O documento discute conceitos fundamentais de segurança da informação, incluindo ameaças, vulnerabilidades, incidentes e impactos. Também aborda tópicos como fraude, documentos digitais, assinatura digital, integridade, autenticidade e não repúdio.
Políticas e procedimentos em Segurança da Informação
1. Políticas,
práticas e
procedimentos
em Segurança
da Informação
prof. Roberto Dias Duarte
Melhor prevenir, que remediar!
prof. Roberto Dias Duarte
Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuters
sábado, 7 de maio de 2011
2. Com licença, sou o
Roberto
“Conheço apenas
minha ignorância”
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
3. Big Brother Fiscal IV
Disponível em
maio/2011
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
4. Big Brother Fiscal IV
Disponível em
maio/2011
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
7. Trabalhos
• 07.05 - Diagnóstico de segurança da empresa:
contexto empresarial, visão, missão,
estratégias, indicadores, normas reguladoras e
“lacunas” de segurança. (30 pontos)
• 14.05 - Ante-projeto Prática de Segurança:
diagnóstico, problema, solução, custo,
beneficios, análise de riscos, macro-
cronograma. (30 pontos)
• 28.05 - Elaborar um plano de implantação de
política de segurança e o manual se segurança
da informação. (30 pontos)
sábado, 7 de maio de 2011
8. Trabalhos
Todo o projeto deve ser alinhado à estratégia empresarial e/ou marcos
regulatórios de uma empresa, apontando custos e benefícios
• 1. Lembrem-se dos indicadores de desempenho da empresa: receita,
rentabilidade, retenção de clientes, etc.
• 2. Toda organização está inserida em um ecossistema onde há diversos
marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista,
ANEEL, ANAC, consumidor, SAC, etc.
• 3. Derivem os indicadores de GSI a partir dos indicadores empresariais
(ou marcos legais).
• 4. Determinem o planejamento de implantação da política de segurança
para um indicador ou marco legal - se fizerem para mais de um, não há
problema, mas o esforço de trabalho é proporcional à quantidade de
métricas.
• 5. Derivem os processos de segurança e as atividades a partir das
políticas.
• Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de
sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a
empresa a melhorar algum indicador de desempenho ou manter a
compatibilidade legal regulatória do setor.
sábado, 7 de maio de 2011
9. 1o Trabalho
Diagnóstico de segurança da empresa: contexto
empresarial, visão, missão, estratégias,
indicadores, normas reguladoras e
“lacunas” (Gap’s) de segurança.
Prazo: 7.5.2011 às 11:00
Pode ser em grupo
Escolha uma empresa para o estudo de caso real
sábado, 7 de maio de 2011
10. 1. Contexto empresarial
1.2.Visão
•1.1. Missão
É o sonho da organização, é o
– É a razão de existência
futuro do negocio e onde a
de uma organização.
organização espera estar nesse
futuro.
•1.3. Estratégia
•“Forma de pensar no futuro, integrada no
processo decisório, com base em um
procedimento formalizado e articulador
de resultados” (Mintzberg).
sábado, 7 de maio de 2011
11. 2. Públicos
Consumidores
Clientes
Investidores
Parceiros
sábado, 7 de maio de 2011
13. 4. Normas reguladoras
1. Em quais ecossistemas a empresa está
inserida?
2. Quais os agentes reguladores e normas?
IFRS
ANATEL
SPED Sindicatos
ANAC SOX NF-e Consumidor
ANEEL Basiléia RFB Clientes
CMV
SEFAZ Franqueadores
BACEN
Parceiros
Contratos
sábado, 7 de maio de 2011
14. 5. Lacunas de segurança
1.Liste 7 lacunas de segurança da empresa
2. Relacione as lacunas com os indicadores ou
normas
3. Estabeleça as 3 de maior relevância,
explicando os motivos
sábado, 7 de maio de 2011
21. O que é fraude?
É um esquema
ilícito ou de má fé
criado para obter
ganhos pessoais.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
22. Fatores primários
1 - Existência de golpistas
motivados.
• Ineficiência das leis;
• incerteza da pena;
• incerteza jurídica;
• existência de oportunidades;
• pouca fiscalização.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
23. Mas principalmente
porque...
o desrespeito às
leis é considerado
comportamento
“normal”.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
24. Mas principalmente
porque...
o desrespeito às
leis é considerado
comportamento
“normal”.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
25. Fatores primários
2 - Existência de vítimas vulneráveis
• Pouca informação e divulgação
preventivas;
• ignorância e ingenuidade;
• ganância;
• o desrespeito às leis é
considerado comportamento
“normal”.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
26. Fatores primários
3 - Falta de controle ou fiscalização
• percepção do problema como
não prioritário;
• despreparo das autoridades;
• escassa coordenação de ações
contra fraudadores;
• falta de leis específicas e pouca
clareza em algumas das
existentes.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
40. Ativo? Intangível?
“Um ativo intangível é um
ativo não monetário
identificável sem
substância física ou,
então, o ágio pago por
expectativa de
rentabilidade futura
(goodwill)”
Fonte: http://www.cpc.org.br
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
42. Assinatura Digital
É um método de autenticação
de informação digital
Não é Assinatura Digitalizada!
Não é Assinatura Eletrônica!
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
44. Como funciona?
HASH é
gerado a
partir da
chave pública
O HASH é
Autor assina descriptografado
a com sua partir da chave
chave privada pública
Novo HASH
é gerado
HASH é
armazenado
na mensagem
Novo HASH é comparado
com o original
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
45. Documentos Digitais
MP 2.200-2 de Agosto/2001
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
46. Documentos Digitais
MP 2.200-2 de Agosto/2001
“As declarações constantes dos documentos em
forma eletrônica produzidos com a utilização de
processo de certificação disponibilizado pela
presumem-se
ICP-Brasil
verdadeiros em relação
aos signatários”
(Artigo 10o § 1o)
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
47. Documentos Digitais
MP 2.200-2 de Agosto/2001
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
48. Documentos Digitais
MP 2.200-2 de Agosto/2001
“O disposto nesta Medida Provisória não obsta a
utilização de outro meio de comprovação da
autoria e integridade de documentos em forma
eletrônica, inclusive os que utilizem certificados
não emitidos pela ICP-Brasil, desde que
admitido pelas partes como válido ou aceito
pela pessoa a quem for oposto o documento.”
(Artigo 10o § 2o)
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
50. Caso real
Integridade
Autenticidade
Não repudio
Disponibilidade
Confidencialidade
Auditabilidade
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
51. Caso real
Integridade
Autenticidade
Não repudio
Disponibilidade
Confidencialidade
Auditabilidade
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
53. Carimbo do tempo
Certifica a autenticidade temporal
(data e hora) de arquivos eletrônicos
Sincronizado a “Hora Legal
Brasileira”
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
55. Integridade
Qualquer alteração
da mensagem faz
com que a
assinatura não
corresponda mais
ao documento
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
61. Confidencialidade
Passo 1: Alice envia sua
chave pública para Bob
Passo 2: Bob cifra a
mensagem com a
chave pública de Alice
e envia para Alice, que
recebe e decifra o
texto utilizando sua
chave privada
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
65. Auditabilidade
Deve haver
informação
relativa às
ações de
alteração
ou consulta
de dados Quem?
Quando?
O que fez?
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
66. Por que preciso saber
disso?
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
67. Ecosistema Fiscal
NF-e
NFS-e EFD ICMS/IPI
CT-e
EFD/CIAP
Tem nota? CF-e Brasil-id
EFD PIS/COFINS
CC-e Siniav
Entregou? EFD/FOLHA
Fisco
NF-e SPED Contábil
Vendeu?
NFS-e EFD Contábil
CF-e
CC-e
Recebeu? Cliente
Produziu?
Contador
NF-e
Estoque? Pagou? NFS-e
CF-e
CC-e Fornecedor
Comprou?
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
68. Vamos entender as
principais
vulnerabilidades das
empresas no mundo do
pós-SPED?
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
69. O que é a Nota
Eletrônica?
“Podemos conceituar a Nota Fiscal Eletrônica
como sendo um documento de existência
apenas digital, emitido e armazenado
eletronicamente, (...)
Sua validade jurídica é garantida pela
assinatura digital do remetente (garantia de
autoria e de integridade) e pela recepção, pelo
Fisco, do documento eletrônico, antes da
ocorrência do fato gerador.”
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
78. Vulnerabilidade #1
Te n h o q u e
ver ificar o
arquivo XML
Cláusula décima
§ 1º O destinatário
deverá v e r i fi c ar a
vali dade e
autenticidade da NF-e
e a exis tênci a de
Autorização de Uso da
NF-e.
Ajuste SINIEF 07/2005
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
82. Vulnerabilidade #2
Cláusula quarta
Ainda que formalmente regular,
não será considerado
documento fiscal idôneo a NF-e
que tiver si do emiti da o u
utilizada co m do lo, f rau de,
s i m u la ç ã o o u e r r o, q u e
possibilite, mesmo que a terceiro,
o não-pagamento do imposto ou
q u al q u er o ut r a va ntag e m
indevida. Ajuste SINIEF 07/2005
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
86. Vulnerabilidade #3
ATO COTEPE/ICMS Nº 33 /2008
Efeitos a partir de 01.01.12:
Art. 1º Poderá o emitente solicitar o cancelamento
da NF-e, em prazo não superior a 24 horas, contado
do momento em que foi concedida a respectiva
Autorização de Uso da NF-e, desde que não tenha
ocorrido a circulação da mercadoria ou a prestação
de serviço e observadas às demais normas constantes
do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
90. Vulnerabilidade #4
Cláusula Sétima
§ 7º O emitente da NF-e deverá,
obr ig ato r i am e nte, e ncam inhar o u
disponibilizar download do arquivo
da NF-e e seu respectivo Protocolo de
Autorização de Uso ao destinatário e
a o t r a n s p o r t a d o r c o n t r at a d o,
imediatamente após o recebimento da
autorização de uso da NF-e.
Ajuste SINIEF 07/2005
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
94. Vulnerabilidade #5
Cláusula décima
O emitente e o destinatário deverão manter a NF-e em arquivo
d ig i tal, sob sua guarda e re sp o nsabi l i dade, p elo prazo
estabelecido na legislação tributária, mesmo que fora da empresa,
devendo ser disponibilizado para a Administração Tributária
quando solicitado. (...)
§ 2º Caso o destinatário não seja contribuinte credenciado para a
emissão de NF-e, alternativamente ao disposto no “caput”, o
destinatário deverá manter em arquivo o DANFE relativo a NF-e
da operação, devendo ser apresentado à administração tributária,
quando solicitado.
§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido
na legislação tributária o DANFE que acompanhou o retorno de
mercadoria não recebida pelo destinatário e que contenha o
motivo da recusa em seu verso.
Ajuste SINIEF 07/2005
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
98. Vulnerabilidade #6
“ E m p ré s t i m o ” d e s e n h a e
ar mazenam ento de
certificados digitais
eCPF, eCNPJ, ePJ
A1, A3, HSM
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
99. O que causa
vulnerabilidade?
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
100. Causas das
vulnerabilidades
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
101. Causas das
vulnerabilidades
Tecnologia precária
Falta de conhecimento
Ganância: preços abaixo do
mercado
Desrespeito as leis encarado
como comportamento comum
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
104. Consequências
Mercadorias sem documento
idôneo
Mercadorias de origem ilícita
Problemas fiscais: documentos
inidôneos
Sigilo fiscal e comercial violados
Assinatura de contratos e
outros documentos
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
108. O dono da bola
Quem é o responsável pela gestão da informação?
Definições:
políticas de segurança
políticas de backup
políticas de contingência
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
109. Termo de compromisso
Formaliza responsabilidades:
Sigilo de informações;
Cumprimento de normas de segurança;
Conduta ética.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
110. Autenticação individual
Identifica as pessoas:
Senha;
Cartão ou token;
Biometria;
Certificado Digital.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
113. Cópias de segurança
Qual a política definida?
Qual a cópia mais antiga?
Os arquivos das estações
têm cópias?
Os servidores têm cópias?
Onde são armazenadas?
Em que tipo de mídia?
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
114. Software homologado
Itens de verificação:
manutenção
treinamento
suporte
condições comerciais
capacidade do fabricante
tendências
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
115. Uso de antivírus
Prevenção além do software:
Anexos
Executável? No way!
Download? Só de sites confiáveis
Backup, sempre
Educação
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
116. O Carona
Prevenção contra
“sessões abertas” em sua
ausência:
Conduta: Suspensão
ou encerramento da
sessão;
Mecanismo:
Suspensão ou
encerramento da sessão.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
117. Correio eletrônico
Pishing
Muitos golpes:
Notícias falsas
Propostas “irresistíveis”
Seu CPF foi...
Atualize sua senha...
blá, blá, blá...
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
118. Informações pessoais
Cuidado com informação de:
Funcionários
Clientes
Parceiros
Quem pode acessar?
Parceiros?
Uso comercial?
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
119. Ambiente Físico
Ahhh, reuniões rápidas:
no elevador
na festa
no avião
Quadros, flip chart, relatórios, etc
Lixão, de novo?
Quem entra, quem sai?
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
120. Engenharia social
Procedimentos para obtenção de informações
através de contatos falsos
“Conversa de malandro”
Lixão
Habilidades do farsante:
fala com conhecimento
adquire confiança
presta “favor”
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
121. Uso da Internet & Redes
Sociais
Qual a sua opinião?
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
122. Uso da Internet & Redes
Sociais
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
123. Uso da Internet & Redes
Sociais
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
124. Ações preventivas
Conhecimento
Física
Análise
Software
Planejamento
Humana
Investimento
Educação.
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
125. Ações detectivas
Quanto antes, melhor Conhecimento
Monitoramento de Análise
eventos
Planejamento
O que monitorar?
Investimento
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
126. Ações corretivas
Minimizar o problema
Quanto mais rápido,
melhor
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
127. Plano de continuidade
Contexto empresarial
Mapeamento de riscos
Conhecimento
Análise
Planejamento
Investimento
Educação
Simulação
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
128. Direitos do usuário
Acesso individual Treinamento sobre
segurança
Informações para
trabalhar Comunicar ocorrências
de segurança
Saber o que é rastreado
Garantia de privacidade
Conhecer as políticas e
normas Ser mais importante
que a tecnologia
Ser avisado sobre
tentativas de invasão
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
129. Mensagem sobre o
segurança
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
130. Mensagem sobre o
segurança
prof. Roberto Dias Duarte
sábado, 7 de maio de 2011
131. 2o Trabalho
Ante-projeto Prática de Segurança: diagnóstico,
análise de riscos, problema, solução, custo,
beneficios, macro-cronograma.
Prazo: 14.5.2011 às 07:40
Pode ser em grupo
Escolha uma empresa para o estudo de caso real
sábado, 7 de maio de 2011
132. 2o Trabalho
1. Ajustar o diagnóstico reavaliando as lacunas
2. Análise de risco considerando as 7 lacunas
relacionadas
3. Definir estratégia para cada lacuna: mitigar,
transferir, reduzir,aceitar
4. Identificar problema, solução, custo,
beneficios, macro-cronograma para 3 lacunas.
sábado, 7 de maio de 2011