Escolar Documentos
Profissional Documentos
Cultura Documentos
2 Politica de Seguranca
2 Politica de Seguranca
SEGURANA E AUDITORIA DE
SISTEMAS
Segurana
de Informaes
Cynara Carvalho
cynaracarvalho@yahoo.com.br
Segurana de informaes
MUDANA 1)
ANTES do uso generalizado de equipamentos de
processamento de dados, a segurana da
informao
considerada
valiosa
para
uma
organizao era fornecida por principalmente por
meios fsicos e administrativos.
Ex.: - Armrios robustos com fechadura com
segredo para armazenar documentos confidenciais.
Segurana de Informaes
MUDANA 2)
Introduo de sistemas distribudos e o uso
de rede e recursos de comunicao para
transmitir dados entre o usurio do terminal
e o computador e entre computadores.
Segurana inter-rede empresas, governo e
organizaes acadmicas interconectam
seus equipamentos de processamento de
dados com um conjunto de redes.
3
Segurana de Informaes
Segurana de informaes
Segurana de informao
Segurana
,
portanto,
a
proteo
de
informaes, sistemas, recursos e servios contra
desastres, erros e manipulao no autorizada,
de forma a reduzir a probabilidade e o impacto de
incidentes de segurana.
Segurana de Informaes
Poltica de Segurana
Informaes tm que estar disponveis no momento e no
local estabelecido, tm que ser confiveis, corretas e mantidas
fora do alcance de pessoas no autorizadas.
Objetivos de Segurana
Confidencialidade ou privacidade informaes
protegidas de acesso no autorizado. Envolve medidas de
controle de acesso e criptografia. (LEITURA)
Integridade dos dados Evitar alterao ou excluso
indevida de dados. (GRAVAO/ALTERAO/EXCLUSO).
Disponibilidade Garantia que os servios prestados por
um sistema esto sempre acessveis a pessoas
autorizadas. (BACKUP)
Consistncia Garantia de que o sistema atua de acordo
com a expectativa.
Segurana de Informaes
Poltica de Segurana
Objetivos de Segurana
Isolamento ou uso legtimo Regular o acesso ao sistema.
Acesso no autorizado sempre um problema, pois tem que
se identificar quem, quando, como e os resultados desta
ao.
Auditoria Proteo contra erros e atos acidentais ou no
dos usurios autorizados.
Confiabilidade Garantir que, mesmo em condies
adversas, o sistema atuar conforme esperado.
Dependendo da organizao, um objetivo pode ser mais
importante que o outro. Na maioria dos casos, dada maior
importncia disponibilidade e integridade.
Segurana de Informaes
Questes Relevantes
O que se quer proteger ?
Contra que ou quem ?
Quais as ameaas mais provveis ?
Qual a importncia de cada recurso ?
Qual o grau de proteo desejado ?
Quanto tempo e recursos para atingir os objetivos de
segurana ?
Qual a expectativa dos usurios e clientes em relao
segurana de informaes ?
Quais as conseqncias em caso de roubo ou dano?
Segurana de Informaes
Comprometimento da Gerncia Superior
Prioridade menor em relao a outros projetos.
Segurana s lembrada depois de um desastre ocorrido.
Poltica considerada dispendiosa.
Segurana vista como inibidor e no como uma garantia
Rastreamento ou monitoramento de outras gerncias.
Uma real poltica de segurana deve ser posta em prtica e
encarada com seriedade por todos e ter o total apoio da alta
gerncia.
O comprometimento deve ser formalizado, de forma clara e
objetiva, baseados nos princpios gerais, deixando os detalhes
para outros documentos mais especficos.
10
Segurana de Informaes
Definindo uma Poltica de Segurana de Informaes
Poltica de segurana um mecanismo preventivo de proteo
dos dados e processos importantes de uma organizao que
define um padro de segurana a ser seguido pelo corpo tcnico e
gerencial e usurios.
Princpios bsicos
Como a organizao ir proteger, controlar e monitorar seus
recursos computacionais e suas informaes.
Responsabilidades das funes relacionadas com a
segurana.
Discriminao das principais ameaas, riscos e impactos
envolvidos.
Poltica de segurana de informaes integrada poltica de
segurana em geral.
11
Segurana de Informaes
Relacionamento da Poltica de Segurana de Informaes
com a estratgia da organizao.
Estratgia geral da organizao
Estabelece
Plano Estratgico
de Informtica
Especifica
Define
Poltica de segurana
de Informaes
Gera Impactos sobre
12
Segurana de Informaes
Poltica de Segurana de Informaes
Envolvimento de todos O Segredo do Sucesso !
Para uma completa e efetiva Poltica de segurana de
informaes imprescindvel que sejam envolvidos a alta
gerncia, a gerncia de segurana, a de recursos e de finanas, os
demais gerentes e sobretudo, os usurios.
13
Segurana de Informaes
Poltica de Segurana de Informaes - Tpicos
Importantes
Contedo bsico: orientaes sobre anlise e gerncia dos
riscos, princpios de conformidade dos sistemas com a PSI,
classificao das informaes e padres mnimos de qualidade.
Princpios legais e ticos:
Direito propriedade intelectual.
Direitos sobre softwares.
Princpios de implementao de segurana.
Polticas de controle de acesso a recursos e sistemas.
Princpios de superviso das tentativas de violao da SI.
Esses pontos devem ser claros e detalhados para serem
compreendidos. Para um maior aprofundamento, pode-se dispor
de outros documentos mais especficos.
14
Segurana de Informaes
Processo de Implantao da PSI
Processo formal e longo; flexvel para permitir ajustes conforme
necessidades
Fases:
Identificao dos recursos crticos.
Classificao das informaes.
Definio em linhas gerais, dos objetivos de segurana a
serem atingidos.
Anlise das necessidades de segurana (ameaas, riscos e
impactos).
Elaborao da proposta inicial.
Discusses abertas com os envolvidos.
Apresentao do documento formal gerncia superior.
Aprovao
Implementao
Avaliao da poltica e identificao das mudanas
necessrias
15
Reviso
Segurana de Informaes
Identificando os recursos
O que precisa ser protegido? Quais os mais importantes?
Hardware
Software
Dados
Pessoas
Documentao
Suprimentos
Classificao das informaes necessidade,
responsabilidade.
Pblicas ou de uso irrestrito ex.: servios de
informao ao pblico em geral;
De uso interno ex.: servios de informao interna;
Confidenciais ex.:dados pessoais de clientes e
funcionrios, senhas...
Secretas ex.: dados militares e de segurana
16 nacional.
Segurana de Informaes
Classificao dos Sistemas camadas para facilitar os
controles
Aplicativos necessidades especficas.
Servios utilizados pelos aplicativos.
Sistema Operacional gerenciamento de recursos
computacionais.
Hardware
Anlise individual de cada camada em termos de segurana,
configurada e monitoradas de forma compatvel com o nvel de
segurana definido.
17
Segurana de Informaes
Analisando Riscos
Risco = ameaa + vulnerabilidade + impactos.
Identifica componentes crticos e custo potencial aos
usurios.
Ponto chave em qualquer poltica de segurana.
Identificar ameaas e impactos, possibilidades de uma
ameaa se concretizar e entender os riscos potenciais.
Classificar por nvel de importncia, custos envolvidos na
preveno/ recuperao.
Riscos podem ser apenas reduzidos, nunca eliminados.
Medidas mais rgidas tornam os riscos menores, mas no
eliminam.
Conhecimento prvio das ameaas e seus impactos podem
resultar em medidas mais efetivas para reduzir as ameaas,
vulnerabilidades e impactos. sempre melhor (e mais
18
barato!) prevenir do que remediar.
Segurana de Informaes
Analisando ameaas Contra quem proteger ?
Custo pode ser mais alto do que os danos provocados.
Conceitos Bsicos:
Recurso componente de um sistema computacional.
Ameaa evento ou atitude indesejvel que pode
remover, desabilitar, danificar ou destruir um recurso.
Vulnerabilidade fraqueza ou deficincia que pode ser
explorada por uma ameaa.
Ataque ameaa concretizada.
Impacto conseqncia de uma vulnerabilidade ter sido
explorada por uma ameaa.
Probabilidade chance de uma ameaa atacar com
sucesso.
Risco medida da exposio a qual o sistema est
sujeito. Depende de uma ameaa atacar e do impacto
resultante. Envolve esses componentes mais as
19
vulnerabilidades.
Exerccios Propostos
20