gestão da segurança da informação - utfpr
TRANSCRIPT
![Page 2: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/2.jpg)
InstrutorChristian C. S. Mendes
Graduado em Informática – CEFET-PRPós-Graduado em Gestão de TI – Universidade Positivo Mestre em Telemática – CPGEI – UTFPR
Professor da Pós-Graduação em Gestão de TI – UTFPRProfessor da Pós-Graduação em Redes de Computadores - UTFPRCoordenação dos Cursos de Redes Wireless Lan e Gestão da Segurança da Informação
Ex-Coordenador de Infraestrutura de TI – UTFPREx-Colaborador da Coordenação de Tecnologia na Educação – UTFPR Membro do Comitê de Segurança da Informação - UTFPR
Certificação: MCSO / Diversas soluções de Segurança
Coordenador do Laboratório de Projetos de Tecnologia da Informação - LAPTI
![Page 3: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/3.jpg)
Gestão de Segurança daInformação – uma visão executivaSêmola, Marcos.Editora Campus 2013
Indicação de Livros
Engenharia Social e Segurança da Informação na Gestão CorporativaPeixoto, MarioEditora Brasport
![Page 4: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/4.jpg)
Risco Digital na Web 3.0Scudere, LeonardoEditora Elsevier
Indicação de Livros
Cyber WarClark, RichardEditora HarperCollins
![Page 5: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/5.jpg)
Direito DigitalPeck, PatriciaEditora Saraiva
Indicação de Livros
Crimes no Meio Ambiente DigitalFiorillo, CelsoEditora Saraiva
![Page 6: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/6.jpg)
Indicação de Livros
Guerra nas SombrasWoloszyn, AndréEditora Contexto
Sem lugar para se EsconderGreenwald, GlennEditora Sextante
![Page 7: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/7.jpg)
Indicação de LivrosCertificação Security + - CompTIADiogenes, Yuri Editora Nova Terra
Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dadosCabral, Carlos e Caprino, Willian Editora Brasport
![Page 8: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/8.jpg)
Indicação de Livros
Desvendando a Computação ForenseEleutério, PedroEditora Novatec
Perícia Forense: Aplicado à InformáticaFreitas, Andrey Editora Brasport
![Page 9: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/9.jpg)
A Segurança transcende a Tecnologia
ISC2
![Page 10: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/10.jpg)
![Page 11: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/11.jpg)
![Page 12: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/12.jpg)
![Page 13: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/13.jpg)
GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA FEDERAL (2010)
![Page 14: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/14.jpg)
GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA FEDERAL (2012)
![Page 15: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/15.jpg)
GOVERNANÇA DE TI NA ADMINISTRAÇÃO PÚBLICA FEDERAL (2014)
![Page 16: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/16.jpg)
• Operação Perestroika• Caso MSI / Corinthians
• Caso Isabella / Eloa• Informações na Mídia
• Caso Infoseg • Acesso ao sistema federal de segurança pública do País
Casos Policiais
![Page 17: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/17.jpg)
Desafios da Segurança da Informação
•Pessoas
•Tecnologias
•Processos
![Page 18: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/18.jpg)
Principais Erros das Organizações
• Atribuir apenas a área de Tecnologia à Segurança da Informação
• Planos de ação baseados na reatividade e não proatividade
• Não cultivar a mentalidade de Segurança da Informação na Organização
• Falsa Proteção
• Existência de estagiários e terceirizados em áreas importantes
• Descarte de Informações – Vazamento de Informações
• Falta de Segregação de Funções
![Page 19: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/19.jpg)
Tríade da Segurança da Informação
• Confidencialidade
• Integridade
• Disponibilidade
![Page 20: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/20.jpg)
Aspectos de Segurança da Informação
• Autenticação
• Legalidade
• Autorização
• Auditoria
• Relevância do Ativo
• Severidade / Criticidade
• Autenticidade
![Page 21: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/21.jpg)
Ativos
• Tangíveis• Informações
• Intangíveis• Confiabilidade • Marca
• Lógicos • Dados, Sistemas, Rede de Dados
• Fisicos • Servidores, Switchs, Storage
• Pessoal• Empregados
![Page 22: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/22.jpg)
Significado de Ameaça
s.f. Palavra, ato, gesto pelos quais se exprime a v ontade que se tem de fazer mal a alguém: discurso cheio de
ameaças. / Sinal, manifestação que leva a acreditar na possibilidade de ocorrer alguma coisa: ameaça de ch uva.
Aurélio On-Line
Significado de Vulnerabilidades.f. Caráter ou qualidade de vulnerável.
![Page 23: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/23.jpg)
• Naturais• enchentes
• Voluntárias • invasão
• Involuntárias • falta de energia
Ameaças
AMEAÇAS exploram VULNERABILIDADES presentes nos ATIVOS,causando IMPACTOS no NEGÓCIO
INCIDENTE
![Page 24: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/24.jpg)
• Fisicas
• Naturais
• Hardware
• Software
Vulnerabilidades
• Midias
• Comunicação
• Humanas
Vulnerabilidades: falhas que podem ser exploradas
![Page 25: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/25.jpg)
Situação Atual
Maioria das falhas de segurança é causada por:
- Funcionários (24%)
- Crackers (20%)
Fonte Modulo Security
![Page 26: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/26.jpg)
Situação Atual
Fonte Ernest & Young
• 88% - Precisam melhorar Segurança da informação
• 69% - Precisam aumentar o investimento em SI em até 50%
• 36% - Das organizações globais ainda não têm confiança na sua capacidade de detectar ataques cibernéticos sofisticados;
• Fontes mais prováveis de ataques cibernéticos são sindicatos do crime (59%), funcionários (56%) e hacktivistas (54%);
• Maiores ameaças Phishing (44% dos entrevistados) e Malware (43%)
Global Information Security SurveyA pesquisa foi realizada com mais de 1700 empresas em 67 países.
![Page 27: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/27.jpg)
Medidas de Segurança
• Defesa em Profundidade – Defense in Depth
• Elo mais Fraco – Weakest Link
• Ponto de Estrangulamento – Choke Point
• Segurança através da Obscuridade – Security through Obscurity
• Simplicidade
• Privilégio Minimo – Least Privilege
![Page 28: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/28.jpg)
Medidas de Segurança
• Preventivas - Politica de Segurança da Informação
• Detectáveis - Medidas de Monitoramento / Auditoria
• Corretivas - Plano de Recuperação de Desastres
![Page 29: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/29.jpg)
Dificuldades Atuais
• Aumento da Exposição
• Convergência
• Leis, regulamentação
![Page 30: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/30.jpg)
Exercícios
7 Pecados Capitais
Escreva políticas de segurança para “resolver” os Problemas detectados /apontados no texto.
![Page 31: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/31.jpg)
Organização da Segurança da Informação
![Page 32: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/32.jpg)
Organização da Segurança da InformaçãoMetas
• Viabilizar negócios e diminuir os riscos para a organização
• Conscientizar os colaboradores através da responsabilidade
• Implementar programa de segurança
• Não dificultar o desenvolvimento da empresa e/ou limitar seucrescimento.
Materiais
![Page 33: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/33.jpg)
Fatores para Sucesso
• Autonomia
• Principio de Pareto • 80/20
• Buscar envolvimento e comprometimento da organização
• Equipe dedicada para a função
![Page 34: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/34.jpg)
Gestão de Pessoas
![Page 35: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/35.jpg)
Segurança da Informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüência
de treinamentos.
Porque você treina macacos. Pessoas, você educa.
Roberto Cunha / FGV
![Page 36: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/36.jpg)
Segurança da Informação é responsabilidade de todos.
![Page 37: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/37.jpg)
Procedimentos Coorporativos
• Problemas de Turnover
• Contratação
• Desligamento
![Page 38: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/38.jpg)
Ameaças mais complexas
“Engenharia Social é a ciência que estuda como o conhecimento docomportamento humano pode ser utilizado para induzir uma pessoa a atuar
segundo seu desejo. Não se trata de hipnose ou controle da mente, as técnicasde Engenharia Social são amplamente utilizadas por detetives (para obter
informação), e magistrados (para comprovar se um declarante fala a verdade).Também é utilizada para lograr todo tipo de fraudes, inclusive invasão de
sistemas eletrônicos”.
![Page 39: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/39.jpg)
Kevin Mitnick: “É um termo diferente para definir o uso de persuasão para influenciar as pessoas a
concordar com um pedido”
- Tipos - Confiança- Simplesmente Pedindo- Posso Ajudar ?- Simpatia- Intimidação- Análise de Lixo
Ex: Secretárias
![Page 40: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/40.jpg)
Outras Ameaças
- Mídias Sociais
- APP de Relacionamentos
- TeleListas
- Currículos On-line
- TudosobreTodos, etc..
![Page 41: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/41.jpg)
Modulo Security – Jogo da Segurança da Informação
![Page 42: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/42.jpg)
Segurança Físicae
Operacional
![Page 43: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/43.jpg)
O que deve ser protegido ?
• Data Center
• Documentos
• Conexões Externas
• Colaboradores
![Page 44: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/44.jpg)
Mecanismos de Proteção
• Proteção Perimetral• Barreiras Fisicas• Iluminação• Alarmes de Intrusão• Identificação• Monitoramento Remoto
• Sensores de Presença • Materiais usados nas paredes • Portas / Janelas• Guaritas• Pontos de Controle de Acesso
Defesa Perimetral
![Page 45: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/45.jpg)
Mecanismos de Proteção• Sistemas de Suporte e Abastecimento
• Problemas de Fornecimento de Energia e/ou Água
• Ventilação
• Proteção contra Incêndios
• Mídias de Armazenamento
• Controle de Equipamentos
![Page 46: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/46.jpg)
Autorização / Autenticação
• Tokens
• Certificado Digital
• Senhas
• Biometria
O que o você sabe + O que você tem + O que você é
![Page 47: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/47.jpg)
Exercícios
Pesquisa uma solução de autenticação interessante queestá disponível/uso no Mercado
![Page 48: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/48.jpg)
Classificação de Informações
![Page 49: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/49.jpg)
- Secreta– vital para a organização, estratégico
- Confidencial– restrita aos limites da organização, processo
- Interna– acesso deve ser evitado, ramais
- Pública– informação que pode ser divulgada abertamente
Classificação das Informações
Exemplos
Obs: No governo existe a classificação de Ultra-Secreto – Lei 12.527
![Page 50: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/50.jpg)
Política de Classificação da Informação
•Need–to–know
•Least privilege
![Page 51: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/51.jpg)
Classificação e Desclassificação
• Classificação• Atribuir nível de proteção
• Reclassificação• Alterar nível de proteção
• Desclassificação• Remover nivel de classificação
• Duração
![Page 52: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/52.jpg)
Classificação de Informações
Política de Classificação de Informações é um documento que define a necessidade de :
• Níveis de Classificação / Duração
• Controles de Classificação
• Reclassificação
• Papeis e Responsabilidades
• Referência aos procedimentos e instruções
![Page 53: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/53.jpg)
Proteção de Dados
• Criptografia
• Esteganografia
• Backups
• Sistemas Redundantes
• Controle de Acesso
![Page 54: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/54.jpg)
Proteção Física
• Controle de Acesso Fisico
• Cofres
• CFTV / Monitoramento
• Transporte Seguro
RioOffSite Iron Mountain SafeSolut
![Page 55: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/55.jpg)
Controles Administrativos
• Politica
• Revisão e aprovação
• Separação de tarefas
• Monitoramento
![Page 56: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/56.jpg)
Rotulação
• Documentos Impressos
• Arquivos Eletrônicos
• E-mails
• Aplicativos
• Mídias
![Page 57: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/57.jpg)
Controle de Acesso
• Acesso Lógico ( DAC, MAC, RBAC)
• Acesso Físico (SmartCard, Tokens, Biometria)
Manuseio / Armazenamento / Transporte / Descarte
• Documentos impressos• Documentos eletrônicos• Mídias
Vídeo 1 Vídeo 2 Vídeo 3
![Page 58: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/58.jpg)
Auditoria e Monitoramento
• Monitoramento Periódico
• Aspectos de Auditoria
![Page 59: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/59.jpg)
Exercícios
Esteganografia
- Atividade 1 - Pesquisar um Caso Real- Atividade 2 - Selecionar uma ferramenta e realizar um teste prático
Documento em pdf, contendo o caso escolhido e o funcionamento da ferramenta
![Page 60: Gestão da Segurança da Informação - UTFPR](https://reader031.vdocuments.site/reader031/viewer/2022012415/616fbc667da67075be07be8a/html5/thumbnails/60.jpg)
Referências- http://www.idgnow.com.br
- http://www.modulo.com.br
- http://www.issabrasil.org
- http://www.securityreview.com.br
- http://www.isc2.org
- http://www.pppadvogados.com.br
- http://www.clavis.com.br
- http://bsibrasil.com.br
-http://www.planalto.gov.br [email protected]