Política de Segurança

9.063 visualizações

Publicada em

Slide com a apresentação de um trabalho acadêmico sobre politica de segurança simulado no ambiente da ESBJ - Ser educacional.

Publicada em: Tecnologia
1 comentário
7 gostaram
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
9.063
No SlideShare
0
A partir de incorporações
0
Número de incorporações
32
Ações
Compartilhamentos
0
Downloads
412
Comentários
1
Gostaram
7
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Nós procuramos dentro deste vasto campo da Detecção de Intrusos, desenvolver em nosso trabalho de conclusão deste Mestrado algo compatível com proposta de um Mestrado Profissional, Ou seja um trabalho de cunho prático, aplicável. Sendo assim, decidimos pela implantação de um IDS na rede do IPEN.
  • Nós procuramos dentro deste vasto campo da Detecção de Intrusos, desenvolver em nosso trabalho de conclusão deste Mestrado algo compatível com proposta de um Mestrado Profissional, Ou seja um trabalho de cunho prático, aplicável. Sendo assim, decidimos pela implantação de um IDS na rede do IPEN.
  • Nós procuramos dentro deste vasto campo da Detecção de Intrusos, desenvolver em nosso trabalho de conclusão deste Mestrado algo compatível com proposta de um Mestrado Profissional, Ou seja um trabalho de cunho prático, aplicável. Sendo assim, decidimos pela implantação de um IDS na rede do IPEN.
  • Nós procuramos dentro deste vasto campo da Detecção de Intrusos, desenvolver em nosso trabalho de conclusão deste Mestrado algo compatível com proposta de um Mestrado Profissional, Ou seja um trabalho de cunho prático, aplicável. Sendo assim, decidimos pela implantação de um IDS na rede
  • Estas são manchetes colhidas de grandes jornais de S.Paulo e também de Boletins Eletrônicos da comunidade de segurança
  • Nós procuramos dentro deste vasto campo da Detecção de Intrusos, desenvolver em nosso trabalho de conclusão deste Mestrado algo compatível com proposta de um Mestrado Profissional, Ou seja um trabalho de cunho prático, aplicável. Sendo assim, decidimos pela implantação de um IDS na rede
  • Nós procuramos dentro deste vasto campo da Detecção de Intrusos, desenvolver em nosso trabalho de conclusão deste Mestrado algo compatível com proposta de um Mestrado Profissional, Ou seja um trabalho de cunho prático, aplicável. Sendo assim, decidimos pela implantação de um IDS na rede
  • Política de Segurança

    1. 2. “ Conte-me, e eu vou esquecer. Mostre-me, e eu vou lembrar. Envolva-me, e eu vou entender.” Confúcio
    2. 3. Introdução Com o avanço da tecnologia e o custo cada vez menor do acesso a Internet, é uma realidade afirmar que existem mais usuários conectados a rede mundial de computadores, e por esse motivo é maior a exposição das organizações.
    3. 4. Política de Segurança O que é Política de Segurança da Informação?
    4. 5. Política de Segurança A Política de Segurança nada mais é do que um framework para as normas e procedimentos de segurança adotados por uma organização. Tornando-se uma base para toda e qualquer norma, procedimento de segurança da informação ...
    5. 6. <ul><li>É o conjunto de critérios e soluções para problemas tecnológicos e humanos. </li></ul><ul><li>É o primeiro passo efetivo para resolver qualquer esforço de segurança da informação. </li></ul><ul><li>Existe para evitar problemas. </li></ul>Política de Segurança Deve se basear na análise de risco e visa à padronização de ambientes e processo de modo a evitar as vulnerabilidades existentes. Fazer Análise de Risco Problemas = Vulnerabilidades e Ameaças
    6. 7. Objetivo Este documento tem como objetivo específico definir uma Política de Segurança para o Ensino Superior Bureau Jurídico, especialmente quanto à proteção dos seus ativos relacionados ao acesso físico e lógico da empresa. Garantindo: Confidencialidade; Integridade; e Disponibilidade
    7. 8. Organização da Política A estrutura normativa da Segurança da Informação do Ensino Superior Bureau Jurídico é composta por um conjunto de documentos com três níveis hierárquicos distintos...
    8. 9. Organização da Política <ul><li>(Política) : constituída neste documento, define a estrutura, as diretrizes e as obrigações referentes à segurança da informação; </li></ul><ul><li>(Normas) : estabelecem obrigações e procedimentos definidos de acordo com as diretrizes da Política, a serem seguidos em diversas situações em que a informação é tratada; </li></ul><ul><li>(Procedimentos) : instrumentalizam o disposto nas Normas e na Política, permitindo a direta aplicação nas atividades do Ensino superior Bureau Jurídico. </li></ul>
    9. 10. Organização da Política <ul><li>A política deverá ser divulgada a todos da empresa; </li></ul><ul><li>Cada setor tem sua responsabilidade definida no documento oficial; (Diretoria executiva, Diretoria Jurídica...); </li></ul><ul><li>Deverá ser criado o CGSI – Comitê Gestor de segurança da informação com responsabilidades e membros específicos ; ( Analisar casos de violação, propor ajustes na política...) </li></ul>
    10. 11. Informação
    11. 12. As formas da informação <ul><li>Impressa ou escrita em papel </li></ul><ul><li>Armazenada eletronicamente </li></ul><ul><li>Transmitida pelo correio ou através de meios eletrônicos </li></ul><ul><li>Mostrada em filmes </li></ul><ul><li>Falada em conversas </li></ul>
    12. 13. Gestão de Ativos <ul><li>Tudo que manipula informação, inclusive ela própria. </li></ul><ul><li>Tecnologia </li></ul><ul><li>Infra-estrutura </li></ul><ul><li>Aplicações </li></ul><ul><li>Informações </li></ul><ul><li>Pessoas </li></ul><ul><li>A Área de Gestão de Segurança deverá ter controle rígido das informações prestadas/tramitadas e controle de seus ativos físicos. </li></ul>
    13. 14. Classificação da Informação A informação é um ativo que como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida. As informações tramitadas pela ESBJ, seguem um critério no qual consiste na preservação da confidencialidade, integridade e disponibilidade da informação ...
    14. 15. Segurança da Informação <ul><li>Preservação da confidencialidade , integridade e </li></ul><ul><li>disponibilidade da informação no entendimento da ESBJ </li></ul>CONFIDENCIALIDADE Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. INTEGRIDADE Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. DISPONIBILIDADE Garantia de que os usuários autorizados tenham acesso à informação e aos ativos correspondentes sempre que necessário .
    15. 16. Segurança Física <ul><li>Ambiente físico é aquele composto por todo o ativo permanente utilizado na ESBJ, para o provimento de informações/serviços. </li></ul><ul><li>As responsabilidades pela segurança física dos sistemas da ESBJ estão definidos e atribuídos a indivíduos claramente identificados; </li></ul><ul><li>A localização das instalações e o sistema provimento das informações da ESBJ não são publicamente identificados; </li></ul><ul><li>Os sistemas da ESBJ estão localizados em área protegida ou afastada de fontes potentes de magnetismo ou interferência de rádio freqüência; </li></ul>
    16. 17. Segurança Física <ul><li>O acesso aos componentes da infra-estrutura, atividade fundamental ao funcionamento dos sistemas de ERP, como painéis de controle de energia, comunicações e cabeamento, é restrito ao pessoal autorizado; </li></ul><ul><li>Sistemas de detecção de intrusão (IDS) são utilizados para monitorar e registrar os acessos físicos aos servidores nas horas de utilização; </li></ul><ul><li>Os ambientes onde ocorrem os processos críticos da ESBJ são monitorados, em tempo real, com as imagens registradas por meio de sistemas de CFTV; </li></ul>
    17. 18. Gestão de Operação Garantir uma operação segura, correta e coesa dos sistemas computacionais da ESBJ.
    18. 19. Gestão de Operação Uso da Rede Local: Estabelecer critérios para a disponibilidade das informações, protegendo contra o seu uso indevido ou não autorizado, e que toda a movimentação de informações (seja escrita, leitura, cópia ou deleção) esteja devidamente identificada. Os serviços e recursos computacionais da ESBJ são destinados apenas para atividades acadêmicas e administrativas de interesse da ESBJ, salvo autorizações especiais concedidas formalmente por sua Diretoria e limitados usos privativos.
    19. 20. Aspectos <ul><li>Direitos e responsabilidades dos usuários </li></ul><ul><li>utilização de contas de acesso; </li></ul><ul><li>utilização de softwares e informações, incluindo questões de instalação, licenciamento e copyrigh t; </li></ul><ul><li>proteção e uso de informações (sensíveis ou não), como senhas, dados de configuração de sistemas e dados confidenciais da organização; </li></ul><ul><li>uso aceitável de recursos como email , news e Web; </li></ul><ul><li>direito à privacidade, e condições nas quais esse direito pode ser violado pelo provedor dos recursos (a empresa); </li></ul><ul><li>uso de antivírus. </li></ul>
    20. 21. Gestão de Operação – Rede Local <ul><li>Amostra de diretriz: </li></ul><ul><li>Em sistemas de computação compartilhados, todo usuário possui uma identificação. Ninguém deve usar o sistema utilizando a identificação de outro usuário sem sua permissão explícita. </li></ul><ul><li>Mensagens enviadas devem sempre conter a identificação do remetente. </li></ul><ul><li>Todo o tráfego na rede é considerado confidencial. </li></ul><ul><li>Os recursos computacionais da ESBJ devem ser empregados de forma parcimoniosa, </li></ul><ul><li>respeitando o espírito comunitário da empresa. </li></ul>
    21. 22. Gestão de Operação – Internet Estabelecer regras para as transações com o meio publico de comunicação (internet). Não permitir o acesso (ou decesso) da informação sem o devido controle e analise quanto a sua segurança e confiabilidade. Registrar toda e qualquer transação com a internet e ser capaz de recuperá-la a qualquer momento.
    22. 23. Gestão de Operação – Internet Amostra de Diretriz: Causar tráfego impróprio na rede que congestione por longo tempo ou se ocupar de atividades inativas, não relacionadas a empresa, acarreta em punição. A única pessoa permitida a usar uma conta é o usuário a quem aquela conta e senha foram emitidas pelo NTI;
    23. 24. Controle de Acesso Existem áreas que merecem maior atenção quanto ao controle da entrada de pessoas, estas áreas são departamentos que contém informações ou equipamentos que devem ser protegidos, como por exemplo: sala de servidores, departamentos como financeiro, setor de documentação, departamento de recursos humanos
    24. 25. Controle de Acesso – Mesa limpa, tela limpa A política de mesa limpa deve ser considerada para os departamentos e utilizada pelos funcionários da ESBJ, de modo que papéis não fiquem expostas à acessos não autorizado. Diretriz: A política de tela limpa deve considerar que se o usuário não estiver utilizando a informação ela não deve ficar exposta, reduzindo o risco de acesso não autorizado, perda e danos à informação.
    25. 26. Controle de Acesso – Acesso Lógico Usuários e aplicações que necessitem ter acesso a recursos da ESBJ são identificados e autenticados;
    26. 27. Controle de Acesso – E-mail O correio eletrônico fornecido pela EMPRESA é um instrumento de comunicação interna e externa para a realização do negócio da EMPRESA.
    27. 28. Gestão de Incidentes Tem como principal objetivo restaurar a operação normal do serviço o mais rápido possível, minimizando os prejuízos à operação do negócio. Informando fragilidades e eventos de segurança permitindo a tomada de ação corretiva em tempo hábil para, garantir o melhor nível de serviço e disponibilidade.
    28. 29. Gestão de Continuidade   Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. A gestão de continuidade convém que seja implementada para minimizar o impacto de algum risco vim a ocorrer para a organização e recuperação de perda de ativos de informação.
    29. 30. Conformidade     Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. A gestão de continuidade convém que seja implementada para minimizar o impacto de algum risco vim a ocorrer para a organização e recuperação de perda de ativos de informação.
    30. 31. Fatores importantes para o sucesso de uma política de segurança <ul><li>apoio por parte da administração superior; </li></ul><ul><li>a política deve ser ampla, cobrindo todos os aspectos que envolvem a segurança dos recursos computacionais e da informação sob responsabilidade da organização; </li></ul><ul><li>a política deve ser periodicamente atualizada de forma a refletir as mudanças na organização; </li></ul><ul><li>O Comitê Gestor de Segurança da Informação deve ser responsável por verificar se a política está sendo respeitada; </li></ul>
    31. 32. Sucesso <ul><li>todos os usuários da organização devem tomar conhecimento da política e manifestar a sua concordância em submeter-se a ela antes de obter acesso aos recursos computacionais; </li></ul><ul><li>a política deve estar disponível em um local de fácil acesso aos usuários, tal como a intranet da organização. </li></ul>
    32. 33. Fatores que levam a política de segurança ao fracasso <ul><li>a política não deve ser demasiadamente detalhada ou restritiva; </li></ul><ul><li>o excesso de detalhes na política pode causar confusão ou dificuldades na sua implementação; </li></ul><ul><li>não devem ser abertas exceções para indivíduos ou grupos; </li></ul><ul><li>a política não deve estar atrelada a softwares e/ou hardwares específicos. </li></ul>
    33. 34. Muito Obrigado pela atenção

    ×