segurança e auditoria de sistemas
DESCRIPTION
Segurança e Auditoria de Sistemas. Aula 1 - Introdução. O que será estudado nesta disciplina. Problemas de segurança: avaliar o risco e impacto. Como descrever uma Política de Segurança. Conhecer as principais técnicas utilizadas para comprometer um sistema. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/1.jpg)
Segurança e Auditoria de Sistemas
Aula 1 - Introdução
![Page 2: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/2.jpg)
Problemas de segurança: avaliar o risco e impacto. Como descrever uma Política de Segurança. Conhecer as principais técnicas utilizadas para
comprometer um sistema. Inibir as principais ameaças a um sistema. Estratégias de segurança: firewall, proxy,
criptografia, assinatura digital. Aspectos sobre Auditoria.
O que será estudado nesta disciplina
![Page 3: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/3.jpg)
A cada dia, mais informações são produzidas e passíveis de ataques.
Esses ataques estão cada vez mais eficientes. Acreditamos que esses ataques nunca
acontecerão conosco. Políticas de segurança devem ser criadas para
minimizar as possibilidades de ataques.
Motivação
![Page 4: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/4.jpg)
Sistemas trabalhavam de forma isolada. Não havia comunicação internet. A informação era levada de um computador a
outro por meio de fitas ou disquetes. Tempos depois a comunicação entre os
computadores ainda era restrita à redes locais. Riscos eram apenas internos, portanto mais
fáceis de resolver.
Antigamente...
![Page 5: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/5.jpg)
O ambiente está todo conectado: celular, smartphone, tablet, notebook etc.
Quase todos os computadores tem acesso a internet. Redes wireless por toda parte. Computação nas nuvens. Programas de mensagem instantânea e e-mail estão
cada vez mais populares. Vírus que são transmitidos por meio de pen-drives,
spams e lista de e-mails.
Nos dias de hoje...
![Page 6: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/6.jpg)
Realizar a análise de riscos. Identificar as ameaças. Implementar uma política de segurança. Elaborar um plano de auditoria. Auditar
Como evitar/prevenir?
![Page 7: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/7.jpg)
Toda empresa guarda a 7 chaves suas informações, afinal hoje é considerado o bem mais valioso da empresa.
Antigamente as informações eram documentadas em papel e arquivadas em local de acesso restrito.
Hoje as informações são digitais.
Informação: o bem mais valioso
![Page 8: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/8.jpg)
Para gerar informação, é preciso que os dados sejam íntegros, confiáveis e estejam disponíveis.
Informação: o bem mais valioso
Segurança daInformaçãoConfidencialidade
Integridade
Disponibilidade
![Page 9: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/9.jpg)
1. Confidencialidade dos dados: refere-se à proteção contra o acesso não autorizado a
dados, ou seja, a informação deve ser acessada somente por pessoas autorizadas. Uma vez desrespeitado esse princípio, temos o que chamamos de incidente de segurança da informação por quebra de confidencialidade.
Princípios básicos de um sistema de segurança
![Page 10: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/10.jpg)
2. Integridade dos dados: refere-se à proteção contra alteração dos dados, isto
é, a informação deve ser mantida inalterada ou íntegra. Esses dados só podem ser alterados por uma pessoa autorizada.
Princípios básicos de um sistema de segurança
![Page 11: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/11.jpg)
3. Disponibilidade de dados: refere-se à proteção contra a interrupção do acesso a
dados ou serviços. Resumidamente, a informação deve estar acessível sempre que pessoas autorizadas necessitam.
Princípios básicos de um sistema de segurança
![Page 12: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/12.jpg)
Identificar o grau de proteção que cada tipo de informação precisa.
Proporcionar a proteção em grau adequado para o negócio.
Coletar informações sobre o grau de segurança existente em determinado ambiente da organização e elaborar um plano de segurança.
Análise de Riscos
![Page 13: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/13.jpg)
Campos de Riscos
Campos de riscos Ameaças (exemplos)Local/edifício Fogo, raios, água, furtos/roubos, espionagem,
terrorismo/sabotagem.Infra-estrutura técnica Insuficiência de equipamentos, falhas técnicas,
oscilações elétricas, falta de energia/água/combustível.
Redes de comunicação Sabotagem, espionagem, modificaçãom fraudes, quedas/interrupções.
Software Furto, alterações indevidas, vírus, falta de controle de acesso.
Dados/meios de armazenamento
Falhas de controle, backups insuficientes/inadequados, desmagnetização, falhas no transporte, falhas no armazenamento.
Hardware Oscilações de energia, falhas de climatização, instalações inadequadas, danos físicos.
![Page 14: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/14.jpg)
Empresas que realizam análise de riscos e sua frequência
Pesquisa realizada em 2006 pela empresa Módulohttp://www.modulo.com.br/media/10a_pesquisa_nacional.pdf
![Page 15: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/15.jpg)
Quanto investir?
Os investimentos em diminuição dos riscos não devem exceder a 1% do faturamento da organização. (CAMPOS, 2007, p. 52).
O custo não deve exceder o valor do ativo que se deseja proteger.
CAMPOS, A. Sistema de segurança da informação: controlando os riscos. 2. ed. Florianópolis: Visual Books, 2007.
![Page 16: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/16.jpg)
Valor médio dedicado para a Segurança da Informação
Pesquisa realizada em 2006 pela empresa Módulohttp://www.modulo.com.br/media/10a_pesquisa_nacional.pdf
Porcentagem retirada do valor total investido na área de TI
![Page 17: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/17.jpg)
33% que não sabem quantificar as perdas. 21% não sabem sequer identificar os responsáveis
pelo problema. 35% não possuem planejamento para segurança. Falhas de segurança:
24% causadas por funcionários. 20% por hackers.
77% de aumento nos problemas relacionados a segurança nos próximos anos.
Mais alguns dados
![Page 18: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/18.jpg)
Problemas que geram perdas financeiras
Pesquisa realizada em 2006 pela empresa Módulohttp://www.modulo.com.br/media/10a_pesquisa_nacional.pdf
![Page 19: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/19.jpg)
Abrange um conjunto de controles que buscam diminuir as vulnerabilidades do sistema de informação.
Deve ser divulgada para que todos na organização a conheçam e saibam das penalidades para quem não a cumprir.
Elaborada e implementada processo contínuo de revisão, com regras claras e simples.
Políticas de segurança
![Page 20: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/20.jpg)
A partir de uma política, espera-se: Diminuir a probabilidade de ocorrência. Diminuir os prejuízos causados por eventuais
ocorrências. Elaborar procedimentos para recuperação de
desastres.
Políticas de segurança
![Page 21: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/21.jpg)
Ser simples a política deve apresentar uma linguagem simples,
facilitando sua leitura e compreensão.
Ser objetiva a política não deve ser um documento muito extenso,
deve apenas focar nos objetivos a serem alcançados.
Ser consistente a política deve estar alinhada com as demais normas,
como por exemplo, as legislações públicas.
Políticas de segurança
![Page 22: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/22.jpg)
Definir metas a política deve apresentar as metas a serem
alcançadas.
Definir responsabilidades a política deve estabelecer as responsabilidades sobre
o uso da informação.
Definir penalidades a política deve conter procedimentos de punição caso
não seja cumprida.
Políticas de segurança
![Page 23: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/23.jpg)
Políticas de segurança
![Page 24: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/24.jpg)
Principal obstáculo para implementar a Segurança da Informação
Pesquisa realizada em 2006 pela empresa Módulohttp://www.modulo.com.br/media/10a_pesquisa_nacional.pdf
![Page 25: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/25.jpg)
1. OBJETIVO Descrever o objetivo.
2. ÂMBITO Descrever a abrangência (todos os funcionários).
3. DEFINIÇÕES Definir termos técnicos.
4. POLÍTICA 4.1 USO ACEITÁVEL
O que a política permite.
4.2 USO INACEITÁVEL O que a política proíbe.
Modelo de política de segurança
![Page 26: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/26.jpg)
5. SANÇÕES As penalidades.
6. CONTROLE DE VERSÃO Colocar versão, data e nome do autor.
Modelo de política de segurança
![Page 27: Segurança e Auditoria de Sistemas](https://reader034.vdocuments.net/reader034/viewer/2022051118/568164ac550346895dd6b022/html5/thumbnails/27.jpg)
Vimos que com a evolução da tecnologia estamos mais vulneráveis.
Vimos a importância da segurança da informação e quais as principais ameaças que geram prejuízos.
Vimos os 3 princípios básicos para um sistema de segurança.
Vimos sobre análise de riscos e política de segurança.
Conclusão