Aula 01 - Introdução

1. Segurança da Informação
Professor: Igor Maximiliano
prof.igormaximiliano@gmail.com

2. Apresentações

3. Data
18/08/2016
08/09/2016
13/09/2016
15/09/2016

4. Avaliações
Nota N 1 – 13/09/2016
8,0 Atividade em sala de aula.
2,0 Participação / Frequência.
Nota N 2 – 15/09/2016
10,0 Prova

5. Apostila da Disciplina
https://goo.gl/C8zm0L

6. Introdução
O que é segurança da informação?

7. Segurança da informação
É a proteção das informações, sistemas,
recursos e demais ativos contra desastres,
erros(intencionais ou não).
Manipulação não autorizada e proteção de
vários tipos de ameaças para garantir a
continuidade do negócio.

8. Introdução
A informação pode existir em diversos formatos:
impressa, armazenada eletronicamente, falada,
transmitida pelo correio convencional de voz ou
eletrônico etc.

9. Introdução
“Não importa a forma que a informação toma,
ou os meios pelos quais ela é compartilhada ou
armazenada. Ela deve sempre ser
apropriadamente protegida”.

10. Introdução

11. Dado
E qualquer elemento identificado em sua
forma bruta que, por si só, não conduz
uma compreensão de um determinado
fato ou situação.
“Dados são átomos da Informação ”

12. Informação
São os resultados dos dados devidamente
tratados, comparados, classificados,
relacionáveis entre outros dados servindo para
tomadas de decisões .
“São os dados trabalhados, gerando a
informação”

13. Conhecimento
É o conjunto de ferramentas conceituais e
categorias usada para criar, colecionar,
armazenar e compartilha a informação.
“São as informações trabalhadas ”

14. Valor da Informação.
O valor da informação é determinado pelo que
a organização ou usuário dá à ela.

15. Sistema da Informação
É toda combinação de meios,
procedimentos, regras é pessoas que
asseguram o fornecimento de
informações para um processo
operacional.

16. Sistema da Informação

17. Ativos
Qualquer coisa que tenha valor para
organização e para seus negócios.

18. Ativos
 Informação eletrônica;
 Documentos em papel;
 Software em uso ou em desenvolvimento;
 Hardware computadores, servidores
componentes;
 Instalações;
 Pessoas e seu conhecimento;
 Imagem e reputação da organização;
 Serviços.

19. Ameaças
Qualquer coisa (o homem fez ou ato da
natureza), que tem o potencial de causar
danos aos ativos da empresa.
 Ameaças Humanas;
 Ameaças Não Humanas;

20. Ameaças

21. Ameaças Humanas

22. Ameaças Não Humanas

23. Vulnerabilidade
Qualquer fraqueza que possa ser
explorada e comprometer a segurança do
sistema de informação.
 Vulnerabilidade = Ponto Fraco

24. Vulnerabilidade
 Falta de backup
 Armazenamento Inadequado
 Falta de mecanismo de monitoramento
 Contratação

25. Risco
Probabilidade de um evento ocorrer,
explorando as vulnerabilidades.

26. Ataque
Qualquer ação que comprometa a
segurança de uma organização.

27. Impacto
Qualquer ação que comprometa a
segurança de uma organização.

28. Impacto
 Perda de clientes e contratos
 Danos a imagem •Perda de Produtividade
 Aumento no custo do trabalho para conter,
reparar e recuperar.
 Aumento de seguros
 Penalidades e multas

29. Princípios Básicos da segurança
da informação

30. Princípios Básicos da segurança
da informação
Confidencialidade. (Confidencial, Sigilo )
É a proteção de dados contra acesso não
autorizado, inclui medidas para proteger a
privacidade.

31. Princípios Básicos da segurança
da informação
Integridade. (Íntegro, Correta )
A característica da integridade é ela ser
correta e sem erros

32. Princípios Básicos da segurança
da informação
Disponibilidade. (Disponível, Funcional )
Determina que os recursos estejam
disponíveis para acesso, sempre que
solicitado

33. Princípios Básicos da segurança
da informação
Disponibilidade - Características

34. Princípios Básicos da segurança
da informação
Autenticidade. (Autêntico )
Origem e destino verificam a identidade
da outra parte envolvida na comunicação

35. Princípios Básicos da segurança
da informação
Não Repúdio (Não Recusa)
Garantia que o emissor de uma
mensagem ou a pessoa que executou
determinada transação de forma
eletrônica,

36. Princípios Básicos da segurança
da informação
Não Repúdio (Não Recusa)
Só se pode garantir o não-repúdio quando
houver:
AUTENTICIDADE e INTEGRIDADE.

39. Pilares da Segurança da Informação
Disponibilidade
É o grau em que a informação estão disponíveis para o
usuário e para o sistema de informação que esta em operação
no momento que a organização requer.

40. Pilares da Segurança da Informação
Características da Disponibilidade
 Pontualidade. Os sistemas de informação estão disponíveis
quando necessário;
 Continuidade. A organização pode continuar trabalhando no
caso de falha.
 Robustez. Existe capacidade suficiente , o que permite que
toda organização trabalhe no sistema.

41. Pilares da Segurança da Informação
Integridade
É o grau em que a informação está atualizada e sem erros. A
característica da integridade é ela ser correta e sem erros.

42. Pilares da Segurança da Informação
Integridade
A perda de integridade surge no momento em que uma
determinada informação fica exposta ao manuseio de uma
pessoa não autorizada, que efetua alterações que não foram
aprovadas e não estão sob controle do proprietário da
informação

43. Pilares da Segurança da Informação
Confidencialidade
É o grau no qual o acesso à informação é restrito para
determinados grupos de pessoas autorizadas a ter este
acesso. Isso também inclui medidas para proteger a
privacidade.

44. Pilares da Segurança da Informação
Confidencialidade
É o grau no qual o acesso à informação é restrito para
determinados grupos de pessoas autorizadas a ter este
acesso. Isso também inclui medidas para proteger a
privacidade.

45. Política da Segurança da Informação

46. Política da Segurança da Informação
A política da segurança da informação é o documento maior, que inclui
documentos, procedimentos e guias do que se deve seguir e que
provem detalhes.
Deve ser escrita de acordo com os requisitos do negócio e com as
regulamentações e legislação aplicáveis, deve ser aprovada pela
direção e comunicada a todos os funcionários e partes externas
relevantes .

47. Política da Segurança da Informação
E comum que a política da segurança da informação ter um estrutura
hierárquica pois várias outras politicas serão desenvolvidas tendo a
política da organização como base.

48. Política da Segurança da Informação
Elabora a política da segurança da informação e uma coisa,
implementar e verificar se ela está sendo cumprida e outra.
Muitas empresas trabalha com o ciclo PDCA
P= Planejar
D = Desenvolver
C = Checar
A = Agir

49. Política da Segurança da Informação

50. Ameaças e Riscos à
Informação

51. Ameaças e Riscos à
Informação
 As ameaças aproveitam das falhas de segurança da organização,
que é considerado como ponto fraco, provocando possíveis danos,
perdas e prejuízos aos negócios da empresa. Elas são constantes
podendo acontecer a qualquer momento.

52. Ameaças e Riscos à
Informação
Um risco, dano ou perda de informação é determinado pela ameaças,
ou melhor, a chance desta ameaças ocorrerem e suas consequências

53. Ameaças à informação
 Funcionários descontentes ou desmotivados.
 Baixa conscientização nos assuntos de segurança.
 Aumento da complexidade e eficácia das ferramentas de hacking e
dos vírus.
 E-mail
 Inexistência de planos de recuperação a desastre
 Desastre(naturais ou não, como incêndio, inundações, terremoto,
terrorismo)
 Falta de políticas e procedimentos implementados

54. Vulnerabilidades

55. Vulnerabilidades
 São fraquezas associadas aos ativos da organização.
 Identificar e eliminar os pontos fracos de um ambiente de tecnologia
da informação é um dos primeiros passos para garantir uma melhora
na segurança da informação. Quando identificado as
vulnerabilidades, os riscos ficarão melhores dimensionados nos
locais que estão expostos, facilitando assim, a definição de uma
medida de segurança para fazer a correção.

56. Vulnerabilidades
 Físicas – Instalações prediais fora do padrão;
 Hardware – Falha nos recursos tecnológicos;
 Software – Sistemas mal instalados, erros nas versões dos softwares,
falta de atualização, etc;
 Mídias – Informações que ao serem gravadas, não fazem a devida
proteção nas mesmas;
 Comunicação – Rompimento de cabos comunicação;
 Humanas – Ação humana que prejudica a segurança devido a falhas no
treinamento destas ou outras situações causadas pela ação do homem;

57. Impactos no negócio

58. Impactos ao negócio
 Perda de clientes e contratos
 Danos a imagem
 Perda de Produtividade
 Aumento no custo do trabalho para conter, reparar e recuperar.
 Aumento de seguros
 Penalidades e multas

59. Firewall
 Firewall é um software ou um hardware que verifica informações
provenientes da Internet ou de uma rede, e as bloqueia ou permite
que elas cheguem ao seu computador

60. Backup
 Backup: cópia de segurança (em inglês: backup) é a cópia de dados
de uma mídia ou dispositivo de armazenamento a outro para que
possam ser restaurados em caso da perda dos dados originais, o
que pode envolver apagamentos acidentais ou corrupção erros de
hardware entre outros.

61. Spam
 Spam é o termo usado para referir-se aos e-mails não solicitados,
que geralmente são enviados para um grande número de pessoas.

62. Protegendo a Empresa
Definição dos termos:
 Malware: é um nome abreviado para “software malicioso” Malware é
qualquer tipo de software indesejado, instalado sem o seu devido
consentimento. Vírus , worms e cavalos de troia são exemplos de
software mal-intencionado que com frequência são agrupados e
chamados, coletivamente, de malware.

63. Vírus
Programa ou parte de um programa de computador, normalmente
malicioso, que se propaga inserindo cópias de si mesmo e se tornando
parte de outros programas e arquivos. Para que o seu computador seja
infectado é preciso que um programa já infectado seja executado.
 Depende da execução do programa/arquivo hospedeiro para:
tornar-se ativo
dar continuidade ao processo de infecção
 Principais meios de propagação: e-mail e pen-drive

64. Phishing
Phishing é uma forma de fraude eletrônica, caracterizada por
tentativas de adquirir fotos, músicas e outros dados pessoais ao se
fazer passar por uma pessoa confiável ou uma empresa enviando uma
comunicação eletrônica oficial.
“phishing” em inglês corresponde a “pescaria”), tem o objetivo de
“pescar” informações e dados pessoais importantes através de
mensagens falsas.

65. Cavalo de Troia
 São programas, normalmente recebidos de forma aparentemente
inofensiva, como por exemplo, uma foto, um jogo, um cartão de
aniversário virtual etc., que, além de executar funções de fachada
para as quais foi aparentemente projetado, também executa outras
operações sem o conhecimento do usuário

66. Worm
 Worm: Sua tradução literal é a melhor explicação: imagine uma
minhoca cavando um túnel pela terra. O Worm, muitas vezes
confundido com o Vírus, é um programa auto-replicante que não
necessita de outro programa para existir.

67. Adware
 Adware: são programas que fazem anúncios de propaganda em seu
computador. Existem casos em que os adware são, até certo ponto,
lícitos: quando aparecem dentro de outros programas (gratuitos) a
título de patrocínio.

68. Keylogger
 É um programa oculto que registra tudo que é digitado em um
computador. Geralmente instalado por meio de um Trojan.

69. Spyware
Definição dos termos:
 Spyware: É o “software espião”. Geralmente, é um arquivo que é
executado de maneira oculta, coletando dados de uso do
computador e da internet do computador infectado

70. Protegendo a Empresa
Tenha controle do sistema de e-mails da empresa
Diversos problemas de segurança da informação nas empresas
começam por causa de e-mails.
Um bom exemplo disso são os ataques de phishing, uma forma de
fraude eletrônica que se baseia em tentativas de adquirir, senhas,
números de cartões de crédito, entre outros dados pessoais

71. Protegendo a Empresa
Instale um Antivirus em todos os computadores. Inclusive Macs.
Novas ameaças surgem a todo momento e podem vir de qualquer
lugar. E-mails, sites e mídias removíveis como pendrives e DVDs, são
alguns exemplos. Por isso, manter o software de antivírus atualizado é
essencial para a garantir a segurança da informação nas empresas,
tanto de ameaças mais comuns quanto das desconhecidas.

72. Protegendo a Empresa
Confira os itens básicos de segurança nas empresas
Treinar os funcionários sobre como manter a segurança do e-mail
corporativo e transmitir boas práticas da web
Ensinar os colaboradores sobre novas ameaças, tais como malware
móvel e phishing em redes sociais.
Pedir à equipe de TI que verifique as credenciais dos colaboradores e
limite o acesso administrativo a poucos usuários.

73. Protegendo a Empresa
Restrinja o uso de mídias removíveis
pendrives, CDs e DVDs podem conter algum software não autorizado
que coloca a rede da empresa em risco.
O compartilhamento de dados com pessoas de fora da companhia
pode colocar em risco as informações da empresa.

74. Protegendo a Empresa
Crie senhas mais seguras
90% de senhas geradas pelos usuários estão vulneráveis a ataques,
até mesmo aquelas consideradas mais fortes pelos departamentos de
TI