Scribd Logo
Upload

Welcome to Scribd!

  • Aula 03 - SI2023

    Uploaded by

    Alcindo António
    8 views14 pages

    Original Title

    Aula 03_SI2023

    Copyright

    © © All Rights Reserved

    Available Formats

    PPT, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PPT, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    8 views14 pages

    Aula 03 - SI2023

    Uploaded by

    Alcindo António

    Copyright:

    © All Rights Reserved
    Download as PPT, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 14

    Seguranca informatica

    Politicas de Seguranca
    Definição da Política de Segurança

     Conjunto de regras e padrőes para assegurar as


    informações e serviços importantes para a
    empresa (proteção conveniente de hardware e
    software) garantir a confidencialidade, integridade
    e disponibilidade da informação.
    Considerações importantes para o
    desenvolvimento da política
     Política de segurança é uma ferramenta que
    Previni problemas legais
    Documenta a aderência ao processo de controle
    de qualidade
    Importante Formação de Comitê de Segurança da
    Informação Constituido por profissionais de diversas
    áreas(informática, engenharia, RH)
    Considerações importantes para o
    desenvolvimento da política
    Difinicao de Comitê de Segurança da Informação
    Criacao Catalogo de informações da organização agrupando-as.
    Difinicao de Políticas, normas e procedimentos simples compreensíveis
    homologadas e assinadas pela Alta Administração
    Implantação por fases alinhadas com as estratégias de negócio da empresa,
    padrőes e procedimentos já existentes orientadas aos riscos (medidas de
    proteção) Flexíveis (moldáveis aos novos requerimentos de tecnologia e
    negócio)
    Definir protetores dos ativos de informaçăo, priorizando os de maior valor e
    de maior importância positivas e năo apenas concentradas em açőes
    proibitivas ou punitivas.
    Etapas para o desenvolvimento da
    política Etapas
    Faze I - Levantamento de informações
    Fase II - Desenvolvimento do conteúdo das
    Políticas e Normas de Segurança
    Fase III - Elaboração dos Procedimentos de
    Segurança da Informação
    Fase IV - Revisão, Aprovação e Implantação das
    Políticas,Normas e Procedimentos de Segurança da
    Informação
    Etapas para o desenvolvimento da
    política Etapas fase I
    Obtenção dos padrões, normas e procedimentos de segurança já
    existentes para análise
    Entendimento das necessidades e uso dos recursos da tecnologia da
    informação (sistemas, equipamentos e dados) nos processos de
    negócios
    Obtenção de informações sobre os ambientes de negócios:Processos
    de negócios;Tendências de mercado;
    Controles e áreas de risco
    Obtenção de informações sobre o ambiente tecnológico:- Workflow
    entre ambientes de Redes de aplicações e Plataformas computacionais

    Etapas para o desenvolvimento da
    política Etapas - fase II.
    Gerenciamento da política de segurança:
    Definição da segurança da informação;
    Objetivo do gerenciamento;
    Fatores críticos de sucesso;
    Gerenciamento da versão e manutenção da política Referência para outras políticas,
    padrões e procedimentos
    Atribuição de regras e responsabilidades:
    Comitê de segurança da informação;
    Proprietário das informações;
    Área de segurança da informação;
    Usuários de informações;
    Recursos humanos;
    Auditoria interna.
    Critérios para classificação das informações:
    Introdução;
    Classificando a informação;
    Níveis de classificação;
    Reclassificação;
    Armazenamento e descarte;
    Etapas para o desenvolvimento da
    política Etapas - fase II.
    Procedimentos de segurança de informações:
    Classificação e tratamento de informações
    Notificação e gerenciamento de incidentes de segurança da informação
    Processo disciplinarAquisição e uso de hardware e software
    Proteção contra software malicioso
    Segurança e tratamento de mídias
    Uso de InternetUso de correio eletrônico
    Utilização de recursos de TI
    Backup
    Manutenção de teste e equipamentos
    Coleta e registro de falhas
    Gerenciamento e controle da rede
    Etapas para o desenvolvimento da
    política Etapas - fase II.
    Procedimentos de segurança de informações:
    Monitoração do uso e acesso aos sistemas
    Uso de controles de criptografia e gerenciamento de chaves
    Controle de mudanças operacionaisInventário dos ativos de
    informação
    Controle de acesso físico às áreas sensíveis
    Segurança físicaSupervisão de visitantes e prestadores de serviço
    Etapas para o desenvolvimento da
    política Etapas - fase III.
     Elaboração dos Procedimentos de Segurança da Informação
    Pesquisa sobre as melhores práticas em segurança da informação
    Desenvolvimento de procedimentos e padrões, para discussão
    com a Alta Administração, de acordo com as melhores práticas de
    mercado e com as necessidades e metas da organização
    Formalização dos procedimentos para integrá-los às políticas
    corporativas
    Etapas para o desenvolvimento da
    política Etapas - fase IV.
    Revisão, Aprovação e Implantação das Políticas, Normas e
    Procedimentos de Segurança da Informação
    Efetiva implantação das políticas, normas e procedimentos de
    segurança da informação por meio das seguintes iniciativas
    Politicas Fisicas e Logicas
    1. Controles possíveis com a segurança física: limitar o contato ou acesso direto
    a informação ou a infraestrutura (que garante a existência da informação) que a
    suporta. Existem mecanismos de segurança que apóiam os controles físicos –
    Portas / trancas / paredes / blindagem / guardas /Sinalização, Crachá de
    Circulação, Zoneamento, Áreas restritas, Graus de severidade

    2. Controles possíveis com segurança lógica: impedir ou limitar o acesso a


    informação, que está em ambiente controlado, e que sem tais controles, modo
    ficaria exposta a alteração não autorizada por elemento mal intencionado.
     Mecanismos de cifração ou encriptação
     Assinatura digital – Garante a Origem
    Mecanismos de garantia da integridade da informação
     Mecanismos de controle de acesso: Palavras-chave, sistemas
    biométricos, firewalls, cartões inteligentes.
    Mecanismos de certificação: Atesta a validade de um documento.
    Integridade: Medida em que um serviço/informação é genuíno,
    isto é, está protegido contra a personificação por intrusos.
    Protocolos seguros: Uso de protocolos que garantem um grau
    de segurança
    Politicas Fisicas e Logicas
    Convergência física e lógica
     A convergência física e lógica nada mais é do que integrar ambas, por
    exemplo, vamos imaginar um cenário que tenhamos câmeras espalhadas
    pela empresa inteira, porém apenas as câmeras são ineficientes para fins
    de investigação, ou seja, apenas exibi o que acontece naquele momento,
    mas sem gravar nada. Uma forma de realizar uma convergência é
    exatamente começar a gravar os dados, ou seja, tudo que for filmado você
    irá armazenar em um computador com HD suficiente para isso, essa é uma
    forma de convergir segurança física e lógica.
     Outro exemplo suponha que a empresa possui catracas físicas, onde o
    funcionário passa o crachá e entra, uma integração pode ser armazenar os
    dados da entrada e saída do funcionário, com haverá rastreabilidade dos
    funcionários.
    Assegurar para estar seguro

    You might also like