título de la presentaciónboas práticas em segurança da ... · falhas nas comunicações. falhas...
TRANSCRIPT
Título de la presentaciónBoas práticas em Segurança da Informação© 2007 Ozona Consulting – Beatriz Martínez Cándano@2013 atualização [email protected]
Hoje em dia está suportada na sua maioria por sistemas
computacionais
A informação é um ativo muito caro de obter e terrivelmente fácil de perder
O Fator Humanoé decisivo
Existem regulações que ajudam uns e prejudicam
outros
Ovalordainformação
Conceitos Básicos SGSI
Índice de conteúdos
Boas práticas
Conceitos Básicos
“Característica concreta de qualquer sistemainformático que nos indica que este está livre deperigo, dano ou risco…“
segurançadaInformática
segurançadainformação
Conjunto de medidas técnicas, organizativas e legais
Aplicadas à informação em qualquer tipo de suporte ou tratamento
Mantidas durante todo o ciclo de vida da informação na empresa
Revistas, medidas e melhorias
7
Segurança da informática ou segurança da informação?
A segurança da informática ocupa-se unicamenteda segurança dos sistemas e infraestruturasinformáticas, portanto, fica circunscrita ao âmbito dainformação automatizada.
Encarrega-se da proteção das infraestruturas TI.
SEGURANÇA: TÉCNICA
SEGURANÇA: GESTÃO.
8
A segurança da informação, ocupa-se dainformação em todas as suas formas e emqualquer momento do seu ciclo de vida, paraproteger de qualquer ameaça que possa suporperda ou diminuição do valor da mesma.
É uma questão que afeta a toda a empresa, requeruma gestão coordenada e transversal, o queimplica planejamento e gestão, e deve serconsiderado como um processo mais da empresaque interage com o resto dos processos do negócio.
Segurança da informática ou segurança da informação?
SEGURANÇA: TÉCNICA
SEGURANÇA: GESTÃO.
segurançadainformação
Consiste na realização das tarefasnecessárias para garantir os níveisde segurança exigíveis numaorganização.
gestãodasegurança
11
InformaçãoA INFORMAÇÃO é um ativo, tangível ou intangível, que temvalor para a Organização e requer uma proteção adequada.
INFORMAÇÃO
A informação pode ser:Escrita em papel. Armazenada em PC / servidorArmazenada em suporte externo (USB, DVD…)Gravada em formato vídeo/áudioTransmitida por correio, fax, meios eletrônicos…Falada.
CICLO DE VIDA DA INFORMAÇÃO
(Contratos, bases de dados, documentos, e-mails,documentação do sistema, manuais dos utilizadores,material de formação, aplicações, software do sistema,equipas informáticas, equipa de comunicações, serviçosinformáticos e de comunicações, página web….).
elementosdesegurança
SEGURANÇA
confidencialidade
integridade
disponiblidade
elementosdesegurança
14
Dimensões da Segurança
I
D
C
CONFIDENCIALIDADE.Propriedade da informação, pela que segarante que a informação é unicamenteacessível para o pessoal autorizado.
A Confidencialidade inclui todos os processos que definem desde quais e em quegrau são confidenciais determinados dados, até como deve ser tratada a informação:com que mecanismos, que critérios, que pessoas, que procedimentos, etc,
EXEMPLOS
Acesso por parte da concorrência de informação sensível.Transações de cartão de crédito por internet.Computadores com sessões abertas sem responsáveis ao seu cargo.Perda de dispositivos com informação sensível.
15
Dimensões da Segurança
I
D
C
INTEGRIDADEPropriedade que procura manter os dados livres demodificações não autorizadas.A informação e os seus métodos de processamentodevem ser exatos e completos e não podem ser
manipulados sem autorização.
Quando a informação sofre modificações por falhas dossistemas, por erros humanos ou acidentes deliberados oufortuitos, e afeta a preservação das condições que tornamlegítima e útil essa informação.
EXEMPLO
DISPONIBILIDADE
Característica, qualidade ou condição dainformação que se encontra ao dispor dequem devem aceder a ela, sejam pessoas,processos ou aplicações.
Dimensões da Segurança
17
Dimensões da Segurança
A correta classificação da informação,facilitará a determinação das premisasbásicas de proteção conforme o grau declassificação atribuido.
CONFIDENCIALIDADE
INTEGRIDADE
DISPONIBILIDADE
18
Outras Dimensões da Segurança da Informação
PRIVACIDADESó as pessoas autorizadas têm acesso àinformação de dados de caráter pessoal.
PRIVACIDADE VS CONFIDENCIALIDADE
A privacidade refere-se exclusivamente a dados de caráter pessoalque podem ou não ser públicos.
A confidencialidade refere-se a informação, pessoal ou não, que aorganização quer proteger de que seja difundida abertamente.
19
Falha de Segurança da Informação
Uma falha de Segurança da informação é qualquer incidente que comprometa a segurança, isto é que ponhaem perigo a confidencialidade, integridade ou a disponibilidade da informação.
Falhas nas Comunicações.Falhas no Fornecimento elétrico.Falhas humanas de utilizadores internos, externos, administradores, programadores,…Falhas nos sistemas de informação: redes, aplicações, equipamentos…Vírus informáticos, vírus, troyanos, …Acessos não autorizados dos sistemas de informação.Incumprimento de uma lei ou regulamento
SEGURANÇA FÍSICA
SEGURANÇA LÓGICA
MEDIDAS
ORGANIZACIONAIS
EXEMPLOS
tipologiade riscos.
tipologiade riscos.
tipologiade riscos.
23
Medidas de Segurança.
• ACESSOS FÍSICOS CONTROLADOS: Registo, dispositivos biométrico.
• SAIsFÍSICAS
• AUTENTICAÇÃO
• ASSINATURA ELECTRÓNICA
• ANTI-VIRUS E SPYWARE
• CORTA-FOGOS
• COPIAS DE SEGURANÇA
LÓGICAS
• REGISTO DE FICHEIROS
• ENCARGOS DE TRATAMENTO, ACORDOS TERCEIROS, ACORDOS
CONFIDENCIALIDADE.
• DOCUMENTO DE SEGURANÇA
ORGANIZACIONAIS
24
Segurança
25
Segurança
SGSI
É um sistema de gestão que compreende a política, aestrutura organizativa, os procedimentos, os processos e osrecursos necessários para implementar a gestão dasegurança da informação
queéumsgsi?
28
Gestão da Segurança da Informação
Os Sistemas de Gestão da Segurança da Informação (SGSI)proporcionam os mecanismos para a salvaguarda dos ativos e dossistemas de informação que processam, de acordo com as políticas desegurança e os planos estratégicos da organização, e com fim a garantiros níveis de segurança exigíveis e minimizar os riscos de segurança queameacem a continuidade do serviço.
SEGURANÇA DA INFORMAÇÃO
INFORMAÇÃO
SISTEMAS DE GESTÃO DA SEGURANÇA. UNE-ISO/IEC 27001
ENGLOBA:
A políticaA estrutura organizativaOs procedimentos.Os processosOs recursos
CONHECER
GERIR
MINIMIZAR
SGSI
O objetivo de um SGSI é manter uma adequada seleção de controlos de segurança destinados a proteger os ativos e a informação da organização.
Mediante o desenho, implementação e manutenção de um conjunto coerente de processos e sistemas destinados a gerir de forma eficiente o acesso à informação, assegurando, desta forma, a Confidencialidade, Integridade e Disponibilidade dos ativos de informação ao mesmo tempo que se minimizam os riscos.
objetivosdeumsgsi
30
PLAN
DO
CHECK
ACT CICLO PDCA
• Definição do âmbito.• Definição de Política de Segurança.• Estabelecer responsabilidades.• Realização da análise de riscos.• Seleção de controlos.• Estabelecer o Plano de Segurança
• Implantar o PTR• Implantar o SGSI• Implantar os controlos.
• Rever a implantação do SGSI.• Realizar as auditorias internas.
• Adotar as Ações Corretivas.• Adotar as Ações Preventivas.• Definir as ações de melhoria.
Sistemas de Gestão da Segurança da Informação
31
Definir a política de Segurança da informação
Deve:
Estabelecer os objetivos, as diretrizes e princípios de atuação relativas à segurança da informação.Ter em conta requisitos da atividade empresarial, legais ou regulamentares e obrigações contractuais.Estar alinhada com a estratégia de gestão de riscos da organização.Estabelecer critérios de estimativa do risco.Ser conhecida por toda a organização.Ser subscrita pela direção
A Política de Segurança da Informação estabelece os princípios e linhas deatuação globais em questões de segurança da informação, alinhados com osobjetivos de negócio. Deve ser conforme com o âmbito estabelecido.
32
Definir a Organização da Segurança da Informação
Devem-se definir as responsabilidades e funções de forma clara e objectiva.
A cada organização tem de definir o seu sistema organizativo interno, incluindo todasas responsabilidades e funções em matéria de segurança.
FIGURAS SGSI
RESPONSÁVEL por SGSI.
AUDITOR INTERNO SEGURANÇA
COMITÉ DE GESTÃO SEGURANÇA
33
Definir a Organização da Segurança da Informação
FICHA DE POSTO
RESPONSÁVEL por SGSI.
AUDITOR INTERNO SEGURANÇA
COMITÉ DE GESTÃO SEGURANÇA
Formação Académica
Formação ComplementarExperiência requerida.Funções e Responsabilidades
testar e controlar a aplicação dos procedimentos, instruções…. Presentes no SGSI.Adotar as medidas de segurança oportunas no caso de que se produza um incidente.Realizar os relatórios de incidentes.Analisar os relatórios de auditoria.Comtester a boa gestão do sistema de gestão
34
Definir a Organização da Segurança da Informação
FICHA DE POSTO
AUDITOR INTERNO SEGURANÇA
COMITÉ DE GESTÃO SEGURANÇA
Formação AcadémicaFormação ComplementarExperiência requerida.Funções e Responsabilidades
Rever o Manual de segurança, procedimentos,….Rever o registo gerados.Realizar testes de cumprimento de controlos.
Analisar a evolução do sistema de gestão.Detetar e estudar os problemas relativos à segurança.Realizar o seguimento AC, AP, NCEstabelecer os objetivos, indicadores de segurança.Estabelecer os planos de Segurança.
35
Políticas de Segurança alto Nível
Desenvolvem a política de Segurança da Organização.
POLÍTICA DE GESTÃO DE PALAVRAS chave
POLÍTICAS DE CONTROLO DE ACESSO FÍSICO
POLÍTICAS DE GESTÃO DE ACESSO LÓGICO
POLÍTICAS DE CÓPIAS DE SEGURANÇAINSTRUÇÕES GENÉRICAS DE
TRABALHO (uso de e-mail)POLÍTICA SAÍDA EMPREGADO….
36
Fase 1
Fase
2
Certificação
Auditoria de Certificação: Fases
boaspráticas
Máxima reserva nas saídas de :.DadosDocumentosMetodologiasChaves ou palavras passeProgramas, etc…
É IMPRESCINDÍVEL a autorização prévia do responsável desegurança
boaspráticas
Armazenar (em PC’s e mobiliário) unicamente os materiaisou informação da entidade que sejam precisos para oexercício das suas funções.
boaspráticas
Devolver à entidade, à finalização do seu relacionamentolaboral, qualquer tipo de dados ou informações às que tenhaacesso por qualquer meio ou suporte, por motivo do seutrabalho.
boaspráticas
Utilizar o e-mail conforme as normas da entidade.
boaspráticas
spam vírus
fuga de dados
Nunca responder a um e-mail não desejado por muito realistaque pareça.
Quando se envia um correio a uma lista de endereços
conhecidas, utilizar a cópia oculta.
Não publicitar a sua conta de correio de maneira direta em
Internet.
Utilização de várias contas de e-mail e emprego destas no seumeio adequado (laboral, pessoal, lazer)
Desconfiar dos correios que prometem interessantes
benefícios.
boaspráticas
Cumprir as normas da entidade para o acesso aInternet.
boaspráticas
phishing troyanos
erros
Nunca visitar, ou fazer com extrema precaução, direções
Site recebidas ou incluídas em e-mails.Não fazer uso de forunss, chats ou ferramentas de
transportadora on-line (messenger) no horário de trabalhoNão publicitar a sua conta de correio de maneira direta
em Internet.Manter o seu computador protegido, com os antivírus
atualizados.
boaspráticas
INSTALAÇÃO DE ANTIVÍRUS
boaspráticas
CONFIDENCIALIDADE
INTEGRIDADE
DISPONIBILIDADE
INSTALAÇÃO DE SOFTWARE ANTISPYWARE (anti-espião)
boaspráticas
CONFIDENCIALIDADE
Não divulgar os seus identificadores de utilizador e chavesde acessos, comunicando ao respectivos as possíveisincidências que se produzam e solicitar a mudança de palavrapasse de acesso ao sistema quando seja conhecida, acidental ouusada de forma fraudulenta por colegas, colaboradores ouadministradores.
boaspráticas
Nunca manter as extrações temporárias de dados nos seussistemas durante um período superior a 15 dias.
boaspráticas
Não deixar informação visível no ecrãdo seu PC quando abandona o seuposto, mesmo que seja apenastemporária, se há ou vai ter perto algumapessoa alheia a essa atividade.
boaspráticas
PROTETORES DE ECRÃ COM PALAVRA PASSE
boaspráticas
CONFIDENCIALIDADE
Ao destruir a informação em suporte papel, que a entidade
nos tenha indicado por não ser necessária, devemos fazê-lode maneira que o seu conteúdo resulte ilegível de efectuardelete.
boaspráticas
Comunicar ao responsável por segurança da entidade toda aincidência que afete ou possa afetar aCONFIDENCIALIDADE, INTEGRIDADE ouDISPONIBILIDADE da informação.
boaspráticas
Guardar a documentação em formato papel durante otempo todo em que seja precisa, impedindo o seu acesso,manipulação ou extração por pessoas não autorizadas.
boaspráticas
Armazenar a informação sempre no servidor ou servidores enunca no próprio equipamento ou em unidades externas.
boaspráticas
Usar dispositivos de armazenamento e tratamento externoque permitam criptograr e sempre que o seu uso estejaautorizado pelo responsável de segurança da entidade.
boaspráticas
Boas vibrações
SantiagoSan Marcos 31B– 15890 Santiago – A CoruñaTel: +34 981 53 63 03Fax: +34 981 53 51 34
MadridPº Gral. Martínez Campos, 44 · 28010 · Madrid Tel: +34 91 781 09 57Fax: +34 91 575 87 44
BarcelonaTravessera de Gràcia, 342 D64 – 08025 – BarcelonaTel: +34 93 394 19 90 Fax: +34 93 394 19 94
LisboaRua Campos Júnior, 11 – B 1070 – 306 – LisboaTel: +351 213 527 170Fax: +351 213 527 172