Auditoria e Segurança de
Sistemas – Cód. 30135
Prof. MSc. Ronnison Reges Vidal
SEGURANÇA DAS
INFORMAÇÕES – AULA 8
Politica de segurança das informações

Políticas de Segurança das Informações






Introdução
Objetivos de Segurança
Definindo uma política de segurança de
informações
Identificando os recursos
Controles de segurança
Implementando e auditando políticas de segurança
Sumário
POLÍTICAS DE SEGURANÇA DAS
INFORMAÇÕES
Introdução
• Informação é considerada o principal patrimônio de uma
organização – recursos críticos
• Estão sob constante risco
• A segurança das informações tornou se crucial para a
sobrevivência das instituições
• Evolução da segurança de informações
• Informações em papel -> a segurança era simples
• Restrição do acesso físico
• Computadores de grande porte -> segurança sofisticada
• acesso lógico, entretanto centralizada
• Computadores pessoais e redes computadores -> segurança
de grande complexidade
• Necessidade de equipe de implementação e gerência
Introdução
• Importância das informações para a sociedade
• Concretização de negócios
• Tomada de decisões
• Governamentais
• Sociais – bem estar social
• Educativas
• Um erro pode comprometer
• Instituições do mercado
• Financeiro, industrial, sistemas de telecomunicações,
assistência médica
Introdução
• Expectativas
• Usuário – Não interessa saber se o dado foi perdido ou
apagado por conta de um ex-funcionário ou vírus, importa é
que o dado foi adulterado ou perdido
• Consciência da integridade, disponibilidade e privacidade –
Qualidade
• Departamento de informática – segurança está relacionada
com teste de hardware, software e prevenção de erros
cometidos pelos usuários
• Atender as necessidades do usuário e proteger as informações
contra ameaças - Eficiência
Introdução
• Outros aspectos considerados pela gerência
• Operação de forma adequada e garantias de segurança
• Necessidade de ambientes controlados
• Proteção contra desastres naturais (incêndios, terremotos,
enchentes)
• Falhas estruturais (interrupção do fornecimento de energia
elétrica, sobrecargas elétricas)
• Sabotagem
• Fraudes
• Acessos não autorizados (hackers, espionagem digital, venda
de informações confidenciais para a concorrência)
Introdução
• Segurança é:
• Proteção de informações, sistemas, recursos e serviços
contra desastres, erros e manipulação não autorizada, de
forma a reduzir a probabilidade e o impacto de incidentes de
segurança
Introdução
POLÍTICAS DE SEGURANÇA DAS
INFORMAÇÕES
Objetivos de Segurança



Confidencialidade ou privacidade – proteger as
informações contra o acesso de qualquer pessoa não
explicitamente autorizada
Integridade de dados - evitar que os dados sejam
apagados sem permissão
Disponibilidade – proteger os serviços de tal forma que
não sejam degradados ou tornados indisponíveis sem a
devida autorização
Objetivos de Segurança




Consistência – certificar-se que o sistema está de acordo
com as expectativas do usuário
Isolamento ou uso legítimo – regular o acesso ao sistema
Auditoria – proteger os sistemas contra os erros e atos
maliciosos cometidos pelos usuários autorizados
Confiabilidade – garantir que, mesmo em condições
adversas, o sistema atue conforme o esperado. Ex:
sistemas de energia nuclear, de controle de tráfego aéreo e
de controle de vôo.
Objetivos de Segurança


Apesar de todos os objetivos citados serem importantes,
dependendo do tipo de organização, alguns são mais
importantes do que outros
Antes da implementação de um programa de segurança
de informações é aconselhável responder alguns questões
Objetivos de Segurança








O que quer se proteger?
Contra o que ou quem?
Quais são as ameaças mais prováveis?
Qual a importância de cada recurso?
Qual o grau de proteção desejado?
Quanto tempo, recursos financeiros e humanos se pretende
gastar para atingir os objetivos de segurança desejados?
Quais as expectativas dos usuários e clientes em relação à
segurança de informações?
Quais as consequências para a instituição se seus sistemas e
informações forem corrompidos ou roubados?
Objetivos de Segurança
POLÍTICAS DE SEGURANÇA DAS
INFORMAÇÕES
Definindo uma política de segurança de
informações
Estratégia geral da organização
Estabelece
Plano estratégico
De informática
Contribui para
atingir a
Define
Política de Segurança
De informações
Especifica
Gera impactos
sobre
Planos de desenvolvimento de sistemas
Plano de continuidade de serviços
Planejamento de capacidades
Outros projetos
Definindo uma política de
segurança de informações
DEFININDO UMA POLÍTICA DE
SEGURANÇA DE INFORMAÇÕES
Tópicos importantes

Processo de implantação

É aconselhável que esse processo seja flexível


Para permitir atualizações conforme as
necessidades
Ocorre em um determinado número de fases
Definindo uma política de
segurança de informações





Identificação dos recursos críticos
Classificação das informações
Definição, em linhas gerais, dos objetivos de segurança a
serem atingidos
Análise das necessidades de segurança (identificação das
possíveis ameaças, análise de riscos e impactos)
Elaboração de projeto de política
Definindo uma política de
segurança de informações






Discussões abertas com os envolvidos
Apresentação de documento formal à gerência superior
Aprovação
Implementação
Avaliação da política e identificação das mudanças
necessárias
revisão
Definindo uma política de
segurança de informações
POLÍTICAS DE SEGURANÇA DAS
INFORMAÇÕES
Identificando recursos






Hardware
Software
Dados
Pessoas
Documentação
Suprimentos
Identificando recursos

Classificação das informações




Públicas ou de uso irrestrito
Internas ou de uso interno
Confidenciais
Secretas
Identificando recursos

Classificação dos sistemas




Programas aplicativos
Serviços
Sistema operacional
Hardware
Camadas de um sistema de informações
Aplicativos
serviços
Sistema operacional
hardware
Identificando recursos
POLÍTICAS DE SEGURANÇA DAS
INFORMAÇÕES
Controles de Segurança




Eliminar os riscos
Reduzir os riscos a um nível aceitável
Limitar o dano, reduzindo o impacto
Compensar o dano, por meio de seguros
Controles de Segurança


Definindo serviços de segurança
Categorias básicas






Autenticação
Controle de acesso
Confidencialidade de dados
Integridades de dados
Disponibilidade
Não repúdio
Controles de Segurança


Definindo serviços de segurança
Medidas preventivas importantes





Segurança física
Segurança dos recursos computacionais
Segurança administrativa
Segurança de meios magnéticos
Controles de desenvolvimento de apĺicativos
Controles de Segurança

Definindo mecanismos de segurança

Sistemas criptográficos
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
XXXXXXXXXX
Algoritmo
Chave
Texto em claro
Controles de Segurança
Texto cifrrado

Definindo mecanismos de segurança







Assinatura digital
Mecanismos de controle de acesso
Mecanismos de integridade de dados
Mecanismos de disponibilidade
Trocas de autenticações
Enchimento de tráfego
Controles de roteamento
Controles de Segurança
POLÍTICAS DE SEGURANÇA DAS
INFORMAÇÕES
Implementando e auditando políticas de
segurança



Elaborar, divulgar e manter atualizado documento que
descreva a política de segurança das informações
A alta gerência deve estar comprometida coma a política
de segurança de informações, a qual deve ser implantada
de acordo com o documento formal por ela aprovado
Definir uma estrutura organizacional responsável pela
segurança, a qual deve aprovar e recisar as políticas de
segurança, designar funções de segurança e coordenar a
implantação da política
Lista de verificação


Estabelecer procedimentos de segurança de pessoal, com
intuito de reduzir ou evitar erros humanos, mal uso de
recursos computacionais, fraude ou roubo, por meio de
um processo rigoroso de recrutamento de pessoal e de
controle sobre acesso a dados confidenciais
Todos os funcionários devem ter conhecimento dos riscos
de segurança de informações e de suas responsabilidades
com relação a esse assunto. É a conselhavel que haja um
treinamento de segurança para difusão de boas práticas e
padrões de segurança, promovendo uma cultura de
segurança na organização
Lista de verificação


Controlar e classificar os recursos computacionais de acordo com
seu grau de confidencialidade, prioridade e importância para a
orgenização. Todos os recursos (hardware, software, dados,
documentação, etc) devem ser administrados por um responsável
designado seu proprietário
Definir padrões adequados de segurança física para previr acessos
não autorizados, danos ou interferência em atividades críticas.
Devem ser estabelecidos limites de acesso ou áreas de segurança
com dispositivos de controle de entrada. Todos os equipamentos e
cabeamentos de energia elétrica e de telecomunicações devem ser
protegidos contra interceptação, dano, falha de energia, picos de luz,
e outros problemas elétricos
Lista de verificação



Implantar controle de acesso lógico aos sistemas de forma a precenir
acessos não autorizados. Esse controle pode ser feito via processo
seguro de logon, senhas fortemente seguras, registro formal de
usuários, monitoramento por trilhas de auditoria, etc
Administrar os recursos computacionais e as redes seguindo
requisitos de segurança previamente definidos
Definir procedimentos de backup e de restauração dos sistemas
computacionais para garantir a integridade e a desponivilidades de
dados e software. A frequencia de backup deve ser apropriada e pelo
menos uma cópia do backup de ser guardada em local seguro. Os
procedimentos de restauração devem ser periodicamente testados
para garantir sua efetividade quando forem necessários
Lista de verificação




Antes da inclusão de qualquer programa nos sistemas
computacionais da organização, tomar as medidas de segurança
exigidas na política da organização
Investigar qualquer incidente que comprometa a segurança dos
sistemas. Os registros desses incidentes devem ser mantidos e
periodicamente analisados para detectar vulnerabilidades na política
de segurança adotada
Após uma violação da política de segurança, tomar as medidas
necessárias para identificação de susas causas e agentes, correção
das vulnerabilidades e punição aos infratores
Auditar regularmente todos os aspectos de segurança a fim de
determinar se as políticas estão sendo efetivamente cumpridas ou se
são necessárias modificações
Lista de verificação
• Ler capítulo II – Segurança de Informações
• Política de Segurança de informações
• Livro – Segurança e auditoria da Tecnologia da Informação,
Cláudia Dias
exercícios