Sistemas de Informaçãodiegofernandes.weebly.com/uploads/2/0/2/9/2029053/aula_14_-_seg… ·...
Transcript of Sistemas de Informaçãodiegofernandes.weebly.com/uploads/2/0/2/9/2029053/aula_14_-_seg… ·...
Sistemas de Informação
Gestão de SI- seção 4.4 Gestão da segurança da informação
diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva
Segurança
• Dados e informações devem estar bem guardadas e cuidadas
• Vulnerabilidades (externa e interna) – Acesso sem autorização – Divulgação indevida – Fraudes
• Ataques – Hackers e outras pessoas com competência técnica – Exploram falhas de sistema
diegofernandes.weebly.com
Prof. Me. Diego Fernandes Emiliano Silva [email protected]
2
LINK
Vulnerabilidades
• Podem ocorrer por erros de
– Softwares e sistemas
– Rede
– Acidentes e desastres
• Incêndios/ enchentes/ quedas de energia
• Pessoas também podem cometer equívocos no uso da tecnologia
diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva
Necessidade
• Para redução de riscos, toda organização deve desenvolver políticas, procedimentos e ações, monitoramento e controle para prevenir problemas
• Planejamento envolve – Compreensão das estratégias organizacionais
– Análise das vulnerabilidades e riscos
– Considerar todas as partes interessadas • Fornecedores / empresa / clientes
diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva
Exemplo real
• Por que a empresa Vivo me ligou hoje?
• Como ela sabe o meu número e os meus dados, inclusive da operadora que eu escolhi no momento?
• Quem vendeu informação?
• Será que a empresa não imagina que isso só desgasta a minha visão em relação a imagem dela?
diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva
Mecanismos de proteção
• Criptografia – Dados embaralhados, inteligíveis a terceiros
• Assinatura digital – conjunto de dados criptografados, associados a um
documento, que garantem integridade e autenticidade
• Antivírus
– software capaz de identificar e remover arquivos ou programas nocivos
diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva
ISO 27000
• Voltada a organização e a estrutura de segurança da informação... Alguns conceitos – Ameaça: causa potencial de um incidente indesejado, que pode resultar em
danos para um sistema ou entidade
– Ataques: ações de destruição, alteração, exposição, inutilização, roubo, acesso não autorizado, ou uso não autorizado de ativos
– Controle de acesso: assegurar acesso e restrição baseada na natureza do trabalho e parâmetros de segurança
– Gestão de risco: atividades coordenadas para dirigir e controlar uma organização em relação ao risco
– Risco: possibilidade de ocorrência de um evento, bem como suas consequências
ISOs
ISO 27001
Modelo para estabelecer, implementar, operar, monitorar, analisar, manter e melhorar um Sistema de Gestão de Segurança da Informação
ISO 27002
Desenvolve políticas de segurança da informação
diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva
ISO 27003 - PDCA
ISO 27003
Se relaciona com aspectos críticos necessários para implementar um projeto bem-sucedido, desde sua concepção até implementação
ISO 27004
Voltada para levantar indicadores e métricas para checar eficácia da segurança da informação (CHECK)
ISO
ISO 27005
Observa os riscos da TI, e prevê análises e avaliações de possíveis impactos
ISO 27006
Especifica requisitos para empresas que prestam serviços de auditoria e certificação de um Sistema de Segurança da Informação
diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva
Implantação de Sistema de Gestão de Segurança da Informação
diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva
MA
RTI
NS;
SA
NTO
S, 2
00
5
O perigo está em casa Fonte: Exame, 26 jun. 2008
Práticas indevidas dos funcionários colocam em risco muitos dados corporativos (1)
Copiam informações confidenciais da empresa em pen drives 51%
Compartilham senhas com colegas de trabalho 46%
Já perderam equipamentos portáteis de armazenamento de dados 39%
Enviaram documentos da empresa em anexo para e-mails pessoais 33%
Aparelhos portáteis mais utilizados para transportar dados corporativos
Laptop 41%
Pen drive 22%
CD-ROM 13%
Celular ou smartphone 3%
Prejuízo: 1,82 milhão de dólares é o custo médio de um incidente de vazamento de dados
(1) Base: 893 respostas (mundo) Fontes: McAfee,Ovum e Ponemon Institute 12
Segurança da informação
Segundo Marciano e Marques (2006)
Segurança da informação é um fenômeno social no qual os usuários (aí incluídos os gestores) dos SI têm razoável conhecimento acerca do uso destes sistemas, incluindo os ônus decorrentes expressos por meio de regras, bem como sobre os papéis que devem desempenhar no exercício deste uso.
diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva
Pós-Aula
• Fazer os exercícios faça valer a pena do livro institucional + atividades de aprendizagem do portal da seção 4.4
diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva