SlideShare una empresa de Scribd logo

Segurança da Informação para Negócios

Descargar como PPTX, PDF
Carlos Henrique Martins da Silva
Carlos Henrique Martins da Silva
Tecnología
1 de 20
SEGURANÇA DA INFORMAÇÃO APLICADA A NEGÓCIOS Carlos Henrique M. da Silva carloshenrique.85@globo.com
Conceitos de Segurança da Informação  Ativo de Informação: qualquer elemento que tenha valor para uma organização.  Valor do Ativo: quantificação de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade (Princípios Básicos da SI) afetadas.  Vulnerabilidade: falha no ambiente que ameace algum ativo.  Ameaça: possibilidade de exploração de uma vulnerabilidade.  Impacto: resultado da concretização de uma ameaça contra a vulnerabilidade de um ativo.
Informação e sua Importância para o Negócio da Organização  A informação é um elemento essencial para a geração do conhecimento, para a tomada de decisões, e que representa efetivamente valor para o negócio dentro de cada um de seus processos.  O custo para proteger esse Ativo cresce cada vez mais. Segurança movimentará US$ 244 mi em 2011 no Brasil. Segundo a consultoria Frost & Sullivan, mercado local de SI deve crescer 17% este ano e atingir faturamento de US$ 460 milhões em 2016.  Entendemos que a informação representa valor para o negócio, conforme foi citado acima, então, podemos afirmar que a informação é um bem, um ativo da organização, por isso, deve ser preservado e protegido da mesma forma que os demais ativos da organização.
Segurança da Informação  A segurança da informação tem como propósito proteger as INFORMAÇÕES, sem importar onde estejam situadas.  Um sistema de segurança da informação tem por objetivo proteger e controlar os ATIVOS DE INFORMAÇÃO, garantindo os três princípios básicos da segurança da informação.
Princípios básicos da Segurança da Informação  Existem três* princípios básicos da segurança da informação, são eles:  Disponibilidade  Confidencialidade  Integridade * Existem autores que destacam mais de três, são eles: Autenticidade, Não-repúdio, Legalidade, Privacidade e Auditoria
DISPONIBILIDADE  A informação está acessível à pessoas autorizadas sempre que necessário Quebra de Disponibilidade  Sistemas fora do ar  Ataques de Negação de Serviço  Perdas de Documentos  Perda de Acesso à informação
CONFIDENCIALIDADE  Somente Pessoas explicitamente autorizadas podem ter acesso à informação. Quebra de Confidencialidade  Conversas no elevador, restaurantes, etc. sobre assuntos confidenciais de trabalho, disponibilizando assim a informação para todos à sua volta.  Engenharia Social
INTEGRIDADE  A informação acessada é completa, sem alterações ou distorções, e portanto, confiável. Mesmo estando errada. Quebra de Integridade  Falsificação de documentos  Alteração de registro no BD
Política de Segurança da Informação (PSI)  A Política de Segurança da Informação é formada por um conjunto de normas e procedimentos que de algum modo regulam o comportamento dos funcionários.  Deve indicar como as coisas devem acontecer na organização no que se refere à segurança da informação.  Objetivo Principal: Estabelecer um padrão de comportamento que seja conhecido por todos na organização e que sirva como base para decisões da alta administração em assuntos relacionados com a segurança da informação.
Estrutura da Política de Segurança da Informação (PSI) 1. Definições gerais; a. Carta do diretor; b. Conceitos de SI. 2. Objetivos e metas; 3. Responsabilidades pela PSI; 4. Registro de incidentes; 5. Diretrizes; 6. Normas; 7. Revisão da PSI; 8. Questões Legais e de Regulamentação; 9. Pensando na Auditoria; 10. Composição da Política*; 11. Características Inerentes da Política*; 12. Características de Uso da Política*.
Composição, Características Inerentes e de Uso da Política de Segurança da Informação (PSI) Fatores Externos Fatores Internos
Análise de Impacto ao Negócio (BIA)  A Análise de Impactos nos Negócios é feita buscando identificar os processos críticos que apóiam o negócio da organização, e qual impacto para o negócio caso as ameaças mapeadas venham a se concretizar. Calculo do Impacto Impacto = (Relevância do Processo + Relevância do Ativo) 2 Relevância do Processo: Quão importante é o processo ao negócio da organização. Relevância do Ativo: Importância do ativo no processo de negócio da organização.
Análise de Risco (RA)  É realizada para identificar os riscos aos quais estão submetidos os ativos, ou seja, para saber qual é a probabilidade de que as ameaças se concretizem e o impacto que elas causarão ao negócio.  A análise de risco possibilita identificar o grau de proteção que os ativos de informação precisam, podendo assim, não só proporcionar o grau adequado de proteção a esse ativo, mas principalmente utilizar de forma inteligente os recursos da organização.  A relevância de cada um dos processos de negócio na empresa é um ponto- chave que deve ser considerado durante a realização da análise de riscos.
Análise de Risco (RA) Como Calcular o Risco de um Incidente acontecer com um Ativo? Risco = (Probabilidade + Impacto + Índice de ocorrências anteriores) 3 Onde: Probabilidade = (Grau de Ameaça + Grau de Vulnerabilidade) 2 Índice de Ocorrências = (Total de dias no ano em que houve incidentes)
Análise de Risco (RA) Exemplo de Análise de Risco  Concluímos que, a partir do momento em que são conhecidos os RISCOS, é possível tomar decisões a respeito dos ativos mais críticos.
Normas
Normas  ITIL: Melhores práticas para prover a qualidade de serviços de TI  COBIT: Práticas que auxiliam a gestão e controle de iniciativas de TI  BS 15000: Foi a 1ª norma formal para gestão de serviços de TI. Fornece especificações claras para implementação de um processo de gestão de TI.  ISO 20000: Substituiu a BS 15000 em 5/12/2005.  ISO 17799:2005: Código de práticas com orientações para gestão de SI.  “Família” ISO 27000: Incluem normas sobre requisitos de sistemas de gestão de SI, gestão de riscos, métricas e medidas, e diretrizes para implementação.
Normas NORMA PONTO FORTE PONTO FRACO ITIL Processos de operação Segurança e desenvolvimento de sistemas COBIT - Controles - Métricas - Processos São linhas gerais que não indicam “como” fazer ISO 17799 Controle de segurança É um guia genérico sem material específico  As normas podem ser aplicadas de forma conjunta na busca pela excelência nos serviços de TI.
CONCLUSÃO  A Segurança da Informação é um processo que envolve todas as áreas de negócio de uma organização e deve ser entendida como mais uma disciplina orientada a atingir a missão estabelecida.
OBRIGADO! Formado em Análise de Sistemas Pós-Graduado em Auditoria em T.I. Gerente de TI da CLIOC – Coleção de Leishmania do Instituto Oswaldo Cruz – Fiocruz Certificado em Gestão de Segurança da Informação e Gerenciamento de T.I. pela Academia Latino-Americana (Microsoft TechNet / Módulo Security) Carlos Henrique M. da Silva carloshenrique.85@globo.com

Recomendados

Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Bruno Luiz A. de Pai Paiva
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Redes - Enderecamento IP
Redes - Enderecamento IPRedes - Enderecamento IP
Redes - Enderecamento IPLuiz Arthur
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 

Recomendados

Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Bruno Luiz A. de Pai Paiva
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Redes - Enderecamento IP
Redes - Enderecamento IPRedes - Enderecamento IP
Redes - Enderecamento IPLuiz Arthur
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Calculo de endereço ip
Calculo de endereço ipCalculo de endereço ip
Calculo de endereço ipMarcelo Vicente Freire Alves
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Modelo de camadas TCP/IP
Modelo de camadas TCP/IPModelo de camadas TCP/IP
Modelo de camadas TCP/IPEvandro Júnior
 
49778140 projeto-de-rede
49778140 projeto-de-rede49778140 projeto-de-rede
49778140 projeto-de-redeMarco Guimarães
 
Segurança de dados
Segurança de dadosSegurança de dados
Segurança de dadosFernando Costa
 
Arquitetura cliente servidor
Arquitetura cliente servidorArquitetura cliente servidor
Arquitetura cliente servidorMarcia Abrahim
 
Redes de Computadores - Aula 01
Redes de Computadores - Aula 01Redes de Computadores - Aula 01
Redes de Computadores - Aula 01thomasdacosta
 
Endereçamento IP
Endereçamento IPEndereçamento IP
Endereçamento IPPjpilin
 
Planejamento rede
Planejamento rede Planejamento rede
Planejamento rede Reginaldo José Silva
 
Banco de Dados - Introdução - Projeto de Banco de Dados - DER
Banco de Dados - Introdução - Projeto de Banco de Dados - DERBanco de Dados - Introdução - Projeto de Banco de Dados - DER
Banco de Dados - Introdução - Projeto de Banco de Dados - DERRangel Javier
 
Apostila de Banco de Dados
Apostila de Banco de Dados Apostila de Banco de Dados
Apostila de Banco de Dados info_cimol
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Firewall
FirewallFirewall
FirewallFabricio Figueiredo Leao
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Ed Oliveira
 
Aula TI 1 - Infra-estrutura e redes
Aula TI 1 - Infra-estrutura e redesAula TI 1 - Infra-estrutura e redes
Aula TI 1 - Infra-estrutura e redessionara14
 
Conceitos e arquitetura do sistema de banco de dados
Conceitos e arquitetura do sistema de banco de dadosConceitos e arquitetura do sistema de banco de dados
Conceitos e arquitetura do sistema de banco de dadosElaine Cecília Gatto
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redeselliando dias
 
Cidr calculo de subrede
Cidr calculo de subredeCidr calculo de subrede
Cidr calculo de subredeGutemberg Sales
 
Aula 3 sistema computacional (hardware e software)
Aula 3 sistema computacional (hardware e software)Aula 3 sistema computacional (hardware e software)
Aula 3 sistema computacional (hardware e software)Vitor Hugo Melo Araújo
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 

Más contenido relacionado

La actualidad más candente

Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Modelo de camadas TCP/IP
Modelo de camadas TCP/IPModelo de camadas TCP/IP
Modelo de camadas TCP/IPEvandro Júnior
 
Arquitetura cliente servidor
Arquitetura cliente servidorArquitetura cliente servidor
Arquitetura cliente servidorMarcia Abrahim
 
Redes de Computadores - Aula 01
Redes de Computadores - Aula 01Redes de Computadores - Aula 01
Redes de Computadores - Aula 01thomasdacosta
 
Endereçamento IP
Endereçamento IPEndereçamento IP
Endereçamento IPPjpilin
 
Banco de Dados - Introdução - Projeto de Banco de Dados - DER
Banco de Dados - Introdução - Projeto de Banco de Dados - DERBanco de Dados - Introdução - Projeto de Banco de Dados - DER
Banco de Dados - Introdução - Projeto de Banco de Dados - DERRangel Javier
 
Apostila de Banco de Dados
Apostila de Banco de Dados Apostila de Banco de Dados
Apostila de Banco de Dados info_cimol
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Ed Oliveira
 
Aula TI 1 - Infra-estrutura e redes
Aula TI 1 - Infra-estrutura e redesAula TI 1 - Infra-estrutura e redes
Aula TI 1 - Infra-estrutura e redessionara14
 
Conceitos e arquitetura do sistema de banco de dados
Conceitos e arquitetura do sistema de banco de dadosConceitos e arquitetura do sistema de banco de dados
Conceitos e arquitetura do sistema de banco de dadosElaine Cecília Gatto
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redeselliando dias
 
Aula 3 sistema computacional (hardware e software)
Aula 3 sistema computacional (hardware e software)Aula 3 sistema computacional (hardware e software)
Aula 3 sistema computacional (hardware e software)Vitor Hugo Melo Araújo
 

La actualidad más candente (20)

Calculo de endereço ip
Calculo de endereço ipCalculo de endereço ip
Calculo de endereço ip
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Modelo de camadas TCP/IP
Modelo de camadas TCP/IPModelo de camadas TCP/IP
Modelo de camadas TCP/IP
 
49778140 projeto-de-rede
49778140 projeto-de-rede49778140 projeto-de-rede
49778140 projeto-de-rede
 
Segurança de dados
Segurança de dadosSegurança de dados
Segurança de dados
 
Arquitetura cliente servidor
Arquitetura cliente servidorArquitetura cliente servidor
Arquitetura cliente servidor
 
Redes de Computadores - Aula 01
Redes de Computadores - Aula 01Redes de Computadores - Aula 01
Redes de Computadores - Aula 01
 
Endereçamento IP
Endereçamento IPEndereçamento IP
Endereçamento IP
 
Planejamento rede
Planejamento rede Planejamento rede
Planejamento rede
 
Banco de Dados - Introdução - Projeto de Banco de Dados - DER
Banco de Dados - Introdução - Projeto de Banco de Dados - DERBanco de Dados - Introdução - Projeto de Banco de Dados - DER
Banco de Dados - Introdução - Projeto de Banco de Dados - DER
 
Apostila de Banco de Dados
Apostila de Banco de Dados Apostila de Banco de Dados
Apostila de Banco de Dados
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Firewall
FirewallFirewall
Firewall
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
Aula TI 1 - Infra-estrutura e redes
Aula TI 1 - Infra-estrutura e redesAula TI 1 - Infra-estrutura e redes
Aula TI 1 - Infra-estrutura e redes
 
Conceitos e arquitetura do sistema de banco de dados
Conceitos e arquitetura do sistema de banco de dadosConceitos e arquitetura do sistema de banco de dados
Conceitos e arquitetura do sistema de banco de dados
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Segurança Física de Servidores e Redes
Segurança Física de Servidores e RedesSegurança Física de Servidores e Redes
Segurança Física de Servidores e Redes
 
Cidr calculo de subrede
Cidr calculo de subredeCidr calculo de subrede
Cidr calculo de subrede
 
Aula 3 sistema computacional (hardware e software)
Aula 3 sistema computacional (hardware e software)Aula 3 sistema computacional (hardware e software)
Aula 3 sistema computacional (hardware e software)
 

Similar a Segurança da Informação para Negócios

Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoFabiano Da Ventura
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarArthur Tofolo Washington
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoModelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoEd Oliveira
 

Similar a Segurança da Informação para Negócios (20)

Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoModelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
 
segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
 

Más de Carlos Henrique Martins da Silva

Segurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
Segurança Através de Controles Biométricos - Carlos Henrique Martins da SilvaSegurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
Segurança Através de Controles Biométricos - Carlos Henrique Martins da SilvaCarlos Henrique Martins da Silva
 

Más de Carlos Henrique Martins da Silva (14)

eXtensible Markup Language (XML)
eXtensible Markup Language (XML)eXtensible Markup Language (XML)
eXtensible Markup Language (XML)
 
eXtreme Programming (XP)
eXtreme Programming (XP)eXtreme Programming (XP)
eXtreme Programming (XP)
 
Rational Unified Process (RUP)
Rational Unified Process (RUP)Rational Unified Process (RUP)
Rational Unified Process (RUP)
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - Backdoor
 
Aula 8 - SQL Injection
Aula 8 - SQL InjectionAula 8 - SQL Injection
Aula 8 - SQL Injection
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força Bruta
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
 
Aula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado DigitalAula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado Digital
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
 
Deep web
Deep webDeep web
Deep web
 
Segurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
Segurança Através de Controles Biométricos - Carlos Henrique Martins da SilvaSegurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
Segurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
 

Segurança da Informação para Negócios

  • 1. SEGURANÇA DA INFORMAÇÃO APLICADA A NEGÓCIOS Carlos Henrique M. da Silva carloshenrique.85@globo.com
  • 2. Conceitos de Segurança da Informação  Ativo de Informação: qualquer elemento que tenha valor para uma organização.  Valor do Ativo: quantificação de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade (Princípios Básicos da SI) afetadas.  Vulnerabilidade: falha no ambiente que ameace algum ativo.  Ameaça: possibilidade de exploração de uma vulnerabilidade.  Impacto: resultado da concretização de uma ameaça contra a vulnerabilidade de um ativo.
  • 3. Informação e sua Importância para o Negócio da Organização  A informação é um elemento essencial para a geração do conhecimento, para a tomada de decisões, e que representa efetivamente valor para o negócio dentro de cada um de seus processos.  O custo para proteger esse Ativo cresce cada vez mais. Segurança movimentará US$ 244 mi em 2011 no Brasil. Segundo a consultoria Frost & Sullivan, mercado local de SI deve crescer 17% este ano e atingir faturamento de US$ 460 milhões em 2016.  Entendemos que a informação representa valor para o negócio, conforme foi citado acima, então, podemos afirmar que a informação é um bem, um ativo da organização, por isso, deve ser preservado e protegido da mesma forma que os demais ativos da organização.
  • 4. Segurança da Informação  A segurança da informação tem como propósito proteger as INFORMAÇÕES, sem importar onde estejam situadas.  Um sistema de segurança da informação tem por objetivo proteger e controlar os ATIVOS DE INFORMAÇÃO, garantindo os três princípios básicos da segurança da informação.
  • 5. Princípios básicos da Segurança da Informação  Existem três* princípios básicos da segurança da informação, são eles:  Disponibilidade  Confidencialidade  Integridade * Existem autores que destacam mais de três, são eles: Autenticidade, Não-repúdio, Legalidade, Privacidade e Auditoria
  • 6. DISPONIBILIDADE  A informação está acessível à pessoas autorizadas sempre que necessário Quebra de Disponibilidade  Sistemas fora do ar  Ataques de Negação de Serviço  Perdas de Documentos  Perda de Acesso à informação
  • 7. CONFIDENCIALIDADE  Somente Pessoas explicitamente autorizadas podem ter acesso à informação. Quebra de Confidencialidade  Conversas no elevador, restaurantes, etc. sobre assuntos confidenciais de trabalho, disponibilizando assim a informação para todos à sua volta.  Engenharia Social
  • 8. INTEGRIDADE  A informação acessada é completa, sem alterações ou distorções, e portanto, confiável. Mesmo estando errada. Quebra de Integridade  Falsificação de documentos  Alteração de registro no BD
  • 9. Política de Segurança da Informação (PSI)  A Política de Segurança da Informação é formada por um conjunto de normas e procedimentos que de algum modo regulam o comportamento dos funcionários.  Deve indicar como as coisas devem acontecer na organização no que se refere à segurança da informação.  Objetivo Principal: Estabelecer um padrão de comportamento que seja conhecido por todos na organização e que sirva como base para decisões da alta administração em assuntos relacionados com a segurança da informação.
  • 10. Estrutura da Política de Segurança da Informação (PSI) 1. Definições gerais; a. Carta do diretor; b. Conceitos de SI. 2. Objetivos e metas; 3. Responsabilidades pela PSI; 4. Registro de incidentes; 5. Diretrizes; 6. Normas; 7. Revisão da PSI; 8. Questões Legais e de Regulamentação; 9. Pensando na Auditoria; 10. Composição da Política*; 11. Características Inerentes da Política*; 12. Características de Uso da Política*.
  • 11. Composição, Características Inerentes e de Uso da Política de Segurança da Informação (PSI) Fatores Externos Fatores Internos
  • 12. Análise de Impacto ao Negócio (BIA)  A Análise de Impactos nos Negócios é feita buscando identificar os processos críticos que apóiam o negócio da organização, e qual impacto para o negócio caso as ameaças mapeadas venham a se concretizar. Calculo do Impacto Impacto = (Relevância do Processo + Relevância do Ativo) 2 Relevância do Processo: Quão importante é o processo ao negócio da organização. Relevância do Ativo: Importância do ativo no processo de negócio da organização.
  • 13. Análise de Risco (RA)  É realizada para identificar os riscos aos quais estão submetidos os ativos, ou seja, para saber qual é a probabilidade de que as ameaças se concretizem e o impacto que elas causarão ao negócio.  A análise de risco possibilita identificar o grau de proteção que os ativos de informação precisam, podendo assim, não só proporcionar o grau adequado de proteção a esse ativo, mas principalmente utilizar de forma inteligente os recursos da organização.  A relevância de cada um dos processos de negócio na empresa é um ponto- chave que deve ser considerado durante a realização da análise de riscos.
  • 14. Análise de Risco (RA) Como Calcular o Risco de um Incidente acontecer com um Ativo? Risco = (Probabilidade + Impacto + Índice de ocorrências anteriores) 3 Onde: Probabilidade = (Grau de Ameaça + Grau de Vulnerabilidade) 2 Índice de Ocorrências = (Total de dias no ano em que houve incidentes)
  • 15. Análise de Risco (RA) Exemplo de Análise de Risco  Concluímos que, a partir do momento em que são conhecidos os RISCOS, é possível tomar decisões a respeito dos ativos mais críticos.
  • 17. Normas  ITIL: Melhores práticas para prover a qualidade de serviços de TI  COBIT: Práticas que auxiliam a gestão e controle de iniciativas de TI  BS 15000: Foi a 1ª norma formal para gestão de serviços de TI. Fornece especificações claras para implementação de um processo de gestão de TI.  ISO 20000: Substituiu a BS 15000 em 5/12/2005.  ISO 17799:2005: Código de práticas com orientações para gestão de SI.  “Família” ISO 27000: Incluem normas sobre requisitos de sistemas de gestão de SI, gestão de riscos, métricas e medidas, e diretrizes para implementação.
  • 18. Normas NORMA PONTO FORTE PONTO FRACO ITIL Processos de operação Segurança e desenvolvimento de sistemas COBIT - Controles - Métricas - Processos São linhas gerais que não indicam “como” fazer ISO 17799 Controle de segurança É um guia genérico sem material específico  As normas podem ser aplicadas de forma conjunta na busca pela excelência nos serviços de TI.
  • 19. CONCLUSÃO  A Segurança da Informação é um processo que envolve todas as áreas de negócio de uma organização e deve ser entendida como mais uma disciplina orientada a atingir a missão estabelecida.
  • 20. OBRIGADO! Formado em Análise de Sistemas Pós-Graduado em Auditoria em T.I. Gerente de TI da CLIOC – Coleção de Leishmania do Instituto Oswaldo Cruz – Fiocruz Certificado em Gestão de Segurança da Informação e Gerenciamento de T.I. pela Academia Latino-Americana (Microsoft TechNet / Módulo Security) Carlos Henrique M. da Silva carloshenrique.85@globo.com