Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
Aula_14
Compartilhar
Prévia do material em texto
ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO CAMPANHAS DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 1 CAMPANHAS DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO OBJETIVO Debater a elaboração de campanhas e planejamento de treinamentos de SI, Apresentar um programa prático de treinamento e conscientização, que aborde aspectos do comportamento humano e da engenharia social, Apresentar sugestões para um programa constante. 2 Ainda segundo MITNICK (2003, pp. 204), a lista de possibilidades de um programa constante de Conscientização poderia incluir: O fornecimento de exemplares do livro “A arte de enganar” para todos os empregados. A inclusão de itens informativos nas circulares da empresa: por exemplo, artigos, lembretes (de preferência itens curtos que chamem a atenção) ou quadrinhos. A colocação de uma foto do Empregado da Segurança do Mês. CAMPANHAS DE CONSCIENTIZAÇÃO 3 (E TAMBÉM) Pôsteres afixados nas áreas dos empregados. Notas publicadas no quadro de avisos. O fornecimento de lembretes impressos nos envelopes de pagamento. O envio de lembretes por correio eletrônico. O uso de proteções de tela relacionadas com segurança. A transmissão de anúncios sobre a segurança por meio do sistema de voice mail. CAMPANHAS DE CONSCIENTIZAÇÃO 4 (E TAMBÉM) A impressão de etiquetas para o telefone com mensagens tais como "A pessoa que está ligando é quem ela diz ser?". A configuração de mensagens de lembrete que aparecem quando o computador é ligado, tais como "Criptografe as informações confidenciais antes de enviá-las". A inclusão da conscientização para a segurança como um item-padrão nos relatórios de desempenho dos empregados e nas análises anuais. CAMPANHAS DE CONSCIENTIZAÇÃO 5 (E TAMBÉM) A publicação na intranet de lembretes de conscientização em SI, talvez usando quadrinhos ou humor, ou alguma outra maneira que incentive as pessoas a lerem. Quadro eletrônico de mensagens na lanchonete com lembrete de segurança trocado frequentemente. A distribuição de folhetos ou brochuras. E pense naqueles biscoitos da fortuna distribuídos de graça ... CAMPANHAS DE CONSCIENTIZAÇÃO A ameaça é constante; os lembretes também devem ser constantes. 6 Com isso, o profissional de SI começa a expandir o conhecimento necessário para atuação no processo de planejamento, execução e avaliação dos resultados alcançados em SI para patamares desejáveis. CAMPANHAS DE CONSCIENTIZAÇÃO 7 Política de Segurança da Informação (PSI) É o conjunto de: diretrizes, normas e procedimentos que devem ser seguidos, visando conscientizar e orientar funcionários, clientes, parceiros e fornecedores para o uso seguro do ambiente informatizado. Deve definir como armazenar, gerenciar, distribuir e proteger seus principais ativos. PORQUE FALAR EM SEGURANÇA DA INFORMAÇÃO 8 Etapas para o desenvolvimento de um programa Avaliação do RISCO que visa determinar... Quais são as informações da empresa que precisam ser protegidas? Quais ameaças específicas existem contra os ativos? Qual dano seria causado às empresas se essas ameaças em potencial se materializassem? PORQUE FALAR EM SEGURANÇA DA INFORMAÇÃO 9 Objetivo primário da avaliação do Risco É priorizar as informações que precisam de proteção imediata, e se essa proteção será eficaz em termos de custo com base em uma análise do custo/benefício. Em resumo, quais informações serão protegidas em primeiro lugar e quanto custará para proteger essas informações? PORQUE FALAR EM SEGURANÇA DA INFORMAÇÃO 10 Elementos de uma PSI Diretrizes da Política Declaração de Comprometimento da Alta Direção Normas de SI Procedimentos de SI Termos de Sigilo, Confidencialidade e Responsabilidade PORQUE FALAR EM SEGURANÇA DA INFORMAÇÃO 11 Presencial A Distância (online) Quem pode apresentar os eventos? Integrante da força de trabalho ou consultor externo com conhecimento, É desejável a presença de um gestor durante a apresentação, É aconselhável que o apresentador cite/disponibilize os padrões corporativos de que trata a apresentação. TREINAMENTO Registro de presença com assinatura e letra legível. 12 Realizar periodicamente processo de Auditoria Interna para avaliar a eficácia do Sistema de Gestão e Diagnóstico de S.I.. Pode ser realizada em mais de uma fase. Realizar periodicamente diagnóstico comportamental de S.I., junto à força de trabalho da unidade. Realizados em paralelo, otimiza recursos e tempo dos gestores. AUDITORIAS 13 Escopo da Auditoria Interna do Sistema de Gestão: AUDITORIAS Serviços de <<ÁREA>> Para << clientes internos/externos>>, Considerando os processos <<de negócio selecionados>> executados por <<áreas / responsáveis>>. 14 APRENDA MAIS CHAMOVITZ, I. Conceitos Básicos: Controle de Acesso Lógico, Política de Segurança da Informação e Contingências. http://pt.slideshare.net/apiadmbr/fundamentos-de-segurana-da-informao?related=1. Setembro de 2009. Instituto Federal de Educação, Ciência e Tecnologia. Rio de Janeiro. PAINE, L.S. Ética: uma estrutura básica. Harvard Business School. 308-P01. 10, Oct, 2006. 15 ENGENHARIA SOCIAL E CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO CAMPANHAS DE CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO 16
Continue navegando
Materiais relacionados
251 pág.
72 pág.
219 pág.
Perguntas relacionadas
Compartilhar