SlideShare una empresa de Scribd logo

Planejamento de segurança em t.i.

Descargar como PPTX, PDF
Ricardo Satin, MSc, ITIL, CSM, PMP
Ricardo Satin, MSc, ITIL, CSM, PMP

O documento apresenta uma palestra sobre gerenciamento de segurança em TI ministrada por Ricardo F. P. Satin. A palestra aborda conceitos como planejamento de segurança em TI, gerenciamento de incidentes, plano de contingência e estudo de caso. O apresentador também discute conceitos como segurança em e-mail corporativo, boas práticas de segurança e proteção das camadas de rede.

1 de 81
Gerenciamento de Segurança em T.I. Ricardo F. P. Satin ITIL, MBA, PMP
Apresentação Ricardo Francisco de Pierre Satin Bacharel em computação – UEM; Especialista em desenvolvimento Java – Cesumar; MBA em Gerenciamento de Projetos – FCV. ,[object Object]
ITIL – Gerenciamento de Serviços de T.I.;
PMP – Gerenciamento de Projetos.
Aproximadamente 10 mil horas de experiência em GP.Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 2
Apresentação Vocês Nome; Qual a formação? Onde trabalha? O que faz? Qual seu know-how em segurança? Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 3
Bibliografia Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 4 Marcos Sêmola Marcelo Gaspar James O´Brian
Gerenciamento de Segurança em T.I. ,[object Object]
Critério de avaliação
Agenda
Acordo / Mapeamento
Conceituação
Planejamento de Seg. em T.I.
Gerenciamento de Incidentes
Plano de Contingência
Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 5
AGENDA ,[object Object]
Conceituação
Planejamento de Seg. em T.I.
Gerenciamento de Incidentes
Plano de Contingência
Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 6
Acordo Confidencialidade! Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 7
AGENDA ,[object Object]
Conceituação
Planejamento de Seg. em T.I.
Gerenciamento de Incidentes
Plano de Contingência
Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 8
Mapeamento ,[object Object]
Itens que necessitam de segurança (O que você considera importante controlar)
Quais as falhas existentes hoje em sua organização ...
Quais as preocupações com o futuro...
20 minutos!Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 9
Revisão ,[object Object]
15 minutos!Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 10
AGENDA ,[object Object]
Conceituação
Planejamento de Seg. em T.I.
Gerenciamento de Incidentes
Plano de Contingência
Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 11
Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 12 Gerenciamento em Segurança de T.I. ,[object Object]
Sinônimo: Estabilidade,[object Object]
Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 14 Conteúdo de informações Infra-estrutura Educar e conscientizar sobre o uso
Conceituação Alguma das principais dores... Para gerenciar a segurança na T.I. Falta de uma política mínima para segurança; Poucos mecanismos para divulgação de informação; Servidores/ Desktops/ Notes/ Mobiles desprotegidos/desatualizados; Falta de vistoria / inspeção (auditoria de segurança – vemos em processos mas não em segurança); Máquinas conectadas à rede mal config. Ou adm. E sem atualização de anti-vírus Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 15
Conceituação Inexistência de mecanismos de autenticação para uso da rede; Falta de alinhamento entre RH e segurança (falta de conscientização); Provas seletivas de contratação devem incluir conteúdo sobre segurança; Falta de atribuição e responsabilidades formais e claras na utilização de recursos (ex. máquinas); Falta de controles adequados de perfils de acesso à sistemas; Falta de alinhamento com Depto Jurídico com as necessidades de segurança da empresa; Falta de gerência de vulnerabilidade (gerência de patches e anti-vírus); Falta de gerência de inventário; Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 16
Conceituação Falta de normas e procedimentos na empresa o que impede aplicação de restrições; Falta de regras claras de utilização (ex. e-mail, redes...) e penalidades conhecidas por toda comunidade; Falta de investimento em segurança; Falta de alinhamento entre as necessidades estratégicas e a segurança; Falta de avaliação de impactos em mudanças por evolução ou demanda externa. Falta de gestão e acompanhamento de riscos; Inexistência quase que completa de um plano de continuidade / contingência. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 17
Conceituação Controle básico Seg. em rede; Quando falamos em segurança, muitas vezes temos a impressão que se resume à própria rede. Na verdade a rede ao qual toda estrutura está ligada é apenas uma das variáveis da cadeia. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 18
Conceituação Incidentes como: Spam; Worm / Trojam; Scan(pesquisa de portas vulneráveis); DoS(DenialofService – Negação de serviço ataque com intenção de derrubar provedor ou serviço); Open Proxy (envio de Spam - Robôs); Mau Uso (relacionado à violação de direito de uso). Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 19
Conceituação Tem em sua maioria, origens comuns, que resultam na exploração de vulnerabilidade em servidores, desktops conectados à rede com serviços habilitados indevidamente. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 20
Conceituação Exemplo: Spam podem conter anexos executáveis com a instalação de um worm/trojan e que por sua natureza se espalha buscando máquinas vulneráveis na rede. Tais vulnerabilidades podem habilitar máquinas (Open Proxy) que atual como servidores de protocolo smtp, no envio de Spam, fechando desta maneira o ciclo de propagação x infecção. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 21
Conceituação Disponibilidade lógica da infra-estrutura: Switches + Roteadores Voip Redes sem fio Baixa velocidade (55 compartilhado – 60%); Facilidade de uso; Dificuldade de controle; Propenso interferência; “Roubo” de sinal. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 22
Conceituação Contingência de sistemas Resiliência definido como a capacidade de o indivíduo lidar com problemas, superar obstáculos ou resistir à pressão de situações adversas - choque, estresse etc. - sem entrar em surto psicológico. Continuidade Garantia que os serviços serão mantidos! Redundância Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 23
Conceituação Contingência de sistemas Criar sistemas com... Replicação síncrona; Em locais geograficamente separados; Com grande capacidade de armazenamento; Permita agregação de novos serviços. Sistemas redundantes? Ex. Emissor de NF-e padrão do ERP x Emissor NF-e Púplico Redundância de Link de comunicação Fontes alternativas de energia Caso cliente x Investimento gerador = R$ 70.000,00 Venda com exigência link diária: R$ 45.000,00 Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 24
Conceituação Segurança em e-mail corporativo Nosso processo de comunicação via e-mail é mais vital que muitas vezes pensamos ser; Uso pessoal, profissional... Ele tem papel fundamental hoje na comunicação “semi-formal” entre pessoas; Garantir comunicação com cliente, formalizar uma decisão, solicitar informações, divulgar status... São algumas as funções do e-mail. Segurança no envio/recebimento e na continuidade do serviço são fundamentais. Hospedar interno x Hospedar em servidores especializados? Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 25
Conceituação Segurança em e-mail corporativo Problemas mais graves SPAM´s USP – 80% Empresa x – 25% Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 26
Conceituação Segurança em geral – boas práticas Estabelecimento de um comitê de análise / evolução, para discussão de processos e inovação; Conscientização dos usuários sobre segurança e controles simplificados do dia-a-dia; Garantir equiparação do conhecimento das ferramentas impactantes em segurança por parte dos usuários; Distribuição geral de anti-vírus (independente de uso pessoal ou não); Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 27
Conceituação Controlando o ambiente externo Quais os “terceiros” que tem acesso à sua empresa? Provedores de acesso à internet; Visitantes; Outros clientes (concorrentes); Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 28
Conceituação Proteção das camadas de rede O modelo OSI Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 29
Conceituação O modelo OSI O processo começa na camada física (Camada 1) onde os sinais elétricos são convertidos entre “0” e “1” e terminam na camada de aplicação (onde atuam os protocolos de serviços básicos e de serviço ao usuário. O processo, de forma resumida, passa pela camada de rede (Camada 3) que é a responsável pelo tráfego no processo de internetworking. Partindo de roteadores, ela decide o melhor caminho; Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 30
Conceituação O modelo OSI O processo começa na camada física (Camada 1) onde os sinais elétricos são convertidos entre “0” e “1” e terminam na camada de aplicação (onde atuam os protocolos, clientes de aplicação ... O processo, de forma resumida, passa pela camada de rede (Camada 3) que é a responsável pelo tráfego no processo de internetworking. Partindo de roteadores, ela decide o melhor caminho; Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 31
Conceituação O Modelo TCP Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 32
Conceituação Onde obter informação BlackLists (DSBL.org, NJABL); Coleta de estatísticas de segurança na internet (Dshield); Cert.br (Agência certificadora nacional). Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 33
Conceituação Estatísticas de Ataque Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 34
Conceituação Estatísticas de Ataque Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 35
Conceituação Legendas: dos (DoS -- DenialofService): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede. invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede. web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet. scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador. fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem. outros: notificações de incidentes que não se enquadram nas categorias anteriores. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 36
Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 37
Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 38
Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 39
Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 40
Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 41
Conceituação Ameaças Vírus, SPAM, Hackers; Terceirização de serviços de T.I.; Greves (continuidade); Adoção de tecnologias não maduras e soluções não padronizadas; Dependência da malha de conexão das operadoras (Comprometendo SLA e credibilidade); Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 42
Conceituação Ações de segurança Antivírus Educação do Usuário Definição de políticas e normas de segurança Aplicações de patches Contingência/redundância Treinamento especializado Gerenciamento de aplicações Inventário/documentação Ferramentas centralizadas p/ atualização e análise sistemas Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 43
Conceituação Ações de segurança Reposta a incidentes Divulgação de informações de segurança Eventos temáticos periódicos Instalação e configuração de servidores Scan institucional e obrigatório Controle de acesso Firewall IDS (IntrusionDetection System) Certificados digitais VPN Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 44
Conceituação IDS (IntrusionDetection System) Tão importante como quanto impedir a entrada (firewall) é controlar o que já está na rede (ou tentando invadir). É aqui que o sistema de detecção de intrusos, muito negligenciado pelos Adm. Redes, vem à colaborar. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 45
Conceituação IDS (IntrusionDetection System) Sua função é detectar mau uso de um usuário legítimo ou alguém tentando entrar. Roda em background na rede; Identificação de padrões, procurando aprender para maximizar a proteção. Podem controlar rede, hosts (o que navega e o que chega). Reações frente detecção: Envio de e-mail, sms, reconfiguração de elementos de rede como firewall ou roteadores e até encerramento de conexão. Exemplo de ferramenta: Snort Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 46
Conceituação Utilização de firewall Eficácia em redes locais (inclusive desktop); Inclusive para identificação de tentativas de acesso à serviços. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 47
AGENDA ,[object Object]
Conceituação
Planejamento de Seg. em T.I.

Recomendados

Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaSymantec Brasil
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreMarcelo Piuma
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewData Security
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewJairo Willian Pereira
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsiThais Oliveira
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 

Recomendados

Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaSymantec Brasil
 
Segurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreSegurança de Rede na Era do Software Livre
Segurança de Rede na Era do Software LivreMarcelo Piuma
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewData Security
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Enterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewEnterprise Information Security Mgmt - OverView
Enterprise Information Security Mgmt - OverViewJairo Willian Pereira
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsiThais Oliveira
 
CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?CHEFE, O PENTEST FINALIZOU! … E AGORA?
CHEFE, O PENTEST FINALIZOU! … E AGORA?iBLISS Segurança & Inteligência
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 segurancaMarco Guimarães
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa terTechBiz Forense Digital
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0Sidney Modenesi, MBCI
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Eti 6a securityroi
Eti 6a securityroiEti 6a securityroi
Eti 6a securityroiavanirp1
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Portfolio
PortfolioPortfolio
Portfolioadrigobbo
 
Security Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial UnbrokenSecurity Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial Unbrokenunbrokensecurity
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...Sidney Modenesi, MBCI
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Aula 5 semana
Aula 5 semanaAula 5 semana
Aula 5 semanaJorge Ávila Miranda
 
Insegurança na Rede: problemas e soluções
Insegurança na Rede: problemas e soluçõesInsegurança na Rede: problemas e soluções
Insegurança na Rede: problemas e soluçõeselliando dias
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Fernando Dulinski
 
Trabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de SoluçõesTrabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de SoluçõesLuis Figueiredo
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Como Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de SegurançaComo Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de SegurançaLeandro Bennaton
 
CV Giuliano Caranante
CV Giuliano CarananteCV Giuliano Caranante
CV Giuliano Caranantemultipel
 
Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011 Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011Alcyon Ferreira de Souza Junior, MSc
 

Más contenido relacionado

La actualidad más candente

Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Symantec Brasil
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa terTechBiz Forense Digital
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Eti 6a securityroi
Eti 6a securityroiEti 6a securityroi
Eti 6a securityroiavanirp1
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Security Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial UnbrokenSecurity Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial Unbrokenunbrokensecurity
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...Sidney Modenesi, MBCI
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Insegurança na Rede: problemas e soluções
Insegurança na Rede: problemas e soluçõesInsegurança na Rede: problemas e soluções
Insegurança na Rede: problemas e soluçõeselliando dias
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Fernando Dulinski
 
Trabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de SoluçõesTrabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de SoluçõesLuis Figueiredo
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 

La actualidad más candente (19)

56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
Eti 6a securityroi
Eti 6a securityroiEti 6a securityroi
Eti 6a securityroi
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Portfolio
PortfolioPortfolio
Portfolio
 
Security Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial UnbrokenSecurity Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial Unbroken
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
Aula 5 semana
Aula 5 semanaAula 5 semana
Aula 5 semana
 
Insegurança na Rede: problemas e soluções
Insegurança na Rede: problemas e soluçõesInsegurança na Rede: problemas e soluções
Insegurança na Rede: problemas e soluções
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
 
Trabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de SoluçõesTrabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de Soluções
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 

Similar a Planejamento de segurança em t.i.

Como Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de SegurançaComo Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de SegurançaLeandro Bennaton
 
CV Giuliano Caranante
CV Giuliano CarananteCV Giuliano Caranante
CV Giuliano Caranantemultipel
 
Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011 Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011Alcyon Ferreira de Souza Junior, MSc
 
CV Giuliano Caranante
CV Giuliano CarananteCV Giuliano Caranante
CV Giuliano Caranantemultipel
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasLeandro Bennaton
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Grupo Treinar
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingLeandro Bennaton
 
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)Osmar Petry
 
Engenharia de Software 100% Agil (SCRUM, FDD e XP)
Engenharia de Software 100% Agil (SCRUM, FDD e XP)Engenharia de Software 100% Agil (SCRUM, FDD e XP)
Engenharia de Software 100% Agil (SCRUM, FDD e XP)Rildo (@rildosan) Santos
 
365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da PrivacidadeCLEBER VISCONTI
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Strong Security Brasil
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Symantec Brasil
 

Similar a Planejamento de segurança em t.i. (20)

Como Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de SegurançaComo Terra lida com as oportunidades e ameaças de Segurança
Como Terra lida com as oportunidades e ameaças de Segurança
 
CV Giuliano Caranante
CV Giuliano CarananteCV Giuliano Caranante
CV Giuliano Caranante
 
Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011 Segurança da Informação na era do Software Livre - FLISOL DF 2011
Segurança da Informação na era do Software Livre - FLISOL DF 2011
 
Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)Auditoria em Mainframe. (Eugênio Fernandes)
Auditoria em Mainframe. (Eugênio Fernandes)
 
CV Giuliano Caranante
CV Giuliano CarananteCV Giuliano Caranante
CV Giuliano Caranante
 
Curriculum Vitae Paulo Pagliusi
Curriculum Vitae Paulo PagliusiCurriculum Vitae Paulo Pagliusi
Curriculum Vitae Paulo Pagliusi
 
Gestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De AmeaçasGestão De Riscos Com Base No Monitoramento De Ameaças
Gestão De Riscos Com Base No Monitoramento De Ameaças
 
Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao Pacote WorkShops em Seguranca da Informacao
Pacote WorkShops em Seguranca da Informacao
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meetingRiscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos Confiaveis
 
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
Gerenciamento de continuidade e disponibilidade na ITIL v3 2011 (versão atual)
 
Gerenciamento do escopo
Gerenciamento do escopoGerenciamento do escopo
Gerenciamento do escopo
 
Engenharia de Software 100% Agil (SCRUM, FDD e XP)
Engenharia de Software 100% Agil (SCRUM, FDD e XP)Engenharia de Software 100% Agil (SCRUM, FDD e XP)
Engenharia de Software 100% Agil (SCRUM, FDD e XP)
 
Planejamento rede
Planejamento rede Planejamento rede
Planejamento rede
 
Analise de Requisitos Software
Analise de Requisitos SoftwareAnalise de Requisitos Software
Analise de Requisitos Software
 
365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade365 saturday - PowerApps Portal na Gestão da Privacidade
365 saturday - PowerApps Portal na Gestão da Privacidade
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014
 
Secure Any Cloud
Secure Any CloudSecure Any Cloud
Secure Any Cloud
 
Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!Be Aware Webinar - Clique aqui, é seguro!
Be Aware Webinar - Clique aqui, é seguro!
 

Más de Ricardo Satin, MSc, ITIL, CSM, PMP

Más de Ricardo Satin, MSc, ITIL, CSM, PMP (16)

Apresentação ricardo satin
Apresentação ricardo satinApresentação ricardo satin
Apresentação ricardo satin
 
Soft Skills
Soft SkillsSoft Skills
Soft Skills
 
Engenharia de requisitos 5/5
Engenharia de requisitos 5/5Engenharia de requisitos 5/5
Engenharia de requisitos 5/5
 
Engenharia de requisitos 3/5
Engenharia de requisitos 3/5Engenharia de requisitos 3/5
Engenharia de requisitos 3/5
 
Engenharia de requisitos 4/5
Engenharia de requisitos 4/5Engenharia de requisitos 4/5
Engenharia de requisitos 4/5
 
Engenharia de requisitos 2/5
Engenharia de requisitos 2/5Engenharia de requisitos 2/5
Engenharia de requisitos 2/5
 
Engenharia de requisitos 1/5
Engenharia de requisitos 1/5Engenharia de requisitos 1/5
Engenharia de requisitos 1/5
 
Seminário - Java Collections
Seminário - Java CollectionsSeminário - Java Collections
Seminário - Java Collections
 
Gp g riscos
Gp g riscosGp g riscos
Gp g riscos
 
Reunião de Progresso
Reunião de ProgressoReunião de Progresso
Reunião de Progresso
 
Plano de Projetos
Plano de ProjetosPlano de Projetos
Plano de Projetos
 
Plano de Projeto
Plano de ProjetoPlano de Projeto
Plano de Projeto
 
Project charter
Project charterProject charter
Project charter
 
Kickoff Meeting
Kickoff MeetingKickoff Meeting
Kickoff Meeting
 
Gerenciamento de integração
Gerenciamento de integraçãoGerenciamento de integração
Gerenciamento de integração
 
O Papel do Contador na éra do SPED
O Papel do Contador na éra do SPEDO Papel do Contador na éra do SPED
O Papel do Contador na éra do SPED
 

Planejamento de segurança em t.i.

  • 1. Gerenciamento de Segurança em T.I. Ricardo F. P. Satin ITIL, MBA, PMP
  • 2.
  • 3. ITIL – Gerenciamento de Serviços de T.I.;
  • 4. PMP – Gerenciamento de Projetos.
  • 5. Aproximadamente 10 mil horas de experiência em GP.Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 2
  • 6. Apresentação Vocês Nome; Qual a formação? Onde trabalha? O que faz? Qual seu know-how em segurança? Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 3
  • 7. Bibliografia Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 4 Marcos Sêmola Marcelo Gaspar James O´Brian
  • 8.
  • 9. Critério de avaliação
  • 16. Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 5
  • 17.
  • 22. Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 6
  • 23. Acordo Confidencialidade! Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 7
  • 24.
  • 29. Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 8
  • 30.
  • 31. Itens que necessitam de segurança (O que você considera importante controlar)
  • 32. Quais as falhas existentes hoje em sua organização ...
  • 33. Quais as preocupações com o futuro...
  • 34. 20 minutos!Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 9
  • 35.
  • 36. 15 minutos!Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 10
  • 37.
  • 42. Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 11
  • 43.
  • 44.
  • 45. Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 14 Conteúdo de informações Infra-estrutura Educar e conscientizar sobre o uso
  • 46. Conceituação Alguma das principais dores... Para gerenciar a segurança na T.I. Falta de uma política mínima para segurança; Poucos mecanismos para divulgação de informação; Servidores/ Desktops/ Notes/ Mobiles desprotegidos/desatualizados; Falta de vistoria / inspeção (auditoria de segurança – vemos em processos mas não em segurança); Máquinas conectadas à rede mal config. Ou adm. E sem atualização de anti-vírus Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 15
  • 47. Conceituação Inexistência de mecanismos de autenticação para uso da rede; Falta de alinhamento entre RH e segurança (falta de conscientização); Provas seletivas de contratação devem incluir conteúdo sobre segurança; Falta de atribuição e responsabilidades formais e claras na utilização de recursos (ex. máquinas); Falta de controles adequados de perfils de acesso à sistemas; Falta de alinhamento com Depto Jurídico com as necessidades de segurança da empresa; Falta de gerência de vulnerabilidade (gerência de patches e anti-vírus); Falta de gerência de inventário; Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 16
  • 48. Conceituação Falta de normas e procedimentos na empresa o que impede aplicação de restrições; Falta de regras claras de utilização (ex. e-mail, redes...) e penalidades conhecidas por toda comunidade; Falta de investimento em segurança; Falta de alinhamento entre as necessidades estratégicas e a segurança; Falta de avaliação de impactos em mudanças por evolução ou demanda externa. Falta de gestão e acompanhamento de riscos; Inexistência quase que completa de um plano de continuidade / contingência. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 17
  • 49. Conceituação Controle básico Seg. em rede; Quando falamos em segurança, muitas vezes temos a impressão que se resume à própria rede. Na verdade a rede ao qual toda estrutura está ligada é apenas uma das variáveis da cadeia. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 18
  • 50. Conceituação Incidentes como: Spam; Worm / Trojam; Scan(pesquisa de portas vulneráveis); DoS(DenialofService – Negação de serviço ataque com intenção de derrubar provedor ou serviço); Open Proxy (envio de Spam - Robôs); Mau Uso (relacionado à violação de direito de uso). Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 19
  • 51. Conceituação Tem em sua maioria, origens comuns, que resultam na exploração de vulnerabilidade em servidores, desktops conectados à rede com serviços habilitados indevidamente. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 20
  • 52. Conceituação Exemplo: Spam podem conter anexos executáveis com a instalação de um worm/trojan e que por sua natureza se espalha buscando máquinas vulneráveis na rede. Tais vulnerabilidades podem habilitar máquinas (Open Proxy) que atual como servidores de protocolo smtp, no envio de Spam, fechando desta maneira o ciclo de propagação x infecção. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 21
  • 53. Conceituação Disponibilidade lógica da infra-estrutura: Switches + Roteadores Voip Redes sem fio Baixa velocidade (55 compartilhado – 60%); Facilidade de uso; Dificuldade de controle; Propenso interferência; “Roubo” de sinal. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 22
  • 54. Conceituação Contingência de sistemas Resiliência definido como a capacidade de o indivíduo lidar com problemas, superar obstáculos ou resistir à pressão de situações adversas - choque, estresse etc. - sem entrar em surto psicológico. Continuidade Garantia que os serviços serão mantidos! Redundância Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 23
  • 55. Conceituação Contingência de sistemas Criar sistemas com... Replicação síncrona; Em locais geograficamente separados; Com grande capacidade de armazenamento; Permita agregação de novos serviços. Sistemas redundantes? Ex. Emissor de NF-e padrão do ERP x Emissor NF-e Púplico Redundância de Link de comunicação Fontes alternativas de energia Caso cliente x Investimento gerador = R$ 70.000,00 Venda com exigência link diária: R$ 45.000,00 Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 24
  • 56. Conceituação Segurança em e-mail corporativo Nosso processo de comunicação via e-mail é mais vital que muitas vezes pensamos ser; Uso pessoal, profissional... Ele tem papel fundamental hoje na comunicação “semi-formal” entre pessoas; Garantir comunicação com cliente, formalizar uma decisão, solicitar informações, divulgar status... São algumas as funções do e-mail. Segurança no envio/recebimento e na continuidade do serviço são fundamentais. Hospedar interno x Hospedar em servidores especializados? Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 25
  • 57. Conceituação Segurança em e-mail corporativo Problemas mais graves SPAM´s USP – 80% Empresa x – 25% Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 26
  • 58. Conceituação Segurança em geral – boas práticas Estabelecimento de um comitê de análise / evolução, para discussão de processos e inovação; Conscientização dos usuários sobre segurança e controles simplificados do dia-a-dia; Garantir equiparação do conhecimento das ferramentas impactantes em segurança por parte dos usuários; Distribuição geral de anti-vírus (independente de uso pessoal ou não); Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 27
  • 59. Conceituação Controlando o ambiente externo Quais os “terceiros” que tem acesso à sua empresa? Provedores de acesso à internet; Visitantes; Outros clientes (concorrentes); Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 28
  • 60. Conceituação Proteção das camadas de rede O modelo OSI Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 29
  • 61. Conceituação O modelo OSI O processo começa na camada física (Camada 1) onde os sinais elétricos são convertidos entre “0” e “1” e terminam na camada de aplicação (onde atuam os protocolos de serviços básicos e de serviço ao usuário. O processo, de forma resumida, passa pela camada de rede (Camada 3) que é a responsável pelo tráfego no processo de internetworking. Partindo de roteadores, ela decide o melhor caminho; Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 30
  • 62. Conceituação O modelo OSI O processo começa na camada física (Camada 1) onde os sinais elétricos são convertidos entre “0” e “1” e terminam na camada de aplicação (onde atuam os protocolos, clientes de aplicação ... O processo, de forma resumida, passa pela camada de rede (Camada 3) que é a responsável pelo tráfego no processo de internetworking. Partindo de roteadores, ela decide o melhor caminho; Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 31
  • 63. Conceituação O Modelo TCP Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 32
  • 64. Conceituação Onde obter informação BlackLists (DSBL.org, NJABL); Coleta de estatísticas de segurança na internet (Dshield); Cert.br (Agência certificadora nacional). Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 33
  • 65. Conceituação Estatísticas de Ataque Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 34
  • 66. Conceituação Estatísticas de Ataque Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 35
  • 67. Conceituação Legendas: dos (DoS -- DenialofService): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede. invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede. web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet. scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador. fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem. outros: notificações de incidentes que não se enquadram nas categorias anteriores. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 36
  • 68. Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 37
  • 69. Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 38
  • 70. Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 39
  • 71. Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 40
  • 72. Conceituação Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 41
  • 73. Conceituação Ameaças Vírus, SPAM, Hackers; Terceirização de serviços de T.I.; Greves (continuidade); Adoção de tecnologias não maduras e soluções não padronizadas; Dependência da malha de conexão das operadoras (Comprometendo SLA e credibilidade); Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 42
  • 74. Conceituação Ações de segurança Antivírus Educação do Usuário Definição de políticas e normas de segurança Aplicações de patches Contingência/redundância Treinamento especializado Gerenciamento de aplicações Inventário/documentação Ferramentas centralizadas p/ atualização e análise sistemas Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 43
  • 75. Conceituação Ações de segurança Reposta a incidentes Divulgação de informações de segurança Eventos temáticos periódicos Instalação e configuração de servidores Scan institucional e obrigatório Controle de acesso Firewall IDS (IntrusionDetection System) Certificados digitais VPN Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 44
  • 76. Conceituação IDS (IntrusionDetection System) Tão importante como quanto impedir a entrada (firewall) é controlar o que já está na rede (ou tentando invadir). É aqui que o sistema de detecção de intrusos, muito negligenciado pelos Adm. Redes, vem à colaborar. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 45
  • 77. Conceituação IDS (IntrusionDetection System) Sua função é detectar mau uso de um usuário legítimo ou alguém tentando entrar. Roda em background na rede; Identificação de padrões, procurando aprender para maximizar a proteção. Podem controlar rede, hosts (o que navega e o que chega). Reações frente detecção: Envio de e-mail, sms, reconfiguração de elementos de rede como firewall ou roteadores e até encerramento de conexão. Exemplo de ferramenta: Snort Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 46
  • 78. Conceituação Utilização de firewall Eficácia em redes locais (inclusive desktop); Inclusive para identificação de tentativas de acesso à serviços. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 47
  • 79.
  • 84. Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 48
  • 85. Gerenciamento de Incidentes Como tratar os incidentes internos Os incidentes registrados precisam ser registrados, monitorados e tratados em sua causa raiz. Para isto, a ITIL provê processos e ferramentas que podem apoiar nesta ação. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 49
  • 86. Gerenciamento de Incidentes Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 50
  • 87. Gerenciamento de Incidentes Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 51
  • 88. Gerenciamento de Incidentes Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 52
  • 89. Gerenciamento de Incidentes Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 53
  • 90. Gerenciamento de Incidentes Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 54
  • 91.
  • 96. Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 55
  • 97. Plano de continuidade / contingência O que é? Gerenciar os riscos de falhas em serviços essenciais de TI através da prevenção dos riscos e do planejamento de recuperação em uma contingência, para dar suporte ao funcionamento contínuo dos negócios em nível específico dentro de um determinado conjunto de circunstâncias. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 56
  • 98. Plano de continuidade / contingência Por que GCSTI (Gerenciamento da continuidade em serviços de T.I.)? Vantagem competitiva Atender a requerimentos regulatórios Negociação dos prêmios com as seguradoras Exigência inerente de determinados Negócios Necessidade do Negócio de continuar a operar sem interrupções apesar das crises Aumento das ameaças e dos riscos associados aos Serviços de TI e ao Negócio Reputação. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 57
  • 99. Plano de continuidade / contingência Quando usar? Sob demanda; Sempre estar preparado (testar / simular); Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 58
  • 100. Plano de continuidade / contingência Sua idéia é ser acionado em caso de desastre. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 59
  • 101. Plano de continuidade / contingência E você nem perceber que aconteceu que algo errado aconteceu. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 60
  • 102. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 61
  • 103. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 62
  • 104. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 63
  • 105. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 64
  • 106. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 65
  • 107. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 66
  • 108. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 67
  • 109. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 68
  • 110. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 69
  • 111. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 70
  • 112. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 71
  • 113. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 72
  • 114. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 73
  • 115. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 74
  • 116. Plano de continuidade / contingência Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 75
  • 117. Em Resumo... Não abra mão da segurança em sua empresa; Não concentre a segurança nas mãos de uma única pessoa, cria a prática de um grupo de avaliação; Avalie os pontos mais importantes do negócio de sua empresa e estabeleça planos de resposta aos riscos; Monte com isso um plano de contingência, e não deixe para testar junto no momento de crise!!!!! Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 76
  • 118.
  • 123. Estudo de Caso (Avaliação)Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 77
  • 124. Vamos praticar Em grupos vamos avaliar alguns cases de segurança / contingência; Como resultado desta análise vamos criar: Em grupo, crie um comitê de gerenciamento de crise; Estabeleça o líder, pense em áreas como (sistemas, infra, relacionamento com cliente... ) e identifique cada responsável por estas áreas; Crie uma EAP contendo os grandes grupos de segurança que você julga importante controlar; Monte um dicionário da EAP contendo: Qual o ponto de segurança; Se é uma ameaça interna / externa; Ação sugerida para tratamento; Estabeleça um cenário de testes onde possamos validar (na prática) seu plano de contingência; Entregue ao final da aula, será avaliação do grupo. Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 78
  • 125. Vamos praticar Nossa base serão os textos: PodCast – Mineiros: Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 79
  • 126. Para concluir... Deus Faculdade Maringá Comunidade de GP Família Vocês alunos Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 80
  • 127. Para concluir... Mais informações em: E-mail: rfpsatin@yahoo.com.br Skype:rfpsatin Twitter:@ricardosatin Blog: http://ricardosatin.blogspot.com SlideShare: rfpsatin Profile: http://www.linkedin.com/in/ricardosatin Ricardo F. P. Satin, ITIL, MBA, PMP - rfpsatin@yahoo.com.br / @ricardosatin 81