• Nenhum resultado encontrado

Aula1e2

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Aula1e2"

Copied!
48
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 48 páginas )

Texto

(1)

Segurança

Segurança e Auditoria de

e Auditoria de

Sistemas

Sistemas

Introdução

Introdução à à SegurançaSegurança de de SistemasSistemas

Prof. Filipe Nunes Ribeiro

Introdução

(2)

Introdução

Introdução

 Por quê a nossa sociedade é

considerada a Sociedade da considerada a Sociedade da

(3)

Introdução

Introdução

 Por quê a nossa sociedade é

considerada a Sociedade da

Informação? Informação?

(4)

Introdução

Introdução

 Como o Google se tornou uma

potência? potência?

(5)

Introdução

Introdução

 Como o Google se tornou uma

potência? potência?

(6)

A informação é muito valiosa

A informação é muito valiosa

 Fraldas e cervejas

(7)

A informação é muito valiosa

A informação é muito valiosa

 Itaú e cartas

(8)

A informação é muito valiosa

A informação é muito valiosa

(9)

Mudanças no tratamento da

Mudanças no tratamento da

informação

informação

 Antes: informações tratadas de forma

centralizada e pouco automatizada

 Aos poucos, os computadores com  Aos poucos, os computadores com

acesso às informações foram

tomando conta, inicialmente um por departamento e posteriormente por todo os lados.

◦ Paralelamente surgiram as redes e facilidade de comunicação de dados

(10)

Mudanças no tratamento da

Mudanças no tratamento da

informação

informação

 Atualmente, informações contidas em

sistemas computacionais são consideradas recursos críticos

◦ Concretização de negócios de empresas ◦ Tomada de decisão

(11)

Quais informações ?

Quais informações ?

 Segredos de negócio

 Análise de mercado da concorrência  Dados operacionais históricos

(12)

E se a informação for roubada,

E se a informação for roubada,

perdida ou seu acesso for

perdida ou seu acesso for

interrompido?

interrompido?

 Concorrência pode lançar um produto

novo no mercado antes. Prejuízos diretos

 Prejuízos diretos

(13)

Quais são as ameaças?

Quais são as ameaças?

(14)

Quais são as ameaças?

Quais são as ameaças?

 Desastres naturais

 Invasão do sistema via rede

 “Extravio” de informações por pessoas

confiáveis confiáveis

 Quebra da segurança através de

(15)

Introdução

Introdução -- Questionamentos

Questionamentos

 Quão dependendes somos?

Conseguimos ficar uma semana sem nossos computadores e sistemas?

 Quais computadores e sistemas não

podem parar?

 Quais computadores e sistemas não

podem parar?

 Quão sensíveis somos? Que

informações não podem cair nas mãos de nossos concorrentes? Que

(16)

Introdução

Introdução -- Questionamentos

Questionamentos

 Onde mora o perigo? Em agentes

externos ao negócio, ou entre os próprios empregados da empresa?

(17)

Qual contexto ocasionou esse

Qual contexto ocasionou esse

cenário?

cenário?

 Crescimento sistemático da digitalização de informações  Crescimento exponencial da conectividade da empresa conectividade da empresa

 Crescimento das relações eletrônicas

entre empresas

 Crescimento exponencial do

(18)

Qual contexto ocasionou esse

Qual contexto ocasionou esse

cenário?

cenário?

 Acesso à Internet

 Baixo nível de identificação do usuário

no acesso gratuito à Internet. no acesso gratuito à Internet.

 Disponibilidade de grande diversidade

(19)

Qual contexto ocasionou esse

Qual contexto ocasionou esse

cenário?

cenário?

 Carência de legislação que puna atos

ilícitos em meio eletrônico

 Quem invade é um “gênio/herói”

 Vários perfis de ameaça: concorrente,  Vários perfis de ameaça: concorrente,

sabotador, adolescente, hacker, funcionário insatisfeito, etc.

 Crescente valorização da informação

como principal ativo de gestão de empresas

(20)

Exemplo de “extravio” da

Exemplo de “extravio” da

informação

informação

 Reunião estratégica da empresa  Decisões anotadas em papel

 Papel guardado em um cofre

 Posteriormente a secretária fica  Posteriormente a secretária fica

responsável por digitar as

informações confidenciais e

enviá-las a todos os participantes da reunião

 Por fim, a secretária descarta o papel

(21)

Sugestões de como ter mais

Sugestões de como ter mais

segurança

segurança

 O que fazer para termos mais segurança  O que fazer para termos mais segurança

no ambiente empresarial?

(22)

Sugestões de como ter mais

Sugestões de como ter mais

segurança

segurança

 Software: firewall, sistemas de detecção de

intrusos, anti-vírus.

 Identificação para entrar na empresa

 Câmeras de segurança

 Políticas de segurança.

 Estabelecimento de responsabilidades

(23)

Sugestões de como ter mais

Sugestões de como ter mais

segurança

segurança

 Segurança da informação não é uma

ciência exata.

 Gestão de riscos

◦ É preciso:

◦ Conhecer, planejar, agir, auditar, educar, monitorar, aprender e gerenciar.

(24)

Objetivos da segurança

Objetivos da segurança

 Proteção das informações não

importando onde estejam (papel, memória do computador, em um disquete, trafegando em uma

disquete, trafegando em uma chamada telefônica)

(25)

Objetivos da segurança

Objetivos da segurança

 Proteção das informações não

importando onde estejam (papel, memória do computador, em um disquete, trafegando em uma

disquete, trafegando em uma chamada telefônica)

 Certo?

(26)

Objetivos da Segurança

Objetivos da Segurança

 Para identificar os objetivos mais

prioritários para uma organização é essencial fazer uma análise da

natureza da aplicação, dos riscos e natureza da aplicação, dos riscos e impactos prováveis.

 Em geral, alguns pontos devem ser

(27)

Objetivos da Segurança

Objetivos da Segurança

 Confidencialidade: proteger as

informações contra acesso de

qualquer pessoa não explicitamente autorizada pelo dono da informação, autorizada pelo dono da informação, isto é, as informações e processos são liberados apenas para pessoas autorizadas.

(28)

Objetivos de Segurança

Objetivos de Segurança

 Integridade de dados: evitar que

dados sejam apagados ou de certa forma alterados, sem a permissão do proprietário da informação.

(29)

Objetivos de Segurança

Objetivos de Segurança

 Disponibilidade: proteger os serviços

de informática de tal forma que não sejam degradados ou tornados

indisponíveis sem a devida indisponíveis sem a devida autorização.

(30)

Objetivos de Segurança

Objetivos de Segurança

 Consistência: certificar-se de que o

sistema atua de acordo com as expectativas dos usuários

autorizados. autorizados.

(31)

Objetivos de Segurança

Objetivos de Segurança

 Isolamento ou uso legítimo: regular o

acesso. O acesso não autorizado é sempre um problema, pois além de

ser necessário identificar que acessou ser necessário identificar que acessou e como, é preciso se certificar de que nada importante do sistema foi

(32)

Objetivos de Segurança

Objetivos de Segurança

 Auditoria: proteger os sistemas contra

erros e atos maliciosos cometidos por usuários autorizados.

(33)

Objetivos de Segurança

Objetivos de Segurança

 Confiabilidade: garantir que, mesmo

sem condições adversas, o sistema atuará conforme o esperado.

(34)

Objetivos de Segurança

Objetivos de Segurança

 Qual é mais importante?

 Confidencialidade  Integridade  Disponibilidade  Consistência  Isolamento  Auditoria  Confiabilidade

(35)

Objetivos de Segurança

Objetivos de Segurança

(36)

Objetivos de Segurança

Objetivos de Segurança

 Sistema de e-commerce da DELL

(37)

Objetivos de Segurança

Objetivos de Segurança

 Sistemas militares de segurança

(38)

Objetivos de Segurança

Objetivos de Segurança

 Sistemas militares de segurança

nacional

 Privacidade

(39)

Objetivos de Segurança

Objetivos de Segurança

 Sistemas bancários

◦ Integridade ◦ Auditoria

(40)

Objetivos de Segurança

Objetivos de Segurança

 Sistemas bancários ◦ Integridade ◦ Auditoria  Confidencialidade  Disponibilidade

(41)

Ciclo de vida da informação

Ciclo de vida da informação

 Manuseio

◦ Momento em que a informação é criada e manipulada

◦ Folhear um maço de papeis, digitar informações recém-geradas em uma informações recém-geradas em uma aplicação ou mesmo utilizar sua senha para autenticaçao

(42)

Ciclo de vida da informação

Ciclo de vida da informação

 Armazenamento

◦ Momento em que a informação é armazenada

◦ Banco de dados compartilhado, em uma anotação de papel, pen drive guardado na anotação de papel, pen drive guardado na gaveta de trabalho

(43)

Ciclo de vida da informação

Ciclo de vida da informação

 Transporte

◦ Momento em que a informação é transportada

◦ Encaminhar informações por correio eletrônico, postar um documento via eletrônico, postar um documento via aparelho de fax, falar ao telefone uma informação confidencial

(44)

Ciclo de vida da informação

Ciclo de vida da informação

 Descarte

◦ Momento em que a informação é descartada

◦ Depositar na lixeira material impresso, eliminar um arquivo eletrônico do seu eliminar um arquivo eletrônico do seu computador, descartar um CD/DVD que apresentou falha na leitura.

(45)

Ciclo de vida da Informação

Ciclo de vida da Informação

(46)

Como/ O Quê proteger?

Como/ O Quê proteger?

 Perguntas

◦ O que se quer proteger?

◦ Contra que ou contra quem? ◦ Contra que ou contra quem?

◦ Quais são as ameaças mais prováveis? ◦ Qual a importância de cada recurso?

(47)

Como /

Como / O Quê proteger?

O Quê proteger?

 Perguntas

◦ Quanto tempo, recursos financeiros, e

humanos se pretende gastar para atingir os objetivos de segurança desejados?

◦ Quais as expectativas dos usuários e ◦ Quais as expectativas dos usuários e

clientes em relação à segurança de informações?

◦ Quais as consequências para a instituição se seus sistemas e informações forem

(48)

Referências

Referências

 SÊMOLA, Marcos. Gestão da

Segurança da Informação: Uma visão executiva. Rio de Janeiro:

Elsevier Editora, 2003. ISBN: Elsevier Editora, 2003. ISBN: 85-352-1191-8.

 DIAS, Cláudia. Segurança e

Auditoria da Tecnologia da

Informação. 1a Edição. Editora Axcel

Referências

Descarregar agora ( PDF - 48 páginas - 789.54 KB )

Documentos relacionados

Planejamento de Rede de Distribuição de Energia Elétrica com Restrições Geográficas

Através dos possíveis caminhos fornecidos pela triangulação de Delaunay e considerando as restrições geográficas do local onde se deseja implantar a nova rede, com

Teste do Pezinho. Introdução. Determinações disponíveis no Teste do Pezinho. Análises Clínicas BÁSICO MASTER AMPLIADO MASTER+HIV ESTENDIDO MASTER+MCAD

Fenilalanina, TSH neonatal, Hemoglobinopatias, Aminoácidos - cromatografia qualitativa, 17 OH progesterona neonatal, T4 neonatal, Tripsina neonatal, Galactose total (triagem

Norma de Controle de Acessos e Senha

Qualquer utilização não autorizada ou tentativa de utilização não autorizada de credenciais e senhas de acesso a ativos/serviços de informação ou

Relatório Anual. africashew240. Fazendo O Setor Africano do Caju!

Estes projetos servem para fortalecer a capacidade das companhias de processamento de cajus, melhorar significativamente a renda familiar dos produtores de caju e conectar as

Elemens de Chymie Theorique (1749) de Pierre Joseph Macquer: divulgando a química para um público amplo 1

Como exemplo, podemos citar o médico francês Pierre Joseph Macquer que, mesmo tendo produ- zido um dos trabalhos mais lidos na segunda metade do século XVIII na França, ainda foi

Administração Pública e Gestão Costeira no Brasil: Reformismo e Modernidade Postergada

contribuir para elevar a qualidade de vida de sua po- pulação, assim como, a proteção do seu patrimônio natural, histórico, étnico e cultural (Brasil, 2004). Para cumprir

Telemedição Quem é o dono?

A telemedição é de toda empresa, mas não só a telemedição sistema, mas sim a telemedição equipe de trabalho, o sistema de telemedição possibilita apenas a

Apresentação de Resultados. Teleconferência 2T18 10 de agosto de :00

Nenhuma pessoa está autorizada a prestar qualquer informação ou a fazer qualquer declaração que não esteja contida ou que não seja consistente com esta apresentação e que, se