Aula_16

Prévia do material em texto

GOVERNANÇA DE 
SEGURANÇA DA INFORMAÇÃO
1
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
OBJETIVO:
Estender a preocupação com a segurança da informação para outras tecnologias
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Entrada de Pessoas
Entrada de equipamentos
CPD
SEM REDE
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Entrada de Pessoas
Entrada de equipamentos
DATA CENTER
COM REDE
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Novos recursos e serviços de TI nas organizações
Necessidade de aperfeiçoamento da segurança da informação
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Computação em nuvem (cloud computing)
“Um modelo para permitir o acesso conveniente, sob demanda, a uma rede com um conjunto compartilhado de recursos de computação configuráveis (ex: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor de serviço”. 
NIST, em 2011
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Computação em nuvem (cloud computing)
Avaliação in loco
Uma infraestrutura atendendo aos padrões de segurança da informação (ISO 27001)
Equipe de especialistas certificados e com formação diferenciada 
Alguns critérios de contratação:
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Computação em nuvem (cloud computing)
Desafios de conformidade
Perda de reputação da empresa
Intrusão maliciosa ou papéis com altos privilégios de acesso
Intimação
Encerramento do CSP 
Aquisição do CSP por um concorrente
Riscos de segurança da informação: 
(HARADA citado por FERNANDES; ABREU, 2014, p.551)
   
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Computação em nuvem (cloud computing)
Exaustão de recursos
Interceptação de dados
Perda de dados
Mudanças de jurisdição do CSP com requisitos legais diferentes
Falha nas condições de licenciamento
Roubo de equipam. nas instalações do CSP
Desastres naturais 
Riscos de segurança da informação: 
(HARADA citado por FERNANDES; ABREU, 2014, p.551)
   
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Computação em nuvem (cloud computing)
Estrutura mista, CSP apenas com informação pública ou de baixa criticidade
Manter o restante na infraestrutura interna
Bom para a segurança mas pode ser ruim para o negócio porque as organizações estão geograficamente espalhadas, demandando flexibilidade e conveniência
Altos custos de estrutura própria
Proposta de mitigação:
(SÊMOLA, 2014)
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Bring Your Own Device (BYOD)
Fronteira profissional e pessoal cada vez mais fraca 
Profissionais tendem a utilizar dispositivos móveis particulares também no trabalho, querendo acessar a rede corporativa e armazenar as informações da empresa no próprio dispositivo
E agora?
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Mapeamento de riscos relacionados com a utilização corporativa de dispositivos móveis 
	Perda de controle de HW e SW e de suas atualizações
Vazamento de informações confidenciais
	Perda, furto ou roubo do equipamento com informações confidenciais
   
(SÊMOLA, 2014)
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Mapeamento de riscos relacionados com a utilização corporativa de dispositivos móveis 
	Falha no controle de acesso à rede da empresa
Dificuldade para recuperar informações de funcionário desligado e com equipamento próprio
Infecção por vírus
Aplicativos maliciosos
   
(SÊMOLA, 2014)
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Proposta de mitigação:
(SÊMOLA, 2014)
“o uso de sistemas de NAC possibilita o provimento seguro de acesso a uma rede com fio ou sem fio a dispositivos que não se insiram no âmbito do que essa rede considere ‘normal’, através do chamado guest networking, possibilitando identificar e aplicar uma política de segurança para todos os tipos de usuários e dispositivos de rede”.
Network Access Control
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Proposta de mitigação:
(SÊMOLA, 2014)
NAC
Network Access Control
MDM
Mobile Device Management
Smartphones
 e tablets
Todas as ações de segurança devem estar subsidiadas por uma Política de Segurança da Informação (PSI) que considere a existência de políticas específicas para o gerenciamento de dispositivos móveis, incluindo o BYOD
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Mídias Sociais
Mídias sociais
As mídias sociais são espaços virtuais de interação entre pessoas
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Mídias Sociais
As mídias sociais são espaços virtuais de interação entre pessoas
Negócios
RISCOS
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Riscos de segurança da informação: 
(SÊMOLA, 2014)
Vazamento de informação
Furto de identidade
Dano a imagem ou a reputação da empresa
Nos casos de ataques ou de software malicioso - malware, perda de dados e perda de capacidade operacional
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Proposta de mitigação:
(SÊMOLA, 2014)
“O melhor a ser feito para reduzir esses riscos é tratá-los de forma preventiva, com a definição de uma política clara para o uso de mídias sociais, 
incluindo a definição de responsabilidades e de um código de conduta, reforçar a conscientização de empregados e executivos sobre o uso adequado de mídias sociais e o que deve ser compartilhado nessas redes, além de treinamento sobre navegação segura na Internet”
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Big Data Sociais
Armazenamento de grandes volumes de dados que podem ser tratados mais rapidamente e com uma quantidade maior de recursos. 
Possibilitar que essas informações possam ser analisadas mais rapidamente para auxiliar na tomada de decisões.
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
“Definido genericamente como a captura, gerenciamento e a análise de dados que vão além dos dados tipicamente estruturados, que podem ser consultados e pesquisados através de bancos de dados relacionais. Frequentemente são dados obtidos de
arquivos não estruturados como vídeo digital, imagens, dados de sensores, arquivos de logs e de qualquer tipo de dados não contidos em registros típicos com campos que podem ser pesquisados”.
Big Data
(SIEWERT citado por FERNANDES; ABREU, 2014)
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Big Data
(SÊMOLA, 2014)
“a nova tecnologia traz consigo potencial significativo de aumento no poder de análise de dados, que pode melhorar a capacidade de detectar ataques cibernéticos e atividades maliciosas (...)”. 
“Já pelo lado do risco, “(...) ainda não conseguimos entender completamente os riscos à privacidade e à segurança quando informações de cliente e de negócios estão sendo coletadas, combinadas, processadas e armazenadas em escalas e velocidades sem precedentes”.
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Big Data
(SÊMOLA, 2014)
Prevenção
Educação
Controle
Prevenção, educação e controle formam os pilares para reduzir os riscos de segurança da informação no big data 
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Big Data
(SÊMOLA, 2014)
Conformidade legal e regulatória; e requisitos de
cada país. 
“(...) o caminho mais provável é a migração da visão de segurança para um modelo de proteção data-centric (centrada em dados), que acompanha a informação em todas as fases de seu ciclo de vida”.
Prevenção
Educação
Controle
Mapear deficiências técnicas
Informação classificada e com política definida
GOVERNANÇA CORPORATIVA
SAINDO DO QUADRADO
Avaliar a aquisição ou o desenvolvimento de softwares para serem utilizados como ferramentas de apoio à gestão de riscos