Aula 15 (4)

Prévia do material em texto

*
*
ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
COMPORTAMENTO SEGURO 
*
*
COMPORTAMENTO SEGURO 
OBJETIVO
Discorrer, resumidamente, sobre os temas ligados a engenharia social, interligando os assuntos prévios, para melhor entendimento da proposta da disciplina, da teoria apresentada e maior adequação na atuação profissional.
Pontuar a importância da segurança da informação e do envolvimento do gerente.
Reforçar a necessidade de comprometimento com a mudança comportamental.
*
*
ENGENHARIA SOCIAL 
TERMINOLOGIA
*
*
Qualquer evento de segurança é o resultado de determinadas ameaças que exploram vulnerabilidades tecnológicas, de processo ou pessoas.
Os riscos, ameaças e vulnerabilidades em TI
RISCO = Ameaça x Vulnerabilidade x Impactos / Medidas de Segurança
ENGENHARIA SOCIAL 
EVENTO DE SEGURANÇA
*
*
ENGENHARIA SOCIAL 
Panorama das Ameaças –
(SÊMOLA, M.)
Esboço da diversidade panorâmica das vulnerabilidades que expõem as informações da empresa a ameaças associadas.
*
*
ENGENHARIA SOCIAL
Dinâmica da entrega de Informações 
COMUNICAÇÃO COM A VÍTIMA
DISTÂNCIA DE RESISTÊNCIA
R
R
“RAIO DE CONHECIMENTO” R - 
Equivale ao conhecimento baseado nas políticas de segurança adotadas pela empresa mais o conhecimento das técnicas utilizadas pelo engenheiro social. 
*
*
Informações e sistemas de informação
Ameaças e 
Vulnerabilidades
Impactos negativos para o negócio
Controles
Políticas de SI
Requisitos de segurança
Estão 
Sujeitos a
São avaliados
Subsidiam
Define
Podem acusar
Definem
Protegem
http://pt.slideshare.net/apiadmbr/fundamentos-de-segurana-da-informao?related=1
Análise de riscos
MODELO PARA GESTÃO DE SEGURANÇA
*
*
Ameaças 
Impacto potencial para o negócio
Controles
Estão 
Sujeitos a
Subsidiam
Podem acusar
Protegem
Vulnerabilidades
Riscos 
Aumentam
Exploram
Informações e sistemas de informação
Expõe
Ativos
Análise de riscos
Requisitos de segurança
Definem
Políticas 
de SI
Define
Valores
Tem
São 
avaliados
COMPORTAMENTO SEGURO
MODELO DA GESTÃO DA SEGURANÇA
*
*
ENGENHARIA SOCIAL 
Segurança é 
Administrar Riscos
Solução Corporativa de Segurança da Informação;
Treinamento e Sensibilização em Segurança;
Implementação de Controles de Segurança;
Plano Diretor de Segurança;
Plano de Continuidade de Negócios;
Política de Segurança da Informação;
Análise de Riscos e Vulnerabilidades; Testes de Invasão;
Equipe para Resposta a Incidentes;
Administração e Monitoração de Segurança.
*
*
ENGENHARIA SOCIAL 
Alguns controles, para riscos inerentes aos Fatores Humanos:
 - Campanhas de divulgação da política de segurança;
 - Seminários de sensibilização;
- Cursos de capacitação;
- para demissão e admissão;
 tratamento de terceirizados;
 controle de acesso;
Softwares de: 
 monitoramento e filtragem de conteúdo;
 auditoria de acessos.
- responsabilidade; 
 confidencialidade;
Termo de:
Procedimentos para: 
*
*
ENGENHARIA SOCIAL 
Dificultando a atividade do Engenheiro Social:
	O que você sabe; O que você tem; O que você é.
Senhas fortes, sem correlações do mundo real, ...
Cartão com código de barras, cartão magnético, smartcard, tokens, ...
Geometria das mãos ou da face, identificação digital, reconhecimento de voz, 
leitura de íris, ...
*
*
ENGENHARIA SOCIAL 
AGENTES DE AMEAÇA
Algo (pessoa ou processo) que ataca um sistema através de uma vulnerabilidade de uma forma que configura violação de diretiva de segurança.
Atacante ou Invasor
Cavalo de Tróia
Phishing Scan 
 ou email bomba
Vírus
Worm
...
*
*
Perfil das empresas entrevistadas:
36,07% tiveram sua GSI aprovadas pela Alta Direção
52,46% não tiveram GSI aprovada ou é informal (parte de TI).
“A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI”.
Fonte: ISO 27001 – Requisito 5.1
http://www.daryus.com.br/view/pdf/DARYUS_Pesquisa_ISM.pdf 
COMPORTAMENTO SEGURO
A IMPORTÂNCIA DA S.I. E A IMPORTÂNCIA DO GERENTE
*
*
No mundo globalizado a informação constitui um dos maiores ativos de uma empresa. O conhecimento que a empresa detém (produzido ou adquirido por ela) deve ser preservado, por ser um de seus maiores patrimônios.
O gerente deve:
prover as condições necessárias para o cumprimento dos padrões de Segurança da Informação em sua área de atuação e
fazer a gestão da informação.
COMPORTAMENTO SEGURO
A IMPORTÂNCIA DA S.I. E A IMPORTÂNCIA DO GERENTE
*
*
Pode haver o monitoramento das informações e dos ambientes físicos e lógicos da instituição?
Desde que se faça o aviso prévio, visível e objetivo da existência de monitoramento.
Onde encontrar as leis: Código Penal (Art.21)
“O desconhecimento da lei é inescusável.”
COMPORTAMENTO SEGURO
A IMPORTÂNCIA DA S.I. E A IMPORTÂNCIA DO GERENTE
http://www4.planalto.gov.br/legislacao
*
*
Que valor tem a informação para empresa que eu trabalho?
COMPORTAMENTO SEGURO
A IMPORTÂNCIA DA S.I. PARA TODOS
*
*
Freud (1927) - realização de desejo... desprezo da relação com a realidade e a ilusão não dá valor à verificação.
COMPORTAMENTO SEGURO
COMPROMETIMENTO COM A MUDANÇA
Reciprocidade 
Compromisso e coerência 
Aprovação social 
Princípios psicológicos:
Afeição 
Autoridade 
Escassez 
Motivações:
Ganhar dinheiro roubando ou
Fugir de Problemas
Espionagem Industrial
Pura Diversão
Satisfação Pessoal
...
vendendo dados da vítima
...
*
*
Proteger as informações pessoais e de terceiros sob poder da Companhia 
é responsabilidade de todos os empregados.
COMPORTAMENTO SEGURO
A IMPORTÂNCIA DA S.I. PARA TODOS
Utilizá-las de maneira indevida, pode:
expor fraquezas, 
oferecer vantagens comerciais e
até mesmo ameaçar a vida de pessoas!
*
*
ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
COMPORTAMENTO SEGURO 
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*