32
Palestra : Reunião Técnica de Processos e Riscos “Segurança de Dados em Tempos de Interconectividade”. Palestrante : Hermann Garbeto Nestlehner Mosaic Fertilizantes do Brasil Analista ERP SAP Realização Hotel Paulista Plaza (Al. Santos, 85, Jardins, São Paulo/SP)Hotel Paulista Plaza (Al. Santos, 85, Jardins, São Paulo

tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Embed Size (px)

DESCRIPTION

Nossa palestra, visa uma interação onde iremos navegar e relembrar alguns conceitos, memórias históricas e atuais sobre nosso tema, dispertando uma conversa aberta, mesclando os diversos conhecimentos, experiências presentes e assim compartilhar-mos as visões quanto ao surpreendente universo das possibilidades de ferramentas tecnológicas. Assim também refletirmos sobre a movimentação da diversidade das informações que se renovam a cada instante e afetam direta ou indiretamente as Organizações e Pessoas. Apoio ANEFAC - Associação Nacional dos Executivos de Finanças, Administração e Contabilidade.

Citation preview

Page 1: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Palestra : Reunião Técnica de Processos e Riscos

“Segurança de Dados em Tempos de Interconectividade”.

Palestrante : Hermann Garbeto Nestlehner

Mosaic Fertilizantes do Brasil

Analista ERP SAP

Realização

Hotel Paulista Plaza (Al. Santos, 85, Jardins, São Paulo/SP)Hotel Paulista Plaza (Al. Santos, 85, Jardins, São Paulo

Page 2: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Nossa palestra, visa uma interação onde iremos navegar e relembrar alguns

conceitos, memórias históricas e atuais sobre nosso tema, dispertando uma

conversa aberta, mesclando os diversos conhecimentos, experiências presentes e

assim compartilhar-mos as visões quanto ao surpreendente universo das

possibilidades de ferramentas tecnológicas.

Assim também refletirmos sobre a movimentação da diversidade das

informações que se renovam a cada instante e afetam direta ou indiretamente as

Organizações e Pessoas.

Realização

Page 3: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Segurança da Informação em Tempos de Interconectividade

Significado da Segurança de Informação

Política da Segurança da Informação

Conhecendos as Camadas de Segurança da Informação

Quanto valem as Informações ?

Controle de Acessos Lógicos

Sobre as Normas Técnicas e Padrões de Segurança

7

6

5

4

3

2

1

Planos de Contigência 8

Novidades Técnológicas 9

Controle e Monitoramento dos Ríscos

Page 4: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de

preservar o valor que possuem para um indivíduo ou uma organização.

São características básicas da segurança da informação os atributos de confidencialidade,

integridade e disponibilidade, não estando esta segurança restrita somente a sistemas

computacionais, informações eletrônicas ou sistemas de armazenamento.

O conceito se aplica a todos os aspectos de proteção de informações e dados.

O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado

com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas

também a dos sistemas em si.

Significado da Segurança de Informação 1

BEAL, Adriana - Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. -São Paulo: Editora Atlas, 2005

Page 5: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

A Segurança da informação é a proteção da informação contra vários tipos de ameaças

para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os

investimentos e as oportunidade de negócios” [ISO 27002].

• Os tipos de Informações são variáveis e flexíveis, estão dispostas de diversas

formas;

• Existem diversas formas de ameaças o que exponencialmente diversificam as

variedades de pontos e tipos de vulnerabilidade;

• Precisamos avaliar as alternativas eficazes de proteção e como aplicar tais

recursos constantemente.

Segurança de Informação

Page 6: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

O processo de proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade, caracteriza-se como Segurança Informação. (BEAL, Adriana 2005). Está claro que vivemos numa sociedade em que a informação nunca foi tão valorizada como é hoje, CARUSO & STEFFEN (2006) afirmam que o bem mais valioso de uma empresa pode não ser o produto fabricado por seus operários ou o serviço prestado ao cliente, mas as informações relacionadas a esse bem de consumo ou serviço. Como o fato de possuir informações poderia tornar algumas pessoas mais poderosas do que outras, o acesso às informações sempre foi restrito. Para CARUSO & STEFFEN (2006, p. 24), “os primeiros suportes para o registro de informações foram as paredes das habitações humanas”. Atualmente, não há organização humana que não seja altamente dependente da tecnologia da informação (CARUSO & STEFFEN, 2006) - Computadores Pessoais, Internet, Quanitidade e velocidade das Informações

BEAL, Adriana - Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. -São Paulo: Editora Atlas, 2005

Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.

CARUSO, Carlos A. A.; STEFFEN, Flavio Deny. Segurança em Informática e de Informação. São Paulo. Editora Senac/sp, 2006.

Quanto valem as Informações ? 2

RISCO = VULNERABILIDADES x AMEAÇAS x IMPACTOS

MEDIDAS DE SEGURANÇA Sêmola (2003)

Page 7: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Segundo MEIRELLES (1994), o valor estratégico da informação é difícil de se medir a priori, mas fácil de ser justificado quando se avaliam os benefícios em potencial. Gill, 1996 - Utiliza descreve que a informação deve ser utilizada na Gestão estratégica das organizações oposto da utilização para processos produtivos e administrativos básicos. Os sistemas mais importantes passaram a ser os que suportam a estratégia da empresa, cujos objetivos podem ser bastante intangíveis, e portanto de difícil mensuração. CLEMONS (1990) afirma que as inovações mais estratégicas pretendem alterar tão radicalmente o ambiente em que a empresa opera atualmente que realizar estimativas sobre os benefícios futuros com um razoável grau de precisão é praticamente impossível. Devido as dificuldades de avaliar e identificar os valores de contríbuíçôes e custos diretos ou indiretos de TI e seus retornos tangíveis ou não, a responsabilidade dos tomadores de decisões não podem mais basear-se no Feeling dos gestores ou aparente tendências.

MEIRELLES, Fernando de Souza. Informática, novas aplicações com microcomputadores. 2 edição, Makron Books, São Paulo, 1994.

GILL, Peter. "Creating Virtual Value". Canadian Business Review, outono de 1996.

CLEMONS, E. K. "Evaluating strategic investments in information technology". Communications of the ACM (Association of Computing

Machinery) 1991,34 (I): págs. 22-36.

Quanto valem as Informações ?

Page 8: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

03/01/2013 Gastos globais com TI atingirão US$ 3,7 trilhões em 2013, diz Gartner Dez tendências para indústria de TI a partir de 2013, segundo o Gartner Estudo confirma que mobilidade, redes sociais, nuvem e analytics vão pressionar mais as companhias News ANEFAC 21/2/2013 - Como escolher a tecnologia certa para a sua empresa ? – ANEFAC Veja exemplos de diversos setores que, através das suas necessidades específicas, aproveitaram a tecnologia para se desenvolver. 5 previsões para a TI em 2013 - DA REDAÇÃO COMPUTER WORLD Big Data, nuvem pública e outras tendências vão marcar a área de tecnologia da informação nos próximos meses. Relógios Suiços (mecânico x Relógios Japoneses (Quartzo) - Nova técnologia s sugem (anos 60) http://informationweek.itweb.com.br/7084/constante-evolucao-da-tecnologia-exige-rapida-entrega/ http://www.tiespecialistas.com.br/2012/09/a-evolucao-da-tecnologia-atraves-dos-tempos/#.US6tQDDvuSo

Exemplos de Valores x Informações

Page 9: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Os riscos surgem em decorrência da presença de fraquezas, e, por conseguinte, vulnerabilidades. Neste contexto Beal (2005), acredita que a gestão de risco é o conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos. Como fazer isso ?

1. Relatórios Precisos 2. Avaliando as Necessidades 3. Checar os principais Ríscos Técnológicos, Físicos e Administrativos sendo eles potenciais ou

não. a. Para o autor Edison Fontes (2000), risco é a chance (probabilidade) de uma ameaça se transformar

em realidade, causando problema à organização; b. Outro autor, Dawel (2005), identificou que3 o risco é apenas uma forma de representar a

probabilidade de algo acontecer. Trata-se de uma possibilidade. Portanto, pode ocorrer ou não.

Controle e Monitoramento dos Ríscos 3

Page 10: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Segundo DOWD (1998), tudo muda, tanto para o bem quanto para o mal, e afeta as pessoas e as organizações. Mudanças sempre carregam riscos, sejam eles tanto para o ganho quanto para a perda, e lidar com eles faz parte tanto da vida das pessoas quanto da sobrevivência de uma organização. Lidar com os riscos não significa eliminá-los ou simplesmente ignorá-los. Significa que devemos gerenciar os riscos: decidir quais devemos evitar e como, quais riscos aceitar e em que condições, quais riscos devemos tomar, etc. “(...) 2. Situação em que há probabilidades mais ou menos previsíveis de perda ou ganho (...)”. (FERREIRA, 1999, pág. 1772). “(...)a possibilidade de que os resultados realizados possam ser diferentes daqueles esperados.”. (GITMAN, 1997, pág. 17).

Dowd, K. (1998). Beyond Value at Risk: The new science of Risk Management. West Sussex: John Wiley & Sons.

FERREIRA, A. B. H.; Novo Aurélio – O dicionário da Língua Portuguesa; Nova Fronteira, 1999, 3a ed.; ISBN 85-209-1010-6; p. 1772.

GITMAN, L. J.; Princípios de Administração Financeira; Harbara Editora, 1997, 7a ed.; ISBN 85-294-0060-7; p.17.

Conceitos e algumas definições de Ríscos

Page 11: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Em pesquisa realizada no ano de 2004 pela revista Continuity Insights e KPMG, com a participação de 410 empresas, foram apontadas as sete maiores causas de interrupção. São ocorrências normais e que podem afetar os negócios de grandes corporações:

• 81% das empresas afetadas por falta de energia. • 65% por desastres naturais. • 62% por falhas na rede de telecomunicação. • 61% por falhas de hardware. • 58% por vazamento de informações. • 57% por erro humano. • 56% por falha de software.

Para 64% das empresas entrevistadas, as paralisações ocorridas nos 12 meses anteriores ao período da pesquisa causaram prejuízo médio da ordem de U$ 100,000 e, para 24% delas, de até U$ 500,000. Segundo o DRII – Disaster Recovery Institute International, de cada cinco empresas que possuem interrupção nas suas operações, por uma semana, duas fecham as portas em menos de três anos.

Algumas análises referente aos Ríscos

Page 12: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Ataques de Hackers

• O FBI, trabalhando junto com o Facebook, conseguiu desmantelar uma gangue de hackers cujos

crimes podem ter causado um prejuízo de USR 850 milhões. Fonte BBC

• O ataque aos servidores da PlayStation Network e do Sony Online Entertainment .04.2011 77

milhões de pessoas sem acesso

• Gawker Media sofreu um duro ataque em dezembro de 2010. Contas dos foram usuários

comprometidas.

• Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas

tentativas de invasão aos seus bancos de dados. RSA Security, que teve diversos de seus dados

roubados por hackers não identificados.

• Em 13 de fevereiro de 2009, a Microsoft estava oferecendo 250.000 dólares americanos em

recompensa para qualquer informação que levasse à condenação e à prisão de pessoas por trás da

criação e/ou distribuição do Conficker.

• (Fonte da imagem: Governo dos Estados Unidos)Entre 2005 e 2007, o hacker Albert Gonzalez

conseguiu roubar os dados de mais de 45 milhões de números de cartões de crédito e débito acumulados pela loja de departamento TJ Maxx & Marshalls.

Conficker, virus foi criado para afetar o sistemas opercionais da Miscrosoft Windows.

Ríscos - Tipos de Ameaças - Vulnerabilidades

Page 13: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Ataques de Hackers • 1988 fez com que Robert Tappan Morris. Ficou conhecido no mundo inteiro por criar o virus

(WORM) CERTque infectou milhares de computadores e prejuízos a diversas empresas. • (Fonte da imagem: Governo dos Estados Unidos)Em 1982, um ataque perpetuado pela CIA

mostrou o estrago físico que um simples código de comando corrupto pode fazer.

Tipos de Ameaças (Fonte COMPUTER WORLD) • n° 1: os sindicatos do Cibercrime – São grupos altamente técnicos; • n°2: Pequenos grupos - e as mulas de dinheiro e lavagens que os apoiam - seu objetivo é

fraudar de alguma maneira visando dinheiro; • n°3: Hackers ativistas – Visam causar sérios danos aos seus focos e vitimas; • n° 4: roubo de propriedade intelectual e espionagem corporativa • n° 5: Mercenários de malware – Existem “industrias” de programas criminosos; • n° 6: Botnets como serviço - Programas de exploração de computadores • n° 7: Malwares “all-in-one” - Programas sofisticados de infecção e proliferação; • n° 8: A internet - A internet tem suas “aberturas”; • n° 9: Ciberguerra – Processos complexos visando vantagens e prejudicar.

• Brasil Eonòmico.05.03.2013 Hackers acessam dados de 50 milhões de usuários da EVERNOTE

Ríscos - Tipos de Ameaças - Vulnerabilidades

Page 14: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Segurança lógica Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup desatualizados, violação de senhas, etc. Adequação de procedimentos básicos de controle de acesso em aplicações e administração de segurança das aplicações. Suporte aos procedimentos de:

• Concessão de acessos a usuários; • Concessão de senhas de acesso; • Exclusão de usuários demitidos, transferidos e desligados; • Utilização de ferramenta única e escalável.

A segurança lógica é um modo de controle essencialmente utilizado para regular o acesso a

PCs, redes de dados, aplicações e ficheiros.

4 Controle de Acessos Lógicos

Page 15: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Para Adachi (2004) estudou a gestão da segurança em Internet Banking , dividiu

estes aspectos em três camadas: física, lógica e humana. Para SÊMOLA (2003), a gestão de segurança da informação pode ser classificada em três pontos: Tecnológica, Física e Humana. Também ressalta, que a todo momento as empresas são alvos de ataques nesses três aspectos com o objetivo de identificar o ponto mais fraco para uma investida contra a segurança. Muitas organizações não direcionam esforços para área física e humana, onde justamente ficam vulneráveis e sucetíveis a ataques. Normalmente as empresas tende a focar em Antivírus e Firewall. • Camada fìsica é o local físico onde se encontra o Hardware • Camada lógica é o uso dos Softwares • Camada Humana é formada por todos os recursos humanos da organização

Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.

5 Conhecendo as Camadas de Segurança da Informação (parte I)

Page 16: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Camada Física - Apesar de seu pouco rísco devido a estar relacionado ao suporte que armazena as informações alguns controles são importantes: Controle de Acesso Físico - Proteção a sala de Servidores – Acesso de Visitantes Prevenção contra incêncio – Quedas de energia Camada Lógica - Para Adachi (2004) ela é caracterizada pelo uso de softwares e pela realização de transações em base de dados organizacionais, criptografia de senhas, ou seja, “regras, normas, protocolo de comunicação e onde, efetivamente, ocorrem as transações e consultas”. Foi desenvolvido um guia pela Interpool sobre segurança e métodos de prevenção de crimes de TI (interpoll ,2000) Adachi (2004), com algumas medidas a serem implantadas:

• Registro (Log – histórico dos acessos) - Backup de dados - Firewall (Filtro das informações) • Sistema Detector de intrusões – Atualização de Aplicativos/Softwares e correções(pathes) • Não permitir instalações suspeitas - Procedimentos de Recuperação e Contingência

Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.

Camadas - Algumas prevenções ( parte II )

Page 17: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Camada Humana - Das três camadas, esta é a mais difícil de avaliar os riscos e gerenciar a segurança, pois envolve o fator humano, com características psicológicas, sócio-culturais e emocionais, que variam de forma individual (SCHNEIER, 2001). A gestão desta camada envolve mais do que software e hardware, equipamentos e programas só estarão vulneráveis caso algo seja negligenciado ou configurado de forma incorreta, ao contrário das pessoas que, comumente executam ações e colocam dados em perigo mesmo sabendo que isso pode trazer sérios danos para a empresa. Educar as pessoas é o maior desafio num ambiente tecnológico. (CARUSO & STEFFEN, 2006).

Segundo a norma de qualidade NBR ISO/IEC 17799 (2005), deve-se levar em consideração três momentos referentes aos recursos humanos em uma corporação:

• Antes da contratação; • Durante a execução das funções; • Encerramento das atividades profissionais.

A norma NBR ISO/IEC 17799 (2005, p.13) Confidencialidade das Informações

Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.

SCHNEIER, Bruce. Segurança. com;: segredos e mentiras sobre a proteção na vida digital. RJ, editora Campos, 2001.

Camadas - Algumas prevenções ( parte III )

Page 18: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Como surgiu a norma da Segurança da Informação – Um pouco da história Em outubro de 1967 foi criado um documento chamado “Security Control for Computer System” que marcou o passo inicial para criação de conjunto de regras para segurança de computadores. DoD também não ficou fora disto e teve grande participação na elaboração de regras. Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria” por DoD. A versão final deste documento foi impresso em dezembro de 1985. Em 1988 o Governo Canadense formou o Canadiam System Security Center (CSSC) e em maio de 1989 foi publicada a primeira versão draft do CTCPEC, ou Canadiam Criteria, cuja versão mais recente é a 3.0, publicada em janeiro de 1993. Em 1989 o governo Alemão publicou, através do West German Information Security Agency, seu critério de avaliação de sistemas computacionais que, ao contrário do TCSEC, não se preocupava somente com questões de segurança do sistema, mas também com a integridade, disponibilidade e segurança da rede.

O Departamento de Defesa dos Estados Unidos (DOD ou DoD ( Department of Defense)

.

Sobre as Normas Técnicas e Padrões de Segurança ( Parte I ) 6

Page 19: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Como surgiu a norma da Segurança da Informação – Um pouco da história Ao mesmo tempo o Britsh Commercial Computer Security Center (CCSC) desenvolvia o critério Britânico, escrito em uma linguagem clara permitindo aos desenvolvedores de sistemas a fácil compreensão e implementação dos critérios em seus produtos. Esta ISO se originou de um esforço do governo britânico, que em 1987, através do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Computer Security Centre), cujo objetivo era a criação de critérios para a avaliação da segurança e de um código de segurança para os usuários das informações, de uma forma geral. No ano de 1989 foi publicada a primeira versão do código de segurança, que na época foi denominado de PD0003 - Código de Gerenciamento de Segurança da Informação. Este esforço foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC-17799“.nova edição ISO/IEC 27002

.

Sobre as Normas Técnicas e Padrões de Segurança ( Parte II )

COBIT – Control Objectives for Information and related Technology ( guia formulado como framework destinado a gestão de TI)

Page 20: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Sintese das Normas COIBIT - – Control Objectives for Information and related Technology . Prevê boas práticas de

gerenciamento e gestão de TI com amplas recomendações de segunaça da informação.

NBR ISO/IEC-17799 - a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo

esquema de numeração como ISO/IEC 27002. Código de Prática para a Gestão de

Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais

para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma

organização”.

.

Sobre as Normas Técnicas e Padrões de Segurança (Parte III )

.

Page 21: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Sintese das Normas É preciso esclarecer que anteriormente esta norma era conhecida como NBR ISO/IEC 17799,

mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de

numeração como ISO/IEC 27002. Seções.

• Política de Segurança da Informação – Políticas, Princípios, Diretrizes e outros. • Organizando a Segurança da Informação – Estrutura de gerenciamento. • Gestão de Ativos - Tudo que possue valor na empresa – Seu controle total. • Segurança em Recursos Humanos - Consciêntização, Treinamentos, outros. • Segurança Física e do Ambiente – Avaliar ríscos gerais em toda estrutura. • Gestões das Operações e Comunicações – Recomendações para integridade. • Controle de Acesso - Ativar monitoramento contínuo interno e externo. • Aquisição, Desenvolvimento e Manutenção de Sistemas - Fazer gestão em todo o processo. • Gestão de Incidentes da Segurança da Informação - evidênciar possíveis ríscos, antecipar. • Gestão da Continuidade do Negócio – Estar preparados para qualquer evento de paradas. • Conformidade - Aspéctos de direitos autorais e privacidade.

.

Sobre as Normas Técnicas e Padrões de Segurança (Parte IV)

.

Page 22: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Algumas análises equivocadas quantoa Segurança da Informação Algumas organizações criaram pensamentos e práticas equivocadas durante muitos anos conforme os autores Caruso e Steffen (1999) bem referenciaram.

• Uma vez implantada a segurança, as informações estão seguras; • A implantação da segurança é um processo simples; • A segurança é um assunto de esclusiva responsabilidade da área de segurnaça; • A estrutura de segurança é relativamente estática. • A segurança de informação é responsabilidade somente da área de TI; • Outras áreas quanto a informações serem subordinadas nas decisões de segurança; • Limitar investimentos pensando somente na área de TI; • Ter planos somente reativos e não preventivos; • Pensar que TI nada tem a ver com negócio; • Ti é custo, não é investimento; • Utilização do paliativo ao invés do correto e seguro; • Não dissiminar a importância da Segurança e boas práticas ; • Tratam a Segurança da Informação como um projeto. Deve ser um processo evolutivo.

.

Sobre as Normas Técnicas e Padrões de Segurança (Parte V)

.

Page 23: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

A segurança da informação visa preservar três princípios básicos pelos quais norteiam a

sua implementação e devem estar bem consubstanciados na política de segurança:

Confiabilidade – Toda informação deve ser protegida de acordo com o grau de sigilo de

seu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quem

elas são destinadas.

Integridade – Toda a Informação deve ser mantida na mesma condição em que foi

disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas,

intencionais ou acidentais.

Disponibilidade – Toda a informação gerada ou adquirida por um individuo ou instituição

deve estar disponível aos seus usuários no momento em que os mesmos delas

necessitem para qualquer finalidade. (SÊMOLA, 2003, p.45).

Política da Segurança da Informação ( Parte I ) 7

Page 24: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

A Política de Segurança da Informação deve envolver todos que trabalham numa

organização e, no processo de gestão da informação, devem possuir responsabilidades

bem definidas. Tais agentes podem ser classificados em (CARUSO, 1999, p. 34):

• Gestor da Informação – Nível de decisão quanto a todas informações;

• Custodiante – Responsável pela organização, processamento, guardar as

informações ;

• Usuário – Todos os colaboradores.

A Política de Segurança da Informação precisa prover controles nos ambientes

corporativos para identificação de vírus, controles de acesso lógico e mecanismos de

controle de acesso físico envolvendo nesse processo o Gestor da informação, o

Custodiante e todos usuários do sistema.

Política da Segurança da Informação ( Parte II )

Page 25: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Algumas sugestões de definição de procedimentos a serem adotados :

• Políticas de acessos externos à organização;

• Política de uso da Intranet;

• Política de uso da Internet:

• Política de acesso físico;

• Política de acesso lógico;

– Outros

• Classificar as informações corporativas, segundo seu grau de sensibilidade, sigilo e

acessibilidade em: confidenciais, corporativas e públicas;

• Conscientizar, delegar responsabilidades quanto as informações;

A importância da conscientização da equipe de profissionais é consenso entre os especialistas em

segurança (BARBOSA, 2001, p. 27).

Política da Segurança da Informação ( Parte III )

BARBOSA, Alexandre. E-Bussiness com Segurança. Internet Bussiness, São Paulo-SP, ano 5, 27 de setembro de 2001, 49p

Page 26: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Obstáculos comuns numa Implantação de Política de Segurança

Pesquisa de Segurança da Informação realizada pela empresa Módulo, foram citados os principais

obstáculo para a implementação da segurança da informação. Citaremos eles:

Falta de conscientização dos executivos e usuários ( indicado por 55% dos entrevistados );

Falta de orçamento ( 28% dos entrevistados );

Falta de profissionais capacitados ( 8% );

Falta de soluções específicas para minha necessidade ( 3% );

Falta de ferramentas no mercado ( 2% ).

Outros desafios são citados pelo livro Seccurity Officer [33]:

Questões políticas, Poder, Resistência a Mudanças, Ambientes sem senso de Urgência x

Necessidade

Para Howard (apud GRUM, 1972), a informação real nunca é tão boa quanto a informação perfeita,

embora esta última represente o limite que deve ser perseguido para a boa informação.

1 - percepção limitada; 2 - informação parcial; 3 - lógica da satisfação; 4 - Interferência política

Política da Segurança da Informação ( Parte IV )

A Módulo é uma empresa brasileira, com atuação internacional, especializada em soluções para Governança, Riscos e Compliance

GRUM, Allen F. et al. The trials and tribulations of the tribnian situation: a pilot level decision analysis of intelligence resource allocation. Stanford Research Institute, novembro de

1972.

Page 27: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

CARUSO & STEFFEN apud WEIGHTS (2006) recomenda a adoção de alguns passos para a elaboração

do plano de contingência:

1. Formação da equipe de planejamento;

2. Avaliação das atividades críticas;

3. Lista do pessoal necessário;

4. Equipamentos necessários;

5. Dados, Software e documentação;

6. Alternativas de coleta de dados e distribuição de saídas;

7. Acordos de backup em locais alternativos;

8. Manuais de contingência;

9. Testes de contingência periódicos: CARUSO & STEFFEN (2006) afirmam que é na realização

dos testes que costuma-se encontrar os pontos fracos do plano de contingência.

De nada valem os conceitos contidos no plano de contingência, se a empresa não souber identificar

corretamente as suas necessidades. (SÊMOLA, 2003). E acima de tudo, saber prever formas de

contornar os possíveis problemas. Para CARUSO & STEFFEN (2006, p. 334) “a vulnerabilidade do centro

de processamento de dados pode ser a vulnerabilidade da própria empresa e a sua destruição pode

equivaler ao fim da própria organização”.

Planos de Contigência 8

Page 28: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

• Datashow para smartphones e tabletes. Alta capacidade, definição e pouco espaço.

• Dinheiro físico e Cartões de Crédito - Near Field Communication (NFC) e aplicações em

nuvem, como PayPal, meios de pagamento que serão mais utilizados a partir de 2013.

• Fim dos Cabos e Adptadores - o wireless vai se tornar o padrão para a conexão em todos

os smartphones, laptops e tablets.

• Carros Inteligentes – sistemas de prevenção de colisão, estacionamento. Segurança.

• Mídia desconectada: VOD (vídeo sob demanda), nuvem e interconectividade de

dispositivos serão mais populares entre os usuários em 2013 que os tradicionais cabos e

satélites.

• Desktops – Tablets e smartphones concorrendo para substituí-los.

• Telefone Físico - Cada vez mais a transição pois hoje quase todos estão ON LINE, com um

celular por exemplo. (ITWEB)

• USB X Tecnologias de Nuvem para armazenagem ou movimentação das Informações.

– Dropbox e Google Drive

• Softwares Corporativos : Cloud Computing, forte tendência e evolução nas plataformas

CRM e ERP. Exemplo SAP HANA.

Novidades Técnológicas 9

A ideia do Dropbox criada em 2008 por Drew Houston (EX- Hacker).

SAP HIGH PERFORMANCE ANALYTIC APPLIANCE (SAP HANA) A PRÓXIMA ONDA DA COMPUTAÇÃO EM MEMÓRIA DA SAP.

Page 29: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

• Chris Anderson para Revista Exame 01.12.2012 - Fala da disponibilização cada vez maior

e acessibilidade das técnologias a menores custos. Exemplo da impressora 3D que custava

milhões, hoje feita pela MakerBot e custo em torno de 2 mil dólares.

• Pesquisa da empresa de consultoria inglesa Delloite aponta que a “gamificação” está no

ranking das dez tendências tecnológicas em 2012. Uso na Educação.

Novidades Técnológicas

• Chips - Transponders - microchips – Implantados em pessoas

e animais com informações. Applied Digital Solutions lançou

o VERICHIP contendo dados para portadores de doenças.

Fonte Jusnavegandi.

• John Brandon, CIO/EUA.18.02/2013 – BYOD (Bring Your Own Device ) Regras e usos para aparelhos mòveis;

– Impressão 3D;

– Desaparecimento das senhas. Segurança por Biometria;

– Salas de aulas On Line;

• Algumas outras fontes, Metropole WEB, Revolução Digital.

• Brasil Econômico, 05.03.2012 APPlE investindo no relógio

Inteligente Página 14. Chris Anderson tem 44 anos e escreveu o livro A Cauda Longa (Campus/Elsevier), no qual defende o crescimento dos mercados de nicho. É formado em Física, trabalhou nas

revistas Science, Nature e The Economist. Hoje é editor-chefe da revista americana Wired.

FDA (Food and Drug Administration), agência que regula o uso de medicamentos e alimentos nos Estados Unidos, liberou o implante de transponders em seres humanos para

essa finalidade

Page 30: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

2.

Alguns pontos a considerarmos

Page 31: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

Referências • BEAL, Adriana - Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das

organizações. -São Paulo: Editora Atlas, 2005.

• CARUSO, Carlos A. A.; STEFFEN, Flavio Deny. Segurança em Informática e de Informação. São Paulo. Editora

Senac/sp, 2006.

• MEIRELLES, Fernando de Souza. Informática, novas aplicações com microcomputadores. 2 edição, Makron Books,

São Paulo, 1994.

• GILL, Peter. "Creating Virtual Value". Canadian Business Review, outono de 1996.

• CLEMONS, E. K. "Evaluating strategic investments in information technology". Communications of the ACM (Association

of Computing Machinery) 1991,34 (I): páginas. 22-36.

• DAWEL, George - A Segurança da Informação nas Empresas – Rio de Janeiro: Editora Ciência Moderna, 2005.

• FONTES, Edison Luiz Gonçalves - Vivendo a segurança da informação: orientações práticas para as organizações. -

São Paulo: Editora Sicurezza,2000. • Dowd, K. (1998). Beyond Value at Risk: The new science of Risk Management. West Sussex: John Wiley & Sons. • FERREIRA, A. B. H.; Novo Aurélio – O dicionário da Língua Portuguesa; Nova Fronteira, 1999, 3a ed.; ISBN 85-209-1010-6; p. 1772. • GITMAN, L. J.; Princípios de Administração Financeira; Harbara Editora, 1997, 7a ed.; ISBN 85-294-0060-7; p.17. • Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003. • SCHNEIER, Bruce. Segurança. com;: segredos e mentiras sobre a proteção na vida digital. RJ, editora Campos, 2001. • BARBOSA, Alexandre. E-Bussiness com Segurança. Internet Bussiness, São Paulo-SP, ano 5, 27 de setembro de 2001, 49p

Bibliografias e Fontes das Informações

Page 32: tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”

THANK YOU!