Segurança da Informação
Tecnologia da Informação

Segurança da Informação


Pequeno resumo da dissertação para obtenção de titulo de Mestre em Administração de Josué das Chagas Menezes,dissetação que virou Livro.

O autor cita três ondas de segurança, que nos primórdios a segurança era apenas voltada aos bens materiais, preocupando apenas com furtos e bens.
Na segunda onda na era industrial a falta de segurança se via em como evitar fraudes, assaltos, sabotagens, roubos e incêndios criminosos, ja terceira onda, a Informação era considerada a propulsão da economia, com isso a segurança da informação era um novo conceito.
Na área militar dos EUA , houve uma iniciativa para criação de um sistema de comunicação seguro, e que não dependesse de apenas uma linha de comunicação, que fosse capas de se comunicar mesmo que uma linha fosse destruída outras rotas poderiam ser utilizadas.
Após isso nasceu a conhecida INTERNET, que inicialmente teve objetivos militares, após alguns anos e aperfeiçoamento sua utilização e começou a ser voltada para interesses comerciais.
Voltando a terceira onda onde a informação é a fonte de conhecimento que gera riquezas, onde podemos patentear nossas ideias/invensões, e que roubos de informações confidenciais geram lucros a empresas concorrentes.
Com o crescimento da internet criou-se um Comite Gestor da Internet no Brasil o CGIbr, com o órgão funcionando o numero de incidentes reportados cresceu exponencialmente e a preocupação com a segurança estava cada vez maior.
A área Jurídica no Brasil relacionada a crimes na internet carece de leis específicas para punir os crimes digitais, mas o poder judiciário vem aplicando a legislação vigente aos crimes cibernéticos, diversos projetos de leis vem sendo votados no senado, tais como obrigatoriedade dos provedores de acesso em manter o log das conexões dos usuários por 3 anos, ou um projeto de lei que define melhor os crimes sobre pornografia infantil.
Em 1995 , com os problemas de segurança da informação o British Standard Institute, entidade do Reino Unido criou um padrão para orientar as empresas que foi dividido em duas partes: "Code of Practice for Information Security Management" e " Specification for Information Securtiy Management System" que em 1999 foi adotada pelo ISO e foi adotada a primeira parte no Brasil pela ABNT
A ISO/IEC 17799 define a segurança da informação como um ativo importante para os negócios mas apenas aponta o caminho para que as empresas procedam para gerencia dos riscos conforme suas atividades, os três pontos básico são:
a)À avaliação de risco dos ativos, pela identificação das ameaças, das vulnerabilidade e sua probabilidade de ocorrência;
b)A análise da legislação vigente, estatutos, regulamentação e as cláusulas contratuais que a organização, seus parceiros e terceiros tem que atender;
c)Os conjuntos particulares de princípios, objetivos e requisitos para processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
A norma trás 11 tópicos para apoiar o gestor responsável pela introdução da segurança nas organizações
>Termos e Definições: define três pilares: Segurança da informação (significa confiabilidade, integridade e disponibilidade), avaliação de risco e gerenciamento de risco;
> Política de Segurança: envolve a elaboração do documento da política da segurança, que deve ser apoiado e aprovado na mais alta gerencia;
> Segurança Organizacional: orientação na criação da infra-estrutura da segurança da informação, onde gere a segurança e responsabilidade pelo processamento da informação terceirizada para outra organização;
>Classificação e controle dos ativos da informação: recomenda a classificação segmentando os níveis de sensibilidade da informação para que os níveis mais sensíveis possuam maior prioridade na segurança, todos os pontos devem ser contabilizados e seus responsáveis.
>Segurança em Pessoas: voltado para a redução de riscos de causa humana, como fraude e uso indevido de informações, o ele mais fraco na corrente da proteção é o usuário;
>Segurança física e do ambiente: é necessário que as instalações sejam mantidas em áreas seguras, com perímetro definido e protegido com barreiras de segurança e controle de acesso, para que somente pessoas devidamente autorizadas possam ter acesso, isto visa manter a segurança da instalação física;
>Gerenciamento das operações e comunicações: quando apropriado visa orientar o principio de segregação de funções para reduzir o risco de uso negligente ao próprio sistema, também recomendações para garantir a operação segura e correta do processamento da informação;
>Controle de Acesso: o controle de acesso lógico aos recursos computacionais, gerenciando as responsabilidades de cada usuário, o principio que deve ser aplicado no CA é "tudo deve ser proibido a menos que expressamente permitido", outros pontos como sincronização de relógios e acesso remoto;
> Desenvolvimento e manutenção de sistemas: é um ponto sensível, pois envolve todos os pontos do desenvolvimento , validação de mensagens de entrada e saída, criptografia e acesso a bibliotecas de programa fonte, e dispõe que planos de contingência e todos os requisitos de segurança sejam acordados no levantamento do projeto;
>Gestão da continuidade do negócio: Análise, documentação e implantação de plano para garantir a recuperação das operações vitais;
> Conformidade: levanta a necessidade de que todas as políticas implantadas estejam em conformidade com as leis contratos vigentes, para evitar violação de qualquer natureza que possa trazer prejuízos, vale ressaltar que as leis variam de país para país por isso quando existe transações internacionais os cuidados devem ser dobrados.

Com essa pequena abordagem sobre a ISO/IEC 17799 podemos ver claramente que não é um manual sobre a criação e gestão da segurança específico, ele aborda todos os temas, mas a política de segurança varia com a necessidade de cada empresa ou organização, fazendo que uma política de segurança da empresa X não causa efeitos na empresa Z, Devemos levar em consideração a necessidade de criar uma política de segurança alinhada aos negócios da empresa, facilitando a adoção e evitando medidas desnecessárias.



loading...

- Informativo - Exames
Segurança em Redes -> 14/12/2015 Tecnologia de Redes -> 15/12/2015 Avaliação presencial do Curso EAD de Shell Script 16/12/2015 Projeto de Redes I - > 17/12/2015...

- Mudando Senha De Usuário Utilizando Passwd Sem Interação ( Shell Script )
Já havia pesquisado como alterar a senha de um usuário do linux por script, e nunca encontrei a resposta. Este semestre um aluno questionou como realizar esta operação que quando redirecionamos a saída do comando utilizando o | (pipe ) apresenta...

- Open Vpn
Originalmente este foi um pequeno trabalho para matéria de Laboratório de Redes do meu cusro de Tecnologia em Segurança da Informação, a maior parte deste tutorial foi copiada do site do Guia do Hardware com algumas modificações. Não...

- Psql Não é Reconhecido Como Um Comando Interno
Para este erro não ser exibido no prompt de comando de comando é necessário configurar a variável de ambiente.  Para configurar a variável de ambiente no windows siga os seguintes passos: Selecione "Iniciar", logo após selecione "Painel...

- [oracle] Oracle Managed Files (omf)
O uso do OMF tira a necessidade do DBA manipular arquivos que compõem o banco de dados diretamente no sistema operacional. Você especifica as operações em termos de objetos de banco de dados ao invés de nomes de arquivos. Internamente o Oracle Database...



Tecnologia da Informação








.