ICFAR- Prof. Edésio
Análise de Risco IBTA Pós Graduação em Segurança da Informação Faculdade IBTA
Ana Paula Bandeira Lauria Rafael Binder Negreiros Pereira
Análise de Vulnerabilidades • Verificar a existência de falhas de segurança no ambiente analisado. • A análise é uma importante ferramenta para a implementação de controles de segurança eficientes sobre os ativos de informação. • Verificar se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços que fornece ou desempenha.
Pós-Graduação
Acordo de Confidencialidade
Qualquer informação constante nesta apresentação é de caráter confidencial e pertencente ao IBTA
Pós-Graduação
Ativos da informação • • • •
Tecnologias Processos Pessoas Ambientes
Pós-Graduação
Auditoria • A auditoria foi realizada no laboratório 32 do IBTA em busca de vulnerabilidades que possam comprometer os 3 pilares da segurança da informação • Foi utilizado o checklist da norma ISO 17799
Pós-Graduação
Infra-estrutura • 19 computadores, dos quais 18 são para os alunos e 1 para o professor • Rede wireless com segurança WEP
Pós-Graduação
Objetivo do laboratório
Prover recursos para que os professores possam ministrar corretamente suas aulas
Pós-Graduação
VULNERABILIDADES ENCONTRADAS
Pós-Graduação
Política de segurança • Não existe uma política de segurança da informação
Pós-Graduação
Política de segurança • Existe um aviso colado na parede com as regras do laboratório, mas está desatualizado
Pós-Graduação
Segurança organizacional • Não existe uma pessoa responsável pela segurança da informação
Pós-Graduação
Classificação e controle dos ativos • O entrevistado desconhece qualquer documento de controle de ativos (tanto hardware quanto software)
Pós-Graduação
Segurança em pessoas • Os alunos assinam um termo de responsabilidade de recursos tecnológicos, mas o entrevistado não tem certeza de que o processo seja cumprido integralmente • Não existem treinamentos ou atualizações regulares sobre os procedimentos e normas de segurança da instituição • Não existe procedimento de notificação de incidentes e falhas de segurança
Pós-Graduação
Segurança física e do ambiente • Falta de controle de acesso para identificação de quais pessoas entraram no laboratório
Pós-Graduação
Segurança física e do ambiente • Não existe extintor de incêndio
• Não existe detector de fumaça
Pós-Graduação
Segurança física e do ambiente
• Não existe luz de emergência
Pós-Graduação