e controles;- Prevenir de acessos não autorizados, danos ou interferências;- Maior segurança.Médio prazo - Padronização dos procedimentos de segurança;- Adaptação segura de novos processos;- Conformidade com padrões de segurança;- Qualificação e quantificação dos sistemas de respostas a eventualidades.Longo prazo- Retorno sobre o investimentos;- Consolidação da imagem associada à Segurança da Informação.
TreinamentoNa implantação de uma Política de Segurança
em uma empresa, é fundamental que os funcionários sejam conscientizados através de:
Avisos: comunicação interna, email, intranet; Reuniões; Elaboração de material promocional; Treinamento direcionado; Peça teatral; Palestras periódicas.
Publicação e Divulgação
Os aspectos que devem ser considerados na disseminação da Política de Segurança são:
Utilização de diversas mídias; Treinamento básico e avançado; Orientação para novos funcionários; Informativos sobre as atuais tendências.
Fases do Programa de Conscientização
Identificação de escopo, metas e objetivos; Identificação dos instrutores; Identificação do público-alvo; Motivação dos funcionários e da Alta
administração; Administração do Programa; Continuidade do Programa; Avaliação do Programa.
REFERÊNCIAS
FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003.
BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. São Paulo: Editora Atlas, 2005.
DAWEL, George. A segurança da Informação nas Empresas. Rio de Janeiro: Editora Ciência Moderna, 2005.
FONTES, Edison Luiz Gonçalves. Vivendo a segurança da informação: orientações práticas para as organizações. São Paulo: Editora Sicurezza, 2000.
Vídeo 1 (A defesa)
Vídeo 2 (Os invasores)
Vídeo 3 (Navegar)
Vídeo 4 (Spam)
OBRIGADooo A TODOS PELA ATENÇÃO!