O documento discute os conceitos fundamentais de segurança da informação, incluindo confidencialidade, integridade e disponibilidade. Também aborda o ciclo de vida da informação e a classificação de ativos, com foco na confidencialidade, disponibilidade, integridade e autenticidade. O documento fornece exemplos de como esses conceitos são aplicados na prática.
Boas práticas de programação com Object Calisthenics
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
1. 1AULA :
Campus Charqueadas
Segurança da Informação
Apresentado por: Cleber Schroeder Fonseca
Adaptado do material do Prof. Juliano Lucas Moreira
TSI-6AN
3
4. 4AULA :
Campus Charqueadas
Segurança da Informação
• Confidencialidade
– Protege o conteúdo;
– Apenas lê quem tem
direito;
– Protege por grau de
sigilo.
4
Confidencialidade
5. 5AULA :
Campus Charqueadas
Segurança da Informação
• Integridade
– Proteger modificação durante o trânsito;
– Informação não pode ser alterada;
– Informação igual a original;
– Apenas quem tem direito pode modificar.
5
Integridade
6. 6AULA :
Campus Charqueadas
Segurança da Informação
• Disponibilidade:
– A informação deve estar disponível;
– Quando quem tem direito deseja acessar;
– Exceto em situações previstas, como
manutenção.
6
Disponibilidade
7. 7AULA :
Campus Charqueadas
Segurança da Informação
• A Gestão Corporativa de Segurança:
– Considera o negócio da empresa como um
todo;
• Incluí mais dois conceitos:
– Autenticidade;
– Legalidade.
7
8. 8AULA :
Campus Charqueadas
Segurança da Informação
• Autenticidade:
– Identificação dos elementos da transação;
– Acesso através da identificação;
– Ex: Comunicação, transações eletrônicas,
documentos, etc.
8
9. 9AULA :
Campus Charqueadas
Segurança da Informação
• Legalidade:
– Valor legal da informação;
– Análise de cláusulas contratuais;
– Concordância com a legislação.
9
10. 10AULA :
Campus Charqueadas
Segurança da Informação
• Outros Conceitos
– Autorização;
– Auditoria;
– Severidade;
– Relevância do ativo;
– Relevância do Processo;
– Criticidade;
– Irretratabilidade.
10
11. 11AULA :
Campus Charqueadas
Segurança da Informação
• Autorização:
– Concessão de permissão;
– Acesso a informações ou aplicações;
– Em um processo de troca de informações;
– Depende da identificação e autenticação.
11
12. 12AULA :
Campus Charqueadas
Segurança da Informação
• Auditoria:
– Coleta de evidências;
– Busca a identificação de entidades;
– Busca a origem, o destino e os meios de
tráfego da informação.
12
14. 14AULA :
Campus Charqueadas
Segurança da Informação
• Relevância do Processo:
– Grau de importância do processo;
– Objetivos da organização dependem dele;
– Sobrevivência da organização depende do
processo.
14
15. 15AULA :
Campus Charqueadas
Segurança da Informação
• Criticidade:
– Gravidade do impacto no negócio;
– Ausência de um ativo da informação;
– Perda ou redução de funcionalidade;
– Uso indevido ou não autorizado de ativos da
informação.
15
16. 16AULA :
Campus Charqueadas
Segurança da Informação
• Irretratabilidade:
– Sinônimo de não-repúdio;
– Informação possuí a identificação do
emissor;
– A identificação autentica o autor;
– Autor não pode negar a geração da
informação.
16
20. 20AULA :
Campus Charqueadas
Ciclo de Vida de Informação
• Armazenamento
– Momento que a informação é armazenada;
– Pode ser em meios físicos ou digitais.
20
21. 21AULA :
Campus Charqueadas
Ciclo de Vida de Informação
• Transporte
– Quando se distribui a informação;
– Pode ser feita de várias formas, digitalmente,
por papel, ...
21
22. 22AULA :
Campus Charqueadas
Ciclo de Vida de Informação
• Descarte
– Quando a informação perde a utilidade;
– Esta é destruída, física ou digitalmente.
22
25. 25AULA :
Campus Charqueadas
Classificação dos Ativos
• Conceitos para ativos da informação:
– Classificação: Atribuição de grau de sigilo;
– Proprietário: Responsável pelo ativo (auxilia
na definição do meio de proteção);
– Custodiante: Responsável pela guarda do
ativo.
25
26. 26AULA :
Campus Charqueadas
Classificação dos Ativos
• A classificação dos ativos da informação
é feita quanto à:
– Confidencialidade;
– Disponibilidade;
– Integridade;
– Autenticidade.
26
27. 27AULA :
Campus Charqueadas
Classificação dos Ativos
• Quanto à Confidencialidade:
– Nível 1: Informação Pública
• Ativos públicos ou não classificados;
• Sua integridade não é vital e seu uso é livre;
• Ex: folders.
– Nível 2: Informação Interna
• Ativos cujo acesso ao público externo deve ser
evitado;
• Caso exposto ao público não gera conseqüências
críticas;
• Ex: lista de ramais da empresa.
27
28. 28AULA :
Campus Charqueadas
Classificação dos Ativos
• Quanto à Confidencialidade (continuação):
– Nível 3: Informação Confidencial
• Ativos devem ter acesso restrito dentro da
organização e protegidos do acesso externo;
• Podem causar perdas financeiras;
• Ex: dados de clientes, senhas.
– Nível 4: Informação Secreta
• Acesso interno e externo é crítico para a
organização;
• Deve conter controle de quantidade de pessoas com
acesso;
• Integridade vital;
• Ex: informações militares
28
29. 29AULA :
Campus Charqueadas
Classificação dos Ativos
• Quanto à Disponibilidade:
– Qual a falta que esta informação faz?
• Nível 1: Informações que devem ser recuperadas
em minutos
• Nível 2: Informações que devem ser recuperadas
em horas
• Nível 3: Informações que devem ser recuperadas
em dias
• Nível 4: Informações que não são críticas
29
30. 30AULA :
Campus Charqueadas
Classificação dos Ativos
• Quanto à Integridade:
– É feita uma identificação das informações
fundamentais;
– Tem o objetivo de apontar o local onde
deveram ser aplicados controles de
integridade, detecção e correção de
informações.
30
31. 31AULA :
Campus Charqueadas
Classificação dos Ativos
• Quanto à Autenticidade:
– É necessário logar-se para obter acesso a
informações da empresa;
– Facilita a definição de quem tem poder de
acesso.
31
32. 32AULA :
Campus Charqueadas
Classificação dos Ativos
• Monitoramento Contínuo
– Reavaliação contínua de todas as
classificações, para identificar se a
classificação é adequada.
32
34. 34AULA :
Campus Charqueadas
Etapa 2
• Descreva as informações mais relevantes que esta
organização possui para o cumprimento de seus
objetivos.
• Descreva quem são os responsáveis dentro da
organização, por cada uma das informações levantadas
na questão acima.
• Descreva os requisitos de Disponibilidade, Integridade e
Confidencialidade existentes sobre as informações da
organização.
34