1 / 47

Segurança, Controle e Auditoria de Dados

Segurança, Controle e Auditoria de Dados. 9 – Segurança da Informação. Segurança da Informação. O que quer se proteger? Contra que ou quem? Quais as ameaças mais prováveis? Qual a importância de cada recurso? Qual o grau de proteção desejado?. Segurança da Informação.

emile
Download Presentation

Segurança, Controle e Auditoria de Dados

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Segurança, Controle e Auditoria de Dados 9 – Segurança da Informação

  2. Segurança da Informação • O que quer se proteger? • Contra que ou quem? • Quais as ameaças mais prováveis? • Qual a importância de cada recurso? • Qual o grau de proteção desejado?

  3. Segurança da Informação • Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os objetivos de segurança desejados? • Quais as expectativas dos usuários e clientes em relação à segurança da informação? • Quais as conseqüências para a instituição se seus sistemas e informações forem corrompidas ou roubadas?

  4. Segurança da Informação • Ao responder essas perguntas, define-se a política de segurança; • Cada serviço ou medida preventiva (e corretiva) deve ser definido para atender o objetivo de segurança; • Porém, deve haver um equilíbrio entre necessidade de segurança e custo.

  5. Segurança da Informação • O primeiro passo, é o reconhecimento da necessidade de ter segurança; • A alta gerencia deve ter comprometimento com a causa; • A visão de “inibidor” e “camisa de força” é o principal impedimento; • Deve ter a imagem de protetor da disponibilidade e qualidade das informações;

  6. Segurança da Informação • A política deve ser resumida, clara e objetiva; • Os detalhes devem estar somente em documentos específicos, e não da política; • A política é o primeiro documento de todos os que virão depois; • Esses que vêm depois são os que detalharão os procedimentos e padrões a serem aplicados;

  7. Segurança da Informação • Existem vários grupos de pesquisa; • Seus estudos algumas vezes viram padrões; • Padrões podem virar, inclusive, leis; • Padrões são internacionais, leis são nacionais, mas podem existir semelhanças entre leis de países diferentes;

  8. Segurança da Informação • É importante consultar a legislação vigente para ter certeza da adequação das políticas; • Outro fator que deve ser conferido é se as políticas está de acordo com os padrões recomendados pelas organizações competentes;

  9. Segurança da Informação • Projeto de Lei do Senado, por Renan Calheiros, de 2000: define e tipifica os delitos de informática; • Projeto de lei 84/1999: dispõe sobre os crimes cometidos na área de informática e suas penalidades; • Lei 9.609/1998: dispõe sobre a proteção da propriedade intelectual de programa de computador e sua comercialização no pais;

  10. Segurança da Informação • Lei 9.610/1998: altera, atualiza e consolida a legislação sobre direitos autorais; • Lei 9.296/1996: regulamenta o inciso XII, parte final, do art. 5º, da Constituição Federal. Aplica-se à interceptação do fluxo de informação em sistemas de informática e telemática; • Projeto de Lei do Senado 234/1996: dispõe sobre os crimes contra a inviolabilidade da comunicação de dados de computador;

  11. Segurança da Informação • Projeto de Lei da Câmara dos Deputados 1.713/1996: dispõe sobre o acesso, a responsabilidade e os crimes cometidos nas redes integradas de computadores; • Decreto 96.036/1988: regulamenta a Lei 7.646/1987, revogada pela Lei 9.609/1998; • Decreto 79.099/1977: aprova o regulamento para salvaguarda de assuntos sigilosos.

  12. Segurança da Informação • Instituições: • InternationalOrganization for Standardization (ISO) • InternationalElectrotechnicalComission (IEC) • InternationalTelecommunicationsUnion (ITU) • ComitéEuropéen de Normalisation (CEN) • ComitéEuropéen de NormalisationEléctrotechnique (CENELEC) • EuropeanTelecommunications Standards Institute (ETSI)

  13. Segurança da Informação • Instituições: • InstituteofElectricalandElectronicsEngineers (IEEE) • NationalInstitute for Standards andTechnology (NIST) • AmericanNational Standards Institute (ANSI) • Tribunal de Contas da União (TCU)

  14. Segurança da Informação • A política é um mecanismo preventivo de proteção; • Pode ser usado para medir a qualidade e a segurança dos sistemas utilizados; • Contém princípios organizacionais de como a instituição irá se proteger, controlar e monitorar seus recursos informacionais;

  15. Segurança da Informação • Define também a responsabilidade das funções relacionadas com a segurança; • Discrimina as principais ameaças, riscos e impactos envolvidos; • Lista as principais medidas preventivas e corretivas para cada um dos itens de risco.

  16. Segurança da Informação • Porém, não deve limitar-se a questões informacionais; • Deve estar integrada com políticas institucionais de segurança em geral; • Alinhamento com as metas de negócio e ao plano estratégico da organização.

  17. Segurança da Informação • A política de segurança de informação gera impactos sobre todos os projetos de informática, sejam estes: • Planos de desenvolvimentos de novos sistemas; • Planos de contingências; • Planejamento de capacidade. • Não somente o setor de informática está envolvido, mas toda e qualquer fonte, e consumidor, de informação serão afetados.

  18. Segurança da Informação

  19. Segurança da Informação • É necessário que ela seja aprovada e reforçada pela alta gerencia; • A política deve estar difundida por toda a organização; • Todos os controles e medidas posteriores serão criadas com base na política;

  20. Segurança da Informação • Apresenta os responsáveis pela implantação, sua linha gerencial e os instrumentos de controle e supervisão de seu trabalho. • Orienta sobre análise e gerencia de riscos, princípios de conformidade dos sistemas computacionais, classificação das informações (pública, interna, confidencial e secreta) e padrões mínimos de qualidade.

  21. Segurança da Informação • Contem, normalmente, princípios legais e éticos que devem ser atendidos, como: • Direitos de propriedade de produção intelectual; • Direitos sobre software e normas legais correlatas aos sistemas desenvolvidos; • Princípios de implementação da segurança de informações; • Políticas de controle de acesso a recursos e sistemas computacionais; e • Princípios de supervisão constante das tentativas de violação da segurança de informações.

  22. Segurança da Informação • Geralmente conta com outras “sub-políticas”, como: • Política de senhas; • Política de backup; • Política de contratação, instalação de equipamentos e softwares; etc. • Aliada também a definições de procedimentos e práticas, com regras mais específicas de como será feita a implementação, administração e verificação de conformidade à políticas.

  23. Segurança da Informação • Independente da quantidade de documentos envolvidos, todos eles devem ser divulgados, completos ou em partes, às pessoas envolvidas ou atingidas pela política de segurança; • Isso visa prover a todos de orientação básica de como agir corretamente, de modo a atender às regras, e saber quais as medidas (preventivas ou corretivas) podem ser tomadas, e quais as consequencias de uso inadequado.

  24. Segurança da Informação • É recomendável que tenham introdução, para facilitar a leitura, e introduzir o leitor ao texto.

  25. Processo de Implantação • A política, para ser implantada, passa por um processo relativamente longo; • Esse processo deve ser flexível o suficiente para permitir modificações na política conforme as necessidades sejam descobertas; • O processo é dividido em fases;

  26. Processo de Implantação • Identificação dos recursos críticos; • Classificação das informações; • Definição, em linhas gerais, dos objetivos de segurança a serem atingidos; • Análise das necessidades de segurança (identificação de possíveis ameaças, análise de risco e impactos);

  27. Processo de Implantação • Elaboração da proposta de política; • Discussão abertas com os envolvidos; • Apresentação de documento formal à gerencia superior; • Aprovação;

  28. Processo de Implantação • Implementação; • Avaliação da política e identificação da mudanças necessárias; • Revisão.

  29. Identificando os Recursos • Aqui se identificam todos os recursos que estão sob algum tipo de risco. • O que precisa ser protegido? • Quais são os recursos mais importantes? • Sob que formas a informação estão armazenadas? (papel, disquete, CD/DVD, HD)

  30. Identificando os Recursos • Hardware: processadores, placas, teclados, terminações, estações de trabalho, computadores pessoais, impressoras, unidades de disco, linhas de comunicação, servidores, roteadores; • Software: utilitários, programas de diagnóstico, sistemas operacionais, programas de comunicação, aplicativos sob demanda; • Suprimentos: papel, formulários, fitas, disquetes, CD-ROMs;

  31. Identificando os Recursos • Dados: em processamento, em trânsito nos dispositivos e linhas de comunicação, armazenados on-line e off-line, backups, log de auditoria, base de dados; • Pessoas: usuários e funcionários necessários para o funcionamento dos sistemas; • Documentação: sobre programas, hardware, sistemas, procedimentos administrativos.

  32. Classificação das Informações • Cada tipo de informação tem seu valor, e por isso deve ser cuidado de modo diferente; • Cada informação tem um proprietário, e é este que deverá classificá-la, pois é o que o que tem mais condições de aferir o real valor da mesma; • Com sistemas de classes diferentes, toda informação deve ser tratada com a maior delas, com a que exige maior segurança;

  33. Classificação das Informações • A classificação mais comum é: • Pública: informações onde pouca ou nenhuma segurança é exigida, podendo ser divulgadas a qualquer pessoa sem que haja implicações para a instituição. • Exemplos: • Serviços de informação ao público geral; • Informações divulgadas à imprensa ou pela Internet.

  34. Classificação das Informações • Internas ou de uso interno: estas informações não devem sair da instituição. Porém, se isso ocorrer, as conseqüências não serão críticas. • Exemplos: • Serviços de informação interna; • Documentos de trabalho corriqueiros, que somente interessam aos funcionários.

  35. Classificação das Informações • Confidenciais: informações são protegidas contra acesso externo. Somente se terá acesso a estes documento se estritamente necessário, e se forem fundamentais para o desempenho satisfatório do seu trabalho. O acesso não autorizado pode causar danos financeiros ou perda de mercado. • Exemplos: • Dados de clientes e/ou fornecedores; • Senhas; • Balanços; • Vulnerabilidades dos sistemas.

  36. Classificação das Informações • Secretas: extremamente críticos para a organização. O número de pessoas com acesso deve ser restrito, e o controle sobre o uso dessas informações total. • Exemplos: • Dados militares; • Segurança nacional.

  37. Classificação dos Sistemas • Por ser extenso, o ideal é dividir o ambiente de sistemas de informação em níveis, e implementar controles de segurança por nível.

  38. Classificação dos Sistemas • Aplicativos: projetados para atender as necessidades específicas do usuário; • Serviços: utilizados pelos aplicativos, como por exemplo os serviços prestados por um SGBD; • SO: fornece serviços de baixo nível, como gerenciamento de arquivos; • Hardware: processador e memória.

  39. Análise de Riscos • Risco é geralmente confundido com ameaça; • O risco, na verdade, é composto pela ameaça, vulnerabilidade e impacto; • A análise de riscos busca por componentes críticos e avalia o custo potencial ao usuário do sistema; • É ponto chave da política de segurança;

  40. Análise de Riscos • Se analisam as ameaças e as probabilidades desta se concretizar; • Caso se concretizem, quais os impactos e severidade da perda; • Em alguns casos, o custo de evitar um risco é maior que a perda;

  41. Análise de Riscos • Riscos serão somente reduzidos, é impossível eliminá-los por completo; • A idéia é analisar as medidas de mitigação de riscos; • Sempre equilibrando custos com impacto e probabilidade de ocorrência;

  42. Análise de Riscos • Quebra de segurança sempre irá ocorrer, é tudo questão de tempo e recursos técnicos e econômicos envolvidos; • Conhecer as ameaças com antecedência ajuda a compreender como elas se relacionam, e como mitigando uma pode vir a eliminar outra, cortando custos.

  43. Análise de Ameaças • Todo elemento que pode explorar fragilidades de segurança para impedir o funcionamento do sistema ou a disponibilidade de informação é considerado ameaça ou vulnerabilidade; • Ameaça é o evento ou atitude que remove, desabilita, danifica ou destrói um recurso; • A vulnerabilidade é a fraqueza ou deficiência que pode ser explorada pela ameaça;

  44. Análise de Ameaças • Ameaças podem ser acidental, ou deliberada; • Pessoas e idéias também podem ser ameaças; • Elas podem ainda ser divididas em passivas ou ativas: • Ativas: são as que modificam ou corrompem as informações ou serviços; • Passivas: apenas acessam as informações ou serviços, sem danificá-los.

  45. Análise de Ameaças • Vazamentos de informações; • Violação de integridade; • Indisponibilidade de serviços; • Acesso e uso não autorizado.

  46. Análise de Ameaças • Mascaramento; • Desvio de controle; • Violação autorizada; • Ameaças programadas.

  47. Análise de Ameaças Ameaça | Recurso | Confidencialidade | Integridade | Disponibilidade

More Related