GESTÃO DE SEGURANÇA DA INFORMAÇÃO          PROF. RENATO GUIMARÃES
PRINCÍPIOSConfidencialidade- Trata-se da manutenção do segredo, do sigilo  ou da privacidade das informações;- Esta propri...
PRINCÍPIOSIntegridade- Trata-se da manutenção das informações  tal e qual tenham sido geradas;- Esta propriedade indica qu...
PRINCÍPIOSDisponibilidade- Trata-se da possibilidade de acesso  contínuo,    ininterrupto, constante   e  atemporal às inf...
FATORES QUE IMPACTAM NA SEGURANÇA Exemplo – assalto a residênciaAtivos: Objetos existentes na casa.Vulnerabilidade: Porta...
QUANDO PROTEGER?No Ciclo de vida da Informação
Manuseio: Momento em que a informação écriada e manipulada, seja ao folhear um maçode papéis, ao digitar informações recém...
Armazenamento: Momento em que ainformação é armazenada, seja em umbanco de dados compartilhado, em umaanotação   de    pap...
Transporte: Momento em que a informação étransportada, seja ao encaminhar informaçõespor correio eletrônico (e-mail), ao p...
Descarte: Momento em que a informação édescartada, seja ao depositar na lixeira daempresa um material impresso, seja aoeli...
O QUE SÃO VULNERABILIDADES?Pontos fracos em que os ativos estãosuscetíveis a ataques - fatores negativosinternos.Permitem ...
O QUE SÃO AMEAÇAS?Representam perigo para os ativos -fatores externos;Oferecem riscos potenciais aoambiente de TI e á cont...
RECEITA DE UM ATAQUE
RECEITA DE UM ATAQUELevantamento das informaçõesA fase de reconhecimento é uma fase preparatóriaonde o atacante procura co...
RECEITA DE UM ATAQUEExistem duas formas de realizar o reconhecimento:ativo e passivo.- O reconhecimento passivo envolve a ...
RECEITA DE UM ATAQUEExploração das informações (scanning)Fase onde o atacante explora a rede baseado nasinformações obtida...
RECEITA DE UM ATAQUEObtenção do acessoEsta fase consiste na penetração do sistema propriamente dita.Nesta fase são explora...
RECEITA DE UM ATAQUEManutenção do acessoNesta fase o atacante tenta manter seu própriodomínio sobre o sistema. Poderá tamb...
RECEITA DE UM ATAQUECamuflagem das evidênciasEsta fase consiste na atividade realizada pelo atacantede tentar camuflar seu...
EQUAÇÃO DA SEGURANÇA NO DESENVOLVIMENTOSegurança        Prazo           Custo        =                                =   ...
O QUE É RISCO?Probabilidade de uma ameaça explorar uma (ou várias)vulnerabilidades causando prejuízos. Os riscos estãosemp...
IMPACTO NOS NEGÓCIOS• Impactos financeiros:- Perdas de receitas / vendas / juros / descontos;- Pagamento de multas contrat...
IMPACTO NOS NEGÓCIOS• Impactos operacionais:- Interrupção dos negócios;- Perda da capacidade de atendimento a clientes   e...
ETAPAS DA GESTÃO DE RISCO
BARREIRAS DE SEGURANÇABarreira1: desencorajarEsta é a primeira das barreiras de segurança e cumpreo papel importante de de...
BARREIRAS DE SEGURANÇABarreira2: DificultarO papel desta barreira é complementar à anterioratravés da adoção efetiva dos c...
BARREIRAS DE SEGURANÇABarreira 3: Discriminar Aqui o importante é se cercar de recursos quepermitam identificar e gerir os...
BARREIRAS DE SEGURANÇABarreira 4: DetectarEsta barreira deve munir a solução de segurança dedispositivos que sinalizem , a...
BARREIRAS DE SEGURANÇABarreira 5: DeterEsta barreira representa o objetivo de impedir que aameaça atinja os ativos que sup...
BARREIRAS DE SEGURANÇABarreira 6: DiagnosticarApesar de representar a última barreira no diagrama,esta fase tem um sentido...
ISO 27002• Esta norma estabelece um referencial para as  organizações desenvolverem, implementarem  avaliarem a gestão da ...
ISO 27002- Política de Segurança da Informação;- Organizando a Segurança da Informação;- Gestão de Ativos;- Segurança em R...
ISO 27002  É essencial que a organização identifique os requisitos desegurança da informação, através de três fontes princ...
ISO 27002• Análise de Risco:  A partir da análise/avaliação de riscos levando-se em  conta os objetivos e estratégias glob...
ISO 27002• Requisito de Negócio: Uma outra fonte é o conjunto de princípios, objetivos e os requisitos de negócio para o p...
ISO 27002• Requisitos legais:  Legislação vigente, estatutos, regulamentação e  cláusulas contratuais que a organização, s...
ISO 27001• Esta norma define os requisitos para a  implementação de um Sistema de Gestão de  Segurança da Informação (SGSI...
GESTÃO DO SGSI
PDCA• Plan (estabelecer o SGSI): Para estabelecer o SGSI a  organização deve definir:- O escopo do SGSI alinhado com as ca...
PDCA- Obter aprovação da direção dos riscos residuais propostos;- Obter autorização da direção para implementar e operar o...
PDCA• Do(Implementar e operar o SGSI):- Nesta fase a organização deve implementar e operar a política,  controles, process...
PDCA• Check (monitorar e analisar criticamente o SGSI):- A organização deve implementar procedimentos de monitoração e   a...
PDCA• Act (Manter e melhorar o SGSI):- A organização deve implementar as melhorias identificadas no   SGSI. Deve ainda exe...
ISO 15999• Objetivo e escopo: A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e implementação da cont...
Próximos SlideShares
Carregando em…5
×

Aula.revisao av2 gsi

786 visualizações

Publicada em

Revisao AV2 da matéria Segurança da Informação

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
786
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
28
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Aula.revisao av2 gsi

  1. 1. GESTÃO DE SEGURANÇA DA INFORMAÇÃO PROF. RENATO GUIMARÃES
  2. 2. PRINCÍPIOSConfidencialidade- Trata-se da manutenção do segredo, do sigilo ou da privacidade das informações;- Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
  3. 3. PRINCÍPIOSIntegridade- Trata-se da manutenção das informações tal e qual tenham sido geradas;- Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada.
  4. 4. PRINCÍPIOSDisponibilidade- Trata-se da possibilidade de acesso contínuo, ininterrupto, constante e atemporal às informações;- Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado.
  5. 5. FATORES QUE IMPACTAM NA SEGURANÇA Exemplo – assalto a residênciaAtivos: Objetos existentes na casa.Vulnerabilidade: Porta com fechadura simples.Ameaça: Pode haver um arrombamento e assalto.Impactos: Perda de conforto, necessidade de comprar tudo de novo.Contra-medidas: Fechadura quádrupla, portas e janelas blindadas, alarme, cachorro, vigia, seguro, etc.
  6. 6. QUANDO PROTEGER?No Ciclo de vida da Informação
  7. 7. Manuseio: Momento em que a informação écriada e manipulada, seja ao folhear um maçode papéis, ao digitar informações recém-geradas em uma aplicação internet, ou ainda,ao utilizar sua senha de acesso paraautenticação.
  8. 8. Armazenamento: Momento em que ainformação é armazenada, seja em umbanco de dados compartilhado, em umaanotação de papel posteriormentecolocado em um arquivo de metal, ouainda, em um pendrive depositado emuma gaveta, por exemplo.
  9. 9. Transporte: Momento em que a informação étransportada, seja ao encaminhar informaçõespor correio eletrônico (e-mail), ao postar umdocumento via aparelho de fax, ou ainda, aofalar ao telefone uma informaçãoconfidencial, por exemplo.
  10. 10. Descarte: Momento em que a informação édescartada, seja ao depositar na lixeira daempresa um material impresso, seja aoeliminar um arquivo eletrônico em seucomputador de mesa, ou ainda, ao descartarum CD-ROm usado que apresentou falha naleitura.
  11. 11. O QUE SÃO VULNERABILIDADES?Pontos fracos em que os ativos estãosuscetíveis a ataques - fatores negativosinternos.Permitem o aparecimento de ameaçaspotenciais à continuidade dos negóciosdas organizações.
  12. 12. O QUE SÃO AMEAÇAS?Representam perigo para os ativos -fatores externos;Oferecem riscos potenciais aoambiente de TI e á continuidade dosnegócios;Podem afetar aspectos básicos dasegurança.
  13. 13. RECEITA DE UM ATAQUE
  14. 14. RECEITA DE UM ATAQUELevantamento das informaçõesA fase de reconhecimento é uma fase preparatóriaonde o atacante procura coletar o maior númeropossível de informações sobre o “alvo em avaliação”antes do lançamento do ataque.
  15. 15. RECEITA DE UM ATAQUEExistem duas formas de realizar o reconhecimento:ativo e passivo.- O reconhecimento passivo envolve a aquisição deinformação sem interação direta com o “alvo”.- O reconhecimento ativo envolve interação diretacom o alvo através de algum meio, como por exemplo,contato telefônico por meio do help desk oudepartamento técnico.
  16. 16. RECEITA DE UM ATAQUEExploração das informações (scanning)Fase onde o atacante explora a rede baseado nasinformações obtidas na fase de reconhecimento. Estafase apresenta um alto risco para os negócios de umaempresas, pois além de ser considerado uma fase depré-ataque envolve a utilização de diferentes técnicase softwares, como por exemplo, a utilização de portscan, scanner de vulnerabilidade e network mapping.
  17. 17. RECEITA DE UM ATAQUEObtenção do acessoEsta fase consiste na penetração do sistema propriamente dita.Nesta fase são exploradas as vulnerabilidades encontradas nosistema. Isto pode ocorrer através da internet, da rede local,fraude ou roubo. Os fatores que irão influenciar nos métodosutilizados pelo atacante serão: a arquitetura e configuração do“alvo” escolhido, o grau de conhecimento do atacante e o nívelde acesso obtido.Nesta fase o atacante poderá obter acesso a nível de: sistemaoperacional, aplicação e rede.
  18. 18. RECEITA DE UM ATAQUEManutenção do acessoNesta fase o atacante tenta manter seu própriodomínio sobre o sistema. Poderá também protege-lode outros atacantes através da utilização de “acessosexclusivos” obtidos através de rootkits, backdoors outrojans. Poderá ainda fazer upload, download emanipulação dos dados, aplicações e configurações damáquina atacada. Nesta fase o sistema atacado poderáficar comprometido.
  19. 19. RECEITA DE UM ATAQUECamuflagem das evidênciasEsta fase consiste na atividade realizada pelo atacantede tentar camuflar seus atos não autorizados com oobjetivo de prolongar sua permanência na máquinahospedeira, na utilização indevida dos recursoscomputacionais.
  20. 20. EQUAÇÃO DA SEGURANÇA NO DESENVOLVIMENTOSegurança Prazo Custo = = Produtividade Funcionalidade
  21. 21. O QUE É RISCO?Probabilidade de uma ameaça explorar uma (ou várias)vulnerabilidades causando prejuízos. Os riscos estãosempre associados à ocorrência de algum incidente. Suaescala é dada por dois fatores:Probabilidade de ocorrência da ameaça medida atravésda combinação da sua freqüência com a avaliação dasvulnerabilidades;Conseqüências trazidas pela ocorrência do incidente(impacto);
  22. 22. IMPACTO NOS NEGÓCIOS• Impactos financeiros:- Perdas de receitas / vendas / juros / descontos;- Pagamento de multas contratuais;- Cancelamento de ordens de vendas por atraso;- Indisponibilidade de fundos;- Despesas extraordinárias com serviços externos, funcionários temporários, compras de emergência, etc.
  23. 23. IMPACTO NOS NEGÓCIOS• Impactos operacionais:- Interrupção dos negócios;- Perda da capacidade de atendimento a clientes externos e internos (i.e. alta gerência);- Problemas de imagem;- Problemas de perda de confiança (de clientes, de entidades reguladoras, etc.).
  24. 24. ETAPAS DA GESTÃO DE RISCO
  25. 25. BARREIRAS DE SEGURANÇABarreira1: desencorajarEsta é a primeira das barreiras de segurança e cumpreo papel importante de desencorajar as ameaças. Estas,por sua vez, podem ser desmotivadas ou podemperder o interesse e o estímulo pela tentativa dequebra de segurança por efeito de mecanismos físicos,tecnlógicos ou humanos. A simples presença de umacamâra de vídeo, mesmo falsa, de um aviso deexistência de alarmes, já são efetivos nesta fase.
  26. 26. BARREIRAS DE SEGURANÇABarreira2: DificultarO papel desta barreira é complementar à anterioratravés da adoção efetiva dos controles que irãodificultar o acesso indevido. Podemos citar osdispositivos de autenticação para acesso físico, porexemplo.
  27. 27. BARREIRAS DE SEGURANÇABarreira 3: Discriminar Aqui o importante é se cercar de recursos quepermitam identificar e gerir os acessos, definindoperfis e autorizando permissões. Os sistemas sãolargamente empregados para monitorar e estabelecerlimites de acesso aos serviços de telefonia, perímetrosfisicos, aplicações de computador e banco de dados.
  28. 28. BARREIRAS DE SEGURANÇABarreira 4: DetectarEsta barreira deve munir a solução de segurança dedispositivos que sinalizem , alertem e instrumentem osgestores da segurança na detecção de situações derisco. Seja uma tentativa de invasão ou por umapossível contaminação por vírus, por exemplo.
  29. 29. BARREIRAS DE SEGURANÇABarreira 5: DeterEsta barreira representa o objetivo de impedir que aameaça atinja os ativos que suportam o negócio. Oacionamento desta barreira, ativando seusmecanismos de controle, é um sinal de que asbarreiras anteriores não foram suficientes para contera ação da ameaça. Neste momento, medidas dedetenção, como ações administrativas, punitivas ebloqueio de acessos físicos e lógicos, são bonsexemplos.
  30. 30. BARREIRAS DE SEGURANÇABarreira 6: DiagnosticarApesar de representar a última barreira no diagrama,esta fase tem um sentido especial de representar acontinuidade do processo de gestão de segurança dainformação. Cria o elo de ligação com a primeirabarreira, criando um movimento cíclico e contínuo.Devido a estes fatores é a barreira de maiorimportância. Deve ser conduzida por atividades deanálise de risco que consideram tanto os aspectostecnológicos quanto os físicos e humanos.
  31. 31. ISO 27002• Esta norma estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
  32. 32. ISO 27002- Política de Segurança da Informação;- Organizando a Segurança da Informação;- Gestão de Ativos;- Segurança em Recursos Humanos;- Segurança Física e do Ambiente;- Gestão das Operações e Comunicações;- Controle de Acesso;- Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;- Gestão de Incidentes de Segurança da Informação;- Gestão da Continuidade do Negócio;- Conformidade;
  33. 33. ISO 27002 É essencial que a organização identifique os requisitos desegurança da informação, através de três fontes principais:
  34. 34. ISO 27002• Análise de Risco: A partir da análise/avaliação de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. È realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio.
  35. 35. ISO 27002• Requisito de Negócio: Uma outra fonte é o conjunto de princípios, objetivos e os requisitos de negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
  36. 36. ISO 27002• Requisitos legais: Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.
  37. 37. ISO 27001• Esta norma define os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização, permitindo que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes.
  38. 38. GESTÃO DO SGSI
  39. 39. PDCA• Plan (estabelecer o SGSI): Para estabelecer o SGSI a organização deve definir:- O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia;- A política do SGSI;- A abordagem de análise/avaliação de risco da organização;- Identificar os riscos;- Analisar e avaliar os riscos;- Identificar e avaliar as opções para o tratamento de riscos;- Selecionar objetivos de controle e controles para o tratamento de riscos;
  40. 40. PDCA- Obter aprovação da direção dos riscos residuais propostos;- Obter autorização da direção para implementar e operar o SGSI;- Preparar uma declaração de Aplicabilidade; (Declaração de Aplicabilidade): Documento exigido pela NBR ISO 27001 no qual a empresa tem que relacionar quais controles são aplicáveis e justificar os que não são aplicáveis ao seu SGSI. (Controles): São pontos específicos que definem o que deve ser feito para assegurar aquele item.
  41. 41. PDCA• Do(Implementar e operar o SGSI):- Nesta fase a organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas . Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
  42. 42. PDCA• Check (monitorar e analisar criticamente o SGSI):- A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação.- Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados.
  43. 43. PDCA• Act (Manter e melhorar o SGSI):- A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
  44. 44. ISO 15999• Objetivo e escopo: A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e implementação da continuidade de negócio. Foi elaborada para fornecer um sistema baseado nas boas práticas de gestão da continuidade de negócios. Serve como referência única para a maior parte das situações que envolve a continuidade de negócio, podendo ser usada por organizações de grande, médio e pequeno portes, nos setores industriais, comerciais, públicos e de caráter voluntário.

×