Principais Órgãos e entidades responsáveis por promover boas práticas da segurança da informação, pilares da segurança de dados.

1. Segurança da Informação
Prof: Andreson Moura
www.slideshare.net/profandreson
Aula 02

2. Prof: Andreson Moura
www.slideshare.net/profandreson
Aula 02
Instituições de Segurança da Informação

3. CERT
 É um centro de excelência de segurança na internet que fornece informações
de proteção e relação de problemas em sistemas operacionais e softwares. O
trabalho desse centro envolve a publicação de materiais sobre segurança da
informação, pesquisa e desenvolvimento para treinamentos.

4. SANS
 Criado em 1989, a SANS (SYSAdmin, Audit, Netword Security) é uma organização
líder em pesquisa de segurança da informação, certificação e educação. Essa
instituição permite que profissionais de segurança, auditores, administradores de
redes e sistemas encontrem soluções para os desafios apresentados.
 As publicações desse instituto, normalmente vencem prêmios dentre pesquisas,
resumos, alertas de segurança e artigos.

5. CIS
 Fornece métodos e ferramentas para as organizações gerenciarem
efetivamente riscos relacionados à segurança da informação. Ela gerencia as
organizações de um modelo consensual identificando ameaças e no
desenvolvimento de métodos e práticas para reduzi-las.

6. SCORE
 É uma comunidade de profissionais de segurança que visam trabalhar pra
desenvolver um consenso dos padrões mínimos e informações da melhores
práticas. Essa comunidade é um esforço entre a SANS e a CIS.
 Além dessas organizações existem institutos que certificam e padronizam os
meios, dispositivos e ferramentas que são utilizados na internet.

7. IANA ( Internet Assigned Numbers Authority).
É um organização responsável pela atribuição dos números de IP e portas da Internet.
IEEE
É um instituto dos engenheiros elétricos e eletrônicos fundada nos estados Unidos é
responsável pelos padrões de comunicação para os formatos de computadores e
dispositivos.
ABNT/ISSO/IEC:
Entidades responsáveis pela padronização dos códigos e normas para várias áreas
como a segurança da informação.

8.  Segundo a norma ISSO 27000:
“a segurança da informação é a proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar os riscos ao negócio,
maximizar o retorno sobre o investimento e as oportunidade de negócios”

9. Requisitos de Segurança
 Os requisitos da segurança são baseados em três pilares: Prevenir, detectar,
recuperar.
 Prevenir: Refere-se a impedir eventos de segurança como invasão, roubo ou
violação de politicas de segurança.
 Detectar: é a maneira eficaz de como, quando, onde e de que forma foi feita.
 Recuperar: é avaliar os danos causados em um sistema, recuperando-o para a sua
operação normal.
 Os tipos de proteção podem ser aplicados no ambiente físico, nos sistemas
operacionais, nas aplicações ou serviços, nas redes, nos processos e nas pessoas.

10. Aula 02
INFORMAÇÃO X DADOS

11. A informação é um dados tratado resultado de um processo. Diferente mente de
um dado que não possui significado. Apesar de ser transmitido o seu entendimento
não tem sentido por se tratar de mensagens isoladas.

12. ATIVO
Um ativo é qualquer coisa que tenha valor para um organização. Ele pode ser
classificado em dois tipos: tangíveis e intangíveis.
 Tangível: esses são componentes físicos como computadores roteadores,
firwwalls, etc.
 Intangível: software e a informação.
Esses ativos possuem custo para a organizações sendo necessárias medidas para
torna-los seguros.

13. AMEAÇAS
“ ameaça é uma palavra, ato, gesto pelos quais exprime a vontade de fazer o mal
a alguém” – Dicionário Aurélio.
 A ameaças na segurança da informação estão ligadas ao risco de um acesso
não autorizado e controles inadequados de ativos. Podendo estar relacionados
à perda ou manipulação de dados ou paralização de um serviço, ou seja,
acarretando algum perigo a um bem.
 As ameaças são classificadas como intencionais e não intencionais. Uma
ameaça não intencional esta acessível a qualquer pessoa, caracterizada pelo
erro humano, do equipamento e desastres naturais. Uma ameaça intencional
esta relacionada ao vandalismo e roubo de uma informação.

14. VUNERABILIDADE
A vulnerabilidade é a exploração de uma falha ou defeito de um sistema pela
falta de controle de segurança por uma ameaça. Ela esta relacionada
diretamente a uma ameaça

15. RISCO
 É uma determinada ameaça que envolve a ameaça de explorar
vulnerabilidade de um ativo para causar perda ou danos aos ativos.

16. GESTÃO DE RISCO
 É um processo de analisar, eliminar ou aceitar os riscos. Nesse processo são
definidos os escopos do deve ser gerenciado, analisado, avaliado e tratado.

17. Disponível: www.slideshare.net/profandreson