Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Seguranca Da Informacão Ufg

    Enviado por

    tecnico_lulu
    130 visualizações19 páginas
    O documento descreve os esforços da Universidade Federal de Goiás (UFG) para implementar um Sistema de Gestão de Segurança da Informação (SGSI). A UFG vem trabalhando desde 2006 para melhorar a segurança, incluindo análises de vulnerabilidades, treinamentos e a elaboração de uma Política de Segurança. No entanto, ainda enfrenta desafios como resistência dos usuários e falta de pessoal dedicado.

    Descrição original:

    Título original

    SEGURANCA DA INFORMACÃO UFG

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    O documento descreve os esforços da Universidade Federal de Goiás (UFG) para implementar um Sistema de Gestão de Segurança da Informação (SGSI). A UFG vem trabalhando desde 2006 para melhorar a segurança, incluindo análises de vulnerabilidades, treinamentos e a elaboração de uma Política de Segurança. No entanto, ainda enfrenta desafios como resistência dos usuários e falta de pessoal dedicado.

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    130 visualizações19 páginas

    Seguranca Da Informacão Ufg

    Enviado por

    tecnico_lulu
    O documento descreve os esforços da Universidade Federal de Goiás (UFG) para implementar um Sistema de Gestão de Segurança da Informação (SGSI). A UFG vem trabalhando desde 2006 para melhorar a segurança, incluindo análises de vulnerabilidades, treinamentos e a elaboração de uma Política de Segurança. No entanto, ainda enfrenta desafios como resistência dos usuários e falta de pessoal dedicado.

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 19

    Universidade Federal de Goiás

    Im plantação de um Sistem a
    de Gestão de Segurança da
    Inform ação na UFG

    Jánison Calix to
    Hugo A. D. Nascim ento
    CERCOMP - UFG

    II Workshop de Tecnologia da Informação das IFES


    Cronogram a

    ➢ Introdução
    ➢ Conceito de SGSI
    ➢ Política de Segurança
    ➢ Segurança na UFG
    ➢ Ferramentas
    ➢ Dificuldades da implantação do SGSI na UFG
    ➢ Conclusão

    II Workshop de Tecnologia da Informação das IFES


    Introdução

    ➢ Mudanças no processo de trabalho:



    Utilização de Sistemas Acadêmicos/ Administrativos Web;

    Descentralização do trabalho;

    Acesso Remoto.
    ➢ Incidentes de segurança aum entam anualm ente:

    Segundo o CAIS:

    2001 = > 7.209 incidentes

    2003 = > 20.190 incidentes

    2006 = > 70.815 incidentes
    ➢ Novas am eaças surgem a todo instante;
    ➢ Hoje é fácil im plem entar ataques;
    ➢ Segurança nos servidores não é suficiente;

    II Workshop de Tecnologia da Informação das IFES


    Introdução

    ➢ Objetivos:

    Implementar um Sistema de Gestão de Segurança da Informação
    na UFG, visando reduzir os seguintes riscos:


    Destruição, alteração e roubo de informações;

    Acesso não autorizado;

    Interrupção de serviços.

    II Workshop de Tecnologia da Informação das IFES


    Conceito de SGSI

    ➢ Processos e Procedim entos


    ➢ Baseado na Legislação
    ➢ Deve ser seguido por todos
    ➢ Aval da Diretoria e Dep. Jurídico
    ➢ Aspectos da Im plantação:

    Análise de Riscos

    Política de Segurança

    Auditorias

    Detecção e Tratamento de Incidentes

    Treinamento e conscientização dos usuários

    II Workshop de Tecnologia da Informação das IFES


    Política de Segurança

    ➢ Conjunto de regras gerais ou diretrizes que direcionam a


    Segurança da Inform ação e são suportadas por norm as e
    procedim entos. Deve ser seguidas por “toda” a organização.

    ➢ A Política de Segurança deve ser clara e objetiva.

    ➢ A Política de Segurança pode ser considerada um docum ento


    jurídico.

    II Workshop de Tecnologia da Informação das IFES


    Política de Segurança -
    Com o Im plem entar

    ➢O que proteger?
    ➢Contra o quê ou quem?
    ➢Quais vulnerabilidades/ ameaças?
    ➢Qual a importância de cada recurso?
    ➢Qual o grau de proteção desejado?
    ➢Quanto tempo, recursos financeiros e humanos se
    pretende gastar?
    ➢Quais as expectativas em relação à Segurança da
    Informação?

    II Workshop de Tecnologia da Informação das IFES


    Política de Segurança -
    O que considerar

    ➢Análise/ avaliação de riscos



    Política de Senhas;

    Contas/ Senhas de ex - funcionários;

    Entrada/ Saída de visitantes;

    Restrição de acesso a recursos físicos;

    Política de descarte seguro de documentos;

    Política de “mesa limpa” e “telas limpas”;

    Controle ou padronização de serviço de Acesso Remoto;

    Controle de instalação de novos software;

    Segurança para instalação de novas estações;

    Política de uso de software de comunicação e P2P.

    II Workshop de Tecnologia da Informação das IFES


    Política de Segurança -
    O que considerar

    ➢ Legislação vigente, norm as, estatutos, regulam entações e


    cláusulas contratuais:

    NBR ABNT/ ISO 17799, conforme recomendação do TCU

    Política de uso da infra- estrutura da RNP

    Estatuto do Servidor Público e outras normas para funcionamento
    de Órgãos Públicos

    ➢ Conjunto de princípios, objetivos e requisitos do negócio.

    II Workshop de Tecnologia da Informação das IFES


    Política de Segurança -
    Etapas da im plementação

    1. Identificar recursos críticos;


    2. Analisar necessidades de segurança;
    3. Elaborar proposta e promover “discussão aberta”;
    4. Apresentar documento;
    5. Aprovar e implementar;
    6. Manter.

    II Workshop de Tecnologia da Informação das IFES


    Segurança da Informação na UFG

    ➢ 1997 - 2005

    Preocupação com segurança no acesso e configuração
    dos servidores;

    Sem qualquer procedimento formalizado;

    Propostas de políticas relativas a direitos e deveres dos
    usuários, mas nunca submetidas para apreciação do
    conselho universitário.

    II Workshop de Tecnologia da Informação das IFES


    Segurança da Informação na UFG

    ➢ 2006 – Grupo de Segurança



    Administradores de Redes;

    Estudo de ferramentas;

    Análise de vulnerabilidades;

    Levantamento dos problemas de segurança:
    • Plano de segurança física (roubo/ furto/ incêndio et c.)
    • Esquem a de segurança lógica de backup dos dados da UFG
    • Esquem a de segurança contra invasão lógica da rede da UFG
    • Esquem a de segurança da conect ividade da nossa rede
    • Capacidade de m anter o sist em a em funcionam ento em caso de falha no
    fornecim ent o de energia elétrica
    • Responsável pela política de segurança de dados/ inform ações na UFG
    • Necessidades de RH para atender o esquem a ex istente e a ser m ontado
    • Obrigações e direit os dos usuários da UGNET e dos sistem as
    adm inistrat ivos da UFG

    Palestras sobre Segurança da Informação.

    II Workshop de Tecnologia da Informação das IFES


    Segurança da Informação na UFG

    ➢ 2007:

    Segurança e Auditoria no desenvolvimento de software

    Acesso ao código fonte das aplicações

    Controle de senhas para acesso aos sistemas Web

    Análise de vulnerabilidades

    Aquisição de solução profissional de data-
    center(processamento, armazenamento e backup)

    Solicitação de sistema de monitoramento

    Elaboração da proposta da Política de Segurança

    Treinamentos da Equipe – ESR/ RNP

    II Workshop de Tecnologia da Informação das IFES


    Segurança da Informação na UFG

    ➢ 2008:

    Composição de uma Equipe de Segurança e Auditoria
    de Sistemas,envolvendo profissionais com formação
    variada (a ser oficializada)

    Escrita da Política de Segurança do CERCOMP

    Criação do Conselho de Informática

    Análise de vulnerabilidades

    Treinamentos da Equipe – ESR/ RNP

    II Workshop de Tecnologia da Informação das IFES


    Política de Segurança – CERCOMP

    ➢ Configuração de estações de trabalho


    ➢ Instalação apenas de softwares homologados pelo Grupo de
    Segurança
    ➢ Backup de servidores
    ➢ Acesso físico a salas de servidores
    ➢ Acesso remoto
    ➢ Registro em log de todas as atividades nos servidores
    ➢ Uso de equipamentos pessoais
    ➢ Auditorias de vulnerabilidades
    ➢ Descarte de informações
    ➢ Política de “mesa limpa” e “tela bloqueada”
    ➢ Suporte e treinamento a usuários

    II Workshop de Tecnologia da Informação das IFES


    Ferram entas – UFG

    ➢ Análise de Vulnerabilidades

    Backtrack

    Nessus

    ➢ Análise de Tráfego e Monitoramento



    NTOP

    Nagios

    Zabbix

    ➢ Auditoria

    Sleuthkit

    II Workshop de Tecnologia da Informação das IFES


    Dificuldades da Implantação

    ➢ Resistência dos usuários


    ➢ Falta de pessoal dedicado ao estudo e
    im plantação do SGSI
    ➢ Falta de ex periência e qualificação dos
    profissionais envolvidos
    ➢ Desconhecim ento da im portância do assunto
    por alguns gestores

    II Workshop de Tecnologia da Informação das IFES


    Conclusão

    ➢Política de Segurança em estado avançado de


    elaboração
    ➢Tratam ento de Incidentes e Auditoria de código
    ainda não definidos form alm ent e
    ➢Apoio da adm inistração superior da UFG
    ➢Pressão do TCU para definição de procedim entos
    para Segurança da Inform ação
    ➢Necessidade de troca de ex periência entre as IFES

    II Workshop de Tecnologia da Informação das IFES


    Contatos


    janison@cpd.ufg.br


    hadn@inf.ufg.br


    www.cercom p.ufg.br

    II Workshop de Tecnologia da Informação das IFES

    Você também pode gostar