Buscar

GESTAO SEG INFORM revisaoav2

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

*
*
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
PROF. RENATO GUIMARÃES
PRINCÍPIOS
Confidencialidade
- Trata-se da manutenção do segredo, do sigilo ou da privacidade das informações;
- Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
	
PRINCÍPIOS
Integridade
- Trata-se da manutenção das informações tal e qual tenham sido geradas;
- Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada.
	
PRINCÍPIOS
Disponibilidade
- Trata-se da possibilidade de acesso contínuo, ininterrupto, constante e atemporal às informações;
- Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado.	
FATORES QUE IMPACTAM NA SEGURANÇA
Exemplo – assalto a residência
Ativos: Objetos existentes na casa.
Vulnerabilidade: Porta com fechadura simples.
Ameaça: Pode haver um arrombamento e assalto.
Impactos: Perda de conforto, necessidade de comprar tudo de novo.
Contra-medidas: Fechadura quádrupla, portas e janelas blindadas, alarme, cachorro, vigia, seguro, etc.
	
QUANDO PROTEGER?
No Ciclo de vida da Informação
	Manuseio: Momento em que a informação é criada e manipulada, seja ao folhear um maço de papéis, ao digitar informações recém-geradas em uma aplicação internet, ou ainda, ao utilizar sua senha de acesso para autenticação.	
	Armazenamento: Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocado em um arquivo de metal, ou ainda, em um pendrive depositado em uma gaveta, por exemplo.
	
	Transporte: Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial, por exemplo.
	 Descarte: Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD-ROm usado que apresentou falha na leitura.
O QUE SÃO VULNERABILIDADES?
Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos.
 
Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
O QUE SÃO AMEAÇAS?
Representam perigo para os ativos - fatores externos;
Oferecem riscos potenciais ao ambiente de TI e á continuidade dos negócios;
Podem afetar aspectos básicos da segurança.
RECEITA DE UM ATAQUE
RECEITA DE UM ATAQUE
Levantamento das informações
 
A fase de reconhecimento é uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o “alvo em avaliação” antes do lançamento do ataque. 
RECEITA DE UM ATAQUE
Existem duas formas de realizar o reconhecimento: ativo e passivo.
- O reconhecimento passivo envolve a aquisição de informação sem interação direta com o “alvo”.
- O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo, contato telefônico por meio do help desk ou departamento técnico.
RECEITA DE UM ATAQUE
Exploração das informações (scanning)
 
Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase apresenta um alto risco para os negócios de uma empresas, pois além de ser considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping. 
RECEITA DE UM ATAQUE
Obtenção do acesso
 
Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, fraude ou roubo. Os fatores que irão influenciar nos métodos utilizados pelo atacante serão: a arquitetura e configuração do “alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso obtido. 
Nesta fase o atacante poderá obter acesso a nível de: sistema operacional, aplicação e rede. 
RECEITA DE UM ATAQUE
Manutenção do acesso
  
Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de “acessos exclusivos” obtidos através de rootkits, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina atacada. Nesta fase o sistema atacado poderá ficar comprometido.
RECEITA DE UM ATAQUE
Camuflagem das evidências
 
Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais. 	  
 
EQUAÇÃO DA SEGURANÇA NO DESENVOLVIMENTO
Segurança
Produtividade
Prazo
Custo
=
=
Funcionalidade
O QUE É RISCO?
Probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. Sua escala é dada por dois fatores:
Probabilidade de ocorrência da ameaça medida através da combinação da sua freqüência com a avaliação das vulnerabilidades;
Conseqüências trazidas pela ocorrência do incidente (impacto);
IMPACTO NOS NEGÓCIOS
Impactos financeiros:
- Perdas de receitas / vendas / juros / descontos;
- Pagamento de multas contratuais;
- Cancelamento de ordens de vendas por atraso;
- Indisponibilidade de fundos;
- Despesas extraordinárias com serviços externos, funcionários temporários, compras de emergência, etc. 
IMPACTO NOS NEGÓCIOS
Impactos operacionais:
- Interrupção dos negócios;
- Perda da capacidade de atendimento a clientes externos e internos (i.e. alta gerência);
- Problemas de imagem;
- Problemas de perda de confiança (de clientes, de entidades reguladoras, etc.).
 
ETAPAS DA GESTÃO DE RISCO
BARREIRAS DE SEGURANÇA
Barreira1: desencorajar
Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnlógicos ou humanos. A simples presença de uma camâra de vídeo, mesmo falsa, de um aviso de existência de alarmes, já são efetivos nesta fase.
BARREIRAS DE SEGURANÇA
Barreira2: Dificultar
O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo.
BARREIRAS DE SEGURANÇA
Barreira 3: Discriminar
 Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros fisicos, aplicações de computador e banco de dados. 
BARREIRAS DE SEGURANÇA
Barreira 4: Detectar
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo.
BARREIRAS DE SEGURANÇA
Barreira 5: Deter
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a
ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos.
BARREIRAS DE SEGURANÇA
Barreira 6: Diagnosticar
Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo. Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos. 
ISO 27002
Esta norma estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
ISO 27002
- Política de Segurança da Informação;
- Organizando a Segurança da Informação;
- Gestão de Ativos;
- Segurança em Recursos Humanos;
- Segurança Física e do Ambiente;
- Gestão das Operações e Comunicações;
- Controle de Acesso;
- Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
- Gestão de Incidentes de Segurança da Informação;
- Gestão da Continuidade do Negócio;
- Conformidade;
ISO 27002
 É essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
 
ISO 27002
Análise de Risco:
	 
	A partir da análise/avaliação de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. È realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio.
ISO 27002
Requisito de Negócio:
	Uma outra fonte é o conjunto de princípios, objetivos e os requisitos de negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
ISO 27002
Requisitos legais:
	
	Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.
ISO 27001
Esta norma define os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização, permitindo que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes.
GESTÃO DO SGSI
PDCA
Plan (estabelecer o SGSI): Para estabelecer o SGSI a organização deve definir:
- O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia;
- A política do SGSI;
- A abordagem de análise/avaliação de risco da organização;
- Identificar os riscos;
- Analisar e avaliar os riscos;
- Identificar e avaliar as opções para o tratamento de riscos;
- Selecionar objetivos de controle e controles para o tratamento de riscos;
PDCA
- Obter aprovação da direção dos riscos residuais propostos;
- Obter autorização da direção para implementar e operar o SGSI;
Preparar uma declaração de Aplicabilidade;
	(Declaração de Aplicabilidade): Documento exigido pela NBR ISO 27001 no qual a empresa tem que relacionar quais controles são aplicáveis e justificar os que não são aplicáveis ao seu SGSI. 
	(Controles): São pontos específicos que definem o que deve ser feito para assegurar aquele item.
PDCA
Do(Implementar e operar o SGSI): 
- Nesta fase a organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas . Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
PDCA
Check (monitorar e analisar criticamente o SGSI): 
- A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. 
- Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados.
PDCA
Act (Manter e melhorar o SGSI): 
- A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
ISO 15999
Objetivo e escopo: 
 	A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e implementação da continuidade de negócio. Foi elaborada para fornecer um sistema baseado nas boas práticas de gestão da continuidade de negócios. Serve como referência única para a maior parte das situações que envolve a continuidade de negócio, podendo ser usada por organizações de grande, médio e pequeno portes, nos setores industriais, comerciais, públicos e de caráter voluntário.
*

Teste o Premium para desbloquear

Aproveite todos os benefícios por 3 dias sem pagar! 😉
Já tem cadastro?

Outros materiais