Académique Documents
Professionnel Documents
Culture Documents
1º Aula
ATIVOS
GESTÃO TI
ADM. REDES
PROGRAMMER
REDES II
DESIGN INFRA-ESTRUTURA
INFORMÁTICA
O Que é Segurança da Informação
5
História da Segurança da Informação
Pré-Informática
Pós-Informática
Pós-Internet (Atual)
Inteligência Artificial ?
WWW
6
Pré-Informática
Criptografia
Esteganografia
Espionagem
Juramento de Hipócrates
Hipócrates
7
Pós-Informática
Controle de acesso
Espionagem eletrônica
Segurança em Telecomunicações
8
Pós-Internet
Firewalls
Anti-vírus
9
Inteligência Artificial
Sistemas
10
Normas
O que é norma?
11
ORGANIZAÇÃO ISO
O que é ISO?
12
A Família ISO 27000
13
SÉRIE ISO 27000
14
ATIVO
Qualquer elemento (hardware, software, pessoas)
que armazene, veicule e informações que tem valor
para o negócio da organização.
16
Tipos de Ativos
Intangíveis Informação
Imagem Arquivos e Base de Dados
Confiabilidade Contratos
Marca Material de Treinamento
Software
Sistemas
Físicos
Computadores
Ferramentas
Mídias
Pessoas Serviços
Empregados Sistema de Ar-Condicionado
Prestadores de serviço Comunicações
17
INFORMAÇÃO
Conceituando Informação
Dados, Informação e Informática
i
Analise de informações
Arquitetura de informações
Armazenamento
Gestão da informação
19
DADOS E INFORMAÇÃO
Informação é o resultado do processamento, manipulação e
organização de dados de tal forma que represente uma
modificação (quantitativa ou qualitativa) no conhecimento do
sistema
(pessoa, animal ou máquina)
que a recebe.
Fonte: Wikipédia
20
CONHECIMENTO
Conhecimento é construído
a partir das informações
Platão
absorvidas, ele não pode
Sócrates
simplesmente ser inserido
em um sistema.
Aristóteles
21
Dados, Informação e Conhecimento
Foco Posição da
Época Ambiente Proteção Principal Informática
22
Informática
Ciência que visa ao tratamento da informação por
meio do uso de equipamentos e procedimentos da
área de processamento de dados
Fonte: Dicionário Aurélio
23
ANÁLISE DE INFORMAÇÕES
É o processo de composição e decomposição da
informação considerando seu significado num
dado contexto.
24
ARQUITETURA DE INFORMAÇÕES
Fonte: Wikipédia
25
ARMAZENAMENTO DE INFORMAÇÕES
26
DISPOSITIVO DE ARMAZENAMENTO
Um dispositivo de armazenamento, ou mídia, é um
hardware capaz de armazenar uma quantidade
considerável de informação.
27
CICLO DE VIDA DAS MÍDIAS
28
GESTÃO DA INFORMAÇÃO
29
SISTEMA DE INFORMAÇÃO
Conjunto de funções interligadas que automatizam um
processo de tratamento de informação.
30
INFRAESTRUTURA DE INFORMAÇÃO
31
SEGURANÇA DA INFORMAÇÃO
Apresentação da Disciplina: SEGURANÇA
Metas:
• Planejar, gerenciar e implementar técnicas de gestão de risco.
• Aplicar os conhecimentos novos afim de minimizar riscos em processos críticos de negócio. Definir
plano de contingência para situações de emergência. Medidas PDCR – Preventivas, Detectivas,
Corretivas e Restauradoras
MESMO COM TUDO ISSO....
Capítulo I
Princípios e
Conceitos em
Segurança da Informação
Por que falar de Conceitos
Informação e
Segurança?
Informação
1 Ato ou efeito de informar. 2 Transmissão de notícias. 3
Instrução, ensinamento. 4 Transmissão de conhecimentos. 5
Opinião sobre o procedimento de alguém. 6 Investigação. 7
Inquérito.
Fonte: Dicionário Michaelis
Seguro (Segurança)
1 Livre de inquietações. 2 Sossegado. 3 Confiado. 4 Livre de
perigo ou não exposto a ele. 5 Que oferece segurança contra
ataques, acidentes, desastres ou danos de qualquer outra
natureza...
Fonte: Dicionário Michaelis
Por que falar de Conceitos
Informação e
Segurança?
• Heterogeneidade tecnológica
• Volume de informações disponibilizadas
• Volume de relacionamentos com terceiros
• Volume de ativos físicos, tecnológicos e humanos
• Altos índices de conectividade e compartilhamento
• Pressão por competitividade e lucratividade
• Manutenção da credibilidade da imagem
• ...
A INFORMAÇÃO É UM ATIVO
VALIOSO! Pois…
EIS ALGUMAS INFORMAÇÕES QUE TALVES VOCE GOSTARIA DE SABER ANTES DOS OUTROS…
• Identidade
• CPF
• Endereço residencial
• Telefone celular
• Código da maleta
• Senha da agenda eletrônica
• Informações bancárias e senhas
• Senhas de acesso da empresa
• Número do Cartão de Crédito
• $ espécie na carteira
• $ patrimônio
• $ saldo bancário
• $ prêmio do seguro de vida e beneficiários
• Rotina e horários de trabalho
$ $ $
INFORMAÇÕES
Informação vs Segurança
• Manuseio
• Armazenamento
• Transporte
• Descarte
INFORMAÇÕES
Informação vs Segurança
• Físicos
• Tecnológicos
• Humanos
Ativos
Fator de Produção
44
SISTEMA DE GESTÃO DE SEGURANÇA DA
INFORMAÇÃO (SGSI)
RAZÕES PARA IMPLEMENTAR UM SGSI
“Um SGSI atua como parte de um
sistema maior de gestão de
riscos corporativos, que visa
proteger a empresa de danos
repetidos ou irreparáveis”
46
ORGANIZAÇÃO DA SEGURANÇA
A alta gestão deve patrocinar a segurança e agir
de forma exemplar
É necessário que haja um gestor responsável pelo
processo
A Equipe varia de acordo com o tamanho da
empresa
47
IMPLEMENTAÇÃO DE UM SGSI
A Organização deve criar um framework onde
agrupe as questões relativas à S.I. em grupos
de assuntos, que se conectam uns com os
outros.
48
CATEGORIAS DE SEGURANÇA
Contém:
49
A ORGANIZAÇÃO DA ISO 27002
Política de segurança da informação
Organizando a segurança da informação
Gestão de ativos
Segurança em recursos humanos
Segurança física e do ambiente
Gerenciamento das operações e comunicações
Controle de acesso
Aquisição, desenvolvimento e manutenção de sistemas de
informação
Gestão de incidentes de segurança da informação
Gestão da continuidade do negócio
Conformidade
50
GESTÃO DO SGSI (PDCA)
Sistema de Gestão de Segurança da
Informação
Plan (Desenhar o SGSI)
Do (Implementar o SGSI)
Check(Monitorar e checar)
51
POLÍTICA DE SEGURANÇA
Políticas são a linha mestra de todas as
atividades de Segurança da informação
Demonstram o comprometimento
da alta administração
com a segurança.
52
IMPACTO, PRIORIDADE E URGÊNCIA
53
DOCUMENTOS DA POLÍTICA
Diretrizes
Normas
Procedimentos
54
CLASSIFICAÇÃO DA INFORMAÇÃO
Recomenda-se o uso de três a cinco categorias de
classificação da informação.
liberados
56
CÓDIGO DE CONDUTA
São conjuntos de regras utilizados
pelas organizações para definir o
comportamento esperado de seus
colaboradores, e incluem em seu
escopo a segurança da informação
57
Incidente de Segurança
O Incidente de segurança é
a materialização da
ameaça.
58
GESTÃO DE INCIDENTES
A Organização deve possuir um sistema
eficiente de gestão de incidentes onde os
colaboradores possam relatar fragilidades no
sistema ou eventos relativos à segurança
da informação.
59
ESCALONAMENTO
Funcional – Escalar atendimento para outro
colaborador com maior conhecimento
60
Ciclo de vida de um incidente
Ameaças
Redução
Incidente
Repressão Recuperação
Prevenção
Avaliação
Detecção
61
A ISO 20000
Padrão formal para gerenciamento de serviços de TI
Melhores Práticas em Gerenciamento de TI, baseada no ITIL
Baseada na BS 15000, certifica organizações em melhores
práticas de TI
Trata SI em seu item 6.6.
62
GESTÃO DE MUDANÇAS
Garantir a disponibilidade do ambiente
63
Exercícios de Fixação
1) A Moveis Tabajara investirá 70% do orçamento de
segurança em processos e conscientização. Porque
isso?
e incidente de segurança
64
LEIS E REGULAMENTAÇÕES
Leis e Regulamentações
Conformidade Legal
Conformidade técnica
Auditoria de sistemas
66
CONFORMIDADE
Evitar violação de qualquer lei
67
Conformidade Legal
Direitos de propriedade intelectual
68
DIREITOS AUTORAIS
Divulgação da política
Aquisição de Software
Conscientização
Manter registro de ativos
Controle de licenças
Inventário
69
LEGISLAÇÃO DE DADOS PESSOAIS
Proteção de dados pessoais de colaboradores
Proteção de dados de usuários
70
REGISTROS ORGANIZACIONAIS
Categorias de registros
Mudança de tecnologia
71
LEGISLAÇÃO INTERNACIONAL
Sarbanes-Oxley
Anti-Bribary Act
Embargos comerciais
72
CONFORMIDADE TÉCNICA
Conformidade com a
política de segurança
Verificação da
conformidade técnica
73
A ISO 27002
74
Auditoria
Controles de auditoria de sistema
Proteção das ferramentas de auditoria de
sistemas
75
REGULAMENTAÇÃO GOVERNAMENTAL
76
CRIMES POR COMPUTADOR
Enquadramento em crimes comuns
77
OBRIGADO!
Dúvidas:
adriano_bicalho@uol.com.br