Aula6

(1)

S

EGURANÇA E

A

UDITORIA DE

S

ISTEMAS

Gestão Corporativa de Segurança

(2)

R

ECAPITULANDO

...

Modelo de Gestão Corporativa de Segurança da Informação é formado pelas seguintes etapas:

Comitê Corporativo de Segurança da Informação Mapeamento de Segurança Estratégia da Segurança Planejamento da Segurança Implementação de Segurança Implementação de Segurança Administração de Segurança Segurança na Cadeia Produtiva

Cada uma das etapas cumpre papel importante no ciclo e gera resultados finais que deverão estar devidamente formatados e prontos para alimentar a atividade

(3)

A

GREGANDO

V

ALOR AO

N

EGÓCIO

Benefícios da gestão integrada da informação sob a ótica do executivo

Valoriza as ações da empresa Viabiliza novos negócios

Consolida a imagem de modernidade Consolida a imagem de modernidade

Consolida a imagem de saúde administrativa Aumenta a satisfação dos clientes

Aumenta a lucratividade

(4)

A

GREGANDO

V

ALOR AO

N

EGÓCIO

Benefícios da gestão integrada da informação sob a ótica do executivo

Reduz os custos provocados por ameaças que exploram as

falhas de segurança

Reduz os riscos operacionais

Prepara a empresa para os desafios atuais Preserva a imagem da empresa

Aumenta a receita

(5)

S

EGURANÇA DA

I

NFORMAÇÃO

Já dissecamos os desafios associados à segurança com superficialidade executiva.

Vamos definir com mais detalhes aspectos da segurança da informação

(6)

S

EGURANÇA DA

I

NFORMAÇÃO

- D

EFINIÇÃO

Área do conhecimento dedicada à proteção de ativos de informação contra acessos não

autorizados, alterações indevidas ou sua indisponibilidade

Prática de gestão de riscos de incidentes que Prática de gestão de riscos de incidentes que

impliquem no comprometimento dos três principais conceitos da segurança

Confidencialidade Integridade

(7)

E

LEMENTOS IMPORTANTES NA SEGURANÇA DA INFORMAÇÃO

Confidencialidade – Toda informação deve ser protegida de acordo com o grau de sigilo do seu conteúdo, visando a limitação do seu acesso e uso apenas às pessoas que são destinadas

Integridade – Toda informação deve ser mantida na mesma condição que foi disponibilizada pelo seu proprietário, visando protegê-la contra alterações indevidas, intencionais ou acidentais

(8)

E

Disponibilidade: Toda informação gerada ou

adquirida por um indivíduo ou instituição deve estar disponível aos seus usuários no momento em que os mesmos necessitem delas para qualquer

finalidade. finalidade.

(9)

E

Informação – conjunto de dados utilizados para a transferência de uma mensagem entre indivíduos e/ou máquinas em processos comunicativos (isto é, baseados em troca de mensagens) ou

transacionais (processos em que sejam realizadas transacionais (processos em que sejam realizadas operações que envolvam transferência de valores monetários)

A informação pode estar presente ou ser manipulada por inúmeros elementos deste

processo, chamados ativos, os quais são alvos de proteção da segurança da informação

(10)

E

Ativo

Todo elemento que compõe os processos que

manipulam e processam a informação, a contar a

própria informação, o meio em que ela é armazenada, os equipamentos em que ela é manuseada,

transportada e descartada. transportada e descartada.

Nome oriundo da área financeira

(11)

E

LEMENTOS IMPORTANTES NA SEGURANÇA DA INFORMAÇÃO Aspectos associados Autorização Auditoria Autenticidade Severidade Severidade Relevância do ativo

Relevância de um processo de negócio Criticidade

(12)

E

LEMENTOS IMPORTANTES NA SEGURANÇA DA INFORMAÇÃO Ameaças: Naturais Involuntárias Voluntárias Vulnerabilidades: Vulnerabilidades:

Físicas, hardware, software, mídias, comunicação,

(13)

M

EDIDAS DE

S

EGURANÇA

O que são?

Práticas, procedimentos e mecanismos utilizados para

proteção da informação e seus ativos

Buscam: Buscam:

Reduzir vulnerabilidades Minimização do risco

(14)

M

EDIDAS DE

S

EGURANÇA

Características

Preventivas: Tem como objetivo evitar que incidentes

venham a ocorrer. Visam manter a segurança já

implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança a instituição.

Exemplos

Políticas de segurança

Instruções e procedimentos de trabalho

Ferramentas para implementação da política de

segurança

(15)

M

EDIDAS DE

S

EGURANÇA

Características

Detectáveis: Identificar condições ou indivíduos causadores

de ameaças, a fim, de evitar que as mesmas explorem vulnerabilidades.

Exemplos

Análise de riscos Análise de riscos

Sistemas de detecção de intrusão Câmeras de segurança

(16)

M

EDIDAS DE

S

EGURANÇA

Características

Corretivas: ações voltadas à correção de uma estrutura

tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição.

Exemplos

Equipes para emergências Restauração de backup

Plano de continuidade operacional Plano de recuperação de desastres

(17)

M

EDIDAS DE

S

EGURANÇA

Muitas medidas de segurança podem se encaixar em mais de uma característica:

Plano de continuidade de negócios

Ação preventiva (criação) Ação preventiva (criação) Ação corretiva (utilização)

(18)

E

Riscos

Probabilidade de ameaças explorarem vulnerabilidades,

provocando perdas de confidencialidade, integridade e disponibilidade, causando impactos nos negócios

(19)

E

Impacto

Abrangência dos danos causados por um incidente de

(20)

E

Incidente

Fato ou evento decorrente de ação de uma ameaça,

que explora uma ou mais vulnerabilidades, levando à perda de princípios da segurança da informação.

Gera impactos aos processos de negócio da

empresa

A gravidade de um incidente pode ser

analisada em termos qualitativos e

(21)

R

EFERÊNCIAS

SÊMOLA, Marcos. Gestão da Segurança da

Informação: Uma visão executiva. Rio de

Janeiro: Elsevier Editora, 2003. ISBN: 85-352-1191-8.