Segurança da informação - Parte 3
23
SEGURANÇA SEGURANÇA DA INFORMAÇÃO DA INFORMAÇÃO Parte 3 Parte 3
-
Upload
fabricio-basto -
Category
Technology
-
view
3.586 -
download
0
description
Segurança da Informação - Política de Segurança da Informação.
Transcript of Segurança da informação - Parte 3
SEGURANÇA SEGURANÇA DA INFORMAÇÃODA INFORMAÇÃO
Parte 3Parte 3
Aspectos Humanos da Aspectos Humanos da Segurança da Segurança da
InformaçãoInformação
As pessoas são consideradas o “elo As pessoas são consideradas o “elo frágil” da segurança da informação, um frágil” da segurança da informação, um sistema, por mais sofisticado que seja, sistema, por mais sofisticado que seja,
pode ser derrubado pela atuação de uma pode ser derrubado pela atuação de uma só pessoa, seja por erro, abuso de só pessoa, seja por erro, abuso de
privilégio, fraudes)privilégio, fraudes)
- Treinamento e Conscientização- Treinamento e Conscientização
(Proteção, Vírus, Spans, Perigos)(Proteção, Vírus, Spans, Perigos)
- Envolvimento da Gerência- Envolvimento da Gerência
- Acordo de Confidencialidade- Acordo de Confidencialidade
- Processo Disciplinar- Processo Disciplinar
Segurança no Segurança no Ambiente FísicoAmbiente Físico
Um grupo específico de medidas Um grupo específico de medidas preventivas é chamado barreiras de preventivas é chamado barreiras de
segurança. Uma barreira corresponde a segurança. Uma barreira corresponde a qualquer obstáculo colocado para qualquer obstáculo colocado para
prevenir um ataque, podendo ser física prevenir um ataque, podendo ser física (cerca elétrica, parede), lógica (senhas) ou (cerca elétrica, parede), lógica (senhas) ou
combinação de ambas (autenticação de combinação de ambas (autenticação de pessoas por dispositivo biométrico para pessoas por dispositivo biométrico para acesso, catracas, cartões com senhas).acesso, catracas, cartões com senhas).
- Segurança dos computadores - Segurança dos computadores
(Senha seguras)(Senha seguras)
- Proteção dos Documentos – Papel, Mídia - Proteção dos Documentos – Papel, Mídia Eletrônica.Eletrônica.
(Armazenamento, Manutenção, Cópia, (Armazenamento, Manutenção, Cópia, Transmissão e Descarte)Transmissão e Descarte)
Segurança do Data CenterSegurança do Data Center
- Backup Seguro- Backup Seguro- Circuitos Antichama- Circuitos Antichama
- Sala Apropriada- Sala Apropriada- Proteção contra catástrofes - Proteção contra catástrofes
(Inundação, Incêndios, Terremotos)(Inundação, Incêndios, Terremotos)
Um cabeamento estruturado bem Um cabeamento estruturado bem projetado é importante para evitar projetado é importante para evitar
problemas futuros. problemas futuros.
O que é CERTO e ERRADO?O que é CERTO e ERRADO?
CERTOCERTO
ERRADOERRADO
Segurança no Segurança no Ambiente LógicoAmbiente Lógico
Na Segurança Lógica é observado as Na Segurança Lógica é observado as ameaças aos sistemas e programas, e ameaças aos sistemas e programas, e
esses precisam ser protegidos, seja ele esses precisam ser protegidos, seja ele causado por ameaças externas (invasões, causado por ameaças externas (invasões, ataques de força bruta, vírus) ou internas ataques de força bruta, vírus) ou internas
(erros, abusos de privilégio, fraudes)(erros, abusos de privilégio, fraudes)
- Sistemas devem ser bem desenvolvidos- Sistemas devem ser bem desenvolvidos
(Validação de entrada de dados, Controle (Validação de entrada de dados, Controle de processamento, Validação de Saída, de processamento, Validação de Saída,
Transmissão e Mudanças)Transmissão e Mudanças)
- Política de senhas e internet- Política de senhas e internet
- Proteção dos Servidores - Proteção dos Servidores
(Antivírus, Firewal, IDS, Testes)(Antivírus, Firewal, IDS, Testes)
- Assinatura Digital – Certificado- Assinatura Digital – Certificado
(NFe)(NFe)
Política de SegurançaPolítica de Segurançada Informaçãoda Informação
A Política de Segurança da Informação – A Política de Segurança da Informação – PSI é um documento que registra os PSI é um documento que registra os
princípios e as diretrizes de segurança princípios e as diretrizes de segurança adotado pela organização, a serem adotado pela organização, a serem
observados por todos os seus integrantes observados por todos os seus integrantes e colaboradores e aplicados a todos os e colaboradores e aplicados a todos os
sistemas de informação e processos sistemas de informação e processos corporativos.corporativos.
Etapas Etapas
1º Precisamos fazer um planejamento, levantando o perfil 1º Precisamos fazer um planejamento, levantando o perfil da empresa. Analisar o que deve ser protegido, tanto da empresa. Analisar o que deve ser protegido, tanto interno como externamente.interno como externamente.
2º Aprovação da política de segurança pela diretoria. 2º Aprovação da política de segurança pela diretoria. Garantir que a diretoria apóie a implantação da política.Garantir que a diretoria apóie a implantação da política.
3º Análise interna e externa dos recursos a serem 3º Análise interna e externa dos recursos a serem protegidos. Estudar o que deve ser protegido, verificando protegidos. Estudar o que deve ser protegido, verificando o atual programa de segurança da empresa, se houver, o atual programa de segurança da empresa, se houver, enumerando as deficiências e fatores de risco.enumerando as deficiências e fatores de risco.
4º Elaboração das normas e proibições, tanto física, lógica e 4º Elaboração das normas e proibições, tanto física, lógica e humana.humana.
Nesta etapa devemos criar as normas relativas à utilização de Nesta etapa devemos criar as normas relativas à utilização de programas, utilização da internet, acessos físicos e lógicos, programas, utilização da internet, acessos físicos e lógicos, bloqueios de sites, utilização do e-mail, utilização dos recursos bloqueios de sites, utilização do e-mail, utilização dos recursos tecnológicos, etc.tecnológicos, etc.
5º Aprovação pelo Recursos Humanos5º Aprovação pelo Recursos Humanos
As normas e procedimentos devem ser lidas e aprovadas pelo As normas e procedimentos devem ser lidas e aprovadas pelo departamento de Recursos Humanos, no que tange a leis departamento de Recursos Humanos, no que tange a leis trabalhistas e manual interno dos funcionários da organização.trabalhistas e manual interno dos funcionários da organização.
6º Aplicação e Treinamento da Equipe6º Aplicação e Treinamento da Equipe
Elaborar um treinamento prático com recursos didáticos, para Elaborar um treinamento prático com recursos didáticos, para apresentar a política de segurança da informação, recolhendo apresentar a política de segurança da informação, recolhendo declaração de comprometimento dos funcionários. A política deve declaração de comprometimento dos funcionários. A política deve ficar sempre disponível para todos os colaboradores da ficar sempre disponível para todos os colaboradores da organização.organização.
7º Avaliação Periódica7º Avaliação Periódica
A política de segurança da informação deve ser A política de segurança da informação deve ser sempre revista, nunca pode ficar ultrapassada.sempre revista, nunca pode ficar ultrapassada.
8º Feedback8º Feedback
A organização deverá designar um colaborador A organização deverá designar um colaborador específico para ficar monitorando a política, a fim específico para ficar monitorando a política, a fim de buscar informações ou incoerências, que de buscar informações ou incoerências, que venham a alterar o sistema, tais como venham a alterar o sistema, tais como vulnerabilidades, mudanças em processos vulnerabilidades, mudanças em processos gerenciais ou infra-estrutura.gerenciais ou infra-estrutura.
