Política de Segurança de Informações

Prévia do material em texto

26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 1/11
Sistema de Informação de
RH
Aula 4 - De�nindo uma política de Segurança da
Informação
INTRODUÇÃO
Nesta aula, você irá reconhecer a Política de Segurança de Informações. Devem-se estabelecer princípios institucionais
de como a organização irá proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as
informações por eles manipuladas.
É importante que a política estabeleça ainda as responsabilidades das funções relacionadas com a segurança e
descrimine as principais ameaças, riscos e impactos envolvidos.
26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 2/11
OBJETIVOS
Aplicar corretamente as diretrizes de segurança para proteção dos dados relativos aos Recursos Humanos nas
empresas
Reconhecer os mecanismos de segurança disponíveis no mercado;
Compreender o conceito de backup e suas responsabilidades.
26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 3/11
PROCESSO DE IMPLANTAÇÃO DE UMA POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
As principais fases desse processo são:
IDENTIFICAÇÃO DOS RECURSOS:
CLASSIFICAÇÃO DAS INFORMAÇÕES E DOS SISTEMAS
A classi�cação mais comum de informações é aquela que as divide em quatro níveis:
PÚBLICAS OU DE USO IRRESTRITO
As informações e os sistemas assim classi�cados podem ser divulgados a qualquer pessoa sem que haja implicações para a
instituição. 
Exemplos: serviços de informação ao público em geral.
INTERNAS OU DE USO INTERNO
As informações e os sistemas assim classi�cados não devem sair do âmbito da instituição, porém se isso ocorrer as
consequências não são críticas. 
Ex.: documentos de trabalhos corriqueiros que só interessam aos funcionários.
CONFIDENCIAIS
Fonte: Vadim Ermak / Shutterstock
26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 4/11
Informações e sistemas tratados como con�denciais dentro da instituição e protegidos contra acesso externo. O acesso a esses
sistemas e informações é feito de acordo com sua estrita necessidade. 
Ex.: dados pessoais de funcionários, acessos e senhas, informações sobre folha de pagamento, remuneração estratégica e
benefícios etc.
SECRETAS
O acesso interno ou externo de pessoas não autorizadas a esse tipo de informações é extremamente crítico para a instituição. É
imprescindível que o número de pessoas autorizadas seja muito restrito e o controle sobre o uso dessas informações seja total. 
Ex.: dados estratégicos, dados sobre segredos de produção industrial.
CLASSIFICAÇÃO DOS SISTEMAS
Fonte da Imagem:Fonte da Imagem: Kritchanut / Shutterstock
O queO que — de�ne o processo a ser assegurado; 
PorquePorque — minimiza o impacto nos negócios; 
QuemQuem — de�ne equipe / time responsável em manter o processo de segurança; 
ComoComo — aponta as diretrizes que estabelecem o método de proteção e as métricas de veri�cação;
OBJETIVOS
26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 5/11
Identi�car riscos de negócios; 
Prevenir riscos operacionais; 
Prevenir perdas �nanceiras; 
Assegurar a boa imagem.
ASPECTOS
Gerenciamento da segurança da informação; 
Classi�cação da informação; 
Utilização de senhas, identi�cação e autenticação; 
Segurança física; 
Recursos humanos; 
Utilização do e-mail corporativo; 
Utilização da internet;
Planejamento e gerenciamento da Tecnologia de Informação; 
Controles de segurança da rede; 
Identi�cação e autenticação de usuários; 
Manuseio das mídias de informação; 
Segurança do ambiente; 
Gerenciamento de incidentes de segurança.
DIFICULDADES NA IMPLEMENTAÇÃO DE UMA POLÍTICA DE
SEGURANÇA DA INFORMAÇÃO
Complexidade no controle e na monitoração; 
Resistência dos funcionários; 
Ausência de métricas e parâmetros reais; 
Falta de apoio dos executivos. 
26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 6/11
Fonte:Fonte:
“Para que a Política de Segurança seja efetiva, não basta tê-la, 
mas, sim exercê-la.”
CONCEITO DE RISCO
Fonte:Fonte:
“São perdas ou danos que um ativo possa sofrer comprometendo a continuidade das atividades de uma área de
negócio ou até mesmo toda a organização.”
Fonte da Imagem:Fonte da Imagem: Stephen Marques / Shutterstock
26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 7/11
O risco é uma combinação de componentes, tais como: ameaças, vulnerabilidades, impactos. A análise de riscos
engloba tanto a análise de ameaças e vulnerabilidades quanto a análise de impactos, a qual identi�ca os componentes
críticos e o custo potencial ao usuário do sistema. A análise de risco é o ponto chave da Política de Segurança.
ANALISANDO AMEAÇAS
Antes de decidir como proteger um sistema, é necessário saber contra que ele será protegido. A segurança pode,
então, ser de�nida em termos de combate às ameaças identi�cadas. A análise das ameaças e das vulnerabilidades do
ambiente de Informática deve levar em consideração todos os eventos adversos que podem explorar as fragilidades de
segurança desse ambiente e acarretar danos.
Fonte:Fonte:
É claro que o custo de se proteger contra uma ameaça pode ser mais alto que o dano dessa ameaça pode provocar. É
necessário fazer uma análise do custo-benefício antes de tomar qualquer medida.
VAMOS REALIZAR UM TESTE RÁPIDO!
Diante de tantos avanços tecnológicos e novidades, como as empresas farão para se proteger?
Resposta Correta
PARA EVITAR QUALQUER CONFUSÃO, EM TERMOS DE CONCEITOS,
SERÃO APRESENTADAS SUAS DEFINIÇÕES TÉCNICAS:
Fonte da Imagem:Fonte da Imagem:
RecursoRecurso — componente de um sistema computacional, podendo ser recurso físico, software, hardware ou informação.
Fonte da Imagem:Fonte da Imagem:
AmeaçaAmeaça — evento ou atitude indesejável (roubo incêndio, vírus etc.) que potencialmente remove, desabilita, dani�ca ou
destrói um recurso.
Fonte da Imagem:Fonte da Imagem:
26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 8/11
VulnerabilidadeVulnerabilidade — fraqueza ou de�ciência que pode ser explorada por uma ameaça. Pode ser associada à
probabilidade da ameaça acontecer.
Fonte da Imagem:Fonte da Imagem:
AtaqueAtaque — ameaça concretizada.
Fonte da Imagem:Fonte da Imagem:
ImpactoImpacto — consequência de uma vulnerabilidade do sistema ter sido explorada por uma ameaça. É o resultado da
concretização de uma ameaça.
Fonte da Imagem:Fonte da Imagem:
ProbabilidadeProbabilidade — chance de uma ameaça atacar com sucesso o sistema computacional ou rede.
Fonte da Imagem:Fonte da Imagem:
RiscoRisco — medida da exposição a qual o sistema computacional está sujeito. Depende da probabilidade de uma ameaça
atacar o sistema e do impacto resultante desse ataque. Nesse contexto, o risco envolve três componentes: ameaça,
vulnerabilidades associadas e impactos.
As ameaças exploram as vulnerabilidades ou fragilidades do sistema para causar impactos. A análise dessas ameaças
e vulnerabilidades tenta de�nir a probabilidade de ocorrência de cada evento adverso e as consequências da quebra de
segurança. Já a análise de impactosidenti�ca os recursos críticos do sistema, isto é, recursos que mais sofrerão
impactos na ocorrência de uma quebra de segurança. 
A combinação desses dois tipos de análise compõe a chamada análise de riscos.
TIPOS DE IMPACTOS
CONTROLE DE SEGURANÇA
Identi�cados os impactos, as ameaças e calculados os riscos, são desenvolvidas estratégicas para controlar o
ambiente vulnerável. Então, estabelecemos algumas ações para:
Eliminar o risco;
Reduzir o risco a um nível aceitável;
Limitar o dano, reduzindo o impacto;
Compensar o dano, por meio de seguros.
26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 9/11
Os chamados serviços de segurança são uma classe especial de medidas preventivas relacionadas com o ambiente
lógico. No âmbito geral, existem outras medidas preventivas importantes que são:
Segurança física: alarmes, chaves, câmeras; Segurança dos recursos computacionais: controles sobre os sistemas
operacionais, base de dados;
Segurança administrativa: treinamento de segurança, análise de trilhas de auditorias, procedimentos para investigar
quebras de seguranças, resposta a incidentes;
Segurança de meios magnéticos: proteção de dados armazenados, escaneamento de arquivos para detecção de vírus;
Controle de desenvolvimento de aplicativos: padrões de desenvolvimento, controle de documentação e acesso aos
aplicativos, projeto adequado.
MECANISMOS DE SEGURANÇA
Os principais mecanismos de segurança são os Sistemas Biométricos. Esses sistemas tiveram uma evolução muito
grande nos últimos anos, eles são automáticos e uma evolução natural dos sistemas manuais de reconhecimento,
amplamente difundidos há muito tempo, como por exemplo: análise grafológica de assinaturas, análises de
impressões digitais e reconhecimento de voz. 
Hoje, já existem sistemas ainda mais so�sticados, como os de análise da con�rmação dos vasos sanguíneos da retina.
Veja a seguir a relação de autenticação biométrica:
Fonte da Imagem:Fonte da Imagem:
Impressões digitais:Impressões digitais: são características únicas e consistentes. Nos sistemas biométricos que utilizam essa opção, são
armazenados de 40 a 60 pontos para veri�car uma identi�cação. O sistema compara a impressão lida com uma base
de dados de impressões digitais de pessoas autorizadas.
Fonte da Imagem:Fonte da Imagem:
Voz:Voz: os sistemas de reconhecimento de voz são usados para controle de acesso, porém não são con�áveis em função
dos erros causados por ruídos no ambiente e problemas na garganta ou nas cordas vocais das pessoas a eles
submetidas.
Fonte da Imagem:Fonte da Imagem:
Geometria da mão:Geometria da mão: também é usada em sistemas de controle de acesso, porém essa característica pode ser alterada
por aumento ou diminuição de peso ou atrito.
Fonte da Imagem:Fonte da Imagem:
Con�guração da íris e da retina:Con�guração da íris e da retina: os sistemas que utilizam essas características se propõem a efetuar identi�cação
mais con�ável do que as impressões digitais. Entretanto, são sistemas invasivos, pois direcionam feixes de luz nos
olhos das pessoas.
26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f… 10/11
Fonte da Imagem:Fonte da Imagem:
Reconhecimento facial por meio de um termograma:Reconhecimento facial por meio de um termograma: o termograma facial é uma imagem tirada com uma câmara
infravermelha que mostra os padrões térmicos de uma face. Essa imagem é única, e combinada com algoritmos
so�sticados de comparação de diferentes níveis de temperatura, distribuídos pela face, constituem-se em uma técnica
não invasiva, altamente con�ável, não sendo afetada, por problemas de saúde, idade ou temperatura do corpo. São
armazenados, ao todo, 19.000 pontos de identi�cação podendo distinguir gêmeos idênticos, mesmo no escuro.
Fonte da Imagem:Fonte da Imagem:
É um programa capaz de infectar outros programas e arquivos. Atualmente, não é mais necessário abrir um executável
para pegar um vírus. A simples leitura do e-mail, em um software desatualizado, pode ser fatal. .
Como o computador é infectado por um vírus?
,
Ao abrir arquivos anexados aos e-mails;
Ao abrir arquivos do Word, Excel; Power Point, ou outros aplicativos;
Ao abrir arquivos armazenados em outros computadores, através do compartilhamento de recursos;
Ao instalar programas de procedência duvidosa ou desconhecida, obtidos pela internet, pen drive, cartões de memória ou de
DVDs.
ENGENHARIA SOCIAL
Nos ataques de Engenharia Social, normalmente, o atacante se faz passar por outra pessoa e utiliza meios, como
ligação telefônica ou e-mail, para persuadir o usuário a fornecer informações ou realizar determinadas ações.
EXERCÍCIOS!
1 - Com suas palavras como você de�niria Segurança da Informação?
Resposta Correta
2 - Como nós podemos classi�car as informações?
Resposta Correta
3 - Sabemos que os dados precisam ser guardados com segurança. De quem é a responsabilidade por guardar as
informações que estão gravadas, na estação de trabalho do usuário da área de Recursos Humanos, e por quê?
Resposta Correta
26/02/2019 Disciplina Portal
http://estacio.webaula.com.br/Classroom/index.html?id=2200494&classId=1118658&topicId=2122036&p0=03c7c0ace395d80182db07ae2c30f0… 11/11
4 - Estabeleça as diferenças entre riscos e ameaças.
Resposta Correta
5 - Que cuidados devemos ter com os acessos e as senhas recebidos para utilizar sistemas voltados à área de
Recursos Humanos?
Resposta Correta
6 - O que são sistemas biométricos, e qual a sua importância para a área de Recursos Humanos? Cite aplicações.
Resposta Correta
7 - Em que consiste a Engenharia Social?
Resposta Correta
Glossário