ecc ti sccp segurança da informação

Encontro de Compartilhamento de Conhecimento

Segurança da Informação15 Julho 2014

Alessandro R Gonçalves

Departamento de Tecnologia da Informação

1Sport Club Corinthians Paulista

Segurança da Informação

2

Não éalgo relacionado apenas a

roubo de dados

3

O conceito de segurança está

todos os diasconosco...

...ou deveria estar!

Segurança da Informação

4

• Confidencialidade

• Integridade

• Disponibilidade

Não somente segura, mas disponível!

• Autenticidade

• Privacidade

• Irretratabilidade

Confidencialidade

5

• Informação acessível para, e

somente para,

quem realmente deve acessar

Integridade

6

• Garante que a informação contém

o conteúdo que deveria conter

Disponibilidade

7

• Informação

disponível

sempre que necessário

Autenticidade

8

• Garantia da origem,

fonte confiável e conhecida

Segurança da Informação

9

Não épapel apenas do especialista em segurança

É papel da equipe!

Segurança da Informação

10

O que acontece ocasionalmente:

-Senha “1234”

-Todo mundo sabe a senha no departamento

A pessoa acha que:

“não faz mal ver as minhas informações”

Mas não entende que:

-Alguém pode usar um sistema

-Mandar um e-mail

-Apagar um arquivo

-Usar a senha em outro e-mail, outro serviço, etc

11

O problema está na pequena falta de atenção

12

E nós é que precisamos orientar

As ameaças

13

• Configurações inadequadas

• Incidentes de segurança

• Vírus

• E-mail malicioso

• Softwares mal construídos

• Falta de conhecimento

• Falta de atenção

• Engenharia Social

14BYOD (Bring Your Own Device)

A ameaça dos dispositivos móveis

Tem que estar atento à segurança

15

Desafios o tempo todo

16

É a informação na pasta pública

A falta de backup

O usuário não instruído

A folha na impressora

A foto no celular

A informação no tablet

A senha fácil

O e-mail encaminhado

O Dropbox, Box.Net, etc

O Access Point aberto

O celular perdido

A conversa no telefone

Fato: Políticas de Segurança

bem trabalhadassão essenciais

17

O que mais, além da política

18

• Arquitetura de rede segura

• Monitoração contínua do tráfego de rede

• Testes periódicos em busca de vulnerabilidades

• Atualizações periódicas

• Programação segura

• Trabalho proativo

• Conscientização

constante

O que nós

19

Trabalhar em um plano de segurança

VAMOS fazer

Divulgar, informar sempre

Manter um programa de conscientização

Trabalhar 100% do tempo com isso em mente

Continuar com os processos estruturados

O objetivo

20

Informação:

Segura

Íntegra

Confiável

Sempre disponível

ISO 27002

21

Referências

22

• Normas:

• ISO/IEC 17799 / ISO/IEC 27000

• BS 7799

• Certificações:

• CISSP

• Security+

• GIAC

• Cartilha de Segurança da Informação: http://www4.planalto.gov.br/cgti/cartilha-de-seguranca-

da-informacao/cartilha-seguranca-da-informacao

• Segurança nas redes sociais: http://www.slideshare.net/thiagonasc/segurana-da-informao-nas-

redes-sociais?qid=6da9e992-1261-461c-afb2-117c1117d4ee&v=default&b=&from_search=46

• Vale muito a pena aplicar a ISO 27002: http://webinsider.com.br/2012/11/12/seguranca-da-

informacao-vale-muito-aplicar-a-iso-27002/

• http://sti.fflch.usp.br/sites/sti.fflch.usp.br/files/E%20Por%20Falar%20Em%20Seguran%C3%A7a.pdf

23

Alessandro R GonçalvesInovação & Tecnologia da Informação

Sport Club Corinthians Paulista

Obrigado!