1. SEGURANÇA DA INFORMAÇÃO
(Porque investir)
JAN/2007
Aristóbulo Angelim de Araújo
ari@prodamnet.com.br
2121-6438
Processamento de Dados Amazonas S.A. 1
AGENDA
1. NECESSIDADES ATUAIS
2.
2 PRINCIPAIS PROBLEMAS DE SEGURANÇA
3. DESAFIOS DA SEGURANÇA
4. PRINCIPAIS MEDIDAS DE SEGURANÇA
• AR – Análise de Riscos
• PSI – Política de Segurança da Informação
• PCN – Plano de Continuidade dos Negócios
• AS – Auditoria de Sistemas
5. NORMAS DE SEGURANÇA
• ISO 17799 (REQUISITOS PARA A ORGANIZAÇÃO)
• ISO 15408 (REQUISITOS DE SOFTWARE APLICATIVO)
6. ASPECTOS LEGAIS
7. PARA REFLETIR
Processamento de Dados Amazonas S.A. 2
1
2. AS NECESSIDADES
ATUAIS
B2B
G2G
G2B
GOVERNO EMPRESA
B2G
G2C B2C
C2G C2B
CIDADÃO
C2C
Processamento de Dados Amazonas S.A. 3
O PARADOXO
ABRIR INTERNET BANKING
COMÉRCIO ELETRÔNICO
GOVERNO ELETRÔNICO
MOBILE
INCLUSÃO DIGITAL
X
PROTEGER
Processamento de Dados Amazonas S.A. 4
2
3. A DEPENDÊNCIA
V
O
L
U
M
E COMPUTADOR
/
C
O
EM REDE
M
P
60% a 95%
A das O M P U T A D O R
C informações
críticas
R
T
I
L
ISOLADO
H
A
M
E
.?. P A P E L
»
N
T
O
105 AC 1940 1970 TEMPO
Processamento de Dados Amazonas S.A. 5
SOBREVIVÊNCIA
QUANTO TEMPO UMA ORGANIZAÇÃO SOBREVIVE SEM
O COMPUTADOR?
Organização Tempo
FINANCEIRA 1 DIA
INDUSTRIAL 5 DIAS
COMERCIAL 8 DIAS
Processamento de Dados Amazonas S.A. 6
3
4. OS RISCOS DA
ORGANIZAÇÃO
1. FALHA DE EQUIPAMENTOS
DANOS MATERIAIS/
2. DESASTRES NATURAIS/ACIDENTAIS
FINANCEIROS/
3. VANDALISMO (EXTERNO/INTERNO)
PREJUIZOS
4. CONCORRÊNCIA NA IMAGEM
5. INTERRUPÇÃO DAS ATIVIDADES
Processamento de Dados Amazonas S.A. 7
OS RISCOS DO
CIDADÃO
1.PREJUIZOS
1. PREJUIZOS FINANCEIROS
(VIOLAÇÃO DE CARTÕES DE
CRÉDITO E DE PRIVACIDADE
INVASÃO BANCÁRIOS)
2.USO
2. USO INDEVIDO DE SEUS DADOS
CADASTRAIS
Processamento de Dados Amazonas S.A. 8
4
5. ALGUNS EXEMPLOS
Processamento de Dados Amazonas S.A. 9
INTERNET (mau uso)
10 funcionários 1.760 horas
(8h x 22 dias)
Horas improdutivas 220 horas
(10f x 1h x 22 d)
Custo mensal (com encargos) 20.000,00
(R$ 2.000 x 10)
Valor da hora 11,36
(20.000 / 1.760)
Prejuízo financeiro mensal 2.500,00
(h.improdutiva x valor da hora)
Processamento de Dados Amazonas S.A. 10
5
6. VAZAMENTO DE
INFORMAÇÕES
“...DOCUMENTOS apontam para a
existência de um esquema de
superfaturamento em obras e convênios
que atingem R$ 1,79 BILHÃO,
dinheiro movimentado entre 2003 e
2006...”
Jornal Amazonas Em Tempo
30/06/2006
Processamento de Dados Amazonas S.A. 11
ADULTERAÇÃO DE DADOS 1
DERRAME DE CNHs FALSAS
“...Esquema de emissão de carteiras
nacionais de habilitação sem a devida
aprovação do candidato está sendo
investigado pela Polícia Federal...”
i ti d l P lí i F d l ”
Jornal A Crítica
07/02/2007
Processamento de Dados Amazonas S.A. 12
6
7. ADULTERAÇÃO DE DADOS 2
OPERAÇÃO RIO NILO
“...Fulana de tal é acusada de alterar a
base de dados da SEFAZ para beneficiar
a empresa mercantil XYZ...”
XYZ...
Jornal A Crítica
16/02/2007
Processamento de Dados Amazonas S.A. 13
O QUE SE ESPERA DOS
BITS
1.SEGURANÇA
1. SEGURANÇA DA AUTORIA E DO
CONTEÚDO
2.PRIVACIDADE
2. PRIVACIDADE NA
COMUNICAÇÃO
3.USO
3. USO EM JUIZO NOS CRIMES
ELETRÔNICOS
Processamento de Dados Amazonas S.A. 14
7
8. SEGURANÇA x PROTEÇÃO
SEGURANÇA = ato ou efeito de
TORNAR SEGURO
PROTEÇÃO = ato ou efeito de
PRESERVAR DO MAL
Processamento de Dados Amazonas S.A. 15
DEFINIÇÃO DE SI
Preservação da
CONFIDENCIALIDADE, da
INTEGRIDADE e da
DISPONIBLIDADE da
informação
(ISO 27000)
Processamento de Dados Amazonas S.A. 16
8
9. ASPECTOS
CONSIDERADOS
PESSOAS
SEGURANÇA
DA
PROCESSOS
INFORMAÇÃO
TECNOLOGIA
Processamento de Dados Amazonas S.A. 17
PRINCIPAIS PROBLEMAS
ADULTERAÇÃO DE DADOS
ADULTERAÇÃO DE PROGRAMAS
Ã
Processamento de Dados Amazonas S.A. 18
9
10. DESAFIOS DA SEGURANÇA
1.IDENTIFICAR E TRATAR OS
PROBLEMAS
2.O
2 O QUE PROTEGER?
3.COMO PROTEGER?
Processamento de Dados Amazonas S.A. 19
IDENTIFICAR E TRATAR
PROBLEMAS
1.Falha nos equipamentos
q p
2.Desastres naturais e
acidentais
3.Vandalismo EXTERNO
(HACKER, CRACKER, VIRUS)
4.Vandalismo INTERNO
(ADULTERAÇÃO DE DADOS/PROGRAMAS)
Processamento de Dados Amazonas S.A. 20
10
11. O QUE PROTEGER?
TODOS OS ATIVOS DE
INFORMAÇÃO
(Arquivos digitais, programas,
digitais programas
documentos, equipamentos,
instalações, pessoas, etc.)
Processamento de Dados Amazonas S.A. 21
COMO PROTEGER?
GARANTINDO
CONFIDENCIALIDADE
(CONHECIDA POR QUEM ESTÁ AUTORIZADO)
INTEGRIDADE
(LIVRE DE ALTERAÇÕES INDEVIDAS)
DISPONILIDADE
(ACESSÍVEL QUANDO NECESSÁRIA)
Processamento de Dados Amazonas S.A. 22
11
12. PRINCIPAIS
PREOCUPAÇÕES
1. EVITAR A OCORRÊNCIA DE
Ê
SINISTROS
2. REDUZIR OS DANOS PROVOCADOS
PELOS SINISTROS
3.
3 CRIAR CONDIÇÕES PARA
RECOMPOR A SITUAÇÃO ORIGINAL
4. ATENDER REGULAMENTAÇÕES
(BACEN 3380 – CVM 380 – SUSEP – 285)
Processamento de Dados Amazonas S.A. 23
MEDIDAS DE SEGURANÇA
Processamento de Dados Amazonas S.A. 24
12
13. MEDIDAS DE SEGURANÇA
AÇÕES VOLTADAS PARA
ELIMINAÇÃO OU REDUÇÃO
DAS VULNERABILIDADES
Processamento de Dados Amazonas S.A. 25
PRINCIPAIS MEDIDAS DE
SEGURANÇA
1. AR – ANÁLISE DE RISCOS
2. PSI – POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
3. PCN – PLANO DE CONTINUIDADE
DE NEGÓCIOS
4. AS – AUDITORIA DE SISTEMAS
Processamento de Dados Amazonas S.A. 26
13
14. ANÁLISE DE RISCOS
ATIVIDADE QUE VISA RASTREAR UM
AMBIENTE EM BUSCA DE
VULNERABILIDADES
PRODUZ:
1. DIAGNÓSTICO DA SEGURANÇA
2. RECOMENDAÇÕES PARA A
PROTEÇÃO DOS ATIVOS
Processamento de Dados Amazonas S.A. 27
OBJETIVOS DA AR
1. IDENTIFICAR OS PROCESSOS
CRÍTICOS
2. IDENTIFICAR OS ATIVOS CRÍTICOS
3. IDENTIFICAR AS AMEAÇAS
POTENCIAIS
4. IDENTIFICAR AS VULNERABILIDADES
PRESENTES
5. SUGERIR AÇÕES CORRETIVAS E
PREVENTIVAS
Processamento de Dados Amazonas S.A. 28
14
15. POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
ESTABELECE OS PADRÕES MÍNIMOS
DE SEGURANÇA A SEREM SEGUIDOS
PRODUZ:
1. CONJUNTO DE DIRETRIZES PARA
ORIENTAR AS ATIVIDADES DA
ORGANIZAÇÃO
Processamento de Dados Amazonas S.A. 29
CONTEÚDO DA PSI
1.
1 COMPROMETIMENTO DA ALTA
DIREÇÃO E FUNCIONÁRIOS
2. REGRAS GERAIS DE CONDUTA
3. PREVENÇÃO CONTRA AMEAÇAS
4.
4 ATRIBUIÇÕES E
RESPONSABILIDADES
Processamento de Dados Amazonas S.A. 30
15
16. PLANO DE CONTINUIDADE DOS
NEGÓCIOS
GARANTIA DA CONTINUIDADE DOS
PROCESSOS E INFORMAÇÕES VITAIS
PARA A SOBREVIVÊNCIA DA
ORGANIZAÇÃO
Processamento de Dados Amazonas S.A. 31
AUDITORIA DE SISTEMAS
EXAME DAS OPERAÇÕES, PROCESSOS
E SISTEMAS COM INTUITO DE
VERIFICAR CONFORMIDADE COM OS
PADRÕES DEFINIDOS
Processamento de Dados Amazonas S.A. 32
16
17. O QUE AUDITAR
DADOS, ARQUIVOS, PROGRAMAS,
SISTEMAS, DOCUMENTAÇÃO DOS
SISTEMAS, PROCESSOS E
EQUIPAMENTOS CRÍTICOS
Processamento de Dados Amazonas S.A. 33
NORMAS DE SEGURANÇA
Processamento de Dados Amazonas S.A. 34
17
18. O QUE É A ISO 17799
CÓDIGO DAS MELHORES PRÁTICAS
PARA A GESTÃO DA SEGURANÇA DA
INFORMAÇÃO, QUE CONTEMPLA 10
DOMÍNIOS COM 127 CONTROLES
VERSÃO BRASILEIRA DA NORMA
INGLESA BS 7799 TRADUZIDA PELA
ABNT EM 2001
Processamento de Dados Amazonas S.A. 35
ORIGEM DA ISO 17799
1995:
1995 BS 7799-1
7799-
1999: BS 7799-2
7799-
2000: ISO 17799
2001: ABNT NBR ISO 17799
2005: ISO 27000
Processamento de Dados Amazonas S.A. 36
18
19. O QUE É A ISO 15408
É uma norma para DEFINIR E AVALIAR
p
requisitos de segurança de SISTEMAS
Conjunto de 3 VOLUMES (aprox. 400
páginas)
O PRIMEIRO discute DEFINIÇÕES e
METODOLOGIA
O SEGUNDO lista um conjunto de
REQUISITOS DE SEGURANÇA
O TERCEIRO trata das metodologias de
AVALIAÇÃO
Processamento de Dados Amazonas S.A. 37
ORIGEM DA ISO 15408
Vários países europeus e americanos (EUA,
Canadá, França, Inglaterra, Alemanha, etc)
estavam criando seus PADRÕES PARA
DESENVOLVER SISTEMAS SEGUROS
Os países europeus decidiram unificar seus
critérios, criando o INFORMATION TECHNOLOGY
SECURITY EVALUATION CRITERIA (ITSEC)
Em 1990 houve a UNIFCAÇÃO DOS PADRÕES
europeu e norte americano, criando- se assim o
criando-
COMMON CRITERIA (CC)
A versão 2.1 do CC se tornou o ISO 15408
Processamento de Dados Amazonas S.A. 38
19
20. ASPECTOS LEGAIS
Processamento de Dados Amazonas S.A. 39
INVIOLABILIDADE DOS
DADOS
Artigo 5º da CONSTITUIÇÃO FEDERAL
(DIREITOS E DEVERES INDIVIDUAIS E COLETIVOS)
Inciso X:
DADOS CADASTRAIS DOS USUÁRIOS SÃO
PROTEGIDOS PELO DIREITO À PRIVACIDADE
Inciso XII:
i
“É inviolável o sigilo da correspondência e das
comunicações telegráficas, DE DADOS e das
comunicações telefônicas, salvo, no último
caso, por ordem judicial...”
Processamento de Dados Amazonas S.A. 40
20
21. RESPONSABILIDADE
DOS DIRIGENTES
• Artigo 422 do Código Civil
Probidade e boa fé
• Artigo 1011 do Código Civil
Cuidado e diligência
• Artigo 1016 do Código Civil
g g
Respondem solidariamente pela empresa
• Artigo 1022 do Código Civil
Obrigações assumidas pelos dirigentes
Processamento de Dados Amazonas S.A. 41
PENALIDADE AOS
EMPREGADOS
• Artigo 313-A d Códi
A ti 313- do Código Penal
P l
Inserção de dados falsos (3M a 2A + multa)
• Artigo 313-B do Código Penal
313-
Adulteração de programas (2 a 12A + multa)
• Artigo 482 da CLT
Motivos para justa causa
Exemplo:
O uso da INTERNET para outros fins pode ser
interpretado como DESÍDIA (queda no
rendimento do trabalho, descaso...) 42
Processamento de Dados Amazonas S.A.
21
22. PORQUE NÃO INVESTIMOS
EM SEGURANÇA...
1.
1 O QUE TEMOS JÁ É SUFICIENTE
SUFICIENTE...
2. NOSSO PESSOAL É DE CONFIANÇA...
3. SEGURANÇA É COISA DE PESSIMISTA...
4. NUNCA TIVEMOS PROBLEMA DE SEGURANÇA...
5. PROBLEMAS SÓ ACONTECEM COM OS OUTROS...
6.
6 SEGURANÇA É PARA ORGANIZAÇÃO DE GRANDE PORTE
PORTE...
7. OS PROJETOS DE SEGURANÇA SEMPRE PODEM SER
ADIADOS...
8. SEGURANÇA NÃO É INVESTIMENTO...
Processamento de Dados Amazonas S.A. 43
PARA REFLETIR...
1. Quais os PRINCIPAIS RISCOS para a organização?
2. Quais são os SERVIÇOS CRÍTICOS?
3. Quais são os RECURSOS CRÍTICOS?
4. Quais são as PESSOAS CRÍTICAS da organização?
5. Por QUANTO TEMPO nossos serviços podem ser
interrompidos?
6. QUANTO CUSTA um dia parado?
7. ONDE PODEMOS EXECUTAR nossos serviços críticos?
8. OS SERVIÇOS CRÍTICOS SÃO AUDITADOS
periodicamente?
Processamento de Dados Amazonas S.A. 44
22
23. QUAL O INVESTIMENTO
NECESSÁRIO
?
Processamento de Dados Amazonas S.A. 45
OBRIGADO!
Aristóbulo Angelim de Araújo
ari@prodamnet.com.br
2121-6438
Processamento de Dados Amazonas S.A. 46
23