RH 04

Prévia do material em texto

Sistema de Informação de RH
Aula 4 - De�nindo uma política de Segurança da
Informação
INTRODUÇÃO
Nesta aula, você irá reconhecer a Política de Segurança de Informações. Devem-se estabelecer princípios institucionais de como a organização
irá proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as informações por eles manipuladas.
É importante que a política estabeleça ainda as responsabilidades das funções relacionadas com a segurança e descrimine as principais
ameaças, riscos e impactos envolvidos.
OBJETIVOS
Aplicar corretamente as diretrizes de segurança para proteção dos dados relativos aos Recursos Humanos nas empresas
Reconhecer os mecanismos de segurança disponíveis no mercado;
Compreender o conceito de backup e suas responsabilidades.
PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
As principais fases desse processo são:
IDENTIFICAÇÃO DOS RECURSOS:
Fonte: Vadim Ermak / Shutterstock
CLASSIFICAÇÃO DAS INFORMAÇÕES E DOS SISTEMAS
A classi�cação mais comum de informações é aquela que as divide em quatro níveis:
PÚBLICAS OU DE USO IRRESTRITO
As informações e os sistemas assim classi�cados podem ser divulgados a qualquer pessoa sem que haja implicações para a instituição.
Exemplos: serviços de informação ao público em geral.
INTERNAS OU DE USO INTERNO
As informações e os sistemas assim classi�cados não devem sair do âmbito da instituição, porém se isso ocorrer as consequências não são críticas.
Ex.: documentos de trabalhos corriqueiros que só interessam aos funcionários.
CONFIDENCIAIS
Informações e sistemas tratados como con�denciais dentro da instituição e protegidos contra acesso externo. O acesso a esses sistemas e informações é
feito de acordo com sua estrita necessidade.
Ex.: dados pessoais de funcionários, acessos e senhas, informações sobre folha de pagamento, remuneração estratégica e benefícios etc.
SECRETAS
O acesso interno ou externo de pessoas não autorizadas a esse tipo de informações é extremamente crítico para a instituição. É imprescindível que o número
de pessoas autorizadas seja muito restrito e o controle sobre o uso dessas informações seja total.
Ex.: dados estratégicos, dados sobre segredos de produção industrial.
CLASSIFICAÇÃO DOS SISTEMAS
FFoonnttee ddaa IImmaaggeemm:: Kritchanut / Shutterstock
OO qquuee — de�ne o processo a ser assegurado;
PPoorrqquuee — minimiza o impacto nos negócios;
QQuueemm — de�ne equipe / time responsável em manter o processo de segurança;
CCoommoo — aponta as diretrizes que estabelecem o método de proteção e as métricas de veri�cação;
OBJETIVOS
Identi�car riscos de negócios;
Prevenir riscos operacionais;
Prevenir perdas �nanceiras;
Assegurar a boa imagem.
ASPECTOS
Gerenciamento da segurança da informação;
Classi�cação da informação;
Utilização de senhas, identi�cação e autenticação;
Segurança física;
Recursos humanos;
Utilização do e-mail corporativo;
Utilização da internet;
Planejamento e gerenciamento da Tecnologia de Informação;
Controles de segurança da rede;
Identi�cação e autenticação de usuários;
Manuseio das mídias de informação;
Segurança do ambiente;
Gerenciamento de incidentes de segurança.
DIFICULDADES NA IMPLEMENTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
Complexidade no controle e na monitoração;
Resistência dos funcionários;
Ausência de métricas e parâmetros reais;
Falta de apoio dos executivos.
FFoonnttee::
“Para que a Política de Segurança seja efetiva, não basta tê-la,
mas, sim exercê-la.”
CONCEITO DE RISCO
FFoonnttee::
“São perdas ou danos que um ativo possa sofrer comprometendo a continuidade das atividades de uma área de negócio ou até mesmo toda a
organização.”
FFoonnttee ddaa IImmaaggeemm:: Stephen Marques / Shutterstock
O risco é uma combinação de componentes, tais como: ameaças, vulnerabilidades, impactos. A análise de riscos engloba tanto a análise de
ameaças e vulnerabilidades quanto a análise de impactos, a qual identi�ca os componentes críticos e o custo potencial ao usuário do sistema. A
análise de risco é o ponto chave da Política de Segurança.
ANALISANDO AMEAÇAS
Antes de decidir como proteger um sistema, é necessário saber contra que ele será protegido. A segurança pode, então, ser de�nida em termos
de combate às ameaças identi�cadas. A análise das ameaças e das vulnerabilidades do ambiente de Informática deve levar em consideração
todos os eventos adversos que podem explorar as fragilidades de segurança desse ambiente e acarretar danos.
FFoonnttee::
É claro que o custo de se proteger contra uma ameaça pode ser mais alto que o dano dessa ameaça pode provocar. É necessário fazer uma
análise do custo-benefício antes de tomar qualquer medida.
VAMOS REALIZAR UM TESTE RÁPIDO!
Diante de tantos avanços tecnológicos e novidades, como as empresas farão para se proteger?
Resposta Correta
PARA EVITAR QUALQUER CONFUSÃO, EM TERMOS DE CONCEITOS, SERÃO
APRESENTADAS SUAS DEFINIÇÕES TÉCNICAS:
FFoonnttee ddaa IImmaaggeemm::
RReeccuurrssoo — componente de um sistema computacional, podendo ser recurso físico, software, hardware ou informação.
FFoonnttee ddaa IImmaaggeemm::
AAmmeeaaççaa — evento ou atitude indesejável (roubo incêndio, vírus etc.) que potencialmente remove, desabilita, dani�ca ou destrói um recurso.
FFoonnttee ddaa IImmaaggeemm::
VVuullnneerraabbiilliiddaaddee — fraqueza ou de�ciência que pode ser explorada por uma ameaça. Pode ser associada à probabilidade da ameaça acontecer.
FFoonnttee ddaa IImmaaggeemm::
AAttaaqquuee — ameaça concretizada.
FFoonnttee ddaa IImmaaggeemm::
IImmppaaccttoo — consequência de uma vulnerabilidade do sistema ter sido explorada por uma ameaça. É o resultado da concretização de uma
ameaça.
FFoonnttee ddaa IImmaaggeemm::
PPrroobbaabbiilliiddaaddee — chance de uma ameaça atacar com sucesso o sistema computacional ou rede.
FFoonnttee ddaa IImmaaggeemm::
RRiissccoo — medida da exposição a qual o sistema computacional está sujeito. Depende da probabilidade de uma ameaça atacar o sistema e do
impacto resultante desse ataque. Nesse contexto, o risco envolve três componentes: ameaça, vulnerabilidades associadas e impactos.
As ameaças exploram as vulnerabilidades ou fragilidades do sistema para causar impactos. A análise dessas ameaças e vulnerabilidades tenta
de�nir a probabilidade de ocorrência de cada evento adverso e as consequências da quebra de segurança. Já a análise de impactos identi�ca os
recursos críticos do sistema, isto é, recursos que mais sofrerão impactos na ocorrência de uma quebra de segurança.
A combinação desses dois tipos de análise compõe a chamada análise de riscos.
TIPOS DE IMPACTOS
CONTROLE DE SEGURANÇA
Identi�cados os impactos, as ameaças e calculados os riscos, são desenvolvidas estratégicas para controlar o ambiente vulnerável. Então,
estabelecemos algumas ações para:
Eliminar o risco;
Reduzir o risco a um nível aceitável;
Limitar o dano, reduzindo o impacto;
Compensar o dano, por meio de seguros.
Os chamados serviços de segurança são uma classe especial de medidas preventivas relacionadas com o ambiente lógico. No âmbito geral,
existem outras medidas preventivas importantes que são:
Segurança física: alarmes, chaves, câmeras; Segurança dos recursos computacionais: controles sobre os sistemas operacionais, base de dados;
Segurança administrativa: treinamento de segurança, análise de trilhas de auditorias, procedimentos para investigar quebras de seguranças,
resposta a incidentes;
Segurança de meios magnéticos: proteção de dados armazenados, escaneamento de arquivos para detecção de vírus;
Controle de desenvolvimento de aplicativos: padrões de desenvolvimento, controle de documentação e acesso aos aplicativos, projeto adequado.
MECANISMOS DE SEGURANÇA
Os principais mecanismos de segurança são os Sistemas Biométricos. Esses sistemas tiveram uma evolução muito grande nos últimos anos,
eles são automáticos e uma evolução natural dos sistemas manuais de reconhecimento, amplamente difundidoshá muito tempo, como por
exemplo: análise grafológica de assinaturas, análises de impressões digitais e reconhecimento de voz.
Hoje, já existem sistemas ainda mais so�sticados, como os de análise da con�rmação dos vasos sanguíneos da retina. Veja a seguir a relação de
autenticação biométrica:
FFoonnttee ddaa IImmaaggeemm::
IImmpprreessssõõeess ddiiggiittaaiiss:: são características únicas e consistentes. Nos sistemas biométricos que utilizam essa opção, são armazenados de 40 a
60 pontos para veri�car uma identi�cação. O sistema compara a impressão lida com uma base de dados de impressões digitais de pessoas
autorizadas.
FFoonnttee ddaa IImmaaggeemm::
VVoozz:: os sistemas de reconhecimento de voz são usados para controle de acesso, porém não são con�áveis em função dos erros causados por
ruídos no ambiente e problemas na garganta ou nas cordas vocais das pessoas a eles submetidas.
FFoonnttee ddaa IImmaaggeemm::
GGeeoommeettrriiaa ddaa mmããoo:: também é usada em sistemas de controle de acesso, porém essa característica pode ser alterada por aumento ou
diminuição de peso ou atrito.
FFoonnttee ddaa IImmaaggeemm::
CCoonn��gguurraaççããoo ddaa íírriiss ee ddaa rreettiinnaa:: os sistemas que utilizam essas características se propõem a efetuar identi�cação mais con�ável do que as
impressões digitais. Entretanto, são sistemas invasivos, pois direcionam feixes de luz nos olhos das pessoas.
FFoonnttee ddaa IImmaaggeemm::
RReeccoonnhheecciimmeennttoo ffaacciiaall ppoorr mmeeiioo ddee uumm tteerrmmooggrraammaa:: o termograma facial é uma imagem tirada com uma câmara infravermelha que mostra
os padrões térmicos de uma face. Essa imagem é única, e combinada com algoritmos so�sticados de comparação de diferentes níveis de
temperatura, distribuídos pela face, constituem-se em uma técnica não invasiva, altamente con�ável, não sendo afetada, por problemas de saúde,
idade ou temperatura do corpo. São armazenados, ao todo, 19.000 pontos de identi�cação podendo distinguir gêmeos idênticos, mesmo no
escuro.
FFoonnttee ddaa IImmaaggeemm::
É um programa capaz de infectar outros programas e arquivos. Atualmente, não é mais necessário abrir um executável para pegar um vírus. A
simples leitura do e-mail, em um software desatualizado, pode ser fatal. .
Como o computador é infectado por um vírus?
,
Ao abrir arquivos anexados aos e-mails;
Ao abrir arquivos do Word, Excel; Power Point, ou outros aplicativos;
Ao abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos;
Ao instalar programas de procedência duvidosa ou desconhecida, obtidos pela internet, pen drive, cartões de memória ou de DVDs.
ENGENHARIA SOCIAL
Nos ataques de Engenharia Social, normalmente, o atacante se faz passar por outra pessoa e utiliza meios, como ligação telefônica ou e-mail,
para persuadir o usuário a fornecer informações ou realizar determinadas ações.
EXERCÍCIOS!
1 - Com suas palavras como você de�niria Segurança da Informação?
Resposta Correta
2 - Como nós podemos classi�car as informações?
Resposta Correta
3 - Sabemos que os dados precisam ser guardados com segurança. De quem é a responsabilidade por guardar as informações que estão
gravadas, na estação de trabalho do usuário da área de Recursos Humanos, e por quê?
Resposta Correta
4 - Estabeleça as diferenças entre riscos e ameaças.
Resposta Correta
5 - Que cuidados devemos ter com os acessos e as senhas recebidos para utilizar sistemas voltados à área de Recursos Humanos?
Resposta Correta
6 - O que são sistemas biométricos, e qual a sua importância para a área de Recursos Humanos? Cite aplicações.
Resposta Correta
7 - Em que consiste a Engenharia Social?
Resposta Correta
Glossário