SlideShare uma empresa Scribd logo

Aula 02 - Segurança da Informação nos Negócios.pdf

M
MarcosSoares168651

Este documento discute a segurança da informação nas organizações. Primeiro, aborda como a informação assumiu um papel fundamental nas organizações modernas e como os dados se transformam em informações e conhecimento. Também discute os riscos à segurança da informação provenientes de dentro e fora da organização e a necessidade de classificar as informações e protegê-las ao longo de seu ciclo de vida. Finalmente, enfatiza a importância de uma abordagem corporativa para segurança da informação, envolvendo diferentes departamentos e níveis hierárquicos da organização

Internet
1 de 44
Baixar para ler offline
Segurança da Informação nos Negócios Prof. Anderson Felinto Barbosa Bacharelado em Sistemas de Informação Gestão de Segurança da Informação
A Informação no Contexto das Organizações 2
Mudanças no paradigma das organizações › A evolução das Tecnologias de Informação e Comunicação (TICs), o acesso facilitado a informação e conhecimento, as mudanças organizacionais e nos métodos de trabalho, novos modelos de negócio, a comunicação e competitividade, dentre outros fatores causaram mudanças no paradigma das organizações contemporâneas. › A informação assume um papel fundamental na nova realidade mundial de uma sociedade globalizada, e a aceitação dessa ideia a coloca como recurso chave de competitividade, de diferencial de mercado, de lucratividade e de poder nessa nova sociedade do Século XXI 3
A Informação › A palavra informação deriva do latim, informare, que significa dar forma ou aparência, criar, representar uma ideia ou noção de algo que é colocado em forma, em ordem. › Comumente encontramos o emprego da palavra informação como o ato ou efeito de informar, comunicar-se, algo transmitido e dotado de propósitos. 4
A Informação (Definições) › Algumas definições presentes na literatura: – “Dado investido de propósito” (Drucker , 2000, p. 13) – “Informação é um conjunto de fatos organizados de modo a terem valor adicional, além do valor dos fatos propriamente ditos”(Stair e Reynolds, 2002, p.10), – “Dados coletados, organizados, ordenados, aos quais são atribuídos significados e contexto”(McGee e Prusak, 1994, p. 24) – “É uma mensagem, geralmente na forma de um documento ou uma comunicação audível ou visível e que, em um processo natural, os dados são transformados em informações” (Davenport, 1994, p. 04) 5
O Fluxo da Informação Dado Informação Conhecimento 6
O Fluxo da Informação nas Organizações 7 › Dados são elementos que representam eventos ocorridos em uma organização, antes de serem organizados em uma forma entendível, ou seja, os dados são elementos brutos desprovidos de significados. – Exemplo: horário que o funcionário bateu o ponto. › Depois de serem submetidos a um processo de organização, manipulação, análise e avaliação, os dados passam a ter valor para a organização, em um contexto especifico, e assumem a forma de informação. – Exemplo: O calculo da diferença entre o horário final do funcionário e o horário que ele bateu o ponto da saída → Quantidade de hora excedente. › Tais informações são utilizadas parar tomada de decisão com base no conhecimento adquirido de experiências vividas.
A Informação na Organização 8 › A onipresença da informação nas organizações › Ativo valioso o funcionamento das organizações
A Informação na Organização › A informação como o “Sangue” da empresa. › Necessário para o funcionamento dos subsistemas da empresa. › Essencial para o funcionamento da empresa. › Fluxo entre as interfaces dos subsistemas. 9
Problemas com a proliferação das Informações › À medida que as informações se proliferam nas organizações, geram-se problemas de difíceis resoluções práticas. › A sua importância assume um caráter subjetivo e dinâmico em função do papel que pode desempenhar nas atividades da organização. › Exigindo esforços para distingui-las e classificá-las diante dos diversos critérios que podem ser adotados 10
Classificação das Informações em uma Organização › A classificação da informação em uma organização pode assumir dois papeis distintos e cruciais: – Importância para o negócio (organização) – À sua proteção durante o ciclo de vida 11
Classificação das Informações em uma Organização › Importância para o negócio (organização) – Critica - essencial à sobrevivência da organização; – Mínima - essencial para uma boa gestão da organização; – Potencial - essencial para a obtenção de vantagens competitivas utilizando-se os sistemas de informação; – Lixo - desprovida de qualquer valor; › Deve-se existir um esforço para a manutenção da informação crítica, mínima e potencial. Além da redução de desperdícios de recursos com as informações LIXO. 12
Classificação das Informações em uma Organização › Importância para o negócio (organização) 13
Classificação das Informações em uma Organização › Quanto a sua proteção (requisitos de segurança) durante o ciclo de vida – Manuseio: Momento em que a informação é criada e manipulada › Formal (deliberadamente planejado) › Informal (de forma espontânea) – Armazenamento: Momento em que a informação é armazenada (banco de dados, papel, pen-drive, etc) – Transporte: Momento em que a informação é transportada (email, ligação, postagem, etc) – Descarte: Momento em que a informação é descartada (lixeira, deleção de um arquivo, etc) 14
Manipulação das Informações › A circulação das informações pelos setores e processos das empresas está sujeita a ameaças e vulnerabilidades. › Em caso de furos, podem haver impactos negativos para a empresa › As informações deixaram de estar confinadas em ambientes físicos e passaram a estar em uma grande TEIA DE COMUNICAÇÃO INTEGRADA. – Distribuídas e Compartilhadas › As vulnerabilidades transcendem os aspectos tecnológicos, sendo alvo de interferências provocadas por aspectos físicos e humanos. 15
A “miopia” dos executivos › A informação é o alvo › Os executivos pensam em segurança apenas como recursos tecnológicos. – Associam apenas a redes, computadores, vírus, hackers e internet – Há outros aspectos de segurança que são importantes para os negócios. › Elementos internos e externos que também se relacionam com a Segurança da Informação (características físicas, tecnológicas e humanas das empresa, mercado, concorrentes, planos e estratégias de negócio) 16
Diversidade panorâmica das ameaças que põem o negócio em risco 17
Diversidade panorâmica das ameaças que põem o negócio em risco › Na empresa, o desafio é realizar ações que mapeiem e identifiquem a situação atual da empresa, suas ameaças, vulnerabilidades, riscos, sensibilidades e impactos, a fim de permitir o adequado dimensionamento e modelagem da solução. › Cada empresa possui características particulares que levarão à aplicação de uma solução personalizada capaz de levá-la a um nível de segurança também personalizado 18
Diversidade panorâmica das ameaças que põem o negócio em risco › Não existe segurança total. Cada empresa precisará de um nível distinto. › Se o nível for alto demais, poderá gerar efeitos colaterais, como a perda de velocidade em função da burocratização de processos, a insatisfação de clientes e parceiros, e até o desinteresse de possíveis investidores, dentre outros. › Cai, portanto, o mito de que é possível operar com risco zero. Sempre haverá risco, e ele deve ser ajustado à natureza do negócio, considerando todas as variáveis internas e externas apontadas anteriormente a fim de viabilizar a operação da empresa. 19
Macroaspectos para análise do contexto de segurança › Quais os macroaspectos que devemos considerar para a análise da segurança da informação? 20
Por que se preocupar com a segurança? 21
Por que se preocupar com a Segurança? › Considere o contexto de uma casa. Na casa há duas portas: social e serviço – Qual a importância e o papel dessas portas? – Quais os ativos que estão protegidos com as portas? 22
Por que se preocupar com a Segurança? › Considere o contexto de uma casa. Na casa há duas portas: social e serviço – Qual a importância e o papel dessas portas? › Resistência aos que querem acessar fisicamente os ambientes › Proteção aos bens › Proteção a família – As portas possuem os mesmos mecanismos de segurança? › Mesmo tipo de fechadura? › Mesma proteção? › Comumente, não! Há níveis de segurança distintos. 23
Por que se preocupar com a Segurança? › E na empresa, o que devemos assegurar analisar quando queremos implantar Segurança da Informação. – Aspectos Tecnológicos – Aspectos Físicos – Aspectos Humanos. › Considerando o Laboratórios de Informática do IFAL, como são assegurados os aspectos acima? › Será que o investimento em Segurança da Informação está alinhado com o objetivo estratégico da Organização? – Melhora o ROI (Retorno Sobre Investimento) 24
Segurança nas Empresas › O nível de Segurança está diretamente associado ao nível de segurança da “porta mais fraca”. › É preciso ter uma visão corporativa capaz de viabilizar uma ação consistente e abrangente. › A todo instante, os negócios, seus processos e ativos físicos, tecnológicos e humanos, são alvo de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma vulnerabilidade capaz de potencializar sua ação. – Quando essa possibilidade aparece, a quebra de segurança é consumada. 25
Segurança nas Empresas 26
Vulnerabilidades e Ameaças 27
Segurança das Informações: Erros! › Atribuir exclusivamente à área tecnológica a segurança da informação. › Posicionar hierarquicamente essa equipe abaixo da diretoria de TI e julgar que esse é o posicionamento definitivo. › Definir investimentos subestimados e limitados à abrangência dessa diretoria. › Elaborar planos de ação orientados à reatividade. › Não perceber a interferência direta da segurança com o negócio. 28
Segurança das Informações: Erros! › Tratar as atividades como despesa e não como investimento. › Adotar ferramentas pontuais como medida paliativa. › Satisfazer-se com a sensação de segurança provocada por ações isoladas. › Não cultivar corporativamente a cultura da gestão de riscos. › Tratar a segurança como um projeto e não como um processo. 29
Segurança das Informações: Sensibilização top-down › Por se tratar de um assunto estratégico, se faz necessário mobilizar/sensibilizar a alta cúpula da empresa para, só assim, chegar nos níveis de informações estratégicos e operacionais. – Ações, financeiro, priorização, dentre outros aspectos devem ser observados. – Necessidade de convencimento 30
Segurança das Informações: Retorno sobre o Investimento › O ROI (retorno sobre o investimento) é uma ferramenta antiga, velha conhecida dos empreendedores, investidores e executivos atentos ao mercado e às oportunidades. › Construído através do cruzamento de dados reais relacionados a custos diretos, indiretos e intangíveis, com a projeção de investimentos, torna-se ótimo instrumento para nortear as ações desses executivos. › Analisando-o, consegue-se muitas vezes justificar altos investimentos, mudanças de rumo e estratégia; afinal, torna-se possível projetar o retorno do investimento. – Resposta: Devo realizar esse investimento??? 31
Segurança das Informações: Retorno sobre o Investimento 32
Segurança das Informações: Retorno sobre o Investimento › Ponto de Inflexão – Situação é indesejada – O mesmo que investir em segurança um montante maior do que o próprio valor do bem protegido, considerando e ponderando, é claro, todos os aspectos associados à operação do negócio. 33
Segurança das Informações: Retorno sobre o Investimento (exemplos) › Se cruzarmos o número de contaminações por vírus de computador em um ano, o percentual de funcionários atingidos, o tempo perdido com a paralisação e o custo homem/hora, perceberemos com nitidez o impacto direto no negócio. › Se, por ocasião de um desastre, houver a indisponibilidade de um serviço — por exemplo, Internet Banking —, multiplique o número de correntistas que o acessam por hora, a economia que a empresa tem pelo fato de seus correntistas evitarem as agências e migrarem para a Internet e, assim, terá o impacto direto no negócio. › O acesso indiscriminado e controle à internet pode provocar uma sobrecarga da banda de rede, antecipando investimentos e causando indisponibilidade. 34
Quem são os responsáveis para Segurança da Informação em uma empresa? › Quem deve coordenar as ações de Segurança a Informação nas empresas? – Muitas empresas relacionam, e muitas vezes encapsulam, o orçamento e as ações de segurança ao plano diretor de informática ou plano estratégico de TI. – Se considerarmos a diversidade das vulnerabilidades, ameaças e impactos que incidem sobre todos os ambientes e processos da empresa, veremos que tal modelo não cumpre o papel. – A empresa pode ter uma coordenação voltada para os recursos tecnológicos e não considerando os aspectos adicionais (humanos e físicos). – As ações precisam estar intimamente alinhadas às diretrizes estratégicas da empresa, sendo necessário ter uma visão corporativa, global e ampla, capaz de criar sinergia entre as atividades e, principalmente, maior ROI. 35
Quem são os responsáveis para Segurança da Informação em uma empresa? › Um comitê corporativo de segurança da informação deve ser criado. › Posicionada no segundo nível hierárquico, ao lado do comitê executivo que reúne CEO e conselheiros › Essa unidade deve ser multidepartamental, coordenada e mediada pelo Security Officer, mas com forte representatividade das diretorias da empresa. › Considerando o porte e o modelo organizacional da empresa, poderá ser necessária a criação de comitês interdepartamentais de segurança, que irão se reportar ao comitê corporativo, estes movidos por representantes de perfil gerencial — sintonizados com o Security Officer 36
37
Uma vez planejado, não muda? Não! Gerenciamento de Mudanças › Mudanças podem acontecer a qualquer momento. › Muitas variáveis podem interferir direto ou indiretamente nos riscos operacionais dos negócios. › As mudanças das variáveis podem ser imprescritíveis e incontroláveis. Logo, as empresas devem estar respaldadas por uma solução de segurança (não reativa). › Se faz necessário um processo que capaz de acompanhar com velocidade as variações do ambiente e controlar os riscos para manter-se num nível adequado. 38
39
Uma vez planejado, não muda? Não! Gerenciamento de Mudanças › A segurança que todas deverão buscar deve ser mantida por um verdadeiro processo de gestão corporativa de segurança da informação, sustentado por subprocessos retroalimentados que interajam todo o tempo com as variáveis e estejam constantemente sendo ajustados às diretrizes estratégicas do negócio. – Modelo de Gestão Corporativa de Segurança da Informação 40
Modelo de Gestão Corporativa de Segurança › O Modelo de Gestão Corporativa de Segurança apresenta uma visão clara de todas as etapas que compõem o desafio corporativo da segurança e formalizar os processos que darão vida e dinamismo à gestão. 41
Modelo de Gestão Corporativa de Segurança › O Modelo é composto pelas seguintes etapas: – Comitê corporativo de segurança da informação – Mapeamento de segurança – Estratégia de segurança – Planejamento de segurança – Implementação de segurança – Administração de segurança – Segurança na cadeia produtiva › Cada uma dessas etapas cumpre um papel importante no ciclo e gera resultados finais que deverão estar devidamente formatados e alimentam a etapa subsequente. › Será possível reagir com velocidade às mudanças que inevitavelmente ocorrerão na operação do negócio, fazendo o risco oscila 42
43
Dúvidas? 44

Recomendados

A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesIsraelCunha
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação CorporativaMarcelo de Freitas Lopes
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurançaCarlos Veiga
 

Recomendados

A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesIsraelCunha
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação CorporativaMarcelo de Freitas Lopes
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurançaCarlos Veiga
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)israellfelipe
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Cláudio Dodt
 
O valor das informações para as empresas e a importancia da seguranca da info...
O valor das informações para as empresas e a importancia da seguranca da info...O valor das informações para as empresas e a importancia da seguranca da info...
O valor das informações para as empresas e a importancia da seguranca da info...André Luiz Cunha
 
Introdução aos Sistemas de Informações
Introdução aos Sistemas de InformaçõesIntrodução aos Sistemas de Informações
Introdução aos Sistemas de InformaçõesMatheus Beleboni
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosCarlos Henrique Martins da Silva
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Tiago Tavares
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
O papel estratégico da informação e dos sistemas
O papel estratégico da informação e dos sistemasO papel estratégico da informação e dos sistemas
O papel estratégico da informação e dos sistemasSérgio Reis
 
Capitulo3 eb
Capitulo3 ebCapitulo3 eb
Capitulo3 ebproducaoaudiovisualunip
 
Administração de Sistemas de Informação - aulas 1 e 2
Administração de Sistemas de Informação - aulas 1 e 2Administração de Sistemas de Informação - aulas 1 e 2
Administração de Sistemas de Informação - aulas 1 e 2Paulo Sérgio Ramão
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da InformaçãoFelipe Goulart
 
Sistema de Informação em Marketing
Sistema de Informação em MarketingSistema de Informação em Marketing
Sistema de Informação em MarketingElvis Fusco
 
Classificação da informação
Classificação da informaçãoClassificação da informação
Classificação da informaçãoFernando Palma
 
Jose
JoseJose
Joseleiry rodrigues
 

Mais conteúdo relacionado

Semelhante a Aula 02 - Segurança da Informação nos Negócios.pdf

Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)israellfelipe
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Cláudio Dodt
 
O valor das informações para as empresas e a importancia da seguranca da info...
O valor das informações para as empresas e a importancia da seguranca da info...O valor das informações para as empresas e a importancia da seguranca da info...
O valor das informações para as empresas e a importancia da seguranca da info...André Luiz Cunha
 
Introdução aos Sistemas de Informações
Introdução aos Sistemas de InformaçõesIntrodução aos Sistemas de Informações
Introdução aos Sistemas de InformaçõesMatheus Beleboni
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Tiago Tavares
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
O papel estratégico da informação e dos sistemas
O papel estratégico da informação e dos sistemasO papel estratégico da informação e dos sistemas
O papel estratégico da informação e dos sistemasSérgio Reis
 
Administração de Sistemas de Informação - aulas 1 e 2
Administração de Sistemas de Informação - aulas 1 e 2Administração de Sistemas de Informação - aulas 1 e 2
Administração de Sistemas de Informação - aulas 1 e 2Paulo Sérgio Ramão
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da InformaçãoFelipe Goulart
 
Sistema de Informação em Marketing
Sistema de Informação em MarketingSistema de Informação em Marketing
Sistema de Informação em MarketingElvis Fusco
 
Classificação da informação
Classificação da informaçãoClassificação da informação
Classificação da informaçãoFernando Palma
 

Semelhante a Aula 02 - Segurança da Informação nos Negócios.pdf (17)

Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafios
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
Conscientização na prática: Como tornar o fator humano um dos mais efetivos c...
 
O valor das informações para as empresas e a importancia da seguranca da info...
O valor das informações para as empresas e a importancia da seguranca da info...O valor das informações para as empresas e a importancia da seguranca da info...
O valor das informações para as empresas e a importancia da seguranca da info...
 
Introdução aos Sistemas de Informações
Introdução aos Sistemas de InformaçõesIntrodução aos Sistemas de Informações
Introdução aos Sistemas de Informações
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
O papel estratégico da informação e dos sistemas
O papel estratégico da informação e dos sistemasO papel estratégico da informação e dos sistemas
O papel estratégico da informação e dos sistemas
 
Capitulo3 eb
Capitulo3 ebCapitulo3 eb
Capitulo3 eb
 
Administração de Sistemas de Informação - aulas 1 e 2
Administração de Sistemas de Informação - aulas 1 e 2Administração de Sistemas de Informação - aulas 1 e 2
Administração de Sistemas de Informação - aulas 1 e 2
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da Informação
 
Sistema de Informação em Marketing
Sistema de Informação em MarketingSistema de Informação em Marketing
Sistema de Informação em Marketing
 
Classificação da informação
Classificação da informaçãoClassificação da informação
Classificação da informação
 
Jose
JoseJose
Jose
 

Aula 02 - Segurança da Informação nos Negócios.pdf

  • 1. Segurança da Informação nos Negócios Prof. Anderson Felinto Barbosa Bacharelado em Sistemas de Informação Gestão de Segurança da Informação
  • 2. A Informação no Contexto das Organizações 2
  • 3. Mudanças no paradigma das organizações › A evolução das Tecnologias de Informação e Comunicação (TICs), o acesso facilitado a informação e conhecimento, as mudanças organizacionais e nos métodos de trabalho, novos modelos de negócio, a comunicação e competitividade, dentre outros fatores causaram mudanças no paradigma das organizações contemporâneas. › A informação assume um papel fundamental na nova realidade mundial de uma sociedade globalizada, e a aceitação dessa ideia a coloca como recurso chave de competitividade, de diferencial de mercado, de lucratividade e de poder nessa nova sociedade do Século XXI 3
  • 4. A Informação › A palavra informação deriva do latim, informare, que significa dar forma ou aparência, criar, representar uma ideia ou noção de algo que é colocado em forma, em ordem. › Comumente encontramos o emprego da palavra informação como o ato ou efeito de informar, comunicar-se, algo transmitido e dotado de propósitos. 4
  • 5. A Informação (Definições) › Algumas definições presentes na literatura: – “Dado investido de propósito” (Drucker , 2000, p. 13) – “Informação é um conjunto de fatos organizados de modo a terem valor adicional, além do valor dos fatos propriamente ditos”(Stair e Reynolds, 2002, p.10), – “Dados coletados, organizados, ordenados, aos quais são atribuídos significados e contexto”(McGee e Prusak, 1994, p. 24) – “É uma mensagem, geralmente na forma de um documento ou uma comunicação audível ou visível e que, em um processo natural, os dados são transformados em informações” (Davenport, 1994, p. 04) 5
  • 6. O Fluxo da Informação Dado Informação Conhecimento 6
  • 7. O Fluxo da Informação nas Organizações 7 › Dados são elementos que representam eventos ocorridos em uma organização, antes de serem organizados em uma forma entendível, ou seja, os dados são elementos brutos desprovidos de significados. – Exemplo: horário que o funcionário bateu o ponto. › Depois de serem submetidos a um processo de organização, manipulação, análise e avaliação, os dados passam a ter valor para a organização, em um contexto especifico, e assumem a forma de informação. – Exemplo: O calculo da diferença entre o horário final do funcionário e o horário que ele bateu o ponto da saída → Quantidade de hora excedente. › Tais informações são utilizadas parar tomada de decisão com base no conhecimento adquirido de experiências vividas.
  • 8. A Informação na Organização 8 › A onipresença da informação nas organizações › Ativo valioso o funcionamento das organizações
  • 9. A Informação na Organização › A informação como o “Sangue” da empresa. › Necessário para o funcionamento dos subsistemas da empresa. › Essencial para o funcionamento da empresa. › Fluxo entre as interfaces dos subsistemas. 9
  • 10. Problemas com a proliferação das Informações › À medida que as informações se proliferam nas organizações, geram-se problemas de difíceis resoluções práticas. › A sua importância assume um caráter subjetivo e dinâmico em função do papel que pode desempenhar nas atividades da organização. › Exigindo esforços para distingui-las e classificá-las diante dos diversos critérios que podem ser adotados 10
  • 11. Classificação das Informações em uma Organização › A classificação da informação em uma organização pode assumir dois papeis distintos e cruciais: – Importância para o negócio (organização) – À sua proteção durante o ciclo de vida 11
  • 12. Classificação das Informações em uma Organização › Importância para o negócio (organização) – Critica - essencial à sobrevivência da organização; – Mínima - essencial para uma boa gestão da organização; – Potencial - essencial para a obtenção de vantagens competitivas utilizando-se os sistemas de informação; – Lixo - desprovida de qualquer valor; › Deve-se existir um esforço para a manutenção da informação crítica, mínima e potencial. Além da redução de desperdícios de recursos com as informações LIXO. 12
  • 13. Classificação das Informações em uma Organização › Importância para o negócio (organização) 13
  • 14. Classificação das Informações em uma Organização › Quanto a sua proteção (requisitos de segurança) durante o ciclo de vida – Manuseio: Momento em que a informação é criada e manipulada › Formal (deliberadamente planejado) › Informal (de forma espontânea) – Armazenamento: Momento em que a informação é armazenada (banco de dados, papel, pen-drive, etc) – Transporte: Momento em que a informação é transportada (email, ligação, postagem, etc) – Descarte: Momento em que a informação é descartada (lixeira, deleção de um arquivo, etc) 14
  • 15. Manipulação das Informações › A circulação das informações pelos setores e processos das empresas está sujeita a ameaças e vulnerabilidades. › Em caso de furos, podem haver impactos negativos para a empresa › As informações deixaram de estar confinadas em ambientes físicos e passaram a estar em uma grande TEIA DE COMUNICAÇÃO INTEGRADA. – Distribuídas e Compartilhadas › As vulnerabilidades transcendem os aspectos tecnológicos, sendo alvo de interferências provocadas por aspectos físicos e humanos. 15
  • 16. A “miopia” dos executivos › A informação é o alvo › Os executivos pensam em segurança apenas como recursos tecnológicos. – Associam apenas a redes, computadores, vírus, hackers e internet – Há outros aspectos de segurança que são importantes para os negócios. › Elementos internos e externos que também se relacionam com a Segurança da Informação (características físicas, tecnológicas e humanas das empresa, mercado, concorrentes, planos e estratégias de negócio) 16
  • 18. Diversidade panorâmica das ameaças que põem o negócio em risco › Na empresa, o desafio é realizar ações que mapeiem e identifiquem a situação atual da empresa, suas ameaças, vulnerabilidades, riscos, sensibilidades e impactos, a fim de permitir o adequado dimensionamento e modelagem da solução. › Cada empresa possui características particulares que levarão à aplicação de uma solução personalizada capaz de levá-la a um nível de segurança também personalizado 18
  • 19. Diversidade panorâmica das ameaças que põem o negócio em risco › Não existe segurança total. Cada empresa precisará de um nível distinto. › Se o nível for alto demais, poderá gerar efeitos colaterais, como a perda de velocidade em função da burocratização de processos, a insatisfação de clientes e parceiros, e até o desinteresse de possíveis investidores, dentre outros. › Cai, portanto, o mito de que é possível operar com risco zero. Sempre haverá risco, e ele deve ser ajustado à natureza do negócio, considerando todas as variáveis internas e externas apontadas anteriormente a fim de viabilizar a operação da empresa. 19
  • 20. Macroaspectos para análise do contexto de segurança › Quais os macroaspectos que devemos considerar para a análise da segurança da informação? 20
  • 21. Por que se preocupar com a segurança? 21
  • 22. Por que se preocupar com a Segurança? › Considere o contexto de uma casa. Na casa há duas portas: social e serviço – Qual a importância e o papel dessas portas? – Quais os ativos que estão protegidos com as portas? 22
  • 23. Por que se preocupar com a Segurança? › Considere o contexto de uma casa. Na casa há duas portas: social e serviço – Qual a importância e o papel dessas portas? › Resistência aos que querem acessar fisicamente os ambientes › Proteção aos bens › Proteção a família – As portas possuem os mesmos mecanismos de segurança? › Mesmo tipo de fechadura? › Mesma proteção? › Comumente, não! Há níveis de segurança distintos. 23
  • 24. Por que se preocupar com a Segurança? › E na empresa, o que devemos assegurar analisar quando queremos implantar Segurança da Informação. – Aspectos Tecnológicos – Aspectos Físicos – Aspectos Humanos. › Considerando o Laboratórios de Informática do IFAL, como são assegurados os aspectos acima? › Será que o investimento em Segurança da Informação está alinhado com o objetivo estratégico da Organização? – Melhora o ROI (Retorno Sobre Investimento) 24
  • 25. Segurança nas Empresas › O nível de Segurança está diretamente associado ao nível de segurança da “porta mais fraca”. › É preciso ter uma visão corporativa capaz de viabilizar uma ação consistente e abrangente. › A todo instante, os negócios, seus processos e ativos físicos, tecnológicos e humanos, são alvo de investidas de ameaças de toda ordem, que buscam identificar um ponto fraco compatível, uma vulnerabilidade capaz de potencializar sua ação. – Quando essa possibilidade aparece, a quebra de segurança é consumada. 25
  • 28. Segurança das Informações: Erros! › Atribuir exclusivamente à área tecnológica a segurança da informação. › Posicionar hierarquicamente essa equipe abaixo da diretoria de TI e julgar que esse é o posicionamento definitivo. › Definir investimentos subestimados e limitados à abrangência dessa diretoria. › Elaborar planos de ação orientados à reatividade. › Não perceber a interferência direta da segurança com o negócio. 28
  • 29. Segurança das Informações: Erros! › Tratar as atividades como despesa e não como investimento. › Adotar ferramentas pontuais como medida paliativa. › Satisfazer-se com a sensação de segurança provocada por ações isoladas. › Não cultivar corporativamente a cultura da gestão de riscos. › Tratar a segurança como um projeto e não como um processo. 29
  • 30. Segurança das Informações: Sensibilização top-down › Por se tratar de um assunto estratégico, se faz necessário mobilizar/sensibilizar a alta cúpula da empresa para, só assim, chegar nos níveis de informações estratégicos e operacionais. – Ações, financeiro, priorização, dentre outros aspectos devem ser observados. – Necessidade de convencimento 30
  • 31. Segurança das Informações: Retorno sobre o Investimento › O ROI (retorno sobre o investimento) é uma ferramenta antiga, velha conhecida dos empreendedores, investidores e executivos atentos ao mercado e às oportunidades. › Construído através do cruzamento de dados reais relacionados a custos diretos, indiretos e intangíveis, com a projeção de investimentos, torna-se ótimo instrumento para nortear as ações desses executivos. › Analisando-o, consegue-se muitas vezes justificar altos investimentos, mudanças de rumo e estratégia; afinal, torna-se possível projetar o retorno do investimento. – Resposta: Devo realizar esse investimento??? 31
  • 32. Segurança das Informações: Retorno sobre o Investimento 32
  • 33. Segurança das Informações: Retorno sobre o Investimento › Ponto de Inflexão – Situação é indesejada – O mesmo que investir em segurança um montante maior do que o próprio valor do bem protegido, considerando e ponderando, é claro, todos os aspectos associados à operação do negócio. 33
  • 34. Segurança das Informações: Retorno sobre o Investimento (exemplos) › Se cruzarmos o número de contaminações por vírus de computador em um ano, o percentual de funcionários atingidos, o tempo perdido com a paralisação e o custo homem/hora, perceberemos com nitidez o impacto direto no negócio. › Se, por ocasião de um desastre, houver a indisponibilidade de um serviço — por exemplo, Internet Banking —, multiplique o número de correntistas que o acessam por hora, a economia que a empresa tem pelo fato de seus correntistas evitarem as agências e migrarem para a Internet e, assim, terá o impacto direto no negócio. › O acesso indiscriminado e controle à internet pode provocar uma sobrecarga da banda de rede, antecipando investimentos e causando indisponibilidade. 34
  • 35. Quem são os responsáveis para Segurança da Informação em uma empresa? › Quem deve coordenar as ações de Segurança a Informação nas empresas? – Muitas empresas relacionam, e muitas vezes encapsulam, o orçamento e as ações de segurança ao plano diretor de informática ou plano estratégico de TI. – Se considerarmos a diversidade das vulnerabilidades, ameaças e impactos que incidem sobre todos os ambientes e processos da empresa, veremos que tal modelo não cumpre o papel. – A empresa pode ter uma coordenação voltada para os recursos tecnológicos e não considerando os aspectos adicionais (humanos e físicos). – As ações precisam estar intimamente alinhadas às diretrizes estratégicas da empresa, sendo necessário ter uma visão corporativa, global e ampla, capaz de criar sinergia entre as atividades e, principalmente, maior ROI. 35
  • 36. Quem são os responsáveis para Segurança da Informação em uma empresa? › Um comitê corporativo de segurança da informação deve ser criado. › Posicionada no segundo nível hierárquico, ao lado do comitê executivo que reúne CEO e conselheiros › Essa unidade deve ser multidepartamental, coordenada e mediada pelo Security Officer, mas com forte representatividade das diretorias da empresa. › Considerando o porte e o modelo organizacional da empresa, poderá ser necessária a criação de comitês interdepartamentais de segurança, que irão se reportar ao comitê corporativo, estes movidos por representantes de perfil gerencial — sintonizados com o Security Officer 36
  • 37. 37
  • 38. Uma vez planejado, não muda? Não! Gerenciamento de Mudanças › Mudanças podem acontecer a qualquer momento. › Muitas variáveis podem interferir direto ou indiretamente nos riscos operacionais dos negócios. › As mudanças das variáveis podem ser imprescritíveis e incontroláveis. Logo, as empresas devem estar respaldadas por uma solução de segurança (não reativa). › Se faz necessário um processo que capaz de acompanhar com velocidade as variações do ambiente e controlar os riscos para manter-se num nível adequado. 38
  • 39. 39
  • 40. Uma vez planejado, não muda? Não! Gerenciamento de Mudanças › A segurança que todas deverão buscar deve ser mantida por um verdadeiro processo de gestão corporativa de segurança da informação, sustentado por subprocessos retroalimentados que interajam todo o tempo com as variáveis e estejam constantemente sendo ajustados às diretrizes estratégicas do negócio. – Modelo de Gestão Corporativa de Segurança da Informação 40
  • 41. Modelo de Gestão Corporativa de Segurança › O Modelo de Gestão Corporativa de Segurança apresenta uma visão clara de todas as etapas que compõem o desafio corporativo da segurança e formalizar os processos que darão vida e dinamismo à gestão. 41
  • 42. Modelo de Gestão Corporativa de Segurança › O Modelo é composto pelas seguintes etapas: – Comitê corporativo de segurança da informação – Mapeamento de segurança – Estratégia de segurança – Planejamento de segurança – Implementação de segurança – Administração de segurança – Segurança na cadeia produtiva › Cada uma dessas etapas cumpre um papel importante no ciclo e gera resultados finais que deverão estar devidamente formatados e alimentam a etapa subsequente. › Será possível reagir com velocidade às mudanças que inevitavelmente ocorrerão na operação do negócio, fazendo o risco oscila 42
  • 43. 43