segurança, controle e auditoria de dados
DESCRIPTION
Segurança, Controle e Auditoria de Dados. 9 – Segurança da Informação. Segurança da Informação. O que quer se proteger? Contra que ou quem? Quais as ameaças mais prováveis? Qual a importância de cada recurso? Qual o grau de proteção desejado?. Segurança da Informação. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/1.jpg)
SEGURANÇA, CONTROLE E AUDITORIA DE DADOS9 – Segurança da Informação
![Page 2: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/2.jpg)
SEGURANÇA DA INFORMAÇÃO
O que quer se proteger?
Contra que ou quem?
Quais as ameaças mais prováveis?
Qual a importância de cada recurso?
Qual o grau de proteção desejado?
![Page 3: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/3.jpg)
SEGURANÇA DA INFORMAÇÃO
Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os objetivos de segurança desejados?
Quais as expectativas dos usuários e clientes em relação à segurança da informação?
Quais as conseqüências para a instituição se seus sistemas e informações forem corrompidas ou roubadas?
![Page 4: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/4.jpg)
SEGURANÇA DA INFORMAÇÃO
Ao responder essas perguntas, define-se a política de segurança;
Cada serviço ou medida preventiva (e corretiva) deve ser definido para atender o objetivo de segurança;
Porém, deve haver um equilíbrio entre necessidade de segurança e custo.
![Page 5: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/5.jpg)
SEGURANÇA DA INFORMAÇÃO
O primeiro passo, é o reconhecimento da necessidade de ter segurança;
A alta gerencia deve ter comprometimento com a causa;
A visão de “inibidor” e “camisa de força” é o principal impedimento;
Deve ter a imagem de protetor da disponibilidade e qualidade das informações;
![Page 6: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/6.jpg)
SEGURANÇA DA INFORMAÇÃO
A política deve ser resumida, clara e objetiva;
Os detalhes devem estar somente em documentos específicos, e não da política;
A política é o primeiro documento de todos os que virão depois;
Esses que vêm depois são os que detalharão os procedimentos e padrões a serem aplicados;
![Page 7: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/7.jpg)
SEGURANÇA DA INFORMAÇÃO
Existem vários grupos de pesquisa;
Seus estudos algumas vezes viram padrões;
Padrões podem virar, inclusive, leis;
Padrões são internacionais, leis são nacionais, mas podem existir semelhanças entre leis de países diferentes;
![Page 8: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/8.jpg)
SEGURANÇA DA INFORMAÇÃO
É importante consultar a legislação vigente para ter certeza da adequação das políticas;
Outro fator que deve ser conferido é se as políticas está de acordo com os padrões recomendados pelas organizações competentes;
![Page 9: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/9.jpg)
SEGURANÇA DA INFORMAÇÃO
Projeto de Lei do Senado, por Renan Calheiros, de 2000: define e tipifica os delitos de informática;
Projeto de lei 84/1999: dispõe sobre os crimes cometidos na área de informática e suas penalidades;
Lei 9.609/1998: dispõe sobre a proteção da propriedade intelectual de programa de computador e sua comercialização no pais;
![Page 10: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/10.jpg)
SEGURANÇA DA INFORMAÇÃO
Lei 9.610/1998: altera, atualiza e consolida a legislação sobre direitos autorais;
Lei 9.296/1996: regulamenta o inciso XII, parte final, do art. 5º, da Constituição Federal. Aplica-se à interceptação do fluxo de informação em sistemas de informática e telemática;
Projeto de Lei do Senado 234/1996: dispõe sobre os crimes contra a inviolabilidade da comunicação de dados de computador;
![Page 11: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/11.jpg)
SEGURANÇA DA INFORMAÇÃO
Projeto de Lei da Câmara dos Deputados 1.713/1996: dispõe sobre o acesso, a responsabilidade e os crimes cometidos nas redes integradas de computadores;
Decreto 96.036/1988: regulamenta a Lei 7.646/1987, revogada pela Lei 9.609/1998;
Decreto 79.099/1977: aprova o regulamento para salvaguarda de assuntos sigilosos.
![Page 12: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/12.jpg)
SEGURANÇA DA INFORMAÇÃO
Instituições:
International Organization for Standardization (ISO)
International Electrotechnical Comission (IEC)
International Telecommunications Union (ITU)
Comité Européen de Normalisation (CEN)
Comité Européen de Normalisation
Eléctrotechnique (CENELEC)
European Telecommunications Standards Institute
(ETSI)
![Page 13: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/13.jpg)
SEGURANÇA DA INFORMAÇÃO
Instituições:
Institute of Electrical and Electronics Engineers
(IEEE)
National Institute for Standards and Technology
(NIST)
American National Standards Institute (ANSI)
Tribunal de Contas da União (TCU)
![Page 14: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/14.jpg)
SEGURANÇA DA INFORMAÇÃO
A política é um mecanismo preventivo de proteção;
Pode ser usado para medir a qualidade e a segurança dos sistemas utilizados;
Contém princípios organizacionais de como a instituição irá se proteger, controlar e monitorar seus recursos informacionais;
![Page 15: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/15.jpg)
SEGURANÇA DA INFORMAÇÃO
Define também a responsabilidade das funções relacionadas com a segurança;
Discrimina as principais ameaças, riscos e impactos envolvidos;
Lista as principais medidas preventivas e corretivas para cada um dos itens de risco.
![Page 16: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/16.jpg)
SEGURANÇA DA INFORMAÇÃO
Porém, não deve limitar-se a questões informacionais;
Deve estar integrada com políticas institucionais de segurança em geral;
Alinhamento com as metas de negócio e ao plano estratégico da organização.
![Page 17: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/17.jpg)
SEGURANÇA DA INFORMAÇÃO
A política de segurança de informação gera impactos sobre todos os projetos de informática, sejam estes: Planos de desenvolvimentos de novos sistemas; Planos de contingências; Planejamento de capacidade.
Não somente o setor de informática está envolvido, mas toda e qualquer fonte, e consumidor, de informação serão afetados.
![Page 18: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/18.jpg)
SEGURANÇA DA INFORMAÇÃO
![Page 19: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/19.jpg)
SEGURANÇA DA INFORMAÇÃO
É necessário que ela seja aprovada e reforçada pela alta gerencia;
A política deve estar difundida por toda a organização;
Todos os controles e medidas posteriores serão criadas com base na política;
![Page 20: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/20.jpg)
SEGURANÇA DA INFORMAÇÃO
Apresenta os responsáveis pela implantação, sua linha gerencial e os instrumentos de controle e supervisão de seu trabalho.
Orienta sobre análise e gerencia de riscos, princípios de conformidade dos sistemas computacionais, classificação das informações (pública, interna, confidencial e secreta) e padrões mínimos de qualidade.
![Page 21: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/21.jpg)
SEGURANÇA DA INFORMAÇÃO
Contem, normalmente, princípios legais e éticos que devem ser atendidos, como: Direitos de propriedade de produção intelectual; Direitos sobre software e normas legais
correlatas aos sistemas desenvolvidos; Princípios de implementação da segurança de
informações; Políticas de controle de acesso a recursos e
sistemas computacionais; e Princípios de supervisão constante das tentativas
de violação da segurança de informações.
![Page 22: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/22.jpg)
SEGURANÇA DA INFORMAÇÃO
Geralmente conta com outras “sub-políticas”, como: Política de senhas; Política de backup; Política de contratação, instalação de
equipamentos e softwares; etc.
Aliada também a definições de procedimentos e práticas, com regras mais específicas de como será feita a implementação, administração e verificação de conformidade à políticas.
![Page 23: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/23.jpg)
SEGURANÇA DA INFORMAÇÃO
Independente da quantidade de documentos envolvidos, todos eles devem ser divulgados, completos ou em partes, às pessoas envolvidas ou atingidas pela política de segurança;
Isso visa prover a todos de orientação básica de como agir corretamente, de modo a atender às regras, e saber quais as medidas (preventivas ou corretivas) podem ser tomadas, e quais as consequencias de uso inadequado.
![Page 24: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/24.jpg)
SEGURANÇA DA INFORMAÇÃO
É recomendável que tenham introdução, para facilitar a leitura, e introduzir o leitor ao texto.
![Page 25: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/25.jpg)
PROCESSO DE IMPLANTAÇÃO
A política, para ser implantada, passa por um processo relativamente longo;
Esse processo deve ser flexível o suficiente para permitir modificações na política conforme as necessidades sejam descobertas;
O processo é dividido em fases;
![Page 26: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/26.jpg)
PROCESSO DE IMPLANTAÇÃO
Identificação dos recursos críticos;
Classificação das informações;
Definição, em linhas gerais, dos objetivos de segurança a serem atingidos;
Análise das necessidades de segurança (identificação de possíveis ameaças, análise de risco e impactos);
![Page 27: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/27.jpg)
PROCESSO DE IMPLANTAÇÃO
Elaboração da proposta de política;
Discussão abertas com os envolvidos;
Apresentação de documento formal à gerencia superior;
Aprovação;
![Page 28: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/28.jpg)
PROCESSO DE IMPLANTAÇÃO
Implementação;
Avaliação da política e identificação da mudanças necessárias;
Revisão.
![Page 29: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/29.jpg)
IDENTIFICANDO OS RECURSOS
Aqui se identificam todos os recursos que estão sob algum tipo de risco.
O que precisa ser protegido?
Quais são os recursos mais importantes?
Sob que formas a informação estão armazenadas? (papel, disquete, CD/DVD, HD)
![Page 30: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/30.jpg)
IDENTIFICANDO OS RECURSOS
Hardware: processadores, placas, teclados, terminações, estações de trabalho, computadores pessoais, impressoras, unidades de disco, linhas de comunicação, servidores, roteadores;
Software: utilitários, programas de diagnóstico, sistemas operacionais, programas de comunicação, aplicativos sob demanda;
Suprimentos: papel, formulários, fitas, disquetes, CD-ROMs;
![Page 31: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/31.jpg)
IDENTIFICANDO OS RECURSOS
Dados: em processamento, em trânsito nos dispositivos e linhas de comunicação, armazenados on-line e off-line, backups, log de auditoria, base de dados;
Pessoas: usuários e funcionários necessários para o funcionamento dos sistemas;
Documentação: sobre programas, hardware, sistemas, procedimentos administrativos.
![Page 32: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/32.jpg)
CLASSIFICAÇÃO DAS INFORMAÇÕES
Cada tipo de informação tem seu valor, e por isso deve ser cuidado de modo diferente;
Cada informação tem um proprietário, e é este que deverá classificá-la, pois é o que o que tem mais condições de aferir o real valor da mesma;
Com sistemas de classes diferentes, toda informação deve ser tratada com a maior delas, com a que exige maior segurança;
![Page 33: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/33.jpg)
CLASSIFICAÇÃO DAS INFORMAÇÕES
A classificação mais comum é:
Pública: informações onde pouca ou nenhuma segurança é exigida, podendo ser divulgadas a qualquer pessoa sem que haja implicações para a instituição.
Exemplos: Serviços de informação ao público geral; Informações divulgadas à imprensa ou pela
Internet.
![Page 34: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/34.jpg)
CLASSIFICAÇÃO DAS INFORMAÇÕES
Internas ou de uso interno: estas informações não devem sair da instituição. Porém, se isso ocorrer, as conseqüências não serão críticas.
Exemplos: Serviços de informação interna; Documentos de trabalho corriqueiros, que
somente interessam aos funcionários.
![Page 35: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/35.jpg)
CLASSIFICAÇÃO DAS INFORMAÇÕES
Confidenciais: informações são protegidas contra acesso externo. Somente se terá acesso a estes documento se estritamente necessário, e se forem fundamentais para o desempenho satisfatório do seu trabalho. O acesso não autorizado pode causar danos financeiros ou perda de mercado.
Exemplos: Dados de clientes e/ou fornecedores; Senhas; Balanços; Vulnerabilidades dos sistemas.
![Page 36: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/36.jpg)
CLASSIFICAÇÃO DAS INFORMAÇÕES
Secretas: extremamente críticos para a organização. O número de pessoas com acesso deve ser restrito, e o controle sobre o uso dessas informações total.
Exemplos: Dados militares; Segurança nacional.
![Page 37: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/37.jpg)
CLASSIFICAÇÃO DOS SISTEMAS
Por ser extenso, o ideal é dividir o ambiente de sistemas de informação em níveis, e implementar controles de segurança por nível.
Aplicativos Serviços
SO Hardware
![Page 38: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/38.jpg)
CLASSIFICAÇÃO DOS SISTEMAS
Aplicativos: projetados para atender as necessidades específicas do usuário;
Serviços: utilizados pelos aplicativos, como por exemplo os serviços prestados por um SGBD;
SO: fornece serviços de baixo nível, como gerenciamento de arquivos;
Hardware: processador e memória.
![Page 39: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/39.jpg)
ANÁLISE DE RISCOS
Risco é geralmente confundido com ameaça;
O risco, na verdade, é composto pela ameaça, vulnerabilidade e impacto;
A análise de riscos busca por componentes críticos e avalia o custo potencial ao usuário do sistema;
É ponto chave da política de segurança;
![Page 40: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/40.jpg)
ANÁLISE DE RISCOS
Se analisam as ameaças e as probabilidades desta se concretizar;
Caso se concretizem, quais os impactos e severidade da perda;
Em alguns casos, o custo de evitar um risco é maior que a perda;
![Page 41: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/41.jpg)
ANÁLISE DE RISCOS
Riscos serão somente reduzidos, é impossível eliminá-los por completo;
A idéia é analisar as medidas de mitigação de riscos;
Sempre equilibrando custos com impacto e probabilidade de ocorrência;
![Page 42: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/42.jpg)
ANÁLISE DE RISCOS
Quebra de segurança sempre irá ocorrer, é tudo questão de tempo e recursos técnicos e econômicos envolvidos;
Conhecer as ameaças com antecedência ajuda a compreender como elas se relacionam, e como mitigando uma pode vir a eliminar outra, cortando custos.
![Page 43: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/43.jpg)
ANÁLISE DE AMEAÇAS
Todo elemento que pode explorar fragilidades de segurança para impedir o funcionamento do sistema ou a disponibilidade de informação é considerado ameaça ou vulnerabilidade;
Ameaça é o evento ou atitude que remove, desabilita, danifica ou destrói um recurso;
A vulnerabilidade é a fraqueza ou deficiência que pode ser explorada pela ameaça;
![Page 44: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/44.jpg)
ANÁLISE DE AMEAÇAS
Ameaças podem ser acidental, ou deliberada;
Pessoas e idéias também podem ser ameaças;
Elas podem ainda ser divididas em passivas ou ativas: Ativas: são as que modificam ou corrompem as
informações ou serviços; Passivas: apenas acessam as informações ou
serviços, sem danificá-los.
![Page 45: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/45.jpg)
ANÁLISE DE AMEAÇAS
Vazamentos de informações;
Violação de integridade;
Indisponibilidade de serviços;
Acesso e uso não autorizado.
![Page 46: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/46.jpg)
ANÁLISE DE AMEAÇAS
Mascaramento;
Desvio de controle;
Violação autorizada;
Ameaças programadas.
![Page 47: Segurança, Controle e Auditoria de Dados](https://reader035.vdocuments.site/reader035/viewer/2022081520/5681508b550346895dbe8644/html5/thumbnails/47.jpg)
ANÁLISE DE AMEAÇASAmeaça | Recurso | Confidencialidade | Integridade | Disponibilidade