SlideShare uma empresa Scribd logo
1 de 52
Baixar para ler offline
INSTRUTOR ESP. ALEX MARTINS
Curso
Assistente
Administrativo.
Segurança da Informação
(S I)
 Conceitos básicos que fundamentam os estudos sobre SI;
 Diferentes categorias de ativos existentes em uma empresa;
 Conceito de vulnerabilidades e ameaças dos ativos;
 Conceitos de integridade, confidencialidade e
disponibilidade;
 Conceitos de análise de riscos (AR);
 Conceitos de política de segurança da informação (PSI);
 Conceito de análise de impacto ao negócio (BIA);
 Medidas de segurança;
 Normas de SI;
 Ferramentas;
 ETC.
OBJETIVOS
DADOS INFORMAÇÃO CONHECIMENTO
A informação é algo que contém um
significado e causa impacto em diferentes graus,
tornando-a o elemento chave da extração e criação
do conhecimento.
O conhecimento só poderá ser formado
quando o indivíduo for exposto à informação,
deste modo é possível afirmar que poderá até
haver informação sem conhecimento, mas não
conhecimento sem informação.
S I - INTRODUÇÃO
No mundo atual a posse e o uso do conhecimento passou a
ser um fator estratégico decisivo para muitas empresas.
Estamos vivendo a época batizada como "Era da Informação".
Mas a informação é volátil, frágil. Hoje, ela pode desaparecer
na velocidade de um pulso elétrico.
Atualmente, as informações constituem o objeto de maior
valor para as empresas. Por esse e outros motivos a
segurança da informação é um assunto tão importante para
todos, pois afeta diretamente todos os negócios de uma
empresa ou de um indivíduo.
Importância da Informação para o Negócio - A informação é
um elemento essencial para a geração do conhecimento, para
a tomada de decisões, e que representa efetivamente valor
para o negócio.
S I - INTRODUÇÃO
 Ativo de Informação: Qualquer elemento que tenha valor
para uma organização.
 Valor do Ativo: Quantificação de perda de determinado
ativo quando esse tem sua confidencialidade,
integridade ou disponibilidade (Princípios Básicos da
SI) afetadas.
 Vulnerabilidade: Falha no ambiente que ameace algum
ativo.
 Ameaça: Possibilidade de exploração de uma
vulnerabilidade.
 Impacto:Resultado da concretização de uma ameaça
contra a vulnerabilidade de um ativo.
S I - INTRODUÇÃO
 A segurança da informação tem como propósito proteger
as INFORMAÇÕES, sem importar onde estejam situadas.
 Um sistema de segurança da informação tem por objetivo
proteger e controlar os ATIVOS DE INFORMAÇÃO, garantindo
os três princípios básicos da segurança da informação.
CLASSIFICAÇÃO DE ATIVOS
INFORMAÇÕES
EQUIPAMENTOS E SISTEMAS
SOFTWARE
HARDWARE
ORGANIZAÇÃO
PESSOAS
ATIVOS
Exemplo de ativo:
BACKUP
FITAS ANTIGAS
Ativo
Vulnerabilidade
INDISPONIBILIDADE
PERDA DE INFORMAÇÃO
RETRABALHO
Ameaças
Após um longo período de uso as
mídias utilizadas no Backup
Começam a se degradar
diminuindo assim a capacidade de
armazenar Informação.
Você já verificou a data de
validade recomendada pelo
fabricante de suas Fitas de
Backup?
ATIVOS
Exemplo de ativo:
SOFTWARE
BUG
Ativo
Vulnerabilidade
INDISPONIBILIDADE
PERDA DE INFORMAÇÃO
RETRABALHO
Ameaças
Este exemplo representa um
software com uma vulnerabilidade
muito comum que é um BUG.
Este erro submete o ativo a
diversas ameaças tais como: a
indisponibilidade, perda de
informação, retrabalho.
ATIVOS
Exemplo de ativo:
HARDWARE
MÁ CONFIGURAÇÃO
Ativo
Vulnerabilidade
INDISPONIBILIDADE
PERDA DE INFORMAÇÃO
RETRABALHO
Ameaças
Segurança
Presidente
Compras
Produção
Financeiro
ATIVOS
Exemplo de ativo:
HUMANO
DESATUALIZAÇÃO
Ativo
Vulnerabilidade
FRAUDES
PERDA DE INFORMAÇÃO
RETRABALHO
Ameaças
A desatualização é uma das
vulnerabilidades com maior
numero de ocorrências dentro da
organizações..
 Existem três* princípios básicos da
segurança da informação, são eles:
Disponibilidade
Confidencialidade
Integridade
* Existem autores que destacam mais de
três, são eles: Autenticidade, Não
repúdio, Legalidade, Privacidade e
Auditoria.
A informação está acessível à pessoas
autorizadas sempre que necessário.
QUEBRADEDISPONIBILIDADE
 Sistemas fora do ar
 Ataques de Negação de Serviço
 Perdas de Documentos
 Perda de Acesso à informação
Somente Pessoas explicitamente autorizadas podem ter
acesso à informação.
QUEBRADECONFIDENCIALIDADE
Conversas no elevador, restaurantes, etc. sobre assuntos
confidenciais de trabalho, disponibilizando assim a
informação para todos à sua volta.
 Engenharia Social
 As informações devem ser protegidas
conforme o seu nível de sigilo do seu
conteúdo, procurando limitar o seu acesso
para terceiros, sendo possível somente
acesso as pessoas para quem elas são
enviadas
A informação acessada é completa, sem
alterações ou distorções, e portanto, confiável.
Mesmo estando errada.
QUEBRADEINTEGRIDADE
 Falsificação de documentos
 Alteração de registro no Banco de Dado
São fraquezas inerentes aos ativos de
informação que podem ser exploradas por
ameaças ocasionando um incidente de
segurança da informação.
É possível que um ativo de informação
possua uma vulnerabilidade que, de fato,
nunca será efetivamente explorada por
uma ameaça.
SISTEMAIMUNOLÓGICOFRACO
 Toda informação deve ser mantida na
mesma condição em que foi disponibilizada
pelo seu proprietário, visando protegê-las
contra as alterações indevidas, intencionais
ou acidentais
VÍRUS
São agentes externos ao ativo de
informação que, exploram as
vulnerabilidades pra gerar a quebra de um
ou mais dos três princípios básicos da
segurança da informação
(confidencialidade, integridade e
disponibilidade), ou seja, um incidente de
segurança da informação.
 Agentes ou condições que causam incidentes
que comprometem as informações e seus
ativos por meio de exploração de
vulnerabilidades, provocando perdas de
confiabilidade, integridade e disponibilidade
 As ameaças são classificadas quanto a
sua intencionalidade
 Naturais: Decorrentes dos fenômenos da
natureza
 Involuntárias: Podem ser causadas por acidentes,
erros
 Voluntárias: Hackers, invasores, espiões, etc.
Medidas de Segurança
 Preventivas: Objetivo evitar que incidentes
venham ocorrer
 Exemplo: Política de segurança
 Detectáveis: Visam identificar condições
ou indivíduos causadores de ameaça
 Exemplo: Sistemas de detecção de intrusão, câmeras
 Corretivas: Ações voltadas à correção de
uma estrutura tecnológica e humana para
que as mesmas se adaptem as condições
preventivas
INCIDENTE
Um incidente de segurança da
informação é a ocorrência de um evento que
possa interromper os processos do negócio
de um ou mais dos três princípios básicos
de segurança da informação
(confidencialidade, integridade e
disponibilidade).
INCIDENTE
AMEAÇA
VULNERABILIDADE
Como prevenir e evitar
Ameaças Internas?
 Restringir ao máximo o acesso dos usuários
às informações vitais da organização;
 Restringir o acesso físico às áreas críticas;
 Definir e divulgar normas e políticas de acesso físico e
lógico;
 Implementar soluções de criptografia para
informações críticas;
 Implementar soluções de auditoria para informações
críticas;
 Controlar o acesso de prestadores de serviços as
áreas críticas e as informações.
Tipos de Segurança
 Segurança Física
 Segurança Lógica
Segurança Física
 Providenciar mecanismos para restringir o
acesso às áreas críticas da organização
 Como isto pode ser feito?
Segurança Lógica
Fornecer mecanismos para garantir:
 Confidencialidade;
 Integridade;
 Autenticidade
Mecanismos tradicionais garantem a
Segurança Lógica?
Como pode se prevenir?
 Mudando a Cultura!!!
 Palestras
 Seminários
 Exemplos práticos
 Simulações
 Estudo de Casos
A importância da Senha
 Escolha da SenhaX Segurança da Rede.
 O acesso à senha de um usuário não dá
acesso apenas aos seus dados
particulares, mas a todos os recursos
que ele utiliza, como documentos de seu
setor, dados dos sistemas administrativos,
entre outros.
 Programas que “quebram”senhas.
Normas para a escolha de
uma senha (1)
 Não use seu login nem invertido, com
letras maiúsculas, duplicado, etc.
 Não use qualquer um de seus nomes ou
sobrenomes;
 Não use qualquer informação a seu respeito
(apelido, placa de automóvel, numero de
telefone, marca de seu automóvel, nome de
pessoas de sua família, datas de nascimento,
endereço, cep, cgc,cpf etc.);
Normas para a escolha de
uma senha (2)
 Não use senhas óbvias (se você é atleticano,
não use Galo, nem Tardelli);
 Não use palavras que constem do dicionário
(gaveta,
américa, celular);
 Use senhas que misturem caracteres
maiúsculos e minúsculos e números;
 Use senhas fáceis de lembrar;
 Use senhas com no máximo 3 caracteres
repetidos;
Normas para a escolha de
uma senha (3)
 Nunca escreva sua senha;
 Troque sua senha pelo menos uma vez
por mês;
 Nunca fale sua senha, nem empreste
sua conta para ninguém. Ela, e
qualquer coisa feita com ela é de sua
inteira responsabilidade. Não corra
riscos.
Senhas que não devem ser
usadas
EEEBBBCCC (3 caracteres repetidos)
4610133 (número de telefone)
carleto (nome de pessoa) PEDROSILVA
(Nome em maiúscula) 215423 (só números)
opmac (Campos ao contrário) LGF-
4589 (Placa de carro)
Leonardo Di Capri (Nome de artista)
clipes (contém no dicionário)
#$cr^98Y/kl1 (difícil de digitar e de lembrar)
Probabilidade é a chance que um incidente de
segurança da informação tem de acontecer,
considerando o grau das vulnerabilidades presentes
nos ativos de informação e o grau das ameaças
que possam explorar essas vulnerabilidades. Mas
esses graus são relativos, ou seja, mesmo as mais
baixas vulnerabilidades poderão representar
probabilidades consideráveis, se o grau da ameaça
for muito grande.
Resultado da ação bem sucedida
de uma ameaça ao explorar as
vulnerabilidades de um ativo, atingindo
assim um ou mais conceitos da
segurança da informação.
O impacto se denomina pelos
danos/prejuízos causados por um
incidente de segurança da informação
ocorrido no negócio organização.
O tamanho ou grau de um
impacto no negócio da organização
dependedo grau da relevância dos
ativos de informação para os processos
da organização, ou seja, quanto maior
for a relevância do ativo para a
organização, maior será o impacto de
um incidente de segurança da
informação caso ele venha acontecer.
É preciso definir um grau de
impacto para cada incidente de
segurança da informação que
possa vir ocorrer. Este grau de
impacto será de extrema
importância para o cálculo do
risco, que veremos mais à
frente.
É feita buscando identificar os
processos críticos que apoiam o
negócio da organização, e qual impacto
para o negócio caso as ameaças
mapeadas venham a se concretizar.
Business Impact Analysis
Impacto = (Relevância do Processo + Relevância do Ativo)
2
Relevância do Processo: Importância do processo ao negócio.
Relevância do Ativo: Importância do ativo no processo
de negócio.
Calculo do Impacto
É realizada para identificar os riscos
aos quais estão submetidos os
ativos, ou seja, para saber qual é a
probabilidade de que as ameaças se
concretizem e o impacto que elas
causarão ao negócio.
A análise de risco possibilita
identificar o grau de proteção
que os ativos de informação
precisam, podendo assim, não
só proporcionar o grau adequado
de proteção a esse ativo, mas
principalmente utilizar de forma
inteligente os recursos da
organização.
Calculo de Risco de um
Incidente a um Ativo?
Risco = (Probabilidade + Impacto + Índice ocorrências
anteriores)
3
Onde:
Probabilidade = (Grau de Ameaça + Grau de Vulnerabilidade)
2
Índice de Ocorrências = (Total de dias no ano* em que houve
incidentes)
* Ano = 365 dias SEMPRE.
 Concluímos que, a partir do momento
em que são conhecidos os RISCOS, é
possível tomar decisões a respeito
dos ativos mais críticos.
Exemplo de Análise de Risco
A Segurança da Informação é
um processo que envolve todas
as áreas de negócio de uma
organização e deve ser entendida
como mais uma disciplina
orientada a atingir a missão
estabelecida.
Medidas de Segurança
As medidas de segurança tem como função
reduzir ao máximo o impacto das ameaças
sobre os ativos.
Sem medidas
De segurança Após
ATIVO
ATIVO
Com medidas
De segurança
Jogo dos 10 erros
Jogo dos 10 erros
Encontre 10 erros da segurança da
informação na imagem abaixo.
Exercícios
1) Qual dos princípios básicos da segurança da informação
enuncia a garantia de que uma informação não foi alterada
durante seu percurso, da origem ao destino?
2) Faça um resumo das principais normas de criação de uma
boa senha, com exemplos diferentes, dos passados em sala
de aula.
3) De um modo geral, a manutenção da segurança dos ativos de
informação deve cuidar da preservação de:
a) confidencialidade e integridade, somente.
b) confidencialidade, somente.
c) integridade, somente.
d) confidencialidade, integridade e disponibilidade.
e) confidencialidade e disponibilidade, somente.
SI Curso Assistente Administrativo

Mais conteúdo relacionado

Mais procurados

Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoCarlos De Carvalho
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFábio Ferreira
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação   alunosApostila de princípios de segurança da informação   alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAron Sporkens
 
Segurança da Informação | Enttry Software
Segurança da Informação | Enttry SoftwareSegurança da Informação | Enttry Software
Segurança da Informação | Enttry SoftwareEnttry Softwares
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2vicente nunes
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01profandreson
 
Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Paulo Sousa
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2vicente nunes
 
Trabalho de Segurança da Informação
Trabalho de Segurança da InformaçãoTrabalho de Segurança da Informação
Trabalho de Segurança da InformaçãoAnderson Zardo
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 

Mais procurados (20)

Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informação
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação   alunosApostila de princípios de segurança da informação   alunos
Apostila de princípios de segurança da informação alunos
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Segurança da Informação | Enttry Software
Segurança da Informação | Enttry SoftwareSegurança da Informação | Enttry Software
Segurança da Informação | Enttry Software
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01
 
Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2Informação e inteligência competitiva aula 2
Informação e inteligência competitiva aula 2
 
Trabalho de Segurança da Informação
Trabalho de Segurança da InformaçãoTrabalho de Segurança da Informação
Trabalho de Segurança da Informação
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
 
Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Modulo 01 Capitulo 02
Modulo 01 Capitulo 02
 

Semelhante a SI Curso Assistente Administrativo

Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Disciplina informacao e inteligencia competitiva aula 2
Disciplina informacao e inteligencia competitiva aula 2Disciplina informacao e inteligencia competitiva aula 2
Disciplina informacao e inteligencia competitiva aula 2vicente nunes
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição  importância elaboração e imple...Politica de segurança da informação definição  importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Segurança da informação - Aula 02
Segurança da informação - Aula 02Segurança da informação - Aula 02
Segurança da informação - Aula 02profandreson
 
Gestão da segurança da informação
Gestão da segurança da informaçãoGestão da segurança da informação
Gestão da segurança da informaçãoRafaela Karoline
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesIsraelCunha
 
Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012Anderson Menezes
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 

Semelhante a SI Curso Assistente Administrativo (20)

segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Disciplina informacao e inteligencia competitiva aula 2
Disciplina informacao e inteligencia competitiva aula 2Disciplina informacao e inteligencia competitiva aula 2
Disciplina informacao e inteligencia competitiva aula 2
 
Seg redes 1
Seg redes 1Seg redes 1
Seg redes 1
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição  importância elaboração e imple...Politica de segurança da informação definição  importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Administraçao de sistemas aula 2
Administraçao de sistemas  aula 2Administraçao de sistemas  aula 2
Administraçao de sistemas aula 2
 
Aula import seg
Aula import segAula import seg
Aula import seg
 
Segurança da informação - Aula 02
Segurança da informação - Aula 02Segurança da informação - Aula 02
Segurança da informação - Aula 02
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011
 
Gestão da segurança da informação
Gestão da segurança da informaçãoGestão da segurança da informação
Gestão da segurança da informação
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
 
Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 

SI Curso Assistente Administrativo

  • 1. INSTRUTOR ESP. ALEX MARTINS Curso Assistente Administrativo.
  • 3.  Conceitos básicos que fundamentam os estudos sobre SI;  Diferentes categorias de ativos existentes em uma empresa;  Conceito de vulnerabilidades e ameaças dos ativos;  Conceitos de integridade, confidencialidade e disponibilidade;  Conceitos de análise de riscos (AR);  Conceitos de política de segurança da informação (PSI);  Conceito de análise de impacto ao negócio (BIA);  Medidas de segurança;  Normas de SI;  Ferramentas;  ETC. OBJETIVOS
  • 4. DADOS INFORMAÇÃO CONHECIMENTO A informação é algo que contém um significado e causa impacto em diferentes graus, tornando-a o elemento chave da extração e criação do conhecimento. O conhecimento só poderá ser formado quando o indivíduo for exposto à informação, deste modo é possível afirmar que poderá até haver informação sem conhecimento, mas não conhecimento sem informação. S I - INTRODUÇÃO
  • 5. No mundo atual a posse e o uso do conhecimento passou a ser um fator estratégico decisivo para muitas empresas. Estamos vivendo a época batizada como "Era da Informação". Mas a informação é volátil, frágil. Hoje, ela pode desaparecer na velocidade de um pulso elétrico. Atualmente, as informações constituem o objeto de maior valor para as empresas. Por esse e outros motivos a segurança da informação é um assunto tão importante para todos, pois afeta diretamente todos os negócios de uma empresa ou de um indivíduo. Importância da Informação para o Negócio - A informação é um elemento essencial para a geração do conhecimento, para a tomada de decisões, e que representa efetivamente valor para o negócio. S I - INTRODUÇÃO
  • 6.  Ativo de Informação: Qualquer elemento que tenha valor para uma organização.  Valor do Ativo: Quantificação de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade (Princípios Básicos da SI) afetadas.  Vulnerabilidade: Falha no ambiente que ameace algum ativo.  Ameaça: Possibilidade de exploração de uma vulnerabilidade.  Impacto:Resultado da concretização de uma ameaça contra a vulnerabilidade de um ativo. S I - INTRODUÇÃO
  • 7.  A segurança da informação tem como propósito proteger as INFORMAÇÕES, sem importar onde estejam situadas.  Um sistema de segurança da informação tem por objetivo proteger e controlar os ATIVOS DE INFORMAÇÃO, garantindo os três princípios básicos da segurança da informação.
  • 8. CLASSIFICAÇÃO DE ATIVOS INFORMAÇÕES EQUIPAMENTOS E SISTEMAS SOFTWARE HARDWARE ORGANIZAÇÃO PESSOAS
  • 9. ATIVOS Exemplo de ativo: BACKUP FITAS ANTIGAS Ativo Vulnerabilidade INDISPONIBILIDADE PERDA DE INFORMAÇÃO RETRABALHO Ameaças Após um longo período de uso as mídias utilizadas no Backup Começam a se degradar diminuindo assim a capacidade de armazenar Informação. Você já verificou a data de validade recomendada pelo fabricante de suas Fitas de Backup?
  • 10. ATIVOS Exemplo de ativo: SOFTWARE BUG Ativo Vulnerabilidade INDISPONIBILIDADE PERDA DE INFORMAÇÃO RETRABALHO Ameaças Este exemplo representa um software com uma vulnerabilidade muito comum que é um BUG. Este erro submete o ativo a diversas ameaças tais como: a indisponibilidade, perda de informação, retrabalho.
  • 11. ATIVOS Exemplo de ativo: HARDWARE MÁ CONFIGURAÇÃO Ativo Vulnerabilidade INDISPONIBILIDADE PERDA DE INFORMAÇÃO RETRABALHO Ameaças Segurança Presidente Compras Produção Financeiro
  • 12. ATIVOS Exemplo de ativo: HUMANO DESATUALIZAÇÃO Ativo Vulnerabilidade FRAUDES PERDA DE INFORMAÇÃO RETRABALHO Ameaças A desatualização é uma das vulnerabilidades com maior numero de ocorrências dentro da organizações..
  • 13.  Existem três* princípios básicos da segurança da informação, são eles: Disponibilidade Confidencialidade Integridade * Existem autores que destacam mais de três, são eles: Autenticidade, Não repúdio, Legalidade, Privacidade e Auditoria.
  • 14. A informação está acessível à pessoas autorizadas sempre que necessário. QUEBRADEDISPONIBILIDADE  Sistemas fora do ar  Ataques de Negação de Serviço  Perdas de Documentos  Perda de Acesso à informação
  • 15. Somente Pessoas explicitamente autorizadas podem ter acesso à informação. QUEBRADECONFIDENCIALIDADE Conversas no elevador, restaurantes, etc. sobre assuntos confidenciais de trabalho, disponibilizando assim a informação para todos à sua volta.  Engenharia Social
  • 16.  As informações devem ser protegidas conforme o seu nível de sigilo do seu conteúdo, procurando limitar o seu acesso para terceiros, sendo possível somente acesso as pessoas para quem elas são enviadas
  • 17. A informação acessada é completa, sem alterações ou distorções, e portanto, confiável. Mesmo estando errada. QUEBRADEINTEGRIDADE  Falsificação de documentos  Alteração de registro no Banco de Dado
  • 18. São fraquezas inerentes aos ativos de informação que podem ser exploradas por ameaças ocasionando um incidente de segurança da informação. É possível que um ativo de informação possua uma vulnerabilidade que, de fato, nunca será efetivamente explorada por uma ameaça. SISTEMAIMUNOLÓGICOFRACO
  • 19.  Toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra as alterações indevidas, intencionais ou acidentais
  • 20. VÍRUS São agentes externos ao ativo de informação que, exploram as vulnerabilidades pra gerar a quebra de um ou mais dos três princípios básicos da segurança da informação (confidencialidade, integridade e disponibilidade), ou seja, um incidente de segurança da informação.
  • 21.  Agentes ou condições que causam incidentes que comprometem as informações e seus ativos por meio de exploração de vulnerabilidades, provocando perdas de confiabilidade, integridade e disponibilidade  As ameaças são classificadas quanto a sua intencionalidade  Naturais: Decorrentes dos fenômenos da natureza  Involuntárias: Podem ser causadas por acidentes, erros  Voluntárias: Hackers, invasores, espiões, etc.
  • 22. Medidas de Segurança  Preventivas: Objetivo evitar que incidentes venham ocorrer  Exemplo: Política de segurança  Detectáveis: Visam identificar condições ou indivíduos causadores de ameaça  Exemplo: Sistemas de detecção de intrusão, câmeras  Corretivas: Ações voltadas à correção de uma estrutura tecnológica e humana para que as mesmas se adaptem as condições preventivas
  • 23. INCIDENTE Um incidente de segurança da informação é a ocorrência de um evento que possa interromper os processos do negócio de um ou mais dos três princípios básicos de segurança da informação (confidencialidade, integridade e disponibilidade).
  • 25.
  • 26. Como prevenir e evitar Ameaças Internas?  Restringir ao máximo o acesso dos usuários às informações vitais da organização;  Restringir o acesso físico às áreas críticas;  Definir e divulgar normas e políticas de acesso físico e lógico;  Implementar soluções de criptografia para informações críticas;  Implementar soluções de auditoria para informações críticas;  Controlar o acesso de prestadores de serviços as áreas críticas e as informações.
  • 27. Tipos de Segurança  Segurança Física  Segurança Lógica
  • 28. Segurança Física  Providenciar mecanismos para restringir o acesso às áreas críticas da organização  Como isto pode ser feito?
  • 29. Segurança Lógica Fornecer mecanismos para garantir:  Confidencialidade;  Integridade;  Autenticidade Mecanismos tradicionais garantem a Segurança Lógica?
  • 30. Como pode se prevenir?  Mudando a Cultura!!!  Palestras  Seminários  Exemplos práticos  Simulações  Estudo de Casos
  • 31. A importância da Senha  Escolha da SenhaX Segurança da Rede.  O acesso à senha de um usuário não dá acesso apenas aos seus dados particulares, mas a todos os recursos que ele utiliza, como documentos de seu setor, dados dos sistemas administrativos, entre outros.  Programas que “quebram”senhas.
  • 32. Normas para a escolha de uma senha (1)  Não use seu login nem invertido, com letras maiúsculas, duplicado, etc.  Não use qualquer um de seus nomes ou sobrenomes;  Não use qualquer informação a seu respeito (apelido, placa de automóvel, numero de telefone, marca de seu automóvel, nome de pessoas de sua família, datas de nascimento, endereço, cep, cgc,cpf etc.);
  • 33. Normas para a escolha de uma senha (2)  Não use senhas óbvias (se você é atleticano, não use Galo, nem Tardelli);  Não use palavras que constem do dicionário (gaveta, américa, celular);  Use senhas que misturem caracteres maiúsculos e minúsculos e números;  Use senhas fáceis de lembrar;  Use senhas com no máximo 3 caracteres repetidos;
  • 34. Normas para a escolha de uma senha (3)  Nunca escreva sua senha;  Troque sua senha pelo menos uma vez por mês;  Nunca fale sua senha, nem empreste sua conta para ninguém. Ela, e qualquer coisa feita com ela é de sua inteira responsabilidade. Não corra riscos.
  • 35. Senhas que não devem ser usadas EEEBBBCCC (3 caracteres repetidos) 4610133 (número de telefone) carleto (nome de pessoa) PEDROSILVA (Nome em maiúscula) 215423 (só números) opmac (Campos ao contrário) LGF- 4589 (Placa de carro) Leonardo Di Capri (Nome de artista) clipes (contém no dicionário) #$cr^98Y/kl1 (difícil de digitar e de lembrar)
  • 36. Probabilidade é a chance que um incidente de segurança da informação tem de acontecer, considerando o grau das vulnerabilidades presentes nos ativos de informação e o grau das ameaças que possam explorar essas vulnerabilidades. Mas esses graus são relativos, ou seja, mesmo as mais baixas vulnerabilidades poderão representar probabilidades consideráveis, se o grau da ameaça for muito grande.
  • 37. Resultado da ação bem sucedida de uma ameaça ao explorar as vulnerabilidades de um ativo, atingindo assim um ou mais conceitos da segurança da informação. O impacto se denomina pelos danos/prejuízos causados por um incidente de segurança da informação ocorrido no negócio organização.
  • 38. O tamanho ou grau de um impacto no negócio da organização dependedo grau da relevância dos ativos de informação para os processos da organização, ou seja, quanto maior for a relevância do ativo para a organização, maior será o impacto de um incidente de segurança da informação caso ele venha acontecer.
  • 39. É preciso definir um grau de impacto para cada incidente de segurança da informação que possa vir ocorrer. Este grau de impacto será de extrema importância para o cálculo do risco, que veremos mais à frente.
  • 40.
  • 41. É feita buscando identificar os processos críticos que apoiam o negócio da organização, e qual impacto para o negócio caso as ameaças mapeadas venham a se concretizar. Business Impact Analysis
  • 42. Impacto = (Relevância do Processo + Relevância do Ativo) 2 Relevância do Processo: Importância do processo ao negócio. Relevância do Ativo: Importância do ativo no processo de negócio. Calculo do Impacto
  • 43. É realizada para identificar os riscos aos quais estão submetidos os ativos, ou seja, para saber qual é a probabilidade de que as ameaças se concretizem e o impacto que elas causarão ao negócio.
  • 44. A análise de risco possibilita identificar o grau de proteção que os ativos de informação precisam, podendo assim, não só proporcionar o grau adequado de proteção a esse ativo, mas principalmente utilizar de forma inteligente os recursos da organização.
  • 45. Calculo de Risco de um Incidente a um Ativo? Risco = (Probabilidade + Impacto + Índice ocorrências anteriores) 3 Onde: Probabilidade = (Grau de Ameaça + Grau de Vulnerabilidade) 2 Índice de Ocorrências = (Total de dias no ano* em que houve incidentes) * Ano = 365 dias SEMPRE.
  • 46.  Concluímos que, a partir do momento em que são conhecidos os RISCOS, é possível tomar decisões a respeito dos ativos mais críticos. Exemplo de Análise de Risco
  • 47. A Segurança da Informação é um processo que envolve todas as áreas de negócio de uma organização e deve ser entendida como mais uma disciplina orientada a atingir a missão estabelecida.
  • 48. Medidas de Segurança As medidas de segurança tem como função reduzir ao máximo o impacto das ameaças sobre os ativos. Sem medidas De segurança Após ATIVO ATIVO Com medidas De segurança
  • 49. Jogo dos 10 erros
  • 50. Jogo dos 10 erros Encontre 10 erros da segurança da informação na imagem abaixo.
  • 51. Exercícios 1) Qual dos princípios básicos da segurança da informação enuncia a garantia de que uma informação não foi alterada durante seu percurso, da origem ao destino? 2) Faça um resumo das principais normas de criação de uma boa senha, com exemplos diferentes, dos passados em sala de aula. 3) De um modo geral, a manutenção da segurança dos ativos de informação deve cuidar da preservação de: a) confidencialidade e integridade, somente. b) confidencialidade, somente. c) integridade, somente. d) confidencialidade, integridade e disponibilidade. e) confidencialidade e disponibilidade, somente.