SEGURANÇA DA INFORMAÇÃO                                       (Porque investir)                                           ...
AS NECESSIDADES                               ATUAIS                                                                 B2BG2...
A DEPENDÊNCIA         V         O         L         U         M         E                                        COMPUTADO...
OS RISCOS DA               ORGANIZAÇÃO   1. FALHA DE EQUIPAMENTOS        DANOS MATERIAIS/   2. DESASTRES NATURAIS/ACIDENTA...
ALGUNS EXEMPLOSProcessamento de Dados Amazonas S.A.               9               INTERNET (mau uso)       10 funcionários...
VAZAMENTO DE               INFORMAÇÕES          “...DOCUMENTOS apontam para a            existência de um esquema de      ...
ADULTERAÇÃO DE DADOS 2                                       OPERAÇÃO RIO NILO        “...Fulana de tal é acusada de alter...
SEGURANÇA x PROTEÇÃO       SEGURANÇA = ato ou efeito de                                 TORNAR SEGURO         PROTEÇÃO = a...
ASPECTOS                   CONSIDERADOS                                       PESSOAS                          SEGURANÇA  ...
DESAFIOS DA SEGURANÇA   1.IDENTIFICAR E TRATAR OS          PROBLEMAS   2.O   2 O QUE PROTEGER?   3.COMO PROTEGER?Processam...
O QUE PROTEGER?                TODOS OS ATIVOS DE                                       INFORMAÇÃO                      (A...
PRINCIPAIS               PREOCUPAÇÕES         1. EVITAR A OCORRÊNCIA DE                          Ê            SINISTROS   ...
MEDIDAS DE SEGURANÇA                     AÇÕES VOLTADAS PARA                   ELIMINAÇÃO OU REDUÇÃO                      ...
ANÁLISE DE RISCOS          ATIVIDADE QUE VISA RASTREAR UM               AMBIENTE EM BUSCA DE                 VULNERABILIDA...
POLÍTICA DE SEGURANÇA DA                   INFORMAÇÃO       ESTABELECE OS PADRÕES MÍNIMOS       DE SEGURANÇA A SEREM SEGUI...
PLANO DE CONTINUIDADE DOS                   NEGÓCIOS           GARANTIA DA CONTINUIDADE DOS         PROCESSOS E INFORMAÇÕE...
O QUE AUDITAR             DADOS, ARQUIVOS, PROGRAMAS,              SISTEMAS, DOCUMENTAÇÃO DOS                           SI...
O QUE É A ISO 17799               CÓDIGO DAS MELHORES PRÁTICAS             PARA A GESTÃO DA SEGURANÇA DA               INF...
O QUE É A ISO 15408           É uma norma para DEFINIR E AVALIAR                         p           requisitos de seguran...
ASPECTOS LEGAISProcessamento de Dados Amazonas S.A.                             39                           INVIOLABILIDA...
RESPONSABILIDADE                 DOS DIRIGENTES        • Artigo 422 do Código Civil              Probidade e boa fé       ...
PORQUE NÃO INVESTIMOS                         EM SEGURANÇA... 1. 1 O QUE TEMOS JÁ É SUFICIENTE                    SUFICIEN...
QUAL O INVESTIMENTO                                       NECESSÁRIO                                               ?Proces...
Próximos SlideShares
Carregando em…5
×

Www.seplan.am.gov.br arquivos download_arqeditor_publicacoes_apresent_gestao_da_seguranca_da_informacao-porque_investir

1.225 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.225
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
2
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Www.seplan.am.gov.br arquivos download_arqeditor_publicacoes_apresent_gestao_da_seguranca_da_informacao-porque_investir

  1. 1. SEGURANÇA DA INFORMAÇÃO (Porque investir) JAN/2007 Aristóbulo Angelim de Araújo ari@prodamnet.com.br 2121-6438Processamento de Dados Amazonas S.A. 1 AGENDA 1. NECESSIDADES ATUAIS 2. 2 PRINCIPAIS PROBLEMAS DE SEGURANÇA 3. DESAFIOS DA SEGURANÇA 4. PRINCIPAIS MEDIDAS DE SEGURANÇA • AR – Análise de Riscos • PSI – Política de Segurança da Informação • PCN – Plano de Continuidade dos Negócios • AS – Auditoria de Sistemas 5. NORMAS DE SEGURANÇA • ISO 17799 (REQUISITOS PARA A ORGANIZAÇÃO) • ISO 15408 (REQUISITOS DE SOFTWARE APLICATIVO) 6. ASPECTOS LEGAIS 7. PARA REFLETIRProcessamento de Dados Amazonas S.A. 2 1
  2. 2. AS NECESSIDADES ATUAIS B2BG2G G2B GOVERNO EMPRESA B2G G2C B2C C2G C2B CIDADÃO C2CProcessamento de Dados Amazonas S.A. 3 O PARADOXO ABRIR INTERNET BANKING COMÉRCIO ELETRÔNICO GOVERNO ELETRÔNICO MOBILE INCLUSÃO DIGITAL X PROTEGERProcessamento de Dados Amazonas S.A. 4 2
  3. 3. A DEPENDÊNCIA V O L U M E COMPUTADOR / C O EM REDE M P 60% a 95% A das O M P U T A D O R C informações críticas R T I L ISOLADO H A M E .?. P A P E L » N T O 105 AC 1940 1970 TEMPOProcessamento de Dados Amazonas S.A. 5 SOBREVIVÊNCIA QUANTO TEMPO UMA ORGANIZAÇÃO SOBREVIVE SEM O COMPUTADOR? Organização Tempo FINANCEIRA 1 DIA INDUSTRIAL 5 DIAS COMERCIAL 8 DIASProcessamento de Dados Amazonas S.A. 6 3
  4. 4. OS RISCOS DA ORGANIZAÇÃO 1. FALHA DE EQUIPAMENTOS DANOS MATERIAIS/ 2. DESASTRES NATURAIS/ACIDENTAIS FINANCEIROS/ 3. VANDALISMO (EXTERNO/INTERNO) PREJUIZOS 4. CONCORRÊNCIA NA IMAGEM 5. INTERRUPÇÃO DAS ATIVIDADESProcessamento de Dados Amazonas S.A. 7 OS RISCOS DO CIDADÃO 1.PREJUIZOS 1. PREJUIZOS FINANCEIROS (VIOLAÇÃO DE CARTÕES DE CRÉDITO E DE PRIVACIDADE INVASÃO BANCÁRIOS) 2.USO 2. USO INDEVIDO DE SEUS DADOS CADASTRAISProcessamento de Dados Amazonas S.A. 8 4
  5. 5. ALGUNS EXEMPLOSProcessamento de Dados Amazonas S.A. 9 INTERNET (mau uso) 10 funcionários 1.760 horas (8h x 22 dias) Horas improdutivas 220 horas (10f x 1h x 22 d) Custo mensal (com encargos) 20.000,00 (R$ 2.000 x 10) Valor da hora 11,36 (20.000 / 1.760) Prejuízo financeiro mensal 2.500,00 (h.improdutiva x valor da hora)Processamento de Dados Amazonas S.A. 10 5
  6. 6. VAZAMENTO DE INFORMAÇÕES “...DOCUMENTOS apontam para a existência de um esquema de superfaturamento em obras e convênios que atingem R$ 1,79 BILHÃO, dinheiro movimentado entre 2003 e 2006...” Jornal Amazonas Em Tempo 30/06/2006Processamento de Dados Amazonas S.A. 11 ADULTERAÇÃO DE DADOS 1 DERRAME DE CNHs FALSAS “...Esquema de emissão de carteiras nacionais de habilitação sem a devida aprovação do candidato está sendo investigado pela Polícia Federal...” i ti d l P lí i F d l ” Jornal A Crítica 07/02/2007Processamento de Dados Amazonas S.A. 12 6
  7. 7. ADULTERAÇÃO DE DADOS 2 OPERAÇÃO RIO NILO “...Fulana de tal é acusada de alterar a base de dados da SEFAZ para beneficiar a empresa mercantil XYZ...” XYZ... Jornal A Crítica 16/02/2007Processamento de Dados Amazonas S.A. 13 O QUE SE ESPERA DOS BITS 1.SEGURANÇA 1. SEGURANÇA DA AUTORIA E DO CONTEÚDO 2.PRIVACIDADE 2. PRIVACIDADE NA COMUNICAÇÃO 3.USO 3. USO EM JUIZO NOS CRIMES ELETRÔNICOSProcessamento de Dados Amazonas S.A. 14 7
  8. 8. SEGURANÇA x PROTEÇÃO SEGURANÇA = ato ou efeito de TORNAR SEGURO PROTEÇÃO = ato ou efeito de PRESERVAR DO MALProcessamento de Dados Amazonas S.A. 15 DEFINIÇÃO DE SI Preservação da CONFIDENCIALIDADE, da INTEGRIDADE e da DISPONIBLIDADE da informação (ISO 27000)Processamento de Dados Amazonas S.A. 16 8
  9. 9. ASPECTOS CONSIDERADOS PESSOAS SEGURANÇA DA PROCESSOS INFORMAÇÃO TECNOLOGIAProcessamento de Dados Amazonas S.A. 17 PRINCIPAIS PROBLEMAS ADULTERAÇÃO DE DADOS ADULTERAÇÃO DE PROGRAMAS ÃProcessamento de Dados Amazonas S.A. 18 9
  10. 10. DESAFIOS DA SEGURANÇA 1.IDENTIFICAR E TRATAR OS PROBLEMAS 2.O 2 O QUE PROTEGER? 3.COMO PROTEGER?Processamento de Dados Amazonas S.A. 19 IDENTIFICAR E TRATAR PROBLEMAS 1.Falha nos equipamentos q p 2.Desastres naturais e acidentais 3.Vandalismo EXTERNO (HACKER, CRACKER, VIRUS) 4.Vandalismo INTERNO (ADULTERAÇÃO DE DADOS/PROGRAMAS)Processamento de Dados Amazonas S.A. 20 10
  11. 11. O QUE PROTEGER? TODOS OS ATIVOS DE INFORMAÇÃO (Arquivos digitais, programas, digitais programas documentos, equipamentos, instalações, pessoas, etc.)Processamento de Dados Amazonas S.A. 21 COMO PROTEGER? GARANTINDO CONFIDENCIALIDADE (CONHECIDA POR QUEM ESTÁ AUTORIZADO) INTEGRIDADE (LIVRE DE ALTERAÇÕES INDEVIDAS) DISPONILIDADE (ACESSÍVEL QUANDO NECESSÁRIA)Processamento de Dados Amazonas S.A. 22 11
  12. 12. PRINCIPAIS PREOCUPAÇÕES 1. EVITAR A OCORRÊNCIA DE Ê SINISTROS 2. REDUZIR OS DANOS PROVOCADOS PELOS SINISTROS 3. 3 CRIAR CONDIÇÕES PARA RECOMPOR A SITUAÇÃO ORIGINAL 4. ATENDER REGULAMENTAÇÕES (BACEN 3380 – CVM 380 – SUSEP – 285)Processamento de Dados Amazonas S.A. 23 MEDIDAS DE SEGURANÇAProcessamento de Dados Amazonas S.A. 24 12
  13. 13. MEDIDAS DE SEGURANÇA AÇÕES VOLTADAS PARA ELIMINAÇÃO OU REDUÇÃO DAS VULNERABILIDADESProcessamento de Dados Amazonas S.A. 25 PRINCIPAIS MEDIDAS DE SEGURANÇA 1. AR – ANÁLISE DE RISCOS 2. PSI – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 3. PCN – PLANO DE CONTINUIDADE DE NEGÓCIOS 4. AS – AUDITORIA DE SISTEMASProcessamento de Dados Amazonas S.A. 26 13
  14. 14. ANÁLISE DE RISCOS ATIVIDADE QUE VISA RASTREAR UM AMBIENTE EM BUSCA DE VULNERABILIDADES PRODUZ: 1. DIAGNÓSTICO DA SEGURANÇA 2. RECOMENDAÇÕES PARA A PROTEÇÃO DOS ATIVOSProcessamento de Dados Amazonas S.A. 27 OBJETIVOS DA AR 1. IDENTIFICAR OS PROCESSOS CRÍTICOS 2. IDENTIFICAR OS ATIVOS CRÍTICOS 3. IDENTIFICAR AS AMEAÇAS POTENCIAIS 4. IDENTIFICAR AS VULNERABILIDADES PRESENTES 5. SUGERIR AÇÕES CORRETIVAS E PREVENTIVASProcessamento de Dados Amazonas S.A. 28 14
  15. 15. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ESTABELECE OS PADRÕES MÍNIMOS DE SEGURANÇA A SEREM SEGUIDOS PRODUZ: 1. CONJUNTO DE DIRETRIZES PARA ORIENTAR AS ATIVIDADES DA ORGANIZAÇÃOProcessamento de Dados Amazonas S.A. 29 CONTEÚDO DA PSI 1. 1 COMPROMETIMENTO DA ALTA DIREÇÃO E FUNCIONÁRIOS 2. REGRAS GERAIS DE CONDUTA 3. PREVENÇÃO CONTRA AMEAÇAS 4. 4 ATRIBUIÇÕES E RESPONSABILIDADESProcessamento de Dados Amazonas S.A. 30 15
  16. 16. PLANO DE CONTINUIDADE DOS NEGÓCIOS GARANTIA DA CONTINUIDADE DOS PROCESSOS E INFORMAÇÕES VITAIS PARA A SOBREVIVÊNCIA DA ORGANIZAÇÃOProcessamento de Dados Amazonas S.A. 31 AUDITORIA DE SISTEMAS EXAME DAS OPERAÇÕES, PROCESSOS E SISTEMAS COM INTUITO DE VERIFICAR CONFORMIDADE COM OS PADRÕES DEFINIDOSProcessamento de Dados Amazonas S.A. 32 16
  17. 17. O QUE AUDITAR DADOS, ARQUIVOS, PROGRAMAS, SISTEMAS, DOCUMENTAÇÃO DOS SISTEMAS, PROCESSOS E EQUIPAMENTOS CRÍTICOSProcessamento de Dados Amazonas S.A. 33 NORMAS DE SEGURANÇAProcessamento de Dados Amazonas S.A. 34 17
  18. 18. O QUE É A ISO 17799 CÓDIGO DAS MELHORES PRÁTICAS PARA A GESTÃO DA SEGURANÇA DA INFORMAÇÃO, QUE CONTEMPLA 10 DOMÍNIOS COM 127 CONTROLES VERSÃO BRASILEIRA DA NORMA INGLESA BS 7799 TRADUZIDA PELA ABNT EM 2001Processamento de Dados Amazonas S.A. 35 ORIGEM DA ISO 17799 1995: 1995 BS 7799-1 7799- 1999: BS 7799-2 7799- 2000: ISO 17799 2001: ABNT NBR ISO 17799 2005: ISO 27000Processamento de Dados Amazonas S.A. 36 18
  19. 19. O QUE É A ISO 15408 É uma norma para DEFINIR E AVALIAR p requisitos de segurança de SISTEMAS Conjunto de 3 VOLUMES (aprox. 400 páginas) O PRIMEIRO discute DEFINIÇÕES e METODOLOGIA O SEGUNDO lista um conjunto de REQUISITOS DE SEGURANÇA O TERCEIRO trata das metodologias de AVALIAÇÃOProcessamento de Dados Amazonas S.A. 37 ORIGEM DA ISO 15408 Vários países europeus e americanos (EUA, Canadá, França, Inglaterra, Alemanha, etc) estavam criando seus PADRÕES PARA DESENVOLVER SISTEMAS SEGUROS Os países europeus decidiram unificar seus critérios, criando o INFORMATION TECHNOLOGY SECURITY EVALUATION CRITERIA (ITSEC) Em 1990 houve a UNIFCAÇÃO DOS PADRÕES europeu e norte americano, criando- se assim o criando- COMMON CRITERIA (CC) A versão 2.1 do CC se tornou o ISO 15408Processamento de Dados Amazonas S.A. 38 19
  20. 20. ASPECTOS LEGAISProcessamento de Dados Amazonas S.A. 39 INVIOLABILIDADE DOS DADOS Artigo 5º da CONSTITUIÇÃO FEDERAL (DIREITOS E DEVERES INDIVIDUAIS E COLETIVOS) Inciso X: DADOS CADASTRAIS DOS USUÁRIOS SÃO PROTEGIDOS PELO DIREITO À PRIVACIDADE Inciso XII: i “É inviolável o sigilo da correspondência e das comunicações telegráficas, DE DADOS e das comunicações telefônicas, salvo, no último caso, por ordem judicial...”Processamento de Dados Amazonas S.A. 40 20
  21. 21. RESPONSABILIDADE DOS DIRIGENTES • Artigo 422 do Código Civil Probidade e boa fé • Artigo 1011 do Código Civil Cuidado e diligência • Artigo 1016 do Código Civil g g Respondem solidariamente pela empresa • Artigo 1022 do Código Civil Obrigações assumidas pelos dirigentesProcessamento de Dados Amazonas S.A. 41 PENALIDADE AOS EMPREGADOS • Artigo 313-A d Códi A ti 313- do Código Penal P l Inserção de dados falsos (3M a 2A + multa) • Artigo 313-B do Código Penal 313- Adulteração de programas (2 a 12A + multa) • Artigo 482 da CLT Motivos para justa causa Exemplo: O uso da INTERNET para outros fins pode ser interpretado como DESÍDIA (queda no rendimento do trabalho, descaso...) 42Processamento de Dados Amazonas S.A. 21
  22. 22. PORQUE NÃO INVESTIMOS EM SEGURANÇA... 1. 1 O QUE TEMOS JÁ É SUFICIENTE SUFICIENTE... 2. NOSSO PESSOAL É DE CONFIANÇA... 3. SEGURANÇA É COISA DE PESSIMISTA... 4. NUNCA TIVEMOS PROBLEMA DE SEGURANÇA... 5. PROBLEMAS SÓ ACONTECEM COM OS OUTROS... 6. 6 SEGURANÇA É PARA ORGANIZAÇÃO DE GRANDE PORTE PORTE... 7. OS PROJETOS DE SEGURANÇA SEMPRE PODEM SER ADIADOS... 8. SEGURANÇA NÃO É INVESTIMENTO...Processamento de Dados Amazonas S.A. 43 PARA REFLETIR... 1. Quais os PRINCIPAIS RISCOS para a organização? 2. Quais são os SERVIÇOS CRÍTICOS? 3. Quais são os RECURSOS CRÍTICOS? 4. Quais são as PESSOAS CRÍTICAS da organização? 5. Por QUANTO TEMPO nossos serviços podem ser interrompidos? 6. QUANTO CUSTA um dia parado? 7. ONDE PODEMOS EXECUTAR nossos serviços críticos? 8. OS SERVIÇOS CRÍTICOS SÃO AUDITADOS periodicamente?Processamento de Dados Amazonas S.A. 44 22
  23. 23. QUAL O INVESTIMENTO NECESSÁRIO ?Processamento de Dados Amazonas S.A. 45 OBRIGADO! Aristóbulo Angelim de Araújo ari@prodamnet.com.br 2121-6438Processamento de Dados Amazonas S.A. 46 23

×