SlideShare uma empresa Scribd logo
Felipe Pereira da Silva 2011 Segurança da Informação  Política de Segurança
Política de Segurança A segurança de uma rede de computadores não se resume apenas à utilização de dispositivos físicos que tentam impedir que estas sejam atacadas ou invadidas, mas também de que forma os dispositivos serão empregados, quem terá acesso aos recursos e como devem ser acessados.
Política de Segurança Segundo a norma ISO/IEC 17799: “ Objetivo:  Prover uma orientação  e apoio da direção para a segurança da informação  de acordo  com os requisitos do  negócio  e com as  leis  e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os  objetivos do negócio  e demonstre  apoio e comprometimento  com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.”
Política de Segurança As políticas de segurança são compostas de um conjunto de regras e padrões sobre o que deve ser feito para assegurar as informações e serviços importantes. Tem como propósito, fornecer orientação e apoio às ações de gestão de segurança. Assim, ela assume uma grande abrangência, dividida em: Diretrizes (camada estratégica); Normas (camada tática); Procedimentos e instruções (camada operacional).
Política de Segurança Diretrizes: Precisam expressar a importância que a empresa dá para a informação, além de comunicar aos funcionários seus valores e seu comprometimento em adicionar segurança à sua cultura organizacional. Este instrumento deve expressar as preocupações dos executivos e definir as linhas de ação que orientarão as atividades táticas e operacionais. Um exemplo de diretriz seria:  Salvaguardar as informações classificadas como confidenciais.
Política de Segurança Normas: Detalham situações, ambientes, processos específicos além de fornecerem orientação para o uso adequado das informações, evidenciando assim o seu caráter tático. O volume de normas aplicáveis tende a ser proporcional ao porte da empresa, à heterogeneidade de seus ativos físicos, tecnológico e humanos, além do grau de detalhamento necessário para levar a empresa a trabalhar sob um nível de risco adequado. Ex. de normas: Norma para admissão de funcionários; Norma para criação e manutenção de senhas.
Política de Segurança Procedimentos: São as descrições detalhadas de cada ação e atividade associada a cada situação de uso das informações. Devido à natureza detalhada deste componente da política de segurança da informação, pressupõe-se a necessidade de manutenção freqüente. Um exemplo deste componente seria o procedimento e as instruções para descrever os passos necessários para se criptografar uma informação confidencial.
Política de Segurança Como elaborar uma política de segurança da informação? Envolve basicamente dois passos, são eles: Definição de um escopo; Identificação de contra quem está sendo protegida Avaliação de risco que envolverá a análise de risco.
Política de Segurança Definição do Escopo: Deve ser claramente definido. Além disso, é preciso entender exatamente o que precisa ser protegido, estando além do hardware e do software, abordando também os processos de negócio. Os seguintes elementos precisam ser considerados: Hardware: estações, servidores, switch etc. Software: programas fonte, utilitários etc; Dados: banco de dados, backup etc; Documentação: de programas, hardware, sistemas etc; Processos do negócio; Metas de negócio.
Política de Segurança Identificação da Ameaça Compreende os seguintes aspectos: Acesso não autorizado ao ativos; Revelação não autorizada de informações; Bugs de sistemas e erros de usuários. Levam-se em consideração, nesta análise, vários aspectos relacionados à segurança dos dados, backup, propriedade intelectual e resposta a incidente, listados na tabela do próximo slide.
Mitos de Segurança " Eu tenho um software antivírus - ele é tudo o que preciso " Este é o mito mais comum da Internet.   A proteção de um antivírus é importante e necessária; Apenas esse software não é suficiente. Novos vírus aparecem todo o tempo. Precisa-se atualizar regularmente as assinaturas; Software antivírus apenas protege que vírus infectem o seu sistema; Recomenda-se a utilização de outros softwares adicionais, como por exemplo um personal firewall.
Mitos de Segurança " Não há nada no meu computador que um cracker queira " Crackers estão interessados em informações pessoais armazenadas no computador. Números do CPF e da conta bancária para realizar compras fraudulentas; O roubo de identidade (fraud theft) é o crime de colarinho-branco que mais cresce nos EUA; Qual o usuário que, mesmo não realizando nenhuma transação financeira no computador, não possui um arquivo em seu disco rígido chamado de “currículo”?
Mitos de Segurança " Somente as grandes corporações e não os usuários domésticos são alvos dos crackers " Os crackers geralmente estão procurando presas fáceis e um computador doméstico é muito mais simples de ser invadido do que uma rede corporativa. Os invasores se infiltram nesses sistemas usando ferramentas disponíveis on-line; As conexões de banda larga são vulneráveis porque possuem um endereço estático sempre ativo que pode ser acessado com facilidade e pode levar um tempo até que a vítima perceba que foi invadida.
Mitos de Segurança " É preciso muito conhecimento técnico para ser um cracker " Ao contrário da crença popular, não precisa ser um gênio para invadir um computador. Na prática é preciso bem pouco conhecimento técnico, já que qualquer mecanismo de busca listará vários sites ao se procurar palavras como "ferramentas hacking"  www.thenetworkadministrator.com/2003MostPopularHackingTools.htm As ferramentas já estão disponíveis e em poucos minutos pode-se fazer o download delas. Para se ter uma idéia, elas já possuem até instruções de uso!
Mitos de Segurança " Meu Provedor de Serviços de Internet me fornece proteção (de antivírus e/ou firewall) quando estou on-line. " Os ISPs (Provedores de Serviços de Internet) raramente fornecem uma proteção abrangente. Mesmo que o seu ISP forneça uma certa proteção, você deve instalar os softwares de segurança em seu computador. Por que? Quando você está on-line também fica vulnerável ao fazer um download de um vírus, porque, provavelmente, o seu ISP só verifica os e-mails. Isto não o protege se você de fazer um download de vírus.
Mitos de Segurança " Eu uso conexão discada, não preciso me preocupar com crackers " O endereço aleatório de acesso faz com que os usuários de conexão discada tenham uma falsa sensação de segurança, mas isso não faz com que eles não sejam localizados. Se um hacker que conseguir invadir o seu sistema pode instalar  trojan horses  que lhe permite localizar seu endereço IP cada vez que você ficar on-line; O cavalo de Tróia dispara um "sinalizador" que diz: "Ei, estou aqui, pode vir me pegar". Portanto, ele sabe que você está on-line e vulnerável. Também é possível pegar um cavalo de Tróia através de um vírus de e-mail ou ao fazer o download de um arquivo infectado. Se você instalar um trojan, não faz diferença se a sua conexão é discada ou banda larga.
Mitos de Segurança " Eu tenho um Macintosh " Os usuários de computadores Macintosh (Mac) se sentem a salvo porque a maioria dos vírus tem como alvo preferencial as plataformas Windows. "Um computador é um computador. Não importa qual plataforma se usa, procuram-se portas abertas." Várias ferramentas hacking específicas para Mac já estão disponíveis na internet. O novo OS X foi baseado em Unix e as ferramentas hacking disponíveis para os usuários Unix agora são aplicáveis ao Mac.
Estatísticas – Total de Incidentes www.cert.br
Estatísticas – Tipos de ataques www.cert.br
Estatísticas – Tipos de ataques www.cert.br
Número de incidentes por dia da semana www.cert.br

Mais conteúdo relacionado

Mais procurados

Curso trabalho em altura wel
Curso trabalho em altura welCurso trabalho em altura wel
Curso trabalho em altura wel
Welinton Tulio
 
Cartilha Riscos na Limpeza
Cartilha Riscos na LimpezaCartilha Riscos na Limpeza
Cartilha Riscos na Limpeza
Robson Peixoto
 
O.s para padeiros
O.s para padeirosO.s para padeiros
O.s para padeiros
CRISTIANO BALIEIRO
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 
Os aux.limpeza e higiene (1) (1)
Os  aux.limpeza e higiene (1) (1)Os  aux.limpeza e higiene (1) (1)
Os aux.limpeza e higiene (1) (1)
EVALDO JUNIO SILVA DA GAMA
 
Integração segurança
Integração segurançaIntegração segurança
Integração segurança
maestro120
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
NR-18.pptx
NR-18.pptxNR-18.pptx
NR-18.pptx
FabioGarcia724760
 
Nr 12 - Principais tópicos
Nr 12 - Principais tópicosNr 12 - Principais tópicos
Nr 12 - Principais tópicos
CIESP Oeste
 
Teste de Percepção de Riscos
Teste de Percepção de Riscos Teste de Percepção de Riscos
Teste de Percepção de Riscos
Thiago Ribeiro Ramalho Rosa
 
Treinamento em Altura NR - 35.ppt
Treinamento em Altura NR - 35.pptTreinamento em Altura NR - 35.ppt
Treinamento em Altura NR - 35.ppt
EmersonluizNeves1
 
NR18-Treinamento-Integracao.pptx
NR18-Treinamento-Integracao.pptxNR18-Treinamento-Integracao.pptx
NR18-Treinamento-Integracao.pptx
Leomir Borghardt
 
Mod 10 combate a incêndios reciclagem nr10
Mod 10 combate a incêndios reciclagem nr10Mod 10 combate a incêndios reciclagem nr10
Mod 10 combate a incêndios reciclagem nr10
Shirlene Maciel Rafino
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
Luiz Arthur
 
Treinamento de Brigada de Incêndio
Treinamento de Brigada de IncêndioTreinamento de Brigada de Incêndio
Treinamento de Brigada de Incêndio
conbetcursos
 
Manual de Segurança no Trabalho - resumido
Manual de Segurança no Trabalho - resumidoManual de Segurança no Trabalho - resumido
Manual de Segurança no Trabalho - resumido
proftstsergioetm
 
NR 6
NR 6NR 6
Sesi manual segurança construção civil e edificações
Sesi   manual segurança  construção civil e edificaçõesSesi   manual segurança  construção civil e edificações
Sesi manual segurança construção civil e edificações
EvandroPFonseca
 
Treinamentos obrigatorios de_sst_sstonline
Treinamentos obrigatorios de_sst_sstonlineTreinamentos obrigatorios de_sst_sstonline
Treinamentos obrigatorios de_sst_sstonline
rafael dias
 
NR - 06 EPI (Oficial)
NR - 06 EPI (Oficial)NR - 06 EPI (Oficial)
NR - 06 EPI (Oficial)
Claudio Cesar Pontes ن
 

Mais procurados (20)

Curso trabalho em altura wel
Curso trabalho em altura welCurso trabalho em altura wel
Curso trabalho em altura wel
 
Cartilha Riscos na Limpeza
Cartilha Riscos na LimpezaCartilha Riscos na Limpeza
Cartilha Riscos na Limpeza
 
O.s para padeiros
O.s para padeirosO.s para padeiros
O.s para padeiros
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Os aux.limpeza e higiene (1) (1)
Os  aux.limpeza e higiene (1) (1)Os  aux.limpeza e higiene (1) (1)
Os aux.limpeza e higiene (1) (1)
 
Integração segurança
Integração segurançaIntegração segurança
Integração segurança
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
NR-18.pptx
NR-18.pptxNR-18.pptx
NR-18.pptx
 
Nr 12 - Principais tópicos
Nr 12 - Principais tópicosNr 12 - Principais tópicos
Nr 12 - Principais tópicos
 
Teste de Percepção de Riscos
Teste de Percepção de Riscos Teste de Percepção de Riscos
Teste de Percepção de Riscos
 
Treinamento em Altura NR - 35.ppt
Treinamento em Altura NR - 35.pptTreinamento em Altura NR - 35.ppt
Treinamento em Altura NR - 35.ppt
 
NR18-Treinamento-Integracao.pptx
NR18-Treinamento-Integracao.pptxNR18-Treinamento-Integracao.pptx
NR18-Treinamento-Integracao.pptx
 
Mod 10 combate a incêndios reciclagem nr10
Mod 10 combate a incêndios reciclagem nr10Mod 10 combate a incêndios reciclagem nr10
Mod 10 combate a incêndios reciclagem nr10
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
 
Treinamento de Brigada de Incêndio
Treinamento de Brigada de IncêndioTreinamento de Brigada de Incêndio
Treinamento de Brigada de Incêndio
 
Manual de Segurança no Trabalho - resumido
Manual de Segurança no Trabalho - resumidoManual de Segurança no Trabalho - resumido
Manual de Segurança no Trabalho - resumido
 
NR 6
NR 6NR 6
NR 6
 
Sesi manual segurança construção civil e edificações
Sesi   manual segurança  construção civil e edificaçõesSesi   manual segurança  construção civil e edificações
Sesi manual segurança construção civil e edificações
 
Treinamentos obrigatorios de_sst_sstonline
Treinamentos obrigatorios de_sst_sstonlineTreinamentos obrigatorios de_sst_sstonline
Treinamentos obrigatorios de_sst_sstonline
 
NR - 06 EPI (Oficial)
NR - 06 EPI (Oficial)NR - 06 EPI (Oficial)
NR - 06 EPI (Oficial)
 

Semelhante a Nota de aula seguranca da informacao - politica de segurança da informação

Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Adilmar Dantas
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
Neemias Lopes
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
Neemias Lopes
 
Politica de seguranca
Politica de segurancaPolitica de seguranca
Politica de seguranca
Cenas Boas de Viver
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
Diego BBahia
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Diego BBahia
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
Eduardo Santana
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024
paulohunter8636
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Escola de Governança da Internet no Brasil
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
Jorge Ávila Miranda
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informação
neemiaslopes
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
Cesar Augusto Pinheiro Vitor
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
pce19791
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
gabrio2022
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
Bruno Dos Anjos Silveira
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
Anderson Pontes
 

Semelhante a Nota de aula seguranca da informacao - politica de segurança da informação (20)

Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Politica de seguranca
Politica de segurancaPolitica de seguranca
Politica de seguranca
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informação
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
 

Último

Aula combustiveis mais utilizados na indústria
Aula combustiveis mais utilizados na indústriaAula combustiveis mais utilizados na indústria
Aula combustiveis mais utilizados na indústria
zetec10
 
Apresentação sobre Deep Web e anonimização
Apresentação sobre Deep Web e anonimizaçãoApresentação sobre Deep Web e anonimização
Apresentação sobre Deep Web e anonimização
snerdct
 
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de   DevOps/CLoudFerramentas que irão te ajudar a entrar no mundo de   DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ismael Ash
 
Subindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWSSubindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWS
Ismael Ash
 
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docxse38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
ronaldos10
 
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
Faga1939
 

Último (6)

Aula combustiveis mais utilizados na indústria
Aula combustiveis mais utilizados na indústriaAula combustiveis mais utilizados na indústria
Aula combustiveis mais utilizados na indústria
 
Apresentação sobre Deep Web e anonimização
Apresentação sobre Deep Web e anonimizaçãoApresentação sobre Deep Web e anonimização
Apresentação sobre Deep Web e anonimização
 
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de   DevOps/CLoudFerramentas que irão te ajudar a entrar no mundo de   DevOps/CLoud
Ferramentas que irão te ajudar a entrar no mundo de DevOps/CLoud
 
Subindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWSSubindo uma aplicação WordPress em docker na AWS
Subindo uma aplicação WordPress em docker na AWS
 
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docxse38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
se38_layout_erro_xxxxxxxxxxxxxxxxxx.docx
 
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
INTELIGÊNCIA ARTIFICIAL + COMPUTAÇÃO QUÂNTICA = MAIOR REVOLUÇÃO TECNOLÓGICA D...
 

Nota de aula seguranca da informacao - politica de segurança da informação

  • 1. Felipe Pereira da Silva 2011 Segurança da Informação Política de Segurança
  • 2. Política de Segurança A segurança de uma rede de computadores não se resume apenas à utilização de dispositivos físicos que tentam impedir que estas sejam atacadas ou invadidas, mas também de que forma os dispositivos serão empregados, quem terá acesso aos recursos e como devem ser acessados.
  • 3. Política de Segurança Segundo a norma ISO/IEC 17799: “ Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.”
  • 4. Política de Segurança As políticas de segurança são compostas de um conjunto de regras e padrões sobre o que deve ser feito para assegurar as informações e serviços importantes. Tem como propósito, fornecer orientação e apoio às ações de gestão de segurança. Assim, ela assume uma grande abrangência, dividida em: Diretrizes (camada estratégica); Normas (camada tática); Procedimentos e instruções (camada operacional).
  • 5. Política de Segurança Diretrizes: Precisam expressar a importância que a empresa dá para a informação, além de comunicar aos funcionários seus valores e seu comprometimento em adicionar segurança à sua cultura organizacional. Este instrumento deve expressar as preocupações dos executivos e definir as linhas de ação que orientarão as atividades táticas e operacionais. Um exemplo de diretriz seria: Salvaguardar as informações classificadas como confidenciais.
  • 6. Política de Segurança Normas: Detalham situações, ambientes, processos específicos além de fornecerem orientação para o uso adequado das informações, evidenciando assim o seu caráter tático. O volume de normas aplicáveis tende a ser proporcional ao porte da empresa, à heterogeneidade de seus ativos físicos, tecnológico e humanos, além do grau de detalhamento necessário para levar a empresa a trabalhar sob um nível de risco adequado. Ex. de normas: Norma para admissão de funcionários; Norma para criação e manutenção de senhas.
  • 7. Política de Segurança Procedimentos: São as descrições detalhadas de cada ação e atividade associada a cada situação de uso das informações. Devido à natureza detalhada deste componente da política de segurança da informação, pressupõe-se a necessidade de manutenção freqüente. Um exemplo deste componente seria o procedimento e as instruções para descrever os passos necessários para se criptografar uma informação confidencial.
  • 8. Política de Segurança Como elaborar uma política de segurança da informação? Envolve basicamente dois passos, são eles: Definição de um escopo; Identificação de contra quem está sendo protegida Avaliação de risco que envolverá a análise de risco.
  • 9. Política de Segurança Definição do Escopo: Deve ser claramente definido. Além disso, é preciso entender exatamente o que precisa ser protegido, estando além do hardware e do software, abordando também os processos de negócio. Os seguintes elementos precisam ser considerados: Hardware: estações, servidores, switch etc. Software: programas fonte, utilitários etc; Dados: banco de dados, backup etc; Documentação: de programas, hardware, sistemas etc; Processos do negócio; Metas de negócio.
  • 10. Política de Segurança Identificação da Ameaça Compreende os seguintes aspectos: Acesso não autorizado ao ativos; Revelação não autorizada de informações; Bugs de sistemas e erros de usuários. Levam-se em consideração, nesta análise, vários aspectos relacionados à segurança dos dados, backup, propriedade intelectual e resposta a incidente, listados na tabela do próximo slide.
  • 11. Mitos de Segurança " Eu tenho um software antivírus - ele é tudo o que preciso " Este é o mito mais comum da Internet. A proteção de um antivírus é importante e necessária; Apenas esse software não é suficiente. Novos vírus aparecem todo o tempo. Precisa-se atualizar regularmente as assinaturas; Software antivírus apenas protege que vírus infectem o seu sistema; Recomenda-se a utilização de outros softwares adicionais, como por exemplo um personal firewall.
  • 12. Mitos de Segurança " Não há nada no meu computador que um cracker queira " Crackers estão interessados em informações pessoais armazenadas no computador. Números do CPF e da conta bancária para realizar compras fraudulentas; O roubo de identidade (fraud theft) é o crime de colarinho-branco que mais cresce nos EUA; Qual o usuário que, mesmo não realizando nenhuma transação financeira no computador, não possui um arquivo em seu disco rígido chamado de “currículo”?
  • 13. Mitos de Segurança " Somente as grandes corporações e não os usuários domésticos são alvos dos crackers " Os crackers geralmente estão procurando presas fáceis e um computador doméstico é muito mais simples de ser invadido do que uma rede corporativa. Os invasores se infiltram nesses sistemas usando ferramentas disponíveis on-line; As conexões de banda larga são vulneráveis porque possuem um endereço estático sempre ativo que pode ser acessado com facilidade e pode levar um tempo até que a vítima perceba que foi invadida.
  • 14. Mitos de Segurança " É preciso muito conhecimento técnico para ser um cracker " Ao contrário da crença popular, não precisa ser um gênio para invadir um computador. Na prática é preciso bem pouco conhecimento técnico, já que qualquer mecanismo de busca listará vários sites ao se procurar palavras como "ferramentas hacking" www.thenetworkadministrator.com/2003MostPopularHackingTools.htm As ferramentas já estão disponíveis e em poucos minutos pode-se fazer o download delas. Para se ter uma idéia, elas já possuem até instruções de uso!
  • 15. Mitos de Segurança " Meu Provedor de Serviços de Internet me fornece proteção (de antivírus e/ou firewall) quando estou on-line. " Os ISPs (Provedores de Serviços de Internet) raramente fornecem uma proteção abrangente. Mesmo que o seu ISP forneça uma certa proteção, você deve instalar os softwares de segurança em seu computador. Por que? Quando você está on-line também fica vulnerável ao fazer um download de um vírus, porque, provavelmente, o seu ISP só verifica os e-mails. Isto não o protege se você de fazer um download de vírus.
  • 16. Mitos de Segurança " Eu uso conexão discada, não preciso me preocupar com crackers " O endereço aleatório de acesso faz com que os usuários de conexão discada tenham uma falsa sensação de segurança, mas isso não faz com que eles não sejam localizados. Se um hacker que conseguir invadir o seu sistema pode instalar trojan horses que lhe permite localizar seu endereço IP cada vez que você ficar on-line; O cavalo de Tróia dispara um "sinalizador" que diz: "Ei, estou aqui, pode vir me pegar". Portanto, ele sabe que você está on-line e vulnerável. Também é possível pegar um cavalo de Tróia através de um vírus de e-mail ou ao fazer o download de um arquivo infectado. Se você instalar um trojan, não faz diferença se a sua conexão é discada ou banda larga.
  • 17. Mitos de Segurança " Eu tenho um Macintosh " Os usuários de computadores Macintosh (Mac) se sentem a salvo porque a maioria dos vírus tem como alvo preferencial as plataformas Windows. "Um computador é um computador. Não importa qual plataforma se usa, procuram-se portas abertas." Várias ferramentas hacking específicas para Mac já estão disponíveis na internet. O novo OS X foi baseado em Unix e as ferramentas hacking disponíveis para os usuários Unix agora são aplicáveis ao Mac.
  • 18. Estatísticas – Total de Incidentes www.cert.br
  • 19. Estatísticas – Tipos de ataques www.cert.br
  • 20. Estatísticas – Tipos de ataques www.cert.br
  • 21. Número de incidentes por dia da semana www.cert.br