Baixe o app para aproveitar ainda mais
Prévia do material em texto
26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 1/11 Sistema de Informação de RH Aula 4 - De�nindo uma política de Segurança da Informação INTRODUÇÃO Nesta aula, você irá reconhecer a Política de Segurança de Informações. Devem-se estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as informações por eles manipuladas. É importante que a política estabeleça ainda as responsabilidades das funções relacionadas com a segurança e descrimine as principais ameaças, riscos e impactos envolvidos. 26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 2/11 OBJETIVOS Aplicar corretamente as diretrizes de segurança para proteção dos dados relativos aos Recursos Humanos nas empresas Reconhecer os mecanismos de segurança disponíveis no mercado; Compreender o conceito de backup e suas responsabilidades. 26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 3/11 PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO As principais fases desse processo são: IDENTIFICAÇÃO DOS RECURSOS: CLASSIFICAÇÃO DAS INFORMAÇÕES E DOS SISTEMAS A classi�cação mais comum de informações é aquela que as divide em quatro níveis: PÚBLICAS OU DE USO IRRESTRITO As informações e os sistemas assim classi�cados podem ser divulgados a qualquer pessoa sem que haja implicações para a instituição. Exemplos: serviços de informação ao público em geral. INTERNAS OU DE USO INTERNO As informações e os sistemas assim classi�cados não devem sair do âmbito da instituição, porém se isso ocorrer as consequências não são críticas. Ex.: documentos de trabalhos corriqueiros que só interessam aos funcionários. CONFIDENCIAIS Fonte: Vadim Ermak / Shutterstock 26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 4/11 Informações e sistemas tratados como con�denciais dentro da instituição e protegidos contra acesso externo. O acesso a esses sistemas e informações é feito de acordo com sua estrita necessidade. Ex.: dados pessoais de funcionários, acessos e senhas, informações sobre folha de pagamento, remuneração estratégica e benefícios etc. SECRETAS O acesso interno ou externo de pessoas não autorizadas a esse tipo de informações é extremamente crítico para a instituição. É imprescindível que o número de pessoas autorizadas seja muito restrito e o controle sobre o uso dessas informações seja total. Ex.: dados estratégicos, dados sobre segredos de produção industrial. CLASSIFICAÇÃO DOS SISTEMAS Fonte da Imagem:Fonte da Imagem: Kritchanut / Shutterstock O queO que — de�ne o processo a ser assegurado; PorquePorque — minimiza o impacto nos negócios; QuemQuem — de�ne equipe / time responsável em manter o processo de segurança; ComoComo — aponta as diretrizes que estabelecem o método de proteção e as métricas de veri�cação; OBJETIVOS 26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 5/11 Identi�car riscos de negócios; Prevenir riscos operacionais; Prevenir perdas �nanceiras; Assegurar a boa imagem. ASPECTOS Gerenciamento da segurança da informação; Classi�cação da informação; Utilização de senhas, identi�cação e autenticação; Segurança física; Recursos humanos; Utilização do e-mail corporativo; Utilização da internet; Planejamento e gerenciamento da Tecnologia de Informação; Controles de segurança da rede; Identi�cação e autenticação de usuários; Manuseio das mídias de informação; Segurança do ambiente; Gerenciamento de incidentes de segurança. DIFICULDADES NA IMPLEMENTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Complexidade no controle e na monitoração; Resistência dos funcionários; Ausência de métricas e parâmetros reais; Falta de apoio dos executivos. 26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 6/11 Fonte:Fonte: “Para que a Política de Segurança seja efetiva, não basta tê-la, mas, sim exercê-la.” CONCEITO DE RISCO Fonte:Fonte: “São perdas ou danos que um ativo possa sofrer comprometendo a continuidade das atividades de uma área de negócio ou até mesmo toda a organização.” Fonte da Imagem:Fonte da Imagem: Stephen Marques / Shutterstock 26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 7/11 O risco é uma combinação de componentes, tais como: ameaças, vulnerabilidades, impactos. A análise de riscos engloba tanto a análise de ameaças e vulnerabilidades quanto a análise de impactos, a qual identi�ca os componentes críticos e o custo potencial ao usuário do sistema. A análise de risco é o ponto chave da Política de Segurança. ANALISANDO AMEAÇAS Antes de decidir como proteger um sistema, é necessário saber contra que ele será protegido. A segurança pode, então, ser de�nida em termos de combate às ameaças identi�cadas. A análise das ameaças e das vulnerabilidades do ambiente de Informática deve levar em consideração todos os eventos adversos que podem explorar as fragilidades de segurança desse ambiente e acarretar danos. Fonte:Fonte: É claro que o custo de se proteger contra uma ameaça pode ser mais alto que o dano dessa ameaça pode provocar. É necessário fazer uma análise do custo-benefício antes de tomar qualquer medida. VAMOS REALIZAR UM TESTE RÁPIDO! Diante de tantos avanços tecnológicos e novidades, como as empresas farão para se proteger? Resposta Correta PARA EVITAR QUALQUER CONFUSÃO, EM TERMOS DE CONCEITOS, SERÃO APRESENTADAS SUAS DEFINIÇÕES TÉCNICAS: Fonte da Imagem:Fonte da Imagem: RecursoRecurso — componente de um sistema computacional, podendo ser recurso físico, software, hardware ou informação. Fonte da Imagem:Fonte da Imagem: AmeaçaAmeaça — evento ou atitude indesejável (roubo incêndio, vírus etc.) que potencialmente remove, desabilita, dani�ca ou destrói um recurso. Fonte da Imagem:Fonte da Imagem: 26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 8/11 VulnerabilidadeVulnerabilidade — fraqueza ou de�ciência que pode ser explorada por uma ameaça. Pode ser associada à probabilidade da ameaça acontecer. Fonte da Imagem:Fonte da Imagem: AtaqueAtaque — ameaça concretizada. Fonte da Imagem:Fonte da Imagem: ImpactoImpacto — consequência de uma vulnerabilidade do sistema ter sido explorada por uma ameaça. É o resultado da concretização de uma ameaça. Fonte da Imagem:Fonte da Imagem: ProbabilidadeProbabilidade — chance de uma ameaça atacar com sucesso o sistema computacional ou rede. Fonte da Imagem:Fonte da Imagem: RiscoRisco — medida da exposição a qual o sistema computacional está sujeito. Depende da probabilidade de uma ameaça atacar o sistema e do impacto resultante desse ataque. Nesse contexto, o risco envolve três componentes: ameaça, vulnerabilidades associadas e impactos. As ameaças exploram as vulnerabilidades ou fragilidades do sistema para causar impactos. A análise dessas ameaças e vulnerabilidades tenta de�nir a probabilidade de ocorrência de cada evento adverso e as consequências da quebra de segurança. Já a análise de impactosidenti�ca os recursos críticos do sistema, isto é, recursos que mais sofrerão impactos na ocorrência de uma quebra de segurança. A combinação desses dois tipos de análise compõe a chamada análise de riscos. TIPOS DE IMPACTOS CONTROLE DE SEGURANÇA Identi�cados os impactos, as ameaças e calculados os riscos, são desenvolvidas estratégicas para controlar o ambiente vulnerável. Então, estabelecemos algumas ações para: Eliminar o risco; Reduzir o risco a um nível aceitável; Limitar o dano, reduzindo o impacto; Compensar o dano, por meio de seguros. 26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 9/11 Os chamados serviços de segurança são uma classe especial de medidas preventivas relacionadas com o ambiente lógico. No âmbito geral, existem outras medidas preventivas importantes que são: Segurança física: alarmes, chaves, câmeras; Segurança dos recursos computacionais: controles sobre os sistemas operacionais, base de dados; Segurança administrativa: treinamento de segurança, análise de trilhas de auditorias, procedimentos para investigar quebras de seguranças, resposta a incidentes; Segurança de meios magnéticos: proteção de dados armazenados, escaneamento de arquivos para detecção de vírus; Controle de desenvolvimento de aplicativos: padrões de desenvolvimento, controle de documentação e acesso aos aplicativos, projeto adequado. MECANISMOS DE SEGURANÇA Os principais mecanismos de segurança são os Sistemas Biométricos. Esses sistemas tiveram uma evolução muito grande nos últimos anos, eles são automáticos e uma evolução natural dos sistemas manuais de reconhecimento, amplamente difundidos há muito tempo, como por exemplo: análise grafológica de assinaturas, análises de impressões digitais e reconhecimento de voz. Hoje, já existem sistemas ainda mais so�sticados, como os de análise da con�rmação dos vasos sanguíneos da retina. Veja a seguir a relação de autenticação biométrica: Fonte da Imagem:Fonte da Imagem: Impressões digitais:Impressões digitais: são características únicas e consistentes. Nos sistemas biométricos que utilizam essa opção, são armazenados de 40 a 60 pontos para veri�car uma identi�cação. O sistema compara a impressão lida com uma base de dados de impressões digitais de pessoas autorizadas. Fonte da Imagem:Fonte da Imagem: Voz:Voz: os sistemas de reconhecimento de voz são usados para controle de acesso, porém não são con�áveis em função dos erros causados por ruídos no ambiente e problemas na garganta ou nas cordas vocais das pessoas a eles submetidas. Fonte da Imagem:Fonte da Imagem: Geometria da mão:Geometria da mão: também é usada em sistemas de controle de acesso, porém essa característica pode ser alterada por aumento ou diminuição de peso ou atrito. Fonte da Imagem:Fonte da Imagem: Con�guração da íris e da retina:Con�guração da íris e da retina: os sistemas que utilizam essas características se propõem a efetuar identi�cação mais con�ável do que as impressões digitais. Entretanto, são sistemas invasivos, pois direcionam feixes de luz nos olhos das pessoas. 26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f… 10/11 Fonte da Imagem:Fonte da Imagem: Reconhecimento facial por meio de um termograma:Reconhecimento facial por meio de um termograma: o termograma facial é uma imagem tirada com uma câmara infravermelha que mostra os padrões térmicos de uma face. Essa imagem é única, e combinada com algoritmos so�sticados de comparação de diferentes níveis de temperatura, distribuídos pela face, constituem-se em uma técnica não invasiva, altamente con�ável, não sendo afetada, por problemas de saúde, idade ou temperatura do corpo. São armazenados, ao todo, 19.000 pontos de identi�cação podendo distinguir gêmeos idênticos, mesmo no escuro. Fonte da Imagem:Fonte da Imagem: É um programa capaz de infectar outros programas e arquivos. Atualmente, não é mais necessário abrir um executável para pegar um vírus. A simples leitura do e-mail, em um software desatualizado, pode ser fatal. . Como o computador é infectado por um vírus? , Ao abrir arquivos anexados aos e-mails; Ao abrir arquivos do Word, Excel; Power Point, ou outros aplicativos; Ao abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos; Ao instalar programas de procedência duvidosa ou desconhecida, obtidos pela internet, pen drive, cartões de memória ou de DVDs. ENGENHARIA SOCIAL Nos ataques de Engenharia Social, normalmente, o atacante se faz passar por outra pessoa e utiliza meios, como ligação telefônica ou e-mail, para persuadir o usuário a fornecer informações ou realizar determinadas ações. EXERCÍCIOS! 1 - Com suas palavras como você de�niria Segurança da Informação? Resposta Correta 2 - Como nós podemos classi�car as informações? Resposta Correta 3 - Sabemos que os dados precisam ser guardados com segurança. De quem é a responsabilidade por guardar as informações que estão gravadas, na estação de trabalho do usuário da área de Recursos Humanos, e por quê? Resposta Correta 26/02/2019 Disciplina Portal http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 11/11 4 - Estabeleça as diferenças entre riscos e ameaças. Resposta Correta 5 - Que cuidados devemos ter com os acessos e as senhas recebidos para utilizar sistemas voltados à área de Recursos Humanos? Resposta Correta 6 - O que são sistemas biométricos, e qual a sua importância para a área de Recursos Humanos? Cite aplicações. Resposta Correta 7 - Em que consiste a Engenharia Social? Resposta Correta Glossário
Compartilhar