Baixe o app para aproveitar ainda mais
Prévia do material em texto
* * ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO COMPORTAMENTO SEGURO * * COMPORTAMENTO SEGURO OBJETIVO Discorrer, resumidamente, sobre os temas ligados a engenharia social, interligando os assuntos prévios, para melhor entendimento da proposta da disciplina, da teoria apresentada e maior adequação na atuação profissional. Pontuar a importância da segurança da informação e do envolvimento do gerente. Reforçar a necessidade de comprometimento com a mudança comportamental. * * ENGENHARIA SOCIAL TERMINOLOGIA * * Qualquer evento de segurança é o resultado de determinadas ameaças que exploram vulnerabilidades tecnológicas, de processo ou pessoas. Os riscos, ameaças e vulnerabilidades em TI RISCO = Ameaça x Vulnerabilidade x Impactos / Medidas de Segurança ENGENHARIA SOCIAL EVENTO DE SEGURANÇA * * ENGENHARIA SOCIAL Panorama das Ameaças – (SÊMOLA, M.) Esboço da diversidade panorâmica das vulnerabilidades que expõem as informações da empresa a ameaças associadas. * * ENGENHARIA SOCIAL Dinâmica da entrega de Informações COMUNICAÇÃO COM A VÍTIMA DISTÂNCIA DE RESISTÊNCIA R R “RAIO DE CONHECIMENTO” R - Equivale ao conhecimento baseado nas políticas de segurança adotadas pela empresa mais o conhecimento das técnicas utilizadas pelo engenheiro social. * * Informações e sistemas de informação Ameaças e Vulnerabilidades Impactos negativos para o negócio Controles Políticas de SI Requisitos de segurança Estão Sujeitos a São avaliados Subsidiam Define Podem acusar Definem Protegem http://pt.slideshare.net/apiadmbr/fundamentos-de-segurana-da-informao?related=1 Análise de riscos MODELO PARA GESTÃO DE SEGURANÇA * * Ameaças Impacto potencial para o negócio Controles Estão Sujeitos a Subsidiam Podem acusar Protegem Vulnerabilidades Riscos Aumentam Exploram Informações e sistemas de informação Expõe Ativos Análise de riscos Requisitos de segurança Definem Políticas de SI Define Valores Tem São avaliados COMPORTAMENTO SEGURO MODELO DA GESTÃO DA SEGURANÇA * * ENGENHARIA SOCIAL Segurança é Administrar Riscos Solução Corporativa de Segurança da Informação; Treinamento e Sensibilização em Segurança; Implementação de Controles de Segurança; Plano Diretor de Segurança; Plano de Continuidade de Negócios; Política de Segurança da Informação; Análise de Riscos e Vulnerabilidades; Testes de Invasão; Equipe para Resposta a Incidentes; Administração e Monitoração de Segurança. * * ENGENHARIA SOCIAL Alguns controles, para riscos inerentes aos Fatores Humanos: - Campanhas de divulgação da política de segurança; - Seminários de sensibilização; - Cursos de capacitação; - para demissão e admissão; tratamento de terceirizados; controle de acesso; Softwares de: monitoramento e filtragem de conteúdo; auditoria de acessos. - responsabilidade; confidencialidade; Termo de: Procedimentos para: * * ENGENHARIA SOCIAL Dificultando a atividade do Engenheiro Social: O que você sabe; O que você tem; O que você é. Senhas fortes, sem correlações do mundo real, ... Cartão com código de barras, cartão magnético, smartcard, tokens, ... Geometria das mãos ou da face, identificação digital, reconhecimento de voz, leitura de íris, ... * * ENGENHARIA SOCIAL AGENTES DE AMEAÇA Algo (pessoa ou processo) que ataca um sistema através de uma vulnerabilidade de uma forma que configura violação de diretiva de segurança. Atacante ou Invasor Cavalo de Tróia Phishing Scan ou email bomba Vírus Worm ... * * Perfil das empresas entrevistadas: 36,07% tiveram sua GSI aprovadas pela Alta Direção 52,46% não tiveram GSI aprovada ou é informal (parte de TI). “A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI”. Fonte: ISO 27001 – Requisito 5.1 http://www.daryus.com.br/view/pdf/DARYUS_Pesquisa_ISM.pdf COMPORTAMENTO SEGURO A IMPORTÂNCIA DA S.I. E A IMPORTÂNCIA DO GERENTE * * No mundo globalizado a informação constitui um dos maiores ativos de uma empresa. O conhecimento que a empresa detém (produzido ou adquirido por ela) deve ser preservado, por ser um de seus maiores patrimônios. O gerente deve: prover as condições necessárias para o cumprimento dos padrões de Segurança da Informação em sua área de atuação e fazer a gestão da informação. COMPORTAMENTO SEGURO A IMPORTÂNCIA DA S.I. E A IMPORTÂNCIA DO GERENTE * * Pode haver o monitoramento das informações e dos ambientes físicos e lógicos da instituição? Desde que se faça o aviso prévio, visível e objetivo da existência de monitoramento. Onde encontrar as leis: Código Penal (Art.21) “O desconhecimento da lei é inescusável.” COMPORTAMENTO SEGURO A IMPORTÂNCIA DA S.I. E A IMPORTÂNCIA DO GERENTE http://www4.planalto.gov.br/legislacao * * Que valor tem a informação para empresa que eu trabalho? COMPORTAMENTO SEGURO A IMPORTÂNCIA DA S.I. PARA TODOS * * Freud (1927) - realização de desejo... desprezo da relação com a realidade e a ilusão não dá valor à verificação. COMPORTAMENTO SEGURO COMPROMETIMENTO COM A MUDANÇA Reciprocidade Compromisso e coerência Aprovação social Princípios psicológicos: Afeição Autoridade Escassez Motivações: Ganhar dinheiro roubando ou Fugir de Problemas Espionagem Industrial Pura Diversão Satisfação Pessoal ... vendendo dados da vítima ... * * Proteger as informações pessoais e de terceiros sob poder da Companhia é responsabilidade de todos os empregados. COMPORTAMENTO SEGURO A IMPORTÂNCIA DA S.I. PARA TODOS Utilizá-las de maneira indevida, pode: expor fraquezas, oferecer vantagens comerciais e até mesmo ameaçar a vida de pessoas! * * ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO COMPORTAMENTO SEGURO * * * * * * * * * * * * * * * * * * *
Compartilhar