seguranÇa da informaÇÃo. 2 polÍtica de seguranÇa - importÂncia É a base para todas as...
TRANSCRIPT
![Page 1: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/1.jpg)
SEGURANÇADA INFORMAÇÃO
![Page 2: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/2.jpg)
2
![Page 3: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/3.jpg)
POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões
relacionadas à segurança da informação;
Seu desenvolvimento é o principal passo para implantação da estratégia de segurança da corporação;
Definição: A política de segurança trata dos aspectos humanos, culturais e tecnológicos de uma organização, levando em consideração os processos e os negócios, além da legislação local; 3
![Page 4: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/4.jpg)
POLÍTICA DE SEGURANÇA - PLANEJAMENTO O início do planejamento da política de
segurança exige uma visão abrangente, de modo que os riscos sejam entendidos parar que possam ser enfrentados.
Dois tipos de abordagens: Reativa e Pró-ativa;
No Brasil, 32% das empresas não sabem sequer se já foram atacadas.
A política de segurança, depois de definida, deve ser publicada de forma relevante e acessível;
4
![Page 5: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/5.jpg)
PLANEJAMENTO
Política: Orienta as ações; Normas: Aborda os detalhes; Procedimentos: Aspectos de configuração
5
Política
Normas
Procedimentos
![Page 6: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/6.jpg)
POLÍTICA DE SEGURANÇA - PLANEJAMENTO As três partes da pirâmide podem ser
desenvolvidas com base em padrões que servem de referência: BS 7799, ISO 17799;
Políticas de segurança são realidade em 39% das organizações brasileiras. 16% possuem uma política em desenvolvimento e 15% nao possuem nenhuma política;
6
![Page 7: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/7.jpg)
POLÍTICA DE SEGURANÇA - PLANEJAMENTO
A política de segurança pode ser dividida em vários níveis, partindo de um nível mais genérico, passando pelo nível dos usuários, chegando ao nível técnico;
7
![Page 8: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/8.jpg)
POLÍTICA DE SEGURANÇA - ELEMENTOS
Dizem respeito a tudo aquilo que é essencial para o combate de adversidades. São eles:Vigilância: todos os membros devem
entender a importância da políticaAtitude: postura e conduta ante à política
de segurança;Estratégia: diz respeito à definição da
política e do plano de defesa contra intrusões
Tecnologia: A solução tecnológica deve ser adaptativa e flexível;
8
![Page 9: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/9.jpg)
POLÍTICA DE SEGURANÇA - ELEMENTOS
Segundo a norma ISO/IEC 17799, a política de segurança deve seguir pelo menos as seguintes orientações: Definição da segurança da informação; Declaração do comprometimento do corpo
executivo;
9
![Page 10: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/10.jpg)
POLÍTICA DE SEGURANÇA - ELEMENTOS
Breve explanação dos princípios, padrões e requisitos de conformidade de segurança no contexto da organização: Conformidade com legislação e cláusulas
contratuais; Requisitos na educação e treinamento em
segurança; Prevenção e detecção de vírus e programas
maliciosos; Gerenciamento da continuidade nos
negócios Consequências das violações na política de
segurança 10
![Page 11: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/11.jpg)
ELEMENTOS
A política de segurança não deve conter detalhes técnicos específicos de mecanismos a serem utilizados ou procedimentos que devem ser adotados por indivíduos em particular, mas sim regras gerais e estruturais que se aplicam ao contexto de toda a organização.
Uma característica importante da política é que ela seja curta o suficiente para que seja lida e conhecida por todos os funcionários da empresa;
11
![Page 12: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/12.jpg)
CONSIDERAÇÕES SOBRE SEGURANÇA
Aspectos envolvidos na segurança da informação
12
Segurança da Informação
Aspectos tecnológicos
Aspectos jurídicos
Aspectos humanos
Aspectos de negócios
Aspectos processuais
![Page 13: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/13.jpg)
CONSIDERAÇÕES SOBRE SEGURANÇA
Conheça seus possíveis inimigos; Contabilize os valores; Identifique, examine e justifique suas
hipóteses: um única variável pode modificar completamente a estratégia de segurança;
Controle seus segredos; Avalie os serviços estritamente
necessários para o andamento dos negócios;
Considere os fatores humanos;13
![Page 14: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/14.jpg)
CONSIDERAÇÕES SOBRE SEGURANÇA Conheça seus pontos fracos;
Entenda o ambiente: entender o funcionamento normal da rede é importante para detectar possíveis comportamentos estranhos;
Limite a confiança: é essencial estar atento e vigilante;
14
![Page 15: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/15.jpg)
PONTOS A SEREM TRATADOS
A política de segurança deve existir formalmente na instituição: Deve estar de acordo com os objetivos de
negócios; Todos os aspectos tem que ter a aprovação de
executivos/administradores; O usuário deverá participar e compreender a
política;
15
![Page 16: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/16.jpg)
PONTOS A SEREM TRATADOS
Aspectos importantes: A segurança é mais importante que os serviços; A política de segurança deve evoluir
constantemente; “Aquilo que não for permitido será proibido”; Nenhuma conexão externa com a rede interna
será permitida, sem que passe por um rígido controle de acesso;
16
![Page 17: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/17.jpg)
AUDITANDO OU CRACKEANDO SENHAS Muitas vezes, as senhas são consideradas o lado
mais fraco em uma política de segurança.
É da natureza humana procurar a solução mais fácil para um problema.
Usuários tendem a não criar senhas longas e complexas. Pois é difícil de lembrar.
Muitas vezes tendem a criar senhas com algo no seu ambiente.
Isso torna fácil para um invasor deduzir uma senha, ou fácil para um decifrador de senhas determinara essas senhas fáceis de lembrar. 17
![Page 18: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/18.jpg)
POLÍTICA PARA SENHAS É de grande importância, pois depende do
‘elo mais fraco’ da corrente de segurança: o usuário;
O ser humano consegue memorizar apenas senhas com tamanho curto;
Segundo Gartner, nos EUA o esquecimento das senhas representa 30% dos chamados ao help desk, com custos entre 51 e 147 dólares por chamado;
18
![Page 19: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/19.jpg)
POLÍTICA PARA SENHAS
Uma boa política de senhas que auxilie os usuários na escolha de suas senhas, reduzindo problemas de esquecimento significa melhor produtividade do usuários e menor custos com suporte;
19
![Page 20: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/20.jpg)
POLÍTICA PARA SENHAS Vulnerabilidades:
Utilização de sniffers;Utilização de crack (LC4);Adivinhação de senhas;
Formas de se obter senhas em Windows:Por meio de sniffing na rede;Diretamente do arquivo Security Account
Manager (SAM), que pode ser obtido diretamente do disco do servidor, do disco de emergência ou de um backup;
Por meio do registro do windows (pode ser evitado através do uso do utilitário chamado SYSKEY)
20
![Page 21: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/21.jpg)
POLÍTICA PARA SENHAS
Em um ambiente típico, 18% das senhas podem ser obtidas em 10 minutos, e 98% das senhas podem ser descobertas em 48 horas, incluindo a senha de administrador;
21
![Page 22: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/22.jpg)
POLÍTICA PARA SENHAS
Boas práticas na definição de senhas:Caso não exista um procedimento que
auxilie o usuário a escolher uma senha, é melhor que o administrador escolha a senha;
A senha deve ser redefinida a cada 2 meses;
As informações sobre último acesso, com data e local devem ser armazenadas;
As senhas devem ser bloqueadas a cada 3 ou 5 tentativas sem sucesso;
Atribuir responsabilidades a usuários e adminstradores;
22
![Page 23: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/23.jpg)
POLÍTICA PARA SENHAS
Outras recomendações: Não utilize palavras que estão em dicionários; Não utilize informações pessoais fáceis de serem
obtidas; Não utilize o mesmo nome de usuário; Não utilize senhas com repetição do mesmo
dígito;
23
![Page 24: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/24.jpg)
24
POLÍTICA DE INSTALAÇÃO DE SOFTWARE
Todos os softwares instalados em servidores, desktops e notebooks da sua empresa são licenciados ou freeware?
Popularização da Internet e do CD-ROM Usuário desconhece a diferença de uma versão demonstração,
trial por X dias, shareware e freeware Não controla a desinstalação
Riscos
Multas e processos judiciais (ABES) Perda da Certificação ISO 9000 Falta de aderência aos processos definidos
![Page 25: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/25.jpg)
CRIPTOGRAFIA
Criptografia – ciência de codificar informações, isto é escrever mensagens de forma cifrada ou em código.
- - É usada para:
- Autenticar a identidade de usuários. - garantir sigilo (somente usuário autorizados)- integridade da informação (não alteração da
informação)- autenticar e proteger o sigilo de comunicações
pessoais e de transações comerciais bancárias;
- Para cifrar ou decifrar dados é necessário uma chave ou senha
- Chave – algoritmo matemático de difícil determinação- Senha – secreta e de difícil determinação
25
![Page 26: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/26.jpg)
CRIPTOGRAFIA
Criptografia de chave única: utiliza a mesma chave tanto para codificar quanto para decodificar mensagens.
Criptografia de chave pública ou privada: utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens. Neste método cada pessoa mantém duas chaves: uma pública, que pode ser divulgada livremente, e outra provada, que deve ser mantida em segredo pelo seu dono. 26
![Page 27: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/27.jpg)
ASSINATURA DIGITAL
versão digital da assinatura de uma pessoal destinatário pode comprovar a assinatura digital, dando assim credibilidade a informação transmitida quando verificada uma assinatura digital não pode ser negada (não repudio)
garantem a integridade do documento
garantem a legitimidade do remetente
exemplo, para personalizar uma mensagem, um determinado usuário A codifica uma mensagem utilizando sua chave secreta e a envia para o destinatário. Somente a chave pública de A permitirá a decodificação dessa mensagem. Portanto é a prova de que A enviou a mensagem a mensagem pode ser decodificada por qualquer um que tenha a chave pública do remetente
27
![Page 28: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/28.jpg)
28
ASSINATURA DIGITAL
![Page 29: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/29.jpg)
ENGENHARIA SOCIAL
Engenharia Social - A técnica de 'crackear' pessoas
Um novo nome para um velho golpe
Objetivos: espionagem industrial, vantagens financeiras, fraude, roubo de identidade e de informações estratégicas.
Normalmente ocorre por telefone ou até pessoalmente. Online, as pessoas ficam mais desconfiadas de crackers
Utiliza a confiança, a ingenuidade, a surpresa e o respeito à autoridade (fazer-se pasar por outra pessoa)
29
![Page 30: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/30.jpg)
PREVENÇÃO CONTRA ENGENHARIA SOCIAL Conscientização dos responsáveis pela segurança
Treinamento do pessoal de atendimento
Impedir entrada não-autorizada aos prédios
Identificar funcionários por números
Manter o lixo em lugar seguro e monitorado. Picar papéis e eliminar completamente dados magnéticos
Trocar senhas periodicamente30
![Page 31: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/31.jpg)
FIREWALL
É um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados.
A vantagem do uso de firewalls em redes, é que somente um computador pode atuar como firewall, não sendo necessário instalá-lo em cada máquina conectada.
31
![Page 32: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/32.jpg)
FIREWALL O firewall pode:
• bloquear o tráfego: proteger a rede de entrada de usuários estranhos;
• liberação controlada: permite a entrada na sua rede somente por usuários previamente selecionados;
O que um firewall não faz:
• vírus-novas ameaças: ele protege sua rede contra ataques conhecidos, ou seja, ameaças novas não serão protegidas;
• integridade das informações: um firewall não pode garantir que as informações são íntegras e que não foram interceptadas ou alteradas; 32
![Page 33: SEGURANÇA DA INFORMAÇÃO. 2 POLÍTICA DE SEGURANÇA - IMPORTÂNCIA É a base para todas as questões relacionadas à segurança da informação; Seu desenvolvimento](https://reader035.vdocuments.net/reader035/viewer/2022062418/552fc100497959413d8bc54f/html5/thumbnails/33.jpg)
33