SlideShare uma empresa Scribd logo

Seguranca da Informação - Conceitos

Luiz Arthur
Luiz Arthur
TecnologiaNotícias e política
1 de 28
Baixar para ler offline
1 Se g urança da Info rm ação Segurança da Informação   A informação é o maior patrimônio para muitas empresas e protege-la não é uma atividade simples.   Entretanto, para que seja possível obter nível aceitável de segurança, não basta reunir um conjunto de ferramentas de software e implementá-las. Os seus resultados tornam-se mais eficazes quando sua utilização está dentro do contexto de um Plano de Segurança, elaborado em conjunto pelos níveis estratégicos, tático e operacional da empresa.   É claro que as medidas de segurança não asseguram 100% de proteção contra todas as ameaças, mas a definição das expectativas da Organização, com relação ao comportamento e os procedimentos necessários no manuseio dos seus bens/ativos, deverá estar mais do que nunca enraizados na cultura da empresa, pois segurança não é só uma questão técnica, mas de política e educação empresarial.
2 Se g urança da Info rm ação Segurança da Informação Portanto a segurança de uma empresa não esta ligado somente a produtos voltados à segurança como: ✗Firewall; ✗Software de encriptação de dados; ✗IDS; ✗etc. Mas sua abrangência vai muito além disso, como podendo-se citar: ➢Análise de Risco; ➢Política de Segurança; ➢Controle de Acesso Físico e Lógico; ➢Treinamento e Conscientização para Segurança da Informação; ➢Plano de Contingência.   A segurança da informação pode e deve ser tratada como um conjunto de mecanismo conforme acima exposto, devendo ser adequada à necessidade de cada empresa.
3 Se g urança da Info rm ação Segurança da Informação Alguns pontos são importantes de determinar quanto a segurança, e a empresa deve sempre tê-los em mente:   ✔O que deve ser protegido? ✔Contra o que será necessário proteger? ✔Como será feita a proteção?   Além disso, será necessário determinar que nível de segurança é necessário, bem como avaliar a questão custo x beneficio.
4 Se g urança da Info rm ação Segurança da Informação Exemplo:   Uma agência de publicidade, que esteja ligada a Internet, necessita de muita proteção para seus projetos, pois uma propaganda que irá veicular na mídia na semana seguinte não pode de maneira alguma cair nas mãos da concorrência.   Já em Universidade, não é necessária tanta segurança, pois suas publicações, como monografia, teses e material cientifico, geralmente são colocados à disposição de alunos e pesquisadores do mundo inteiro, para consulta.
5 Se g urança da Info rm ação Objetivos da Segurança da Informação   Todo projeto de segurança de informação procura abranger “pelo menos” os processos mais críticos do negócio em questão.   O resultado esperado de um trabalho como este é, sem duvida, que no mínimo todos os investimentos efetuados devam conduzir para:   Redução de probabilidade de ocorrência de incidentes de segurança; Redução dos danos/perdas causados por incidentes de segurança; Recuperação dos danos em caso de desastre/incidente.   O objetivo da segurança, no que tange à informação, é à busca de disponibilidade, confidencialidade e integridade dos seus recursos e da própria informação.
6 Se g urança da Info rm ação Análise de Risco   A analise de risco consiste em um processo de identificação, avaliação dos fatores de risco presentes e de de forma antecipada no Ambiente Organizacional, possibilitando uma visão do impacto negativo causado aos negócios.   Através da aplicação deste processo, é possível determinar as prioridades de ação em função do risco identificado, para que seja atingindo o nível de segurança desejado pela Organização. Proporciona também informações para que se possa identificar o tamanho e o tipo de investimento necessário de forma antecipada aos impactos na Organização causados pela perda ou indisponibilidade dos recursos fundamentais para o negócio.   Portanto, como é possível prever alguns inúmeros acontecimentos que poderão ocorrer, este tipo de análise aponta os possíveis perigos e suas conseqüências em virtude das vulnerabilidades presentes no ambiente computacional de muitas empresas.   Por outro lado, sem um processo deste tipo, não é possível identificar a origem das vulnerabilidades, nem visualizar os riscos.
7 Se g urança da Info rm ação Análise de Risco As medidas de segurança não podem assegurar 100% de proteção, e a empresa deve analisar a relação custo/beneficio. Então, a empresa precisa achar o nível de risco ao qual estará disposta a correr. Este processo deve, no mínimo, proporcionar as seguintes informações:   ●Pontos vulneráveis do ambiente; ●Ameaças potenciais ao ambiente; ●Incidentes de segurança causados pela ação de cada ameaça; ●Impacto negativo para o negócio a partir da ocorrência dos incidentes prováveis de segurança; ●Riscos para o negócio a partir de cada incidente de segurança; ●Medidas de proteção adequadas para impedir ou diminuir o impacto de cada incidente.   Alguns fatores são cruciais e devem ser identificados a fim de mapear todos o negócio da empresa com o intuito de detectar a presença de riscos.
8 Se g urança da Info rm ação Ativos Negócio Ameaças Medidas de Internas Segurança Hardware Software $ Processos Informações Ameaças Documentos Externas Pes s oas Ponto Vulnerável Incidente de Segurança Impacto negativo no negócio Perda/Danos Danos à imagem Perda de confiabilidade dos clientes Perda da vantagem competitiva Incidente de Segurança
9 Se g urança da Info rm ação Alguns exemplos de questionamento devem ser feitos pelas empresas antes de efetuarem qualquer investimento: • Que ativos devem ser protegidos? • Quais ativos críticos deverão ter proteção adicional? • Quais serviços na rede deverão estar disponíveis para os funcionários? • Quem terá acesso a esses serviços? • Quem poderá conceder autorização e privilégios para o acesso aos sistemas? • Que software permitir nas estações de trabalho? • Como proceder quando programas não-aprovados/piratas forem encontrados nas estações de trabalho? Abrangência   O processo de analise das medidas de segurança pode ser aplicado onde seja necessário avaliar riscos potenciais, independente da área desejada, quanto maior o escopo de avaliação, menor a possibilidade de erros em virtude da abrangência dos recursos envolvidos.
10 Se g urança da Info rm ação Bas ead o Inform ação s u jeit a Ne gó cio Prot egem con t ém con t ém Vulne rabilidades au m en t am Medidas d im in u em de Ris co s p erm it em s e gurança au m en t am Am e aças au m en t am au m en t am red u z em Inpacto s No Inte gridade Confide ncialidade Com p rom et em Ne gó cio Cau s am Dis ponibilidade Ciclo de Se gurança da Info rm ação
11 Se g urança da Info rm ação Vulnerabilidade   A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações, etc. Condição causada muitas vezes pelas ausência ou ineficiência das medidas de proteção utilizadas com o intuito de salvaguardar os bens da empresa.   Todos os sistemas são vulneráveis, partindo do pressuposto de que não existem ambientes totalmente seguros. Até as medidas de seguranças implementadas pela empresa possuem falhas.   O nível de vulnerabilidade decai à medida em que são implementados controles e medidas de proteção adequadas, diminuindo também os riscos para o negocio.   Então podemos dizer que os riscos estão ligados ao nível de vulnerabilidade que o ambiente analisado possui, pois para se determinar os riscos, as vulnerabilidades precisam ser identificadas.
12 Se g urança da Info rm ação Como Surgem as Vulnerabilidades?   As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização. Ambiente Vulnerabilidades Computacional n n Não existe uma única causa para o surgimento de vulnerabilidade. A negligência por parte de administradores de rede e a falta de conhecimento técnico são exemplos típicos. Algumas vulnerabilidades estão presentes nos Sistemas Operacionais que acabamos de instalar.   Normalmente os hackers são os primeiros a explorarem as vulnerabilidades.
13 Se g urança da Info rm ação Qual a relação entre vulnerabilidade X medidas de Proteção?   As medidas de proteção também estão sujeitas a terem vulnerabilidades. Enquanto que para um conjunto de ocorrências (ameaças), determinadas medidas de proteção são adequadas, para outras não.   Portanto nas empresas encontramos medias adequadas para uma determinada situação e inadequadas para outras. Por isso é preciso buscar a melhor relação custo/beneficio no momento da definição de sua estratégia de segurança.   O nível de vulnerabilidade do ambiente computacional decai à medida em que são implementados controles e medidas de proteção adequadas, diminuindo também os riscos para o negócio. Podemos dizer que os riscos estão ligados ao nível de vulnerabilidade e ao grau de eficiência de proteção.
14 Se g urança da Info rm ação Incidentes de Segurança Um incidente de segurança é qualquer evento que prejudique o bom andamento dos sistemas, das redes ou do próprio negócio.   Este incidente pode ser o resultado de uma violação de segurança concretizada, um acesso não-autorizado a determinadas informações confidenciais ou até mesmo um site tirado do ar pela ação de um hacker.     Os incidentes de segurança ocorrem pela ação efetiva de uma determinada ameaça através de uma vulnerabilidade encontrada. Logo, podemos afirmar que os incidentes de segurança somente podem ser concretizados quando existem ambientes propícios, ou seja, vulnerabilidades.
15 Se g urança da Info rm ação Medidas de Segurança   Medidas de segurança são esforços como procedimentos, software, configurações, hardware e técnicas empregadas para atenuar as vulnerabilidades com o intuito de reduzir a probabilidade de ocorrência de ação de ameaças e, por conseguinte, os incidentes de segurança.   Como tudo envolve custo, antes de decidir pela estratégia a ser adotada, é importante atentar para o nível de aceitação dos riscos. Este sim deve definir os níveis de investimentos das medidas de segurança que serão adotadas pela empresa.
16 Se g urança da Info rm ação Medidas de Segurança Existem algumas estratégias que pode ser aplicada em um ambiente computacional. A seguir apresentamos três estratégias de segurança que podem ser utilizadas: ●Medida Preventiva: Este tipo de estratégia possui como foco a prevenção da ocorrência de incidentes de segurança. Todos os esforços estão baseados na precaução e, por esta razão, o conjunto de ferramentas e/ou treinamentos estão voltados para esta necessidade. ●Medida Detectiva: É a estratégia utilizada quando se tem a necessidade de obter auditabilidade, monitoramento e detecção em tempo real de tentativas de invasão; ●Medida Corretiva: O enfoque desta estratégia é propor mecanismos para a continuidade das operações, ela propõe ferramentas e procedimentos necessários para a recuperação e a continuidade de uma empresa. Está medida é muito delicada e deve ser realizada com extremo nível de profissionalismos, por se tratar da recuperação da imagem da empresa.
17 Se g urança da Info rm ação Processo de segurança A segurança não é uma tecnologia. Não é possível comprar dispositivos que torne sua rede segura, assim como não é possível comprar ou criar um software capaz de tornar seu computador seguro. O que é possível fazer é administrar um nível aceitável de risco. A segurança é um processo. Pode-se aplicar o processo seguidamente à rede e à empresa que a mantêm e, dessa maneira, melhorar a segurança dos sistemas. Se não iniciar ou interromper a aplicação do processo sua segurança será cada vez pior, à medida que surgirem novas ameaças e técnicas. “É como subir uma escada rolante que desce”. 
18 Se g urança da Info rm ação Processo de segurança O processo de segurança consiste em: • Analise o problema levando em consideração tudo que conhece. • Sintetize uma solução para o problema a partir de sua análise. • Avalie a solução e aprenda em que aspectos não correspondeu a suas expectativas. Depois, reinicie o processo seguidamente. Avaliação Análise Sintese
19 Se g urança da Info rm ação Processo de segurança Em ambientes Informatizados o processo de segurança consiste basicamente em: ●Aprenda tudo o que puder sobre ameaças que encontrar. Use a Internet para adquirir informações e lembre-se de que as informações mudam todos os dias. ●Planeje o melhor possível de acordo com o que aprendeu antes de implementar qualquer coisa. Uma reflexão em um fim de semana sobre o que foi aprendido poderá economizar uma quantidade considerável de tempo e dinheiro. ● Pense como um atacante (pensar idéias perversas) e fortaleça a segurança até torná-la a mais segura possível. ● Implemente exatamente como foi projetado. ●Verifique tudo continuamente para ter certeza de que nada foi alterado. Configurações em computadores podem ser modificadas em instantes e essa modificação poderá causar um forte impacto de segurança. Cuide para que mudanças temporárias sejam temporárias, pois não existe mecanismos capazes de chamar a atenção sobre mudanças. ●Pratique a execução para ter certeza de que compreendeu e será capaz de operá- la de maneira correta.
20 Se g urança da Info rm ação Processo de segurança ●Simplifique o que deseja que as pessoas façam. O sistema não deve ser seguro porque as pessoas não conseguem utilizá-lo. A arte de projetar a segurança de um sistema consiste em faze-lo de forma que os usuários não precisem se preocupar com as medidas de seguranças adotadas, contanto que façam o que lhes é permitido. ●Dificulte o que não deseja que as pessoas façam. Isso se aplica para pessoas desautorizadas e autorizadas. ●Facilite a identificação de problemas. Em qualquer rede existe uma grande quantidade de informações relevantes aprenda como usar essas informações. ●Dificulte esconder o que não deseje que fique escondido. Quanto maior a quantidade de eventos registrados e quanto mais exaustivamente os analisar, maior será a chance de reconhecer rastros de ataques. ●Teste tudo o que puder testar. Comece pelos itens mais importantes e examine todos. ●Pratique tudo o que puder praticar. Para defender a rede, as pessoas precisam conhecer suas funções e estar preparadas de maneira adequada. Melhore tudo o que puder melhorar. Faça com que seja mais simples, mais rápido, ● mais robusto. ● Repita esse processo continuamente, em todos os níveis de detalhe.
21 Se g urança da Info rm ação Política de Segurança   A política de segurança pode ser entendida como sendo um conjunto de normas e diretrizes destinadas a proteção dos ativos da Organização.   Política de segurança pode ser um documento, no qual deve estar descrito a forma que a empresa deseja que seus ativos sejam:   ●Protegidos; ●Manuseados; ●Tratados;   O objetivo de qualquer Política de Segurança é o de definir as expectativas da Organização quanto ao uso dos seus recursos (computadores e redes), estabelecendo procedimentos com o intuito de prevenir e responder a incidentes relativos à segurança.
22 Se g urança da Info rm ação Política de Segurança Devido ao fato da informação nos dias atuais ter um grande valor estratégico e tático para as Organizações. Hoje em dia, a informação é o Ativo mais valioso de muitas empresas.   Diante deste cenário, a política de segurança passa a ter uma importante função, pois visa a proteção dos ativos da Organização para que os negócios não parem e ocorram dentro de um ambiente harmônico e seguro.
23 Se g urança da Info rm ação Escrevendo uma política de segurança Uma política de segurança atende a vários propósitos: ➢ Descreve o que está sendo protegido e por quê. ➢ Define prioridades sobre o que esta precisa ser protegido em primeiro lugar e com qual custo. ➢ Permite estabelecer um acordo explicito com as várias partes da empresa em relação ao valor da segurança. ➢ Fornece ao departamento de segurança um motivo valido para dizer “não” quando necessário. ➢ Impede que o departamento de segurança tenha um desempenho fútil. A Política de segurança de computadores é o que há de mais importante. Porém, se pedir que algum profissional da segurança mostre a política que eles utilizam, é bastante provável que, com um sorriso meio sem graça, perçam que volte mês que vem, quando estiver pronto, ou seja, quase ninguém tem realmente uma política de segurança.
24 Se g urança da Info rm ação Política de segurança A política de segurança é a medida de segurança mais importante de uma empresa, mas é muito provável que a maioria das empresas não possua uma. As razoes para isso são: ✔ Prioridade. A política é importante, mas hoje é preciso que alguém coloque o servidor Web on-line. É necessário notar que uma política de segurança é urgente. ✔Política interna. Em qualquer empresa vários fatores internos afetam qualquer decisão prática. ✔Propriedade. Em algumas empresas existem brigas entre grupos para ser donos da política, ou o não. ✔Dificuldade para escrever. Uma boa política é um documento difícil de se organizar.
25 Se g urança da Info rm ação Adiante são apresentadas algumas sugestões para ajudar a solucionar problemas com a aplicação (confecção) de políticas de segurança em empresas: Uma boa política hoje é melhor que uma excelente política no próximo ano. Uma política fraca, mas bem-distribuída, é melhor do que uma política forte que ninguém leu. Uma política simples e facilmente compreendida é melhor do que uma política confusa e complicada que ninguém se dá o trabalho de ler. Uma política cujos detalhes estão ligeiramente errados é muito melhor do que uma política sem quaisquer detalhes. Uma política dinâmica que é atualizada constantemente é melhor do que uma política que se torna obsoleta com o passar do tempo.  Costuma ser melhor se desculpar do que pedir permissão.
26 Se g urança da Info rm ação Para se escrever uma boa política execute os seguintes passos: 1. Escreva uma política de segurança para sua empresa. ➢A política deve ter no máximo 5 paginas ➢Não tente torna-la perfeita; ➢Procure apenas reunir algumas idéias essenciais; ➢Não é necessário que esteja completa e não precisa ser de uma clareza absoluta. 2. Descubra três pessoas dispostas a fazer parte do “comitê de política de segurança”. Elas irão criar regras e emendas para a política sem modificá-la. 3. Crie um site da Web interno sobre a política e inclua uma página descrevendo como entrar em contado com o comitê de política de segurança. Mantenha sempre o site atualizado com as políticas. 4. Trate a política e as emendas como regras absolutas com força de lei. ➢ Na permita que a política seja violada. 5. Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma emenda. 6. Programe um encontro regular, fora do local de trabalho, para consolidar a política e as emendas. 7. Repita o processo novamente. Exponha a política no site, trate-a como lei, envolva as pessoas da administração, acrescente emendas conforme seja necessário e revise tudo a cada ano.
27 Se g urança da Info rm ação Descreva como é determinada a importância de uma violação da política e as categorias de conseqüências. Alguns exemplos são apresentados a seguir. Penalidades: Critica - Recomendação para demissão; - Recomendação para abertura de ação legal; Seria - Recomendação para demissão; - Recomendação para desconto de salário; Limitada - Recomendação para desconto de salário; - Repreensão formal por escrito; - Suspensão não-remunerada;
28 Se g urança da Info rm ação

Recomendados

ネットワークエンジニアのための Puppet / Chef
ネットワークエンジニアのための Puppet / Chefネットワークエンジニアのための Puppet / Chef
ネットワークエンジニアのための Puppet / Chefnpsg
 
A excelência de cristo jonathan edwards
A excelência de cristo jonathan edwardsA excelência de cristo jonathan edwards
A excelência de cristo jonathan edwardssoarescastrodf
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Implementing Vulnerability Management
Implementing Vulnerability Management Implementing Vulnerability Management
Implementing Vulnerability Management Argyle Executive Forum
 
Fast forensics(公開用)
Fast forensics(公開用)Fast forensics(公開用)
Fast forensics(公開用)f kasasagi
 
Black Belt Online Seminar Amazon Cognito
Black Belt Online Seminar Amazon CognitoBlack Belt Online Seminar Amazon Cognito
Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜Mamoru Ohashi
 

Recomendados

ネットワークエンジニアのための Puppet / Chef
ネットワークエンジニアのための Puppet / Chefネットワークエンジニアのための Puppet / Chef
ネットワークエンジニアのための Puppet / Chefnpsg
 
A excelência de cristo jonathan edwards
A excelência de cristo jonathan edwardsA excelência de cristo jonathan edwards
A excelência de cristo jonathan edwardssoarescastrodf
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Implementing Vulnerability Management
Implementing Vulnerability Management Implementing Vulnerability Management
Implementing Vulnerability Management Argyle Executive Forum
 
Fast forensics(公開用)
Fast forensics(公開用)Fast forensics(公開用)
Fast forensics(公開用)f kasasagi
 
Black Belt Online Seminar Amazon Cognito
Black Belt Online Seminar Amazon CognitoBlack Belt Online Seminar Amazon Cognito
Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜
ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜Mamoru Ohashi
 
PostgreSQLのパスワードの謎を追え!
PostgreSQLのパスワードの謎を追え!PostgreSQLのパスワードの謎を追え!
PostgreSQLのパスワードの謎を追え!Takashi Meguro
 
V$SQLとその周辺でER図を描いてみよう!
V$SQLとその周辺でER図を描いてみよう!V$SQLとその周辺でER図を描いてみよう!
V$SQLとその周辺でER図を描いてみよう!歩 柴田
 
Insider threat kill chain
Insider threat kill chainInsider threat kill chain
Insider threat kill chainTarun Gupta,CRISC CISSP CISM CISA BCCE
 
Docker composeで開発環境をメンバに配布せよ
Docker composeで開発環境をメンバに配布せよDocker composeで開発環境をメンバに配布せよ
Docker composeで開発環境をメンバに配布せよYusuke Kon
 
Demonstrating Information Security Program Effectiveness
Demonstrating Information Security Program EffectivenessDemonstrating Information Security Program Effectiveness
Demonstrating Information Security Program EffectivenessDoug Copley
 
Science of Security: Cyber Ecosystem Attack Analysis Methodology
Science of Security: Cyber Ecosystem Attack Analysis MethodologyScience of Security: Cyber Ecosystem Attack Analysis Methodology
Science of Security: Cyber Ecosystem Attack Analysis MethodologyShawn Riley
 
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かうShuji Kikuchi
 
HITRUST 101: All the basics you need to know
HITRUST 101: All the basics you need to knowHITRUST 101: All the basics you need to know
HITRUST 101: All the basics you need to know➲ Stella Bridges
 
rsyncのちょっとイイ話
rsyncのちょっとイイ話rsyncのちょっとイイ話
rsyncのちょっとイイ話Kazuhiro Oinuma
 
AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기
AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기
AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기Amazon Web Services Korea
 
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm
 
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014Tiago Marchetti Dolphine
 
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよMITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよshuna roo
 
보안교육자료
보안교육자료보안교육자료
보안교육자료YoungJin Shin
 
Amazon Aurora Deep Dive (db tech showcase 2016)
Amazon Aurora Deep Dive (db tech showcase 2016)Amazon Aurora Deep Dive (db tech showcase 2016)
Amazon Aurora Deep Dive (db tech showcase 2016)Amazon Web Services Japan
 
Cassandraバージョンアップ&移設
Cassandraバージョンアップ&移設Cassandraバージョンアップ&移設
Cassandraバージョンアップ&移設Takehiro Torigaki
 
Redshift Spectrumを使ってみた話
Redshift Spectrumを使ってみた話Redshift Spectrumを使ってみた話
Redshift Spectrumを使ってみた話Yoshiki Kouno
 
Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析
Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析
Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析Amazon Web Services Japan
 
Cobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoCobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoMarcio Henning
 
Classifying Data to Help Secure Business Information - Template fromMicrosoft
Classifying Data to Help Secure Business Information - Template fromMicrosoftClassifying Data to Help Secure Business Information - Template fromMicrosoft
Classifying Data to Help Secure Business Information - Template fromMicrosoftDavid J Rosenthal
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 

Mais conteúdo relacionado

Mais procurados

PostgreSQLのパスワードの謎を追え!
PostgreSQLのパスワードの謎を追え!PostgreSQLのパスワードの謎を追え!
PostgreSQLのパスワードの謎を追え!Takashi Meguro
 
V$SQLとその周辺でER図を描いてみよう!
V$SQLとその周辺でER図を描いてみよう!V$SQLとその周辺でER図を描いてみよう!
V$SQLとその周辺でER図を描いてみよう!歩 柴田
 
Docker composeで開発環境をメンバに配布せよ
Docker composeで開発環境をメンバに配布せよDocker composeで開発環境をメンバに配布せよ
Docker composeで開発環境をメンバに配布せよYusuke Kon
 
Demonstrating Information Security Program Effectiveness
Demonstrating Information Security Program EffectivenessDemonstrating Information Security Program Effectiveness
Demonstrating Information Security Program EffectivenessDoug Copley
 
Science of Security: Cyber Ecosystem Attack Analysis Methodology
Science of Security: Cyber Ecosystem Attack Analysis MethodologyScience of Security: Cyber Ecosystem Attack Analysis Methodology
Science of Security: Cyber Ecosystem Attack Analysis MethodologyShawn Riley
 
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かうShuji Kikuchi
 
HITRUST 101: All the basics you need to know
HITRUST 101: All the basics you need to knowHITRUST 101: All the basics you need to know
HITRUST 101: All the basics you need to know➲ Stella Bridges
 
rsyncのちょっとイイ話
rsyncのちょっとイイ話rsyncのちょっとイイ話
rsyncのちょっとイイ話Kazuhiro Oinuma
 
AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기
AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기
AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기Amazon Web Services Korea
 
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm
 
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014Tiago Marchetti Dolphine
 
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよMITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよshuna roo
 
Amazon Aurora Deep Dive (db tech showcase 2016)
Amazon Aurora Deep Dive (db tech showcase 2016)Amazon Aurora Deep Dive (db tech showcase 2016)
Amazon Aurora Deep Dive (db tech showcase 2016)Amazon Web Services Japan
 
Cassandraバージョンアップ&移設
Cassandraバージョンアップ&移設Cassandraバージョンアップ&移設
Cassandraバージョンアップ&移設Takehiro Torigaki
 
Redshift Spectrumを使ってみた話
Redshift Spectrumを使ってみた話Redshift Spectrumを使ってみた話
Redshift Spectrumを使ってみた話Yoshiki Kouno
 
Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析
Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析
Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析Amazon Web Services Japan
 
Cobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoCobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoMarcio Henning
 
Classifying Data to Help Secure Business Information - Template fromMicrosoft
Classifying Data to Help Secure Business Information - Template fromMicrosoftClassifying Data to Help Secure Business Information - Template fromMicrosoft
Classifying Data to Help Secure Business Information - Template fromMicrosoftDavid J Rosenthal
 

Mais procurados (20)

PostgreSQLのパスワードの謎を追え!
PostgreSQLのパスワードの謎を追え!PostgreSQLのパスワードの謎を追え!
PostgreSQLのパスワードの謎を追え!
 
V$SQLとその周辺でER図を描いてみよう!
V$SQLとその周辺でER図を描いてみよう!V$SQLとその周辺でER図を描いてみよう!
V$SQLとその周辺でER図を描いてみよう!
 
Insider threat kill chain
Insider threat kill chainInsider threat kill chain
Insider threat kill chain
 
Docker composeで開発環境をメンバに配布せよ
Docker composeで開発環境をメンバに配布せよDocker composeで開発環境をメンバに配布せよ
Docker composeで開発環境をメンバに配布せよ
 
Demonstrating Information Security Program Effectiveness
Demonstrating Information Security Program EffectivenessDemonstrating Information Security Program Effectiveness
Demonstrating Information Security Program Effectiveness
 
Science of Security: Cyber Ecosystem Attack Analysis Methodology
Science of Security: Cyber Ecosystem Attack Analysis MethodologyScience of Security: Cyber Ecosystem Attack Analysis Methodology
Science of Security: Cyber Ecosystem Attack Analysis Methodology
 
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
 
HITRUST 101: All the basics you need to know
HITRUST 101: All the basics you need to knowHITRUST 101: All the basics you need to know
HITRUST 101: All the basics you need to know
 
rsyncのちょっとイイ話
rsyncのちょっとイイ話rsyncのちょっとイイ話
rsyncのちょっとイイ話
 
AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기
AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기
AWS Summit Seoul 2023 | 실시간 CDC 데이터 처리! Modern Transactional Data Lake 구축하기
 
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
 
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
 
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよMITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよ
 
보안교육자료
보안교육자료보안교육자료
보안교육자료
 
Amazon Aurora Deep Dive (db tech showcase 2016)
Amazon Aurora Deep Dive (db tech showcase 2016)Amazon Aurora Deep Dive (db tech showcase 2016)
Amazon Aurora Deep Dive (db tech showcase 2016)
 
Cassandraバージョンアップ&移設
Cassandraバージョンアップ&移設Cassandraバージョンアップ&移設
Cassandraバージョンアップ&移設
 
Redshift Spectrumを使ってみた話
Redshift Spectrumを使ってみた話Redshift Spectrumを使ってみた話
Redshift Spectrumを使ってみた話
 
Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析
Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析
Amazon Kinesis Analytics によるストリーミングデータのリアルタイム分析
 
Cobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informaçãoCobit 5 governança-gestão-segurança-da-informação
Cobit 5 governança-gestão-segurança-da-informação
 
Classifying Data to Help Secure Business Information - Template fromMicrosoft
Classifying Data to Help Secure Business Information - Template fromMicrosoftClassifying Data to Help Secure Business Information - Template fromMicrosoft
Classifying Data to Help Secure Business Information - Template fromMicrosoft
 

Destaque

Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoDaiana de Ávila
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informaçãoCleber Fonseca
 
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativosSegurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativosCleber Fonseca
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da InformaçãoAndré Santos
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurançaFernando Palma
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
O Uso Da Informação E O Ciclo Da Informação Nas Organizações
O Uso Da Informação E O Ciclo Da Informação Nas OrganizaçõesO Uso Da Informação E O Ciclo Da Informação Nas Organizações
O Uso Da Informação E O Ciclo Da Informação Nas OrganizaçõesLeonardo Moraes
 
Politica De Seguranca
Politica De SegurancaPolitica De Seguranca
Politica De SegurancaRaul Libório
 
Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)
Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)
Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)Rafael Biriba
 
Segurança da Informação Aplicada
Segurança da Informação AplicadaSegurança da Informação Aplicada
Segurança da Informação AplicadaEduardo Neves
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Sistema de Informação
Sistema de InformaçãoSistema de Informação
Sistema de InformaçãoAntonio Cruz
 
Sistema de Informação na Empresa
Sistema de Informação na EmpresaSistema de Informação na Empresa
Sistema de Informação na EmpresaAdeildo Telles
 

Destaque (20)

Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informação
 
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativosSegurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da Informação
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurança
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
O Uso Da Informação E O Ciclo Da Informação Nas Organizações
O Uso Da Informação E O Ciclo Da Informação Nas OrganizaçõesO Uso Da Informação E O Ciclo Da Informação Nas Organizações
O Uso Da Informação E O Ciclo Da Informação Nas Organizações
 
Politica De Seguranca
Politica De SegurancaPolitica De Seguranca
Politica De Seguranca
 
Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)
Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)
Faculdade: Trabalho sobre Seguranca Digital (Versão em PDF)
 
Segurança da Informação Aplicada
Segurança da Informação AplicadaSegurança da Informação Aplicada
Segurança da Informação Aplicada
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Sistema de Informação
Sistema de InformaçãoSistema de Informação
Sistema de Informação
 
Sistema de Informação na Empresa
Sistema de Informação na EmpresaSistema de Informação na Empresa
Sistema de Informação na Empresa
 

Semelhante a Seguranca da Informação - Conceitos

Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcEloGroup
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Insegurança na Rede: problemas e soluções
Insegurança na Rede: problemas e soluçõesInsegurança na Rede: problemas e soluções
Insegurança na Rede: problemas e soluçõeselliando dias
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Agir f nery 01mar2019
Agir f nery 01mar2019Agir f nery 01mar2019
Agir f nery 01mar2019Fernando Nery
 
Segurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação CorporativaSegurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação CorporativaLeonardo Lacerda
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueSymantec Brasil
 

Semelhante a Seguranca da Informação - Conceitos (20)

Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A GrcElo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
Elo Group Modernizando A AplicaçãO De Matrizes De Risco Orientado A Grc
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Insegurança na Rede: problemas e soluções
Insegurança na Rede: problemas e soluçõesInsegurança na Rede: problemas e soluções
Insegurança na Rede: problemas e soluções
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Portfolio
PortfolioPortfolio
Portfolio
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
 
Cyber Edge - Seguro para Riscos Cibernéticos
Cyber Edge - Seguro para Riscos CibernéticosCyber Edge - Seguro para Riscos Cibernéticos
Cyber Edge - Seguro para Riscos Cibernéticos
 
Agir f nery 01mar2019
Agir f nery 01mar2019Agir f nery 01mar2019
Agir f nery 01mar2019
 
IT2S Group
IT2S GroupIT2S Group
IT2S Group
 
Segurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação CorporativaSegurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação Corporativa
 
Segurança de sistemas industriais parte i
Segurança de sistemas industriais parte iSegurança de sistemas industriais parte i
Segurança de sistemas industriais parte i
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataque
 
Jose
JoseJose
Jose
 

Mais de Luiz Arthur

Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Luiz Arthur
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Luiz Arthur
 
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Luiz Arthur
 
Detecção de alertas de segurança em redes de computadores usando redes sociai...
Detecção de alertas de segurança em redes de computadores usando redes sociai...Detecção de alertas de segurança em redes de computadores usando redes sociai...
Detecção de alertas de segurança em redes de computadores usando redes sociai...Luiz Arthur
 
Evaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security AlertsEvaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security AlertsLuiz Arthur
 
Análise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no TwitterAnálise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no TwitterLuiz Arthur
 
match making e propaganda na web
match making e propaganda na webmatch making e propaganda na web
match making e propaganda na webLuiz Arthur
 
Mineração de dados no Gmail e Facebook
Mineração de dados no Gmail e FacebookMineração de dados no Gmail e Facebook
Mineração de dados no Gmail e FacebookLuiz Arthur
 
Invasao kernel.org
Invasao kernel.orgInvasao kernel.org
Invasao kernel.orgLuiz Arthur
 
Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)Luiz Arthur
 
Palestra Ferramentas de Segurança Open Source v.2
Palestra Ferramentas de Segurança Open Source v.2Palestra Ferramentas de Segurança Open Source v.2
Palestra Ferramentas de Segurança Open Source v.2Luiz Arthur
 
Palestra mau uso da tecnologia
Palestra mau uso da tecnologiaPalestra mau uso da tecnologia
Palestra mau uso da tecnologiaLuiz Arthur
 
UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105Luiz Arthur
 
01 programação - introdução computação
01 programação - introdução computação01 programação - introdução computação
01 programação - introdução computaçãoLuiz Arthur
 
Bibliografia recomendada - programação C
Bibliografia recomendada - programação CBibliografia recomendada - programação C
Bibliografia recomendada - programação CLuiz Arthur
 
Bibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-pythonBibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-pythonLuiz Arthur
 
Bibliografia recomendada-seguranca
Bibliografia recomendada-segurancaBibliografia recomendada-seguranca
Bibliografia recomendada-segurancaLuiz Arthur
 
Bibliografia recomendada-redes
Bibliografia recomendada-redesBibliografia recomendada-redes
Bibliografia recomendada-redesLuiz Arthur
 

Mais de Luiz Arthur (20)

Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
 
NAPSOL
NAPSOLNAPSOL
NAPSOL
 
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
 
Detecção de alertas de segurança em redes de computadores usando redes sociai...
Detecção de alertas de segurança em redes de computadores usando redes sociai...Detecção de alertas de segurança em redes de computadores usando redes sociai...
Detecção de alertas de segurança em redes de computadores usando redes sociai...
 
Evaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security AlertsEvaluating the Utilization of Twitter Messages as a Source of Security Alerts
Evaluating the Utilization of Twitter Messages as a Source of Security Alerts
 
Análise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no TwitterAnálise de Mensagens de Segurança Postadas no Twitter
Análise de Mensagens de Segurança Postadas no Twitter
 
match making e propaganda na web
match making e propaganda na webmatch making e propaganda na web
match making e propaganda na web
 
Mineração de dados no Gmail e Facebook
Mineração de dados no Gmail e FacebookMineração de dados no Gmail e Facebook
Mineração de dados no Gmail e Facebook
 
Invasao kernel.org
Invasao kernel.orgInvasao kernel.org
Invasao kernel.org
 
Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)Núcleo do Linux (Kernel Linux)
Núcleo do Linux (Kernel Linux)
 
Palestra Ferramentas de Segurança Open Source v.2
Palestra Ferramentas de Segurança Open Source v.2Palestra Ferramentas de Segurança Open Source v.2
Palestra Ferramentas de Segurança Open Source v.2
 
Palestra mau uso da tecnologia
Palestra mau uso da tecnologiaPalestra mau uso da tecnologia
Palestra mau uso da tecnologia
 
UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105UTFPR-inventario-patrimonio-laboratorio-e105
UTFPR-inventario-patrimonio-laboratorio-e105
 
01 programação - introdução computação
01 programação - introdução computação01 programação - introdução computação
01 programação - introdução computação
 
Bibliografia recomendada - programação C
Bibliografia recomendada - programação CBibliografia recomendada - programação C
Bibliografia recomendada - programação C
 
Bibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-pythonBibliografia recomendada-programacao-python
Bibliografia recomendada-programacao-python
 
Bibliografia recomendada-seguranca
Bibliografia recomendada-segurancaBibliografia recomendada-seguranca
Bibliografia recomendada-seguranca
 
Bibliografia recomendada-redes
Bibliografia recomendada-redesBibliografia recomendada-redes
Bibliografia recomendada-redes
 

Último

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx2m Assessoria
 
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx2m Assessoria
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsDanilo Pinotti
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploDanilo Pinotti
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx2m Assessoria
 

Último (6)

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 

Seguranca da Informação - Conceitos

  • 1. 1 Se g urança da Info rm ação Segurança da Informação   A informação é o maior patrimônio para muitas empresas e protege-la não é uma atividade simples.   Entretanto, para que seja possível obter nível aceitável de segurança, não basta reunir um conjunto de ferramentas de software e implementá-las. Os seus resultados tornam-se mais eficazes quando sua utilização está dentro do contexto de um Plano de Segurança, elaborado em conjunto pelos níveis estratégicos, tático e operacional da empresa.   É claro que as medidas de segurança não asseguram 100% de proteção contra todas as ameaças, mas a definição das expectativas da Organização, com relação ao comportamento e os procedimentos necessários no manuseio dos seus bens/ativos, deverá estar mais do que nunca enraizados na cultura da empresa, pois segurança não é só uma questão técnica, mas de política e educação empresarial.
  • 2. 2 Se g urança da Info rm ação Segurança da Informação Portanto a segurança de uma empresa não esta ligado somente a produtos voltados à segurança como: ✗Firewall; ✗Software de encriptação de dados; ✗IDS; ✗etc. Mas sua abrangência vai muito além disso, como podendo-se citar: ➢Análise de Risco; ➢Política de Segurança; ➢Controle de Acesso Físico e Lógico; ➢Treinamento e Conscientização para Segurança da Informação; ➢Plano de Contingência.   A segurança da informação pode e deve ser tratada como um conjunto de mecanismo conforme acima exposto, devendo ser adequada à necessidade de cada empresa.
  • 3. 3 Se g urança da Info rm ação Segurança da Informação Alguns pontos são importantes de determinar quanto a segurança, e a empresa deve sempre tê-los em mente:   ✔O que deve ser protegido? ✔Contra o que será necessário proteger? ✔Como será feita a proteção?   Além disso, será necessário determinar que nível de segurança é necessário, bem como avaliar a questão custo x beneficio.
  • 4. 4 Se g urança da Info rm ação Segurança da Informação Exemplo:   Uma agência de publicidade, que esteja ligada a Internet, necessita de muita proteção para seus projetos, pois uma propaganda que irá veicular na mídia na semana seguinte não pode de maneira alguma cair nas mãos da concorrência.   Já em Universidade, não é necessária tanta segurança, pois suas publicações, como monografia, teses e material cientifico, geralmente são colocados à disposição de alunos e pesquisadores do mundo inteiro, para consulta.
  • 5. 5 Se g urança da Info rm ação Objetivos da Segurança da Informação   Todo projeto de segurança de informação procura abranger “pelo menos” os processos mais críticos do negócio em questão.   O resultado esperado de um trabalho como este é, sem duvida, que no mínimo todos os investimentos efetuados devam conduzir para:   Redução de probabilidade de ocorrência de incidentes de segurança; Redução dos danos/perdas causados por incidentes de segurança; Recuperação dos danos em caso de desastre/incidente.   O objetivo da segurança, no que tange à informação, é à busca de disponibilidade, confidencialidade e integridade dos seus recursos e da própria informação.
  • 6. 6 Se g urança da Info rm ação Análise de Risco   A analise de risco consiste em um processo de identificação, avaliação dos fatores de risco presentes e de de forma antecipada no Ambiente Organizacional, possibilitando uma visão do impacto negativo causado aos negócios.   Através da aplicação deste processo, é possível determinar as prioridades de ação em função do risco identificado, para que seja atingindo o nível de segurança desejado pela Organização. Proporciona também informações para que se possa identificar o tamanho e o tipo de investimento necessário de forma antecipada aos impactos na Organização causados pela perda ou indisponibilidade dos recursos fundamentais para o negócio.   Portanto, como é possível prever alguns inúmeros acontecimentos que poderão ocorrer, este tipo de análise aponta os possíveis perigos e suas conseqüências em virtude das vulnerabilidades presentes no ambiente computacional de muitas empresas.   Por outro lado, sem um processo deste tipo, não é possível identificar a origem das vulnerabilidades, nem visualizar os riscos.
  • 7. 7 Se g urança da Info rm ação Análise de Risco As medidas de segurança não podem assegurar 100% de proteção, e a empresa deve analisar a relação custo/beneficio. Então, a empresa precisa achar o nível de risco ao qual estará disposta a correr. Este processo deve, no mínimo, proporcionar as seguintes informações:   ●Pontos vulneráveis do ambiente; ●Ameaças potenciais ao ambiente; ●Incidentes de segurança causados pela ação de cada ameaça; ●Impacto negativo para o negócio a partir da ocorrência dos incidentes prováveis de segurança; ●Riscos para o negócio a partir de cada incidente de segurança; ●Medidas de proteção adequadas para impedir ou diminuir o impacto de cada incidente.   Alguns fatores são cruciais e devem ser identificados a fim de mapear todos o negócio da empresa com o intuito de detectar a presença de riscos.
  • 8. 8 Se g urança da Info rm ação Ativos Negócio Ameaças Medidas de Internas Segurança Hardware Software $ Processos Informações Ameaças Documentos Externas Pes s oas Ponto Vulnerável Incidente de Segurança Impacto negativo no negócio Perda/Danos Danos à imagem Perda de confiabilidade dos clientes Perda da vantagem competitiva Incidente de Segurança
  • 9. 9 Se g urança da Info rm ação Alguns exemplos de questionamento devem ser feitos pelas empresas antes de efetuarem qualquer investimento: • Que ativos devem ser protegidos? • Quais ativos críticos deverão ter proteção adicional? • Quais serviços na rede deverão estar disponíveis para os funcionários? • Quem terá acesso a esses serviços? • Quem poderá conceder autorização e privilégios para o acesso aos sistemas? • Que software permitir nas estações de trabalho? • Como proceder quando programas não-aprovados/piratas forem encontrados nas estações de trabalho? Abrangência   O processo de analise das medidas de segurança pode ser aplicado onde seja necessário avaliar riscos potenciais, independente da área desejada, quanto maior o escopo de avaliação, menor a possibilidade de erros em virtude da abrangência dos recursos envolvidos.
  • 10. 10 Se g urança da Info rm ação Bas ead o Inform ação s u jeit a Ne gó cio Prot egem con t ém con t ém Vulne rabilidades au m en t am Medidas d im in u em de Ris co s p erm it em s e gurança au m en t am Am e aças au m en t am au m en t am red u z em Inpacto s No Inte gridade Confide ncialidade Com p rom et em Ne gó cio Cau s am Dis ponibilidade Ciclo de Se gurança da Info rm ação
  • 11. 11 Se g urança da Info rm ação Vulnerabilidade   A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque, ou seja, é uma condição encontrada em determinados recursos, processos, configurações, etc. Condição causada muitas vezes pelas ausência ou ineficiência das medidas de proteção utilizadas com o intuito de salvaguardar os bens da empresa.   Todos os sistemas são vulneráveis, partindo do pressuposto de que não existem ambientes totalmente seguros. Até as medidas de seguranças implementadas pela empresa possuem falhas.   O nível de vulnerabilidade decai à medida em que são implementados controles e medidas de proteção adequadas, diminuindo também os riscos para o negocio.   Então podemos dizer que os riscos estão ligados ao nível de vulnerabilidade que o ambiente analisado possui, pois para se determinar os riscos, as vulnerabilidades precisam ser identificadas.
  • 12. 12 Se g urança da Info rm ação Como Surgem as Vulnerabilidades?   As vulnerabilidades estão presentes no dia-a-dia das empresas e se apresentam nas mais diversas áreas de uma organização. Ambiente Vulnerabilidades Computacional n n Não existe uma única causa para o surgimento de vulnerabilidade. A negligência por parte de administradores de rede e a falta de conhecimento técnico são exemplos típicos. Algumas vulnerabilidades estão presentes nos Sistemas Operacionais que acabamos de instalar.   Normalmente os hackers são os primeiros a explorarem as vulnerabilidades.
  • 13. 13 Se g urança da Info rm ação Qual a relação entre vulnerabilidade X medidas de Proteção?   As medidas de proteção também estão sujeitas a terem vulnerabilidades. Enquanto que para um conjunto de ocorrências (ameaças), determinadas medidas de proteção são adequadas, para outras não.   Portanto nas empresas encontramos medias adequadas para uma determinada situação e inadequadas para outras. Por isso é preciso buscar a melhor relação custo/beneficio no momento da definição de sua estratégia de segurança.   O nível de vulnerabilidade do ambiente computacional decai à medida em que são implementados controles e medidas de proteção adequadas, diminuindo também os riscos para o negócio. Podemos dizer que os riscos estão ligados ao nível de vulnerabilidade e ao grau de eficiência de proteção.
  • 14. 14 Se g urança da Info rm ação Incidentes de Segurança Um incidente de segurança é qualquer evento que prejudique o bom andamento dos sistemas, das redes ou do próprio negócio.   Este incidente pode ser o resultado de uma violação de segurança concretizada, um acesso não-autorizado a determinadas informações confidenciais ou até mesmo um site tirado do ar pela ação de um hacker.     Os incidentes de segurança ocorrem pela ação efetiva de uma determinada ameaça através de uma vulnerabilidade encontrada. Logo, podemos afirmar que os incidentes de segurança somente podem ser concretizados quando existem ambientes propícios, ou seja, vulnerabilidades.
  • 15. 15 Se g urança da Info rm ação Medidas de Segurança   Medidas de segurança são esforços como procedimentos, software, configurações, hardware e técnicas empregadas para atenuar as vulnerabilidades com o intuito de reduzir a probabilidade de ocorrência de ação de ameaças e, por conseguinte, os incidentes de segurança.   Como tudo envolve custo, antes de decidir pela estratégia a ser adotada, é importante atentar para o nível de aceitação dos riscos. Este sim deve definir os níveis de investimentos das medidas de segurança que serão adotadas pela empresa.
  • 16. 16 Se g urança da Info rm ação Medidas de Segurança Existem algumas estratégias que pode ser aplicada em um ambiente computacional. A seguir apresentamos três estratégias de segurança que podem ser utilizadas: ●Medida Preventiva: Este tipo de estratégia possui como foco a prevenção da ocorrência de incidentes de segurança. Todos os esforços estão baseados na precaução e, por esta razão, o conjunto de ferramentas e/ou treinamentos estão voltados para esta necessidade. ●Medida Detectiva: É a estratégia utilizada quando se tem a necessidade de obter auditabilidade, monitoramento e detecção em tempo real de tentativas de invasão; ●Medida Corretiva: O enfoque desta estratégia é propor mecanismos para a continuidade das operações, ela propõe ferramentas e procedimentos necessários para a recuperação e a continuidade de uma empresa. Está medida é muito delicada e deve ser realizada com extremo nível de profissionalismos, por se tratar da recuperação da imagem da empresa.
  • 17. 17 Se g urança da Info rm ação Processo de segurança A segurança não é uma tecnologia. Não é possível comprar dispositivos que torne sua rede segura, assim como não é possível comprar ou criar um software capaz de tornar seu computador seguro. O que é possível fazer é administrar um nível aceitável de risco. A segurança é um processo. Pode-se aplicar o processo seguidamente à rede e à empresa que a mantêm e, dessa maneira, melhorar a segurança dos sistemas. Se não iniciar ou interromper a aplicação do processo sua segurança será cada vez pior, à medida que surgirem novas ameaças e técnicas. “É como subir uma escada rolante que desce”. 
  • 18. 18 Se g urança da Info rm ação Processo de segurança O processo de segurança consiste em: • Analise o problema levando em consideração tudo que conhece. • Sintetize uma solução para o problema a partir de sua análise. • Avalie a solução e aprenda em que aspectos não correspondeu a suas expectativas. Depois, reinicie o processo seguidamente. Avaliação Análise Sintese
  • 19. 19 Se g urança da Info rm ação Processo de segurança Em ambientes Informatizados o processo de segurança consiste basicamente em: ●Aprenda tudo o que puder sobre ameaças que encontrar. Use a Internet para adquirir informações e lembre-se de que as informações mudam todos os dias. ●Planeje o melhor possível de acordo com o que aprendeu antes de implementar qualquer coisa. Uma reflexão em um fim de semana sobre o que foi aprendido poderá economizar uma quantidade considerável de tempo e dinheiro. ● Pense como um atacante (pensar idéias perversas) e fortaleça a segurança até torná-la a mais segura possível. ● Implemente exatamente como foi projetado. ●Verifique tudo continuamente para ter certeza de que nada foi alterado. Configurações em computadores podem ser modificadas em instantes e essa modificação poderá causar um forte impacto de segurança. Cuide para que mudanças temporárias sejam temporárias, pois não existe mecanismos capazes de chamar a atenção sobre mudanças. ●Pratique a execução para ter certeza de que compreendeu e será capaz de operá- la de maneira correta.
  • 20. 20 Se g urança da Info rm ação Processo de segurança ●Simplifique o que deseja que as pessoas façam. O sistema não deve ser seguro porque as pessoas não conseguem utilizá-lo. A arte de projetar a segurança de um sistema consiste em faze-lo de forma que os usuários não precisem se preocupar com as medidas de seguranças adotadas, contanto que façam o que lhes é permitido. ●Dificulte o que não deseja que as pessoas façam. Isso se aplica para pessoas desautorizadas e autorizadas. ●Facilite a identificação de problemas. Em qualquer rede existe uma grande quantidade de informações relevantes aprenda como usar essas informações. ●Dificulte esconder o que não deseje que fique escondido. Quanto maior a quantidade de eventos registrados e quanto mais exaustivamente os analisar, maior será a chance de reconhecer rastros de ataques. ●Teste tudo o que puder testar. Comece pelos itens mais importantes e examine todos. ●Pratique tudo o que puder praticar. Para defender a rede, as pessoas precisam conhecer suas funções e estar preparadas de maneira adequada. Melhore tudo o que puder melhorar. Faça com que seja mais simples, mais rápido, ● mais robusto. ● Repita esse processo continuamente, em todos os níveis de detalhe.
  • 21. 21 Se g urança da Info rm ação Política de Segurança   A política de segurança pode ser entendida como sendo um conjunto de normas e diretrizes destinadas a proteção dos ativos da Organização.   Política de segurança pode ser um documento, no qual deve estar descrito a forma que a empresa deseja que seus ativos sejam:   ●Protegidos; ●Manuseados; ●Tratados;   O objetivo de qualquer Política de Segurança é o de definir as expectativas da Organização quanto ao uso dos seus recursos (computadores e redes), estabelecendo procedimentos com o intuito de prevenir e responder a incidentes relativos à segurança.
  • 22. 22 Se g urança da Info rm ação Política de Segurança Devido ao fato da informação nos dias atuais ter um grande valor estratégico e tático para as Organizações. Hoje em dia, a informação é o Ativo mais valioso de muitas empresas.   Diante deste cenário, a política de segurança passa a ter uma importante função, pois visa a proteção dos ativos da Organização para que os negócios não parem e ocorram dentro de um ambiente harmônico e seguro.
  • 23. 23 Se g urança da Info rm ação Escrevendo uma política de segurança Uma política de segurança atende a vários propósitos: ➢ Descreve o que está sendo protegido e por quê. ➢ Define prioridades sobre o que esta precisa ser protegido em primeiro lugar e com qual custo. ➢ Permite estabelecer um acordo explicito com as várias partes da empresa em relação ao valor da segurança. ➢ Fornece ao departamento de segurança um motivo valido para dizer “não” quando necessário. ➢ Impede que o departamento de segurança tenha um desempenho fútil. A Política de segurança de computadores é o que há de mais importante. Porém, se pedir que algum profissional da segurança mostre a política que eles utilizam, é bastante provável que, com um sorriso meio sem graça, perçam que volte mês que vem, quando estiver pronto, ou seja, quase ninguém tem realmente uma política de segurança.
  • 24. 24 Se g urança da Info rm ação Política de segurança A política de segurança é a medida de segurança mais importante de uma empresa, mas é muito provável que a maioria das empresas não possua uma. As razoes para isso são: ✔ Prioridade. A política é importante, mas hoje é preciso que alguém coloque o servidor Web on-line. É necessário notar que uma política de segurança é urgente. ✔Política interna. Em qualquer empresa vários fatores internos afetam qualquer decisão prática. ✔Propriedade. Em algumas empresas existem brigas entre grupos para ser donos da política, ou o não. ✔Dificuldade para escrever. Uma boa política é um documento difícil de se organizar.
  • 25. 25 Se g urança da Info rm ação Adiante são apresentadas algumas sugestões para ajudar a solucionar problemas com a aplicação (confecção) de políticas de segurança em empresas: Uma boa política hoje é melhor que uma excelente política no próximo ano. Uma política fraca, mas bem-distribuída, é melhor do que uma política forte que ninguém leu. Uma política simples e facilmente compreendida é melhor do que uma política confusa e complicada que ninguém se dá o trabalho de ler. Uma política cujos detalhes estão ligeiramente errados é muito melhor do que uma política sem quaisquer detalhes. Uma política dinâmica que é atualizada constantemente é melhor do que uma política que se torna obsoleta com o passar do tempo.  Costuma ser melhor se desculpar do que pedir permissão.
  • 26. 26 Se g urança da Info rm ação Para se escrever uma boa política execute os seguintes passos: 1. Escreva uma política de segurança para sua empresa. ➢A política deve ter no máximo 5 paginas ➢Não tente torna-la perfeita; ➢Procure apenas reunir algumas idéias essenciais; ➢Não é necessário que esteja completa e não precisa ser de uma clareza absoluta. 2. Descubra três pessoas dispostas a fazer parte do “comitê de política de segurança”. Elas irão criar regras e emendas para a política sem modificá-la. 3. Crie um site da Web interno sobre a política e inclua uma página descrevendo como entrar em contado com o comitê de política de segurança. Mantenha sempre o site atualizado com as políticas. 4. Trate a política e as emendas como regras absolutas com força de lei. ➢ Na permita que a política seja violada. 5. Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma emenda. 6. Programe um encontro regular, fora do local de trabalho, para consolidar a política e as emendas. 7. Repita o processo novamente. Exponha a política no site, trate-a como lei, envolva as pessoas da administração, acrescente emendas conforme seja necessário e revise tudo a cada ano.
  • 27. 27 Se g urança da Info rm ação Descreva como é determinada a importância de uma violação da política e as categorias de conseqüências. Alguns exemplos são apresentados a seguir. Penalidades: Critica - Recomendação para demissão; - Recomendação para abertura de ação legal; Seria - Recomendação para demissão; - Recomendação para desconto de salário; Limitada - Recomendação para desconto de salário; - Repreensão formal por escrito; - Suspensão não-remunerada;
  • 28. 28 Se g urança da Info rm ação