ecc ti sccp segurança da informação
DESCRIPTION
Encontro semanal para compartilhamento de conhecimento do Departamento de Tecnologia da Informação do Sport Club Corinthians Paulista.TRANSCRIPT
Encontro de Compartilhamento de Conhecimento
Segurança da Informação15 Julho 2014
Alessandro R Gonçalves
Departamento de Tecnologia da Informação
1Sport Club Corinthians Paulista
Segurança da Informação
2
Não éalgo relacionado apenas a
roubo de dados
3
O conceito de segurança está
todos os diasconosco...
...ou deveria estar!
Segurança da Informação
4
• Confidencialidade
• Integridade
• Disponibilidade
Não somente segura, mas disponível!
• Autenticidade
• Privacidade
• Irretratabilidade
Confidencialidade
5
• Informação acessível para, e
somente para,
quem realmente deve acessar
Integridade
6
• Garante que a informação contém
o conteúdo que deveria conter
Disponibilidade
7
• Informação
disponível
sempre que necessário
Autenticidade
8
• Garantia da origem,
fonte confiável e conhecida
Segurança da Informação
9
Não épapel apenas do especialista em segurança
É papel da equipe!
Segurança da Informação
10
O que acontece ocasionalmente:
-Senha “1234”
-Todo mundo sabe a senha no departamento
A pessoa acha que:
“não faz mal ver as minhas informações”
Mas não entende que:
-Alguém pode usar um sistema
-Mandar um e-mail
-Apagar um arquivo
-Usar a senha em outro e-mail, outro serviço, etc
11
O problema está na pequena falta de atenção
12
E nós é que precisamos orientar
As ameaças
13
• Configurações inadequadas
• Incidentes de segurança
• Vírus
• E-mail malicioso
• Softwares mal construídos
• Falta de conhecimento
• Falta de atenção
• Engenharia Social
14BYOD (Bring Your Own Device)
A ameaça dos dispositivos móveis
Tem que estar atento à segurança
15
Desafios o tempo todo
16
É a informação na pasta pública
A falta de backup
O usuário não instruído
A folha na impressora
A foto no celular
A informação no tablet
A senha fácil
O e-mail encaminhado
O Dropbox, Box.Net, etc
O Access Point aberto
O celular perdido
A conversa no telefone
Fato: Políticas de Segurança
bem trabalhadassão essenciais
17
O que mais, além da política
18
• Arquitetura de rede segura
• Monitoração contínua do tráfego de rede
• Testes periódicos em busca de vulnerabilidades
• Atualizações periódicas
• Programação segura
• Trabalho proativo
• Conscientização
constante
O que nós
19
Trabalhar em um plano de segurança
VAMOS fazer
Divulgar, informar sempre
Manter um programa de conscientização
Trabalhar 100% do tempo com isso em mente
Continuar com os processos estruturados
O objetivo
20
Informação:
Segura
Íntegra
Confiável
Sempre disponível
ISO 27002
21
Referências
22
• Normas:
• ISO/IEC 17799 / ISO/IEC 27000
• BS 7799
• Certificações:
• CISSP
• Security+
• GIAC
• Cartilha de Segurança da Informação: http://www4.planalto.gov.br/cgti/cartilha-de-seguranca-
da-informacao/cartilha-seguranca-da-informacao
• Segurança nas redes sociais: http://www.slideshare.net/thiagonasc/segurana-da-informao-nas-
redes-sociais?qid=6da9e992-1261-461c-afb2-117c1117d4ee&v=default&b=&from_search=46
• Vale muito a pena aplicar a ISO 27002: http://webinsider.com.br/2012/11/12/seguranca-da-
informacao-vale-muito-aplicar-a-iso-27002/
• http://sti.fflch.usp.br/sites/sti.fflch.usp.br/files/E%20Por%20Falar%20Em%20Seguran%C3%A7a.pdf
23
Alessandro R GonçalvesInovação & Tecnologia da Informação
Sport Club Corinthians Paulista
Obrigado!