Material Prof. Edison Apparecido Prof.

Joo David

Material de Segurana Modulo 1 Todos os direitos reservados. Proibida a reproduo total ou parcial, por qualquer meio ou processo,especialmente por sistemas grficos, microfilmes fotogrficos, reprogrficos, fonogrficos. A violao dos direitos autorais punvel como crime (art. 184 e pargrafos, do Cdigo Penal, conforme Lei 6.895, de 17.12.80) com pena de priso e multa, conjuntamente com busca e apreenso e indenizaes diversas (artigos 122, 123, 124, 126, da Lei n` 5.988, de 14.12.73,Lei dos Direitos Autorais). Copia liberada apenas para os alunos do curso e seus Professores, no autorizada para qualquer outro fins sem antes contatar formalmente os responsveis envolvidos. SEGURANA DA INFORMAO (Trs aspectos bsicos)

A COMPLEXIDADE DA SEGURANA AS 3 VERTENTES DA SEGURANA Dentro deste cenrio importante definir regras que determinem a segurana das Redes de Computadores bem como dos sistemas de informaes, analisando 3 vertentes: - O que proteger; - De que proteger; - Como proteger; O QUE VEM A SER SEGURANA Segurana - Estado, qualidade ou condio de seguro; - Condio daquele ou daquilo em que se pode confiar; - Certeza, firmeza, convico; Com relao a definio de Seguro Seguro: - Certo, indubitvel, incontestvel; - Livre de perigo; - Em quem se pode confiar; - Livre de risco; protegido, acautelado, garantido; - Eficaz / Eficiente; Para o profissional de Segurana: A segurana NO um produto, que voc seleciona, compra, instala e esquece. um estado de esprito, uma busca sem fim, uma desconfiana permanente Qual a diferena de Eficaz e Eficiente? Com relao a segurana devemos ser Eficazes ou Eficientes? Justifique sua resposta.
-1-

Material Prof. Edison Apparecido Prof. Joo David

A ADOO DA SEGURANA GERA UMA SERIE DE TRANSTORNOS. Ningum gosta das restries impostas pelos controles de segurana Ningum gosta de ser limitado na liberdade de ir, e vir; Ningum gosta de carregar chaves de portas; Ningum gosta de lembrar-se de senhas; A maioria das pessoas fica impaciente em esperar por aprovao para entrar ou fazer algo em um determinado ambiente;

Exemplos: Portas de segurana dos bancos; Limites de velocidade nas estradas; Horrio para chegar ou sair de casa;

Ser que isto tudo vlido? Sim. Em razo disso, a maioria das pessoas no gosta muito de Segurana. DADOS X INFORMAO Antes de comear a aplicar a proteo da Empresa, devemos saber o que devemos proteger e por isso importante conhecer a definio bem clara de duas palavras: (Dados e Informao). Dados - so contedos concretos (conjuntos de bits) geridos pelo sistema; Informao - a interpretao humana dos dados observados, da sua existncia, ou do seu fluxo Os novos tempos projetam a informao como o principal e mais valioso bem das Empresas, pois quem tem a informao tem o poder. Mas afinal onde a informao encontra-se localizada? Armazenada em um computador; Transmitida por redes, fax ou telefones; Impressa ou escrita em papel; Armazenada em fita, disco ou micro filmado; Pode ser um nome; Pode ser um cdigo; Pode ser um nmero ou um E-mail;

Hoje em dia com todas as evolues ocorridas nos negcios das empresas no mais admissvel a idia de que Segurana apenas um problema tecnolgico; EXCESSO DE INFORMAO Diariamente, somos submetidos a uma grande quantidade de informao. Nossa ateno freqentemente disputada por notcias e propagandas transmitidas por rdios, outdoors, folhetos e outros veculos da mdia. Diante desse enorme fluxo de informao, impossvel deixar de pensar no quanto a opo de receber ou no certa informao est em nossas mos. Ao longo do dia, podemos ouvir dezenas de vezes uma mesma notcia, mesmo que j saibamos todos os detalhes dela. Em situaes ainda piores, a notcia que tanto ouvimos no chega nem a ser algo que nos interessa. O CICLO DE VIDA DA INFORMAO Para que possamos proteger a informao dentro da empresa necessrio conhecer seu ciclo de vida dentro da Empresa. Geralmente o mesmo composto por 04 etapas: - Manuseio: Local onde se iniciou do ciclo e onde a informao manipulada - Armazenamento: Momento em que a informao armazenada, (Podendo estar em papel, em uma mdia em um CD, disquete, etc.).
-2-

Material Prof. Edison Apparecido Prof. Joo David

- Transporte: Momento do envio ou do transporte. (Correio eletrnico, fax, sinais); - Descarte: Momento em que a informao eliminada, apagada, destruda de forma definitiva. Hoje em dia podemos obter Informao privilegiada at mesmo em camel. ATIVIDADE Cada grupo de 05 s 06 Aluno dever preencher os dados abaixo relacionado a uma empresa fictcia podendo ser de um elemento do prprio grupo (sem a identificao da mesma neste caso) ou uma que no exista; Esta empresa criada dever ser utilizada para todas as atividades especificas que apareceram durante o curso. Para esta empresa sero aplicadas as informaes obtidas durante o curso. - DADOS A SEREM PREENCHIDOS - DADOS DA EMPRESA - DEFINIO DO NEGCIO; - FATURAMENTO; - QUADRO FUNCIONAL; - CENRIO FUTURO PARA O MERCADO; - INFRA-ESTRUTURA; - RECURSOS HUMANOS; O MUNDO SE TRANSFORMA Com o passar dos anos a situao computacional nas Empresas foi mudando, assim como a necessidade de proteo e a necessidade da Segurana. ENTRE OS ANOS DE 1970 . 1980 A SITUAO ERA A SEGUINTE O Ambiente computacional era constitudo pelos Mainframes onde todos os dados eram centralizados. A Necessidade de Proteo deste ambiente restringia-se a proteger apenas os Dados enquanto que a necessidade de Segurana era limitada apenas para proteger os dados contra acessos indevidos. A PARTIR DO ANO DE 1981 - 1990 O Ambiente computacional sofre uma alterao, pois alm do Mainframe veio conexo com a rede e com isso o panorama mudou para um grande nmero de Informaes internas Descentralizadas e com acessos distribudos; A necessidade de Proteo deste ambiente era de proteger os Dados e as Informaes enquanto que a necessidade de Segurana deste ambiente estava diretamente ligada a proteo, contra adulterao e destruio dos Dados e das informaes; A PARTIR DO ANO DE 1991 atualmente Novamente o Ambiente sofre uma grande transformao onde no ambiente das empresas alm dos mainframes, conexes de Rede e agora surge a interconexo com a Internet. Com isso o panorama mudou para um grande nmero de Informaes internas e externas descentralizadas e com vrios acessos distribudos. A necessidade de Proteo neste cenrio era de proteger os Dados puros, as informaes e o conhecimento do negcio; Pois a empresa comeou a trabalhar 24X7X365. Por outro lado a necessidade de Segurana ficou diretamente ligada a: - Manter os Dados e as informaes sempre disponveis; - Manter o acesso a informao somente para as pessoas autorizadas; - A informao no poderia sofrer nenhuma alterao desde o seu envio at o seu armazenamento final; INTRODUO Antes de implantarmos a segurana na Empresa, precisaremos saber o porqu e para que proteger as informaes e os sistemas de computadores da mesma. Os alunos devero se reunir em grupos e destacarem 06 motivos para justificar a necessidade da implantao da Segurana. O QUE VEM A SER C.I.D.A.L CONFIDENCIALIDADE A informao dever estar acessvel somente s pessoas autorizadas para ter acesso; INTEGRIDADE
-3-

Material Prof. Edison Apparecido Prof. Joo David

As informaes e os mtodos de processamento somente podem ser alterados atravs de aes planejadas e autorizadas. A informao no pode sofrer nenhuma alterao desde o seu envio at o seu armazenamento. DISPONIBILIDADE Os usurios autorizados devem ter acesso informao aos ativos correspondentes sempre quando for necessrio para o desenvolvimento de suas tarefas dirias. AUTENTICIDADE Garantir o no-repdio, ou a no recusa. Dever ser garantido a autenticidade da fonte que a garantia que o emissor de uma mensagem quem realmente diz ser. A LEGALIDADE a situao de conformidade com as leis atualmente vigentes nos pais. Os alunos devero se reunir em Grupos e anotar os principais desafios que os administradores enfrentam quando necessitam implementar a segurana dentro das Empresas. MELHORES PRTICAS E PADRES INTERNACIONAIS CONCEITO DE PADRO E NORMALIZAO Norma - um documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece regras, diretrizes ou caractersticas para atividades de uso comum e repetitivo e que visa obteno de ordenao em um dado contexto. Padres - so regras que o consenso geral aceita como modelo aprovado de boas prticas que no oferecem certificao; Normalizao - a atividade que estabelece, em relao a problemas existentes ou potenciais, prescries destinadas utilizao comum e repetitiva com vistas obteno do grau timo de ordem em um dado contexto. Exemplo de Padro: A OpenDocument Format Alliance (ODF Alliance) uma organizao de governos, instituies acadmicas, associaes e indstria dedicada a educar elaboradores de polticas pblicas, administradores de TI e o pblico sobre os benefcios e oportunidades do ODF. Lanada em Maro de 2006, a ODF Alliance atualmente conta com mais de 480 organizaes-membro em 53 pases. ODF o nico padro aberto independente de fornecedor para formatos de documentos. Desenvolvido e mantido de uma forma transparente, o ODF um formato de documentos aberto, baseado em XML, para exibir, armazenar e editar documentos de escritrio tais como planilhas, grficos e apresentaes. O padro est disponvel para implementao e livre de licenciamento,royalty ou outras restries. O ODF foi aprovado unanimamente como um padro internacional (ISO 26300:2006) em Maio de 2006. Brasil Com a publicao da verso 2.0 da sua Estrutura de Interoperabilidade e-Ping, o Brasil tornou-se o primeiro pas na Amrica do Sul a oficialmente recomendar o ODF16. A estrutura declara que os arquivos .xls, .doc e .ppt esto em transio, o que significa que no cumprem mais as suas polticas tcnicas, e que a ODF agora o formato oficialmente recomendado pelo Governo Brasileiro. [Informao extrada do RELATRIO ANUAL ODF 2007 http://www.odfalliance.org/resources/PrelimCostAssess20070312.pdf ] INICIO DAS NORMAS O ORANGE BOOK O departamento de Defesa dos Estados Unidos especificou um conjunto de regras a serem utilizadas no processo para classificao dos sistemas operacionais seguros. Este conjunto de regras ficou conhecido informalmente como The Orange Book(O Livro Laranja). Os nveis de segurana utilizados neste livro servem para avaliar a proteo para o hardware, software e informaes armazenadas nos sistemas de Computadores. O Orange Book passou a ser a bblia do desenvolvimento de sistemas seguros. Descrevia os critrios de avaliao utilizados para determinar o nvel de confiana que poderamos depositar num determinado sistema. Tornava a segurana numa medida cmoda para que um cliente pudesse identificar o nvel de segurana exigido por um determinado sistema. Criou as categorias D, C, B, e A, sendo D o menos seguro e A o mais seguro.
-4-

Material Prof. Edison Apparecido Prof. Joo David

RED BOOK O Red Book (Livro Vermelho) foi uma Adaptao do Livro Laranja para os aspectos relacionados a rede de Computadores. A partir da criao do Orange Book foi possvel a criao de uma larga quantidade de documento "tcnicos" que representaram o primeiro passo na formao de uma norma coesa e completa sobre segurana de computadores.

NORMAS BRASILEIRAS No passado no existiam normas nem procedimentos pr-estabelecidos que regulassem os procedimentos de Segurana dentro das corporaes os primeiros padres de segurana fsica em informtica no Brasil foram definidos pelas Normas: NBR 1333 - Controle de Acesso Fsico a CPDs; NBR 1334 a atual ABNT 11515 - Critrios de Segurana Fsica para armazenamento de dados; NBR 1335 - Segurana de Microcomputadores, terminais e estaes de trabalho; NBR10842 - Equipamentos para tecnologia da Informao requisitos de Segurana; NBR12896 - Gerenciamento de Senhas; ONDE E COMO COMPRAR => http://www.abntdigital.com.br/. NORMA BRITNICA O departamento de comrcio e indstria do Reino Unido (DTI) criou um centro de segurana de informaes, que teve a tarefa de criar uma norma de segurana das informaes para o Reino Unido. Desde 1989 vrios documentos preliminares foram publicados, at que, em 1995, surgiu a BS7799 (British Standart 7799). Desta forma a BS7799 uma norma de segurana da informao. BS7799-1 a primeira parte da norma que j se encontra homologada desde 2000 e foi planejada como um documento de referncia para implantar "boas prticas" de segurana na empresa. Disponibiliza 148 controles divididos em dez partes distintas. BS7799-2 a segunda parte da norma. O seu objetivo foi o de proporcionar uma base para gerenciar a segurana da informao dos sistemas das empresas. Especificou os requisitos para estabelecer, implantar e documentar os sistemas de Gesto da Segurana da Informao (SGSI); Especificou os requisitos para os controles da segurana a serem implantados de acordo com as necessidades de cada organizao. NORMA INTERNACIONAL A ISO/IEC 17799:2005 a verso internacional da BS7799, homologada pela ISO. (International Standartization Organization), tendo como objetivo criar normas e padres universalmente aceitos em diversas reas. Ela cobre os mais diversos tpicos da rea de segurana, possuindo um grande nmero de controles e requerimentos que deveriam ser atendidos para garantir a segurana das informaes de uma empresa. NORMA BRASILEIRA. A NBR ISO/IEC 17799:2005 a segunda verso Brasileira da norma ISO lanada em Agosto 2005; (sendo que a primeira verso foi homologada 2001), IEC - International Engineering Consortium uma organizao voltada para o aprimoramento da indstria da informao. Componentes do ISO 17799 1. Objetivo da norma 2. Termos e definies;
-5-

Material Prof. Edison Apparecido Prof. Joo David

3. Poltica de segurana; 4. Segurana organizacional; 5. Classificao e controle dos ativos de informao; 6. Segurana de pessoas; 7. Segurana fsica e do ambiente; 8. Gerenciamento de operaes e comunicaes; 9. Controle de acesso; 10. Desenvolvimento de sistemas; 11. Gesto de continuidade de negcios; 12. Conformidade; EVOLUO DA NORMA DA ISO O HIPAA - (Health Insurance Portability and Accountability Act (1996- Congresso dos EUA) Estabelece regulamentaes federais que obrigam mdicos, hospitais e outros fornecedores de assistncia mdica a atender a alguns padres ao manipular informaes sigilosas como registros mdicos e contas de pacientes. A HIPAA no afeta apenas os planos de sade e as seguradoras, mas sim qualquer empresa que lide com informaes de pacientes; Os seguintes pontos devem possuir garantia: G1 - Administrativas onde so colocadas regras, diretivas e procedimentos visando a privacidade empresarial bem como a existncia planos para recuperao e contingncia de desastres; G2 - Fsicas Controles e regras relacionadas ao acesso fsico s instalaes e mquinas, G3 - Controle sobre as informaes intangveis armazenadas nos sistemas computacionais das organizaes, relacionado ao acesso destas informaes O PADRO DE SEGURANA DE DADOS P.C.I (PAYMENT CARD INDUSTRY) A PCI um Programa de Segurana da informao que define padro de manuseio de dados de pagamentos sejam eles efetuados manualmente ou atravs da utilizao de sistemas eletrnico de dados para todos os comerciantes e fornecedores de servios que lidam com armazenamento, transmisso ou processamento de dados de cartes de crdito. Esta uma ao conjunta com o objetivo de reduzir as fraudes de carto de crdito em transaes on-line. Em caso de falha ao cumprimento dos requerimentos do programa PCI ou na correo das vulnerabilidades existentes pode resultar em uma srie de dor de cabea como, por exemplo: Pagamento de Multa; Restries ao Estabelecimento; Proibio permanente do estabelecimento de aceitar cartes de crdito. O DECRETO GLBA (GRAMM-LEACHY BLILEY ACT) Define o que as empresas de servios financeiros podem fazer com as informaes pessoais confidenciais que coletam durante suas atividades, Para o GLBA responsabiliza os CEOs e diretores da empresa como as pessoas responsveis pelo mau uso das informaes de identificao pessoal. A falha na conformidade com o GLBA pode incorrer em multas normativas para a instituio financeira que cometeu o delito. A ISO 15408 A ISO 15408 direcionada para a segurana lgica das aplicaes e tambm tem como foco principal o desenvolvimento de aplicaes seguras. A ISO15408 define um mtodo para avaliao da segurana de ambientes de desenvolvimento de sistemas. LEI SARBANES-OXLEY (SOX . SARBOX) Esta legislao foi criada aps os problemas apresentados nas contabilidades das empresas Enron e WorldCom dentre outras, e que afeta as empresas de comrcio pblico dos Estados Unidos. Tem como objetivo dar transparncia na divulgao das informaes e assegurar a prestao de contas e tratar de forma justa e imparcial as partes interessadas. Necessidade de controles: Controles estabelecidos para prevenir ou detectar fraudes; Controles sobre o processo do relatrio financeiro no final do perodo (anuais e intermedirios); Controles sobre a salvaguarda de bens;
-6-

Material Prof. Edison Apparecido Prof. Joo David

Responsabiliza pessoalmente os funcionrios de uma empresa pelo fornecimento de informaes financeiras pblicas precisas aos investidores. O QUE COMPLIANCE? O termo Compliance, originrio do verbo ingls to comply, significa estar em conformidade com regras, normas e procedimentos. Dentre as suas principais atividades esto preveno e o combate fraude e lavagem de dinheiro, a criao e o monitoramento de manuais e normas internas, os controles internos e acultura organizacional. RESOLUO 3380 H alguns anos, a simples meno do termo compliance imediatamente remetia lei Sarbanne-Oxley e sua extensa srie de exigncias para evitar fraudes e demais riscos que pudessem significar prejuzos aos acionistas com ttulos nas bolsas americanas. Agora, quando ouvimos esta palavra a mesma est relacionada a Resoluo 3380, que obriga todas as instituies financeiras autorizadas a funcionar pelo Banco Central a implementar, at dezembro deste ano, uma estrutura de gerenciamento de risco operacional. BASEL II ACCORD (BASILIA II): Fornece diretriz para o clculo de riscos (de crdito, do mercado e operacionais) de um banco. Ela visa deixar mais eficiente os esforos de um banco para o gerenciamento dos seus riscos; Porm, para conseguir isso importante implantar com sucesso um programa de proteo das informaes. SB 1386 - CALIFORNIA SENATE BILL (LEI DAS VIOLAES DA SEGURANA DE INFORMAES)http://www.legalarchiver.org/sb1386.htm Projeto de lei do estado da Califrnia que emendou as leis sobre privacidade que exige a divulgao de violaes de privacidade por qualquer organizao ou indivduo que mantenha informaes pessoais sobre clientes e tenha negcios no estado da Califrnia. As informaes pessoais do cliente que esto protegidas so: - O ltimo sobrenome e o nome ou primeira inicial do cliente, junto com, pelo menos, uma das seguintes informaes (LegalArchiver.org, "Califrnia SB 1386,"): - Nmero da previdncia social. - Nmero da carteira de habilitao ou nmero do Carto de Identificao da Califrnia. - Nmero de conta, nmero de carto de crdito ou dbito, em combinao com qualquer cdigo de segurana exigido, cdigo de acesso ou senha que permita acessar a conta financeira de um indivduo. Se pelo menos um dos campos acima estiver disponvel de forma descriptografada j considerada uma violao de privacidade. INSTRUO CVM N. 358 - ART. 8 Estabelece aos acionistas controladores, diretores, membros do conselho de administrao, do conselho fiscal e de quaisquer rgos com funes tcnicas ou consultivas, criados por disposio estatutria, e empregados da companhia, guardar sigilo das informaes relativas a ato ou fato relevante s quais tenham acesso privilegiado em razo do cargo ou posio que ocupam, at sua divulgao ao mercado, bem como zelar para que subordinados e terceiros de sua confiana tambm o faam, respondendo solidariamente com estes na hiptese de descumprimento. AS/NZS 4360:2004 A AS/NZS 4360 (Australia Standard for Risk Management) uma norma Australiana e Neozelandesa para gerenciamento de riscos. Foi elaborada pela Standards Austrlia e Standards New Zealand atravs do Comit de gesto de riscos (OB-007). uma norma genrica que fornece orientaes para gerenciamento de riscos de qualquer natureza. Sua principal caracterstica avaliar os riscos com resultados positivos (ganhos potencias) e os riscos com resultados negativos para desta forma fornecer uma viso nica no gerenciamento de riscos. SRIE - ISO 27000 Visando reunir diversas normas de segurana da informao, a ISO criou a srie 27000, com normas especficas. A norma ISO 27001:2005 a norma BS7799-2:2002 revisada, com melhorias e adaptaes, contemplando o ciclo PDCA de melhorias e a viso de processos que as normas de sistemas de gesto j incorporaram. As mudanas mais relevantes na migrao para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de gesto de segurana da informao), quando so destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gesto de segurana
-7-

Material Prof. Edison Apparecido Prof. Joo David

EXPLODINDO A 27000 - ISO 27002 - Trata-se do padro que ir substituir a ISO 17799:2005 (o Cdigo de Boas Prticas) - ISO 27003 - Trata-se do novo padro que abordar a gesto de risco, contendo recomendaes para a definio e implementao de um sistema de gesto de segurana da informao. - ISO 27004 - Trata-se do padro que Incidir sobre os mecanismos de mediao e de relatrio de um sistema de gesto de segurana da informao. - ISO 27005 - Esta norma ser constituda por indicaes para implantao, monitoramento e melhoria contnua do sistema de controles. - ISO 27006 - Dentro da srie 27000 a ltima norma ser referente recuperao e continuidade de negcio. Este documento tem o ttulo provisrio de.Guidelines for Informatioand Communications Technology Disaster Recovery Services, no tem data prevista para sua confeco. A IMPORTNCIA DA ISO E DA CERTIFICAO A certificao pode comprovar que a segurana da informao est assegurada de forma efetiva, o que no significa que a empresa esteja imune a violaes de segurana. Alem disso ela serve para demonstrar e comprovar, para os clientes e fornecedores da empresa a responsabilidade que a mesma tem com relao a segurana da informao. Permite que uma empresa construa de forma muita rpida uma poltica de segurana baseada em controles de segurana eficiente e comprovada pelas principais empresas do mercado. O seu custo depender de vrios fatores como, por exemplo: - Tempo utilizado para analise; - Quantidade de profissionais envolvidos; - Conformidade das instalaes da organizao com relao norma; - O tamanho e complexidade da organizao e dos seus sistemas de informao; MEDIDAS DE SEGURANA Podem ser estabelecidas em funo do parmetro de tempo e necessidade, podendo ser de 4 tipos geralmente conhecido como (Medidas P.D.C.R) - Preventivas - Ao de tentar evitar que o problema ocorra Exemplo: Antivrus. - Detectiva - Ao de detectar um determinado problema. Exemplo: Modulo do antivrus ativo na memria. - Corretivas - Ao de corrigir algo que as outras duas aes no conseguiram evitar. Exemplo: Baixar a atualizao ou vacina e tentar limpar o arquivo. - Restauradoras - Recuperar algo perdido. Exemplo: Restaurar do ltimo backup o arquivo danificado. OS 4 PS DA SEGURANA E DOS PLANOS DE SEGURANA Existem diversas filosofias de plano de Segurana, mas podemos citar os principalmente tipos : Paranico: Tudo proibido. (mesmo aquilo que deveria ser permitido). Proibitivo: (Tudo aquilo que no permitido explicitamente proibido); Permissivo: O oposto do Fechado. Tudo aquilo que no proibido explicitamente permitido Promscuo: Tudo permitido (incluindo aquilo que deve ser proibido).

O SIGNIFICADO DA SEGURANA DA INFORMAO garantir a continuidade do negcio e minimizar os danos causados empresa atravs da preveno e reduo dos impactos gerados por incidentes de segurana. A mesma existe para minimizar os prejuzos para a empresa. Atualmente a Segurana da Informao, vem sendo muito procurada devido popularizao das redes Locais, Internet, Intranet e Extranet. POLTICA DE SEGURANA (DEFINIO) Conjunto de diretrizes, normas e procedimentos que devem ser seguidos e visa conscientizar e orientar os funcionrios, clientes, parceiros e fornecedores para o uso seguro do ambiente informatizado, com informaes sobre como gerenciar, distribuir e proteger seus principais ativos.
-8-

Material Prof. Edison Apparecido Prof. Joo David

um dos principais documentos da gesto de segurana da empresa e para obteno dos melhores resultados deve ser amplamente divulgada. Para atender as principais necessidades da empresa. UMA BOA POLTICA DEVE: Usar uma linguagem simples, com poucos termos tcnicos Ser de fcil compreenso e aplicabilidade Ser clara e concisa Estar de acordo com a realidade prtica Ser revisada periodicamente Estar implementada PRINCIPAL OBJETIVO A poltica visa preservar a confidencialidade, disponibilidade e integridade das informaes e descreve a conduta adequada para o seu manuseio, controle, proteo e descarte. Deve ser dividida em tpicos, decorrente do levantamento feito em reunies e entrevistas, e descreve quem, onde, como e quando a poltica aplicada, bem como as responsabilidades e penalidades da no aderncia poltica. ESTRATGIAS Estratgia de Elaborao: visa definir os itens que devem ser descritos na Poltica de Segurana. Elaborao da Documentao: fase de criao dos documentos da poltica, contendo as diretrizes, normas e procedimentos de Segurana da Informao de acordo com a cultura da empresa. Divulgao da Poltica: sero ministradas palestras de conscientizao da poltica para tcnicos e usurios. BENEFCIOS Maior padronizao das informaes e processos Alinhamento dos objetivos da empresa com as leis e obrigaes contratuais Definio dos responsveis pelos ativos da empresa Definio das penalidades pela no aderncia Poltica de Segurana Aumento da conscientizao da empresa Aderncia aos padres internacionais de gesto de segurana NO FINAL DEVEMOS TER: Diretrizes da Poltica Declarao de Comprometimento da Alta Direo Normas de Segurana Exemplos de Procedimentos Modelo de Termos de Sigilo, Confidencialidade e Responsabilidade ESQUELETO DE UMA NORMA DA POLTICA DE SEGURANA NORMA X UTILIZAO DE....... Objetivo Define o objetivo da norma Abrangncia A quem a norma se aplica Deveres (usurios e administradores) Deveres so itens que devem ser cumpridos, e dessa forma, podem ser verificados e so passveis de punies. Recomendaes Itens que no podemos controlar, mas que so importantes como alerta. Penalidades Sempre estaro relacionadas em nveis em um tpico a parte da poltica, importante determinar um grupo de pessoas que avaliar cada caso para aplicar a penalidade pertinente. Qual diferena entre DIRETRIZ; NORMA E PROCEDIMENTO? OS 3 BLOCOS E AS CAMADAS DE ATUAO DA POLTICA DE SEGURANA
-9-

Material Prof. Edison Apparecido Prof. Joo David

No caso da poltica de segurana a mesma pode ser subdividida em trs blocos (Diretrizes, Normas e procedimentos) sendo destinados respectivamente s camadas estratgica, ttica e operacional: Diretriz: definem as regras globais a serem seguidas. Normas: definem regras mais especficas a partir de uma determinada diretriz. Procedimento: define passo-a-passo as aes a serem seguidas na execuo de uma determinada tarefa, com o objetivo de que as normas e diretrizes sejam respeitadas. Camada Estratgica: Um Rumo a ser seguido, o grande objetivo da Poltica de Segurana. Camada Ttica: Padronizao para melhor controlar e fazer com que todos os pontos da empresa tenham o mesmo nvel de segurana. Camada Operacional: Detalhamento se a configurao est documentada e detalhada em uma instruo escrita, no h como ser realizada de forma diferente. Cada grupo de alunos dever dar um exemplo de uma diretriz de uma norma e de um Procedimento PROCEDIMENTOS DE SEGURANA Os procedimentos de segurana devem: ser fceis de entender, caso contrario no sero colocados em prtica ter a sua finalidade explicada, ou sero ignorados; ser impostos com energia, ou excees sero criadas; ser definidas sanes para os violadores; cada empregado s precisa saber os procedimentos de segurana que lhe dizem respeito; estar escritos e incluir diretivas claras; Com relao a Documentao da Poltica de Segurana o profissional de TI possui grandes Dificuldades devido ao grande volume de trabalho para: Elaborar; Imprimir; Distribuir; Implantar; Ensinar; Atualizar;

- 10 -

Material Prof. Edison Apparecido Prof. Joo David

AULA SOBRE ATAQUES PHISHING E TCNICAS

- 11 -

Material Prof. Edison Apparecido Prof. Joo David

- 12 -

Material Prof. Edison Apparecido Prof. Joo David

- 13 -

Material Prof. Edison Apparecido Prof. Joo David

- 14 -

Material Prof. Edison Apparecido Prof. Joo David

- 15 -

Material Prof. Edison Apparecido Prof. Joo David

- 16 -

Material Prof. Edison Apparecido Prof. Joo David

- 17 -