boas praticas de seguraça da informação

Prévia do material em texto

UNIVERSIDADE ESTACIO DE SÁ
TECNOLOGO DE REDES
BOAS PRÁTICAS DA SEGURANÇA DA INFORMAÇÃO
Manaus-AM
2018
UNIVERSIDADE ESTACIO DE SÁ
TECNOLOGO DE REDES
Boas práticas da segurança da informação
Dissertação apresentada ao curso Tecnólogo de redes do Departamento de tecnologia da Faculdade Estácio de Sá solicitado pelo (a) mestre Haylo
Manaus-AM
2018
SUMÁRIO
SEGURANÇA DE INFORMAÇÃO ............................................................................................... 5
POLÍTICAS DE SENHAS .............................................................................................................. 5
MECANISMOS DE PROTEÇÃO .................................................................................................. 6
CONTROLES DE ACESSO .......................................................................................................... 6
POLÍTICA DE UTILIZAÇÃO DE ANTIVÍRUS E ANTIMALWARES ......................................... 6
BACKUPS ........................................................................................................................................ 7
CRIPTOGRAFIA E CERTIFICADOS DIGITAIS .......................................................................... 7
CONSIDERAÇÕES FINAIS ........................................................................................................... 8
CONCLUSÃO ...................................................................................................................................9
REFERENCIAS ................................................................................................................................8
INTRODUÇÃO
A pesquisa feita citará métodos de segurança de informação, mostrando o quão grande é a vulnerabilidade na vida pessoal e no meio organizacional. O bem maior de uma empresa são suas informações e o sua maior vulnerabilidade são seus próprios colaboradores, por isso a necessidade de treinamentos e políticas de segurança.
SEGURANÇA DE INFORMAÇÃO
A segurança de informação é usada há anos, em métodos em que não percebíamos, contudo, o tempo passa, tecnologias avançam e não se pode ficar estagnado quando o assunto é segurança. Órgãos que durante anos se especializaram no assunto estabelecem “dicas” para que a segurança dos dados seja efetiva e eficaz. Estabelecer uma PSI, abreviação de Política de Segurança de Informação, necessita de uma atenção aos tópicos a serem discutidos, não devem se ficar restrito apenas em segurança de nível computacional (informações da empresa e de clientes), mas também no meio organizacional, nos valores, missão e visão.
POLÍTICAS DE SENHAS 
	
A senha é um dos “itens” mais visados pelas organizações, estabelecendo políticas de uso, orientação de como se devem ser usadas e criadas para os usuários. É estabelecida uma serie de orientações para que senhas não sejam usadas por terceiros a fim de prejudicar a organização, algumas dessas normas:
Evitar o compartilhamento de senhas;
Criar senhas de níveis médias a alto padrão de confiabilidade; 
Mudar constantemente as senhas, principalmente para usuários com acessos privilegiados;
Evitar a utilização de senhas antigas e a utilização da mesma senha para as demais aplicações;
Não utilizar datas de nascimento, número de telefone, número de cartão de credito etc. 
Nenhuma senha deve estar ligada a vida pessoal do usuário.
“Geralmente são consideradas boas senhas aquelas que incluem, na composição, letras, números e símbolos embaralhados, totalizando mais de seis caracteres.” Boas práticas em segurança da informação / Tribunal de Contas da União. – 4. ed.
TREINAMENTO DE USUÁRIOS
O treinamento de usuários para o processo de segurança da informação deve ser constantemente, até porque a maior vulnerabilidade da organização são os seus próprios colaboradores. Deve ser feito a orientação por meio de integração, apresentando a política de segurança da empresa. Porém, só a teoria não é suficiente, se pode usar, e é aconselhado, que usem métodos para teste dos níveis de conhecimento dos seus colaboradores. 
Campanha de conscientização é muito usada em empresas de grande e pequeno porte, serve para dar um conhecimento maior sobre a segurança de informações. 
	
MECANISMOS DE PROTEÇÃO
Mecanismos de segurança é um conjunto de ferramentas (Métodos), que tem a responsabilidade de estabelecer níveis de segurança aos seus usuários ou dados a serem guardados. Existem muitos mecanismos, do mais simples aos mais complexos. Exemplos:
CONTROLES DE ACESSO
Os controles de acesso, físicos ou lógicos, têm como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação não autorizada. Controles de acesso fazem uma “filtragem” para quem acessa determinada informação ou conteúdo, restringem acesso para terceiros. Como citado no início, existem dois tipos de controle de acesso, o físico e o lógico.
O controle de acesso lógico pode ser encarado de duas formas diferentes: a partir do recurso computacional que se quer proteger e a partir do usuário a quem serão concedidos certos privilégios e acessos aos recursos.
POLÍTICA DE UTILIZAÇÃO DE ANTIVÍRUS E ANTIMALWARES
A utilização de antivírus é recomendada, pois é mais um recurso para a segurança das informações. O antivírus é um programa que tem como objetivo detectar e eliminar arquivos, programas e mídias potencialmente infectados. Periodicamente é feita uma análise em todos os computadores, essa analise depende da equipe responsável, de quanto em quanto tempo será feita. Hoje em dia é praticamente impossível discutir a implantação de uma PSI sem que antivírus sejam citados, eles são parte importantíssima da segurança das informações.
Antivírus e Firewall estão lado a lado, na política de segurança ambos devem ser escolhidos e implantados atenciosamente, levando em consideração a política de acessos da empresa, estabelecendo níveis de acessos a usuários. 
Backups 
“O Backup ajuda a proteger os dados de perdas acidentais se ocorrerem falhas de hardware ou de mídia de armazenamento no sistema. A mídia de armazenamento de backup pode ser uma unidade lógica, como um disco rígido, um dispositivo de armazenamento separado, como um disco removível, ou uma biblioteca inteira de discos ou fitas organizados e controlados por alterador robótico.” Diego Macêdo, 2012.
Backups completos: O backup completo é simplesmente fazer a cópia de todos os arquivos para o diretório de destino
Backups incrementais: Backups incrementais primeiro verificam se o horário de alteração de um arquivo é mais recente que o horário de seu último backup.
Backups diferenciais: Backup diferencial só copia arquivos alterados desde o último backup. No entanto, a diferença deste para o integral é o de que cada backup diferencial mapeia as alterações em relação ao último backup completo.
Backup Delta: Este tipo de backup começa a partir de um backup completo e, a partir daí, a cada novo backup são copiados somente os arquivos que foram alterados enquanto são criados hard links para os arquivos que não foram alterados desde o último backup.
CRIPTOGRAFIA E CERTIFICADOS DIGITAIS
A criptografia é um recurso usado para dificultar o acesso a informações, confidenciais, se por acaso as informações sejam roubadas, dependendo da complexidade da criptografia se pode levas dias, semanas, meses até mesmo anos para a mesma seja quebrada. Existem criptografias na web, páginas que utilizam dos dados pessoais para cadastro usam o protocolo HTTPS, que faz a transferência de dados de forma segurança, utilizando a criptografia.
A certificação digital é um dos métodos mais eficazes nos níveis de segurança da informação, os certificados garantem a identificação do autor de uma transação, mensagem, documento, e asseguram que nenhuma informação foi alterada, garantindo a sua integridade (RIBEIRO et al 2010, p. 83). 
O Certificado Digital é uma credencialque identifica uma entidade, seja ela empresa pessoa física, máquina, aplicação ou site na web. Um documento eletrônico seguro permite ao usuário se comunicar e efetuar transações na internet de forma mais rápida, sigilosa e com validade jurídica.
CONSIDERAÇÕES FINAIS
Com o trabalho de pesquisa pode se entender pode se entender das tecnologias e mecanismos para a transferência com confiabilidade dos dados. Confiabilidade e segurança são conceitos que as empresas devem levar em todas as partes da organização. Não é fácil implementar a segurança de dados, porém, após todo um trabalho de empenho e pesquisa, ainda se deve continuar buscando novos métodos de proteção, assim como a teoria da natureza de Lavoisier de que “Nada se perde, nada se cria, tudo se transforma”, a internet segue esse mesmo caminho, se vive uma constante mudança.
REFERÊNCIAS BIBLIOGRÁFICAS
Vancim, Flavia. Gestão de segurança da informação / Flavia Vancim Rio de Janeiro: SESES, 2016.
Brasil. Tribunal de Contas da União. Boas práticas em segurança da informação / Tribunal de Contas da União. – 4. ed. – Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2012.