• Nenhum resultado encontrado

Aula7

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Aula7"

Copied!
31
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 31 páginas )

Texto

(1)

S

EGURANÇA E

A

UDITORIA DE

S

ISTEMAS

Gestão Corporativa de Segurança

(2)

R

ECAPITULANDO

...

 Elementos importantes na Segurança da Informação  CID (Confidencialidade, Integridade, Disponibilidade)

 Ativos

 Ameaças, Vulnerabilidades

 Medidas de Segurança: Preventivas, Detectáveis e Corretivas  Riscos

 Impacto  Impacto  Incidente

(3)

T

EORIA DO

P

ERÍMETRO

 Baseada na estratégia militar de segmentar os ambientes

físicos para adotar as medidas de defesa adequadas a cada um

 Aplicável ao ambiente de segurança das empresas,

contudo, extrapolando a segmentação também para contudo, extrapolando a segmentação também para ambientes lógicos

 Exemplo: Acessos à Internet e sistemas segmentados por

(4)

T

EORIA DO

P

ERÍMETRO

 Para garantir melhor retorno dos mecanismos que

garantam os níveis de proteção da informação é importante se pensar na segmentação inteligente dos ativos.

 Assim é possível se aplicar os controles adequados –  Assim é possível se aplicar os controles adequados –

cada um oferecendo um nível previamente dosado de proteção.

(5)
(6)

T

EORIA DO

P

ERÍMETRO

 Cumpre importante papel de alerta e de

mecanismo de resistência distribuído por áreas

 Visa permitir que tentativas de acesso indevido e

invasão gerem sinais de alerta e se deparem com a invasão gerem sinais de alerta e se deparem com a resistência que propiciará tempo para que as

medidas contingenciais sejam tomadas antes da ação avançar ainda mais em direção ao alvo

(7)

T

EORIA DO

P

ERÍMETRO

 Exemplo:

 Auditoria restritiva de acesso à Internet

 É necessário que os funcionários sejam logicamente

segmentados na rede. segmentados na rede.

 Assim minimiza-se o risco de exceder o nível de

controle para uns ou oferecer-lhes um nível aquém das necessidades.

(8)

B

ARREIRAS DE

S

EGURANÇA

 Devido à amplitude e complexidade do papel da

segurança, é comum estudarmos os seus desafios em camadas ou fases, dividindo o trabalho para melhor o conquistarmos! A esta divisão damos o nome de barreiras de segurança

 As barreiras de segurança têm como principal  As barreiras de segurança têm como principal

objetivo reduzir os riscos, e são dimensionadas adequadamente para proporcionar a mais perfeita interação e integração como se fossem peças de um quebra-cabeça.

(9)

B

ARREIRAS DE

S

EGURANÇA

 O modelo de barreiras de segurança implementa a

teoria do perímetro, segmentando perímetros físicos ou lógicos, e oferecendo níveis de

resistência e proteção complementares e crescentes

(10)
(11)

B

ARREIRAS DE

S

EGURANÇA

- D

ESENCORAJAR

 Primeira das barreiras e cumpre o papel importante

de desencorajar as ameaças.

 As ameaças podem ser desmotivadas ou perder o

estímulo por efeito de mecanismos físicos, tecnológicos ou humanos.

 Exemplos  Exemplos

 Presença de câmeras de vídeo  Aviso de existência de alarmes

 Campanhas de divulgação da Política de Segurança

 Treinamento dos funcionários informando as práticas de

(12)

B

ARREIRAS DE

S

EGURANÇA

- D

IFICULTAR

 O papel desta barreira é complementar à anterior

através da adoção efetiva dos controles que irão dificultar o acesso indevido

 Exemplos

 Dispositivos de autenticação para acesso físico Roletas

Detectores de metal

Detectores de metal Alarmes

 Ou acesso lógico

Leitores de cartão magnético

Senhas, Smartcards, Certificados digitais Criptografia, Firewall

(13)

B

ARREIRAS DE

S

EGURANÇA

- D

ISCRIMINAR

 Permite identificar e gerir os acessos, definindo

perfis e autorizando permissões

 Exemplos

 Os sistemas são largamente empregados para

monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de

de telefonia, perímetros físicos, aplicações de computador e bancos de dados

 Os processos de avaliação e gestão do volume de uso

dos recursos, como e-mail, impressora, ou até mesmo o fluxo de acesso físico aos ambientes

(14)

B

ARREIRAS DE

S

EGURANÇA

- D

ETECTAR

 Adiciona à solução de segurança dispositivos que

sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações de risco

 Tentativas de invasão, contaminação por vírus,

descumprimento da Política de Segurança, cópia e envio de informações sigilosas de forma inadequada

 Exemplos

 Sistemas de monitoramento e auditoria para auxiliar na

identificação de atitudes de exposição, como o antivírus e o sistema de detecção de intrusos

(15)

B

ARREIRAS DE

S

EGURANÇA

- D

ETER

 Impede que a ameaça atinja os alvos que suportam

o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça

 Exemplos  Exemplos

 Medidas de detenção

Ações administrativa e punitivas

Bloqueio de acessos físicos e lógicos,

(16)

B

ARREIRAS DE

S

EGURANÇA

- D

IAGNOSTICAR

 Apesar de ser a última barreira do diagrama, esta fase

representa continuidade do processo de gestão de segurança da informação.

 Elo de ligação com a primeira barreira, criando um

movimento cíclico e contínuo.

 Barreira de maior importância

 Análise de riscos (aspectos físicos, tecnológicos e humanos)  Análise de riscos (aspectos físicos, tecnológicos e humanos)  Diagnóstico mal feito pode ocasionar muitas falhas de

(17)

E

QUAÇÃO DO

R

ISCO

 O risco é a probabilidade de que agentes, que são

ameaças, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e

disponibilidade, e causando impacto nos negócios. Esses impactos são limitados por medidas de segurança que

protegem os ativos, impedindo que as ameaças explorem protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo assim os riscos.

(18)
(19)

E

QUAÇÃO DO

R

ISCO

 Por melhor que estejam protegidos os ativos, novas

tecnologias, mudanças organizacionais e novos

processos de negócio podem criar vulnerabilidades ou identificar e chamar a atenção para as já existentes.

 Novas ameaças podem surgirNovas ameaças podem surgir

 As medidas de segurança precisam ser reconsideradas.

(20)

R

ISCO

T

ENDENDO A

Z

ERO

 Não existe segurança total

 Devemos, contudo, estar preparados para suportar mudanças

nas variáveis da equação, reagindo com velocidade e

ajustando o risco aos padrões pré-especificados como ideal para o negócio

para o negócio

 Não existe um resultado R igual para todos. Será sempre

necessário avaliar o nível de segurança apropriado para cada momento vivido pela empresa.

(21)

C

OMITÊ

C

ORPORATIVO DE

S

EGURANÇA DA

I

NFORMAÇÃO

 O que já sabemos?

 Posicionado hierarquicamente no organograma

 Formatado a partir da clara definição de seu objetivo, estrutura,

funções, responsabilidades, etc

 Fomentar o Modelo de Gestão Corporativa de Segurança da

Informação Informação

 Ação interdepartamental

 Interagir com o Comitê Executivo e o Comitê de auditoria

buscando sinergia dos macro objetivos da empresa

 Alinhar e definir ações para os Comitês Interdepartamentais

(22)

C

OMITÊ

C

ORPORATIVO DE

S

EGURANÇA DA

I

NFORMAÇÃO

 Coordenador do CCSI  Security Officer

 Estrutura Básica do Comitê

 Coordenação Geral de Segurança

Coordenação de Segurança

 Coordenação de Segurança  Controle

 Planejamento e Avaliação  Execução

(23)

E

STRUTURA

, F

UNÇÕES E

R

ESPONSABILIDADES DO

CCSI

 Coordenação Geral de Segurança

 Mobilizar as áreas associadas

 Deliberar medidas e contra-medidas corporativas  Deliberar medidas e contra-medidas corporativas

(24)

E

STRUTURA

, F

UNÇÕES E

R

ESPONSABILIDADES DO

CCSI

 Coordenação de Segurança

 Avaliar os resultados alcançados

 Propor mudanças

 Propor medias e contra-medidas

(25)

E

STRUTURA

, F

UNÇÕES E

R

ESPONSABILIDADES DO

CCSI

 Planejamento e Avaliação

 Elaborar relatórios gerenciais sobre os resultados

alcançados

 Elaborar propostas de projetos específicos de

segurança segurança

 Promover palestras de conscientização e manutenção

do conhecimento

(26)

E

STRUTURA

, F

UNÇÕES E

R

ESPONSABILIDADES DO

CCSI

 Controle

 Conduzir ações de auditoria e monitoramento  Analisar métricas dos índices e indicadores  Realizar análise de risco

 Treinar a função de Execução no manuseio dos índices

(27)

E

STRUTURA

, F

UNÇÕES E

R

ESPONSABILIDADES DO

CCSI

 Execução

 Cumprir e fazer cumprir a Política de Segurança nos

ambientes associados

 Informar à função Controle os resultados dos índices e

indicadores indicadores

 Responder às questões de auditoria

 Registrar ocorrências de quebra de segurança e

reportando-as à função de controle

(28)

P

ERFIL DOS

E

XECUTORES DO

CCSI

 Coordenação Geral de Segurança

 Security Officer com apoio de diretores e seus

representantes  Coordenação de segurança  Gestor de Segurança  Planejamento e Avaliação  Planejamento e Avaliação  Consultor de Segurança  Consultor de Contingência  Analista de Segurança  Assistente de Segurança

(29)

P

ERFIL DOS

E

XECUTORES DO

CCSI

 Controle  Auditor de Segurança  Gerente de Risco  Monitor de Segurança  Execução  Execução  Administrador de Rede  Gestor de Desenvolvimento  Gestor de Produção  Gestor de Aplicação

(30)
(31)

R

EFERÊNCIAS

 SÊMOLA, Marcos. Gestão da Segurança da

Informação: Uma visão executiva. Rio de Janeiro: Elsevier Editora, 2003. ISBN: 85-352-1191-8.

Referências

Descarregar agora ( PDF - 31 páginas - 518.67 KB )

Documentos relacionados

A FONOAUDIOLOGIA NA RELAÇÃO ENTRE ESCOLAS REGULARES DE ENSINO

Buscando conhecer como ocorre o processo de inclusão de crianças com necessidades especiais no Ensino Fundamental da Rede Pública Municipal de Belo Horizonte, algumas mudanças

Igreja Matriz de Chaves / Igreja de Santa Maria Maior. IPA Monumento Nº IPA PT

Sobre supedâneo com três degraus semicirculares, dispõe-se o retábulo em talha policroma a verde, rosa, bege e dourado, de planta convexa e três eixos, definidos

REVISÃO DO PLANO DIRETOR MUNICIPAL

3 Nos espaços de uso especial identificados na Planta de Ordenamento (Classificação e Qualificação do Solo) permite-se a instalação de qualquer tipo de equipamento

A importância da capacitação técnica do maestro para constituição e desenvolvimento de coros empresariais sem conhecimento musical 1

O maestro/regente de coral de empresa deve, dia após dia, buscar uma forma nova de abordagem para trazer para seus coralistas um tempo de aprendizado musical

UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE FACULDADE DE CIÊNCIAS DA SAÚDE DO TRAIRI CURSO GRADUAÇÃO EM ENFERMAGEM BEATRIZ TÁVINA VIANA CABRAL

A vigilância epidemiológica precisa ser mais valorizada, e feita de forma mais efetiva, e frente ao paciente, para que nenhum dado possa ser perdido, e que todas as informações

Conservação de genótipos silvestres de Manihot do Nordeste Brasileiro.

Além dos genótipos silvestres de Manihot, o BAG da EAUFBA também contempla materiais peculiares a exemplo das manipebas, coletadas nos Estados da Paraíba e Pernambuco, que embora sejam

DIAGNÓSTICO DE DEGENERAÇÃO MACULAR RELACIONADA À IDADE A PARTIR DE TOMOGRAFIA DE COERÊNCIA ÓPTICA USANDO GEOESTATÍSTICA E CAPSULE NETWORKS.

Método para a segmentação de camadas da retina Arquitetura da rede de cápsulas para a segmentação Treinamento Segmentação das bordas Definição automática da região de

CARACTERÍSTICAS DOS ÁCIDOS E DAS BASES

O hidróxido de sódio, tal como o ácido clorídrico, ioniza-se completamente em solução aquosa, o que origina uma enorme concentração de iões presentes em solução,