Segurança da Informação Basica para Organização

717 visualizações

Publicada em

Segurança da Informação Basica para Organização

Publicada em: Economia e finanças
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Segurança da Informação Basica para Organização

  1. 1. PLANO DE CONTINUIDADE DE NÉGOCIOS Politica de Segurança da Informação
  2. 2. Politica de Segurança da Informação  O plano de continuidade de negócios possibilita o funcionamento da organização em um nível aceitável nas situações de contingência onde há indisponibilidade dos recursos de informação. A impossibilidade de realizar as suas operações traz sérios impactos financeiros, operacionais e de imagem.  A gestão de riscos deve ser um processo que inclui a identificação, análise, avaliação, tratamento, aceitação, comunicação, monitoramento e revisão do risco, onde se deve analisar todos os riscos inerentes às atividades da organização.
  3. 3. A informação é um ativo que possui grande valor, devendo ser adequadamente utilizada e protegida contra ameaças e riscos.  Os equipamentos e sistemas que viabilizam a atividade de acesso eletrônico à rede corporativa e à conexão com a Internet, assim como as informações geradas, recebidas, armazenadas e transmitidas compõem patrimônio da Organização e, como tal, devem ser entendidos e protegidos.
  4. 4. Assim Abordando alguns aspectos a serem revistos na organização:  Deve ser envolvida a área de TI e principalmente a de segurança da informação no planejamento das ações de negócios da organização. o Para que então a equipe de Tecnologia da Informação possa sugerir um planejamento estratégico para a segurança da informação da empresa.  Criação de documentação, planejamento e implementação corretiva para prevenir a reincidência de um incidente de segurança da informação.
  5. 5. Segurança física do ambiente  Segurança física do ambiente de processamento dos dados de informação da empresa. o Restrição de acesso ao local do Data Center, começando com proteção a janela do departamento do TI. o Barreiras físicas para impedir entradas não autorizada ao local que armazena e centraliza todos os dados da organização. o Implantação de proteção contra fogo, incêndio natural ou provocado. o Controle para diminuir os riscos provocados com excesso de poeira e fumaça no local de processamento de dados e arquivamento das informações. o Informar aos visitantes procedimentos de segurança da informação, restrição de acessos, exigência de identificação visual.
  6. 6. Segurança física do ambiente  Segurança física do ambiente de processamento dos dados de informação da empresa. o Monitoramento de imagens de segurança do Data Center e armazenamento das imagens em local separado do mesmo. Para assim evitar possíveis danos ao local de processamento das informações de ladrões e vândalos que tiverem o intuito de eliminar gravações dos vídeos das câmeras de segurança. o Realização de manutenção preventiva periodicamente em nobreak e geradores de energia elétrica para evitar possível transtorno com a falta e interrupção de energia elétrica. o Instalação de iluminação de emergência no Data Center para facilitar procedimentos de segurança nos equipamentos que processam as informações cruciais da organização. o Proteção de cabos e rotas de alternativa contra interrupção indesejáveis da rede logica.
  7. 7. Gerenciamento  Gerenciamento das operações e comunicações. o Armazenamento de copias e backup de segurança dos sistemas em locais separados, distantes e seguro do local principal do processamento das informações. Para em caso de danos no local principal as copias estarem em total segurança. o Proteção física e ambiental do local de armazenamento da cópia de segurança. Para o backup permanecer confiável em momentos necessários e utilização.
  8. 8. Gerenciamento  Gerenciamento das operações e comunicações. o Definição de restrição e utilização de mídias removíveis no ambiente da corporação. Para evitar entrada de software maliciosos invisíveis e causar possível perda e desvio de informações indesejáveis a empresa. o Implementação de padronização na utilização de correio eletrônico e política de troca de informação. o Controle especial e padrão forte de criptografia de senha em todos os tipos de acesso do usuário ao software e correio eletrônico empresarial.
  9. 9. Controle de acesso a software  Controle de acessos a software, correio eletrônico, rede coorporativa da organização. o Desenvolvimento e padrão formal para cadastramento, regras e direitos de acessos dos usuários em geral. o Criação de processos de conscientização de criação e uso de senhas. Para evitar vazamento de senha e assim facilitar acessos indesejáveis a rede da organização. o Divisão de redes corporativa e visitantes, para impedir acessos indesejáveis. Assim bloqueando acesso de terceiros a rede e informações coorporativa.
  10. 10. Controle de acesso a software  Controle de acessos a software, correio eletrônico, rede coorporativa da organização. o Registo de acessos bem sucedidos e mal sucedidos (fracassados) a rede empresarial. Para poder investigar, rastrear e descobrir possíveis invasores a rede e informação da empresa. o Restringir tempo de funcionamento automaticamente aos serviços e sistemas da empresa. Bloqueando acesso ao sistema, e-mail e demais serviços cruciais evitando tentativa de acesso não autorizado e perda de informação. Ou seja, desativar o funcionamento de acesso aos sistemas da corporação para evitar acesso mão autorizado. o Limitação de tentativa a acesso aos sistemas da corporação, evitando tentativa de logon não autorizado. Desconectado os usuários após um tempo de inatividade do uso de sistemas e demais recursos da rede corporativa.
  11. 11. Ocorrência de desastre  Elaboração de um plano de continuidade de negócio que deve ser aplicado na ocorrência de um desastre que indisponiblize recursos computacionais e humano. o Identificação e elaborar o tratamento para eventos que podem causar interrupção nos processos do negócio. o Realizar periodicamente avaliações dos riscos focando nas ameaças que podem indisponibilizar os recursos da informação. o Criação de um plano estratégico de compartilhamento de conhecimento para o negócio da organização não ficar na dependência de um único centro do conhecimento. o Processo de treinamento e investimento na equipe de TI visando o crescimento do conhecimento conjunto em busca de aperfeiçoamento da área da tecnologia e segurança das informações da organização.
  12. 12. Verificação de vulnerabilidade  Verificação continua de vulnerabilidades entorno de toda a área de tecnologia da informação. o Bloqueio e proteção contra possíveis entradas e contaminação de vírus. Aonde podem facilitar perda e roubo de informações cruciais para a organização. o Restringir acesso a pastas compartilhadas nas nuvens. Para evitar desvio de informações. o Fechar portas de usuários com equipamentos e dispositivos moveis que possam vir a estar contaminados com vírus invisíveis aos diversos bloqueios tecnológicos.
  13. 13. Integração da TI com RH:  Departamento de Recursos humanos deve trabalhar em parceria com o TI para elaboração de termo de condição de funcionários, colaboradores, fornecedores e terceiros em relação à segurança da informação e confiabilidade, estendendo-se após o período do vínculo com a organização. o Definição de processos da segurança da informação. o Treinamento e conscientização dos colaboradores, fornecedores e terceiros em relação as políticas adotas dentro e fora da organização em relação a segurança da informação. o Estabelecer processos disciplinares com colaboradores quando necessário ao cometer quebras de segurança. o Deve ser informado antecipadamente quando possível o planejamento de desligamento de um funcionário da empresa, para que o departamento de TI possa se precaver com o encerramento de acesso aos sistemas, correio eletrônico, e demais acessos do usuário. Assim precavendo e protegendo a empresa de possíveis desvios de dados.
  14. 14. Elaboração de documentação:  Departamento de TI deve elaborar documentação de política de segurança da informação, contendo uma definição, seus objetivos e a importância da segurança no uso e proteção da informação. o Direção da empresa deve apoiar os objetivos do princípios da segurança da informação.
  15. 15. Desenvolvimento de Plano de Política de tecnologia da informação e segurança  Elaboração e desenvolvimento de um plano de política de tecnologia da informação e segurança da informação envolvendo todas as áreas da empresa em um intuito único de fechar portas e limitar possível vazamento e perda de informação indesejável.
  16. 16. Informação deve ser Protegido  Por princípio, a segurança da informação deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem, perda não- intencional, acidentes e outras ameaças, devendo abranger três aspectos básicos. o Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação. o Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações. o Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.
  17. 17. Segurança da Informação  Yusef Sad o Cursando Pós Graduação Segurança da Informação e Gestão de Risco. o Graduado em Analise e Desenvolvimento de Sistemas o Técnico em Informática e Telecomunicação
  18. 18. Finalização  Encerramento.

×