O documento discute conceitos fundamentais de segurança da informação, incluindo ativos, vulnerabilidades, ameaças, impactos e riscos. Também aborda princípios como confidencialidade, integridade e disponibilidade, além de normas, ferramentas e medidas de segurança.

1. INSTRUTOR ESP. ALEX MARTINS
Curso
Assistente
Administrativo.

2. Segurança da Informação
(S I)

3.  Conceitos básicos que fundamentam os estudos sobre SI;
 Diferentes categorias de ativos existentes em uma empresa;
 Conceito de vulnerabilidades e ameaças dos ativos;
 Conceitos de integridade, confidencialidade e
disponibilidade;
 Conceitos de análise de riscos (AR);
 Conceitos de política de segurança da informação (PSI);
 Conceito de análise de impacto ao negócio (BIA);
 Medidas de segurança;
 Normas de SI;
 Ferramentas;
 ETC.
OBJETIVOS

4. DADOS INFORMAÇÃO CONHECIMENTO
A informação é algo que contém um
significado e causa impacto em diferentes graus,
tornando-a o elemento chave da extração e criação
do conhecimento.
O conhecimento só poderá ser formado
quando o indivíduo for exposto à informação,
deste modo é possível afirmar que poderá até
haver informação sem conhecimento, mas não
conhecimento sem informação.
S I - INTRODUÇÃO

5. No mundo atual a posse e o uso do conhecimento passou a
ser um fator estratégico decisivo para muitas empresas.
Estamos vivendo a época batizada como "Era da Informação".
Mas a informação é volátil, frágil. Hoje, ela pode desaparecer
na velocidade de um pulso elétrico.
Atualmente, as informações constituem o objeto de maior
valor para as empresas. Por esse e outros motivos a
segurança da informação é um assunto tão importante para
todos, pois afeta diretamente todos os negócios de uma
empresa ou de um indivíduo.
Importância da Informação para o Negócio - A informação é
um elemento essencial para a geração do conhecimento, para
a tomada de decisões, e que representa efetivamente valor
para o negócio.
S I - INTRODUÇÃO

6.  Ativo de Informação: Qualquer elemento que tenha valor
para uma organização.
 Valor do Ativo: Quantificação de perda de determinado
ativo quando esse tem sua confidencialidade,
integridade ou disponibilidade (Princípios Básicos da
SI) afetadas.
 Vulnerabilidade: Falha no ambiente que ameace algum
ativo.
 Ameaça: Possibilidade de exploração de uma
vulnerabilidade.
 Impacto:Resultado da concretização de uma ameaça
contra a vulnerabilidade de um ativo.
S I - INTRODUÇÃO

7.  A segurança da informação tem como propósito proteger
as INFORMAÇÕES, sem importar onde estejam situadas.
 Um sistema de segurança da informação tem por objetivo
proteger e controlar os ATIVOS DE INFORMAÇÃO, garantindo
os três princípios básicos da segurança da informação.

8. CLASSIFICAÇÃO DE ATIVOS
INFORMAÇÕES
EQUIPAMENTOS E SISTEMAS
SOFTWARE
HARDWARE
ORGANIZAÇÃO
PESSOAS

9. ATIVOS
Exemplo de ativo:
BACKUP
FITAS ANTIGAS
Ativo
Vulnerabilidade
INDISPONIBILIDADE
PERDA DE INFORMAÇÃO
RETRABALHO
Ameaças
Após um longo período de uso as
mídias utilizadas no Backup
Começam a se degradar
diminuindo assim a capacidade de
armazenar Informação.
Você já verificou a data de
validade recomendada pelo
fabricante de suas Fitas de
Backup?

10. ATIVOS
Exemplo de ativo:
SOFTWARE
BUG
Ativo
Vulnerabilidade
INDISPONIBILIDADE
PERDA DE INFORMAÇÃO
RETRABALHO
Ameaças
Este exemplo representa um
software com uma vulnerabilidade
muito comum que é um BUG.
Este erro submete o ativo a
diversas ameaças tais como: a
indisponibilidade, perda de
informação, retrabalho.

11. ATIVOS
Exemplo de ativo:
HARDWARE
MÁ CONFIGURAÇÃO
Ativo
Vulnerabilidade
INDISPONIBILIDADE
PERDA DE INFORMAÇÃO
RETRABALHO
Ameaças
Segurança
Presidente
Compras
Produção
Financeiro

12. ATIVOS
Exemplo de ativo:
HUMANO
DESATUALIZAÇÃO
Ativo
Vulnerabilidade
FRAUDES
PERDA DE INFORMAÇÃO
RETRABALHO
Ameaças
A desatualização é uma das
vulnerabilidades com maior
numero de ocorrências dentro da
organizações..

13.  Existem três* princípios básicos da
segurança da informação, são eles:
Disponibilidade
Confidencialidade
Integridade
* Existem autores que destacam mais de
três, são eles: Autenticidade, Não
repúdio, Legalidade, Privacidade e
Auditoria.

14. A informação está acessível à pessoas
autorizadas sempre que necessário.
QUEBRADEDISPONIBILIDADE
 Sistemas fora do ar
 Ataques de Negação de Serviço
 Perdas de Documentos
 Perda de Acesso à informação

15. Somente Pessoas explicitamente autorizadas podem ter
acesso à informação.
QUEBRADECONFIDENCIALIDADE
Conversas no elevador, restaurantes, etc. sobre assuntos
confidenciais de trabalho, disponibilizando assim a
informação para todos à sua volta.
 Engenharia Social

16.  As informações devem ser protegidas
conforme o seu nível de sigilo do seu
conteúdo, procurando limitar o seu acesso
para terceiros, sendo possível somente
acesso as pessoas para quem elas são
enviadas

17. A informação acessada é completa, sem
alterações ou distorções, e portanto, confiável.
Mesmo estando errada.
QUEBRADEINTEGRIDADE
 Falsificação de documentos
 Alteração de registro no Banco de Dado

18. São fraquezas inerentes aos ativos de
informação que podem ser exploradas por
ameaças ocasionando um incidente de
segurança da informação.
É possível que um ativo de informação
possua uma vulnerabilidade que, de fato,
nunca será efetivamente explorada por
uma ameaça.
SISTEMAIMUNOLÓGICOFRACO

19.  Toda informação deve ser mantida na
mesma condição em que foi disponibilizada
pelo seu proprietário, visando protegê-las
contra as alterações indevidas, intencionais
ou acidentais

20. VÍRUS
São agentes externos ao ativo de
informação que, exploram as
vulnerabilidades pra gerar a quebra de um
ou mais dos três princípios básicos da
segurança da informação
(confidencialidade, integridade e
disponibilidade), ou seja, um incidente de
segurança da informação.

21.  Agentes ou condições que causam incidentes
que comprometem as informações e seus
ativos por meio de exploração de
vulnerabilidades, provocando perdas de
confiabilidade, integridade e disponibilidade
 As ameaças são classificadas quanto a
sua intencionalidade
 Naturais: Decorrentes dos fenômenos da
natureza
 Involuntárias: Podem ser causadas por acidentes,
erros
 Voluntárias: Hackers, invasores, espiões, etc.

22. Medidas de Segurança
 Preventivas: Objetivo evitar que incidentes
venham ocorrer
 Exemplo: Política de segurança
 Detectáveis: Visam identificar condições
ou indivíduos causadores de ameaça
 Exemplo: Sistemas de detecção de intrusão, câmeras
 Corretivas: Ações voltadas à correção de
uma estrutura tecnológica e humana para
que as mesmas se adaptem as condições
preventivas

23. INCIDENTE
Um incidente de segurança da
informação é a ocorrência de um evento que
possa interromper os processos do negócio
de um ou mais dos três princípios básicos
de segurança da informação
(confidencialidade, integridade e
disponibilidade).

24. INCIDENTE
AMEAÇA
VULNERABILIDADE

26. Como prevenir e evitar
Ameaças Internas?
 Restringir ao máximo o acesso dos usuários
às informações vitais da organização;
 Restringir o acesso físico às áreas críticas;
 Definir e divulgar normas e políticas de acesso físico e
lógico;
 Implementar soluções de criptografia para
informações críticas;
 Implementar soluções de auditoria para informações
críticas;
 Controlar o acesso de prestadores de serviços as
áreas críticas e as informações.

27. Tipos de Segurança
 Segurança Física
 Segurança Lógica

28. Segurança Física
 Providenciar mecanismos para restringir o
acesso às áreas críticas da organização
 Como isto pode ser feito?

29. Segurança Lógica
Fornecer mecanismos para garantir:
 Confidencialidade;
 Integridade;
 Autenticidade
Mecanismos tradicionais garantem a
Segurança Lógica?

30. Como pode se prevenir?
 Mudando a Cultura!!!
 Palestras
 Seminários
 Exemplos práticos
 Simulações
 Estudo de Casos

31. A importância da Senha
 Escolha da SenhaX Segurança da Rede.
 O acesso à senha de um usuário não dá
acesso apenas aos seus dados
particulares, mas a todos os recursos
que ele utiliza, como documentos de seu
setor, dados dos sistemas administrativos,
entre outros.
 Programas que “quebram”senhas.

32. Normas para a escolha de
uma senha (1)
 Não use seu login nem invertido, com
letras maiúsculas, duplicado, etc.
 Não use qualquer um de seus nomes ou
sobrenomes;
 Não use qualquer informação a seu respeito
(apelido, placa de automóvel, numero de
telefone, marca de seu automóvel, nome de
pessoas de sua família, datas de nascimento,
endereço, cep, cgc,cpf etc.);

33. Normas para a escolha de
uma senha (2)
 Não use senhas óbvias (se você é atleticano,
não use Galo, nem Tardelli);
 Não use palavras que constem do dicionário
(gaveta,
américa, celular);
 Use senhas que misturem caracteres
maiúsculos e minúsculos e números;
 Use senhas fáceis de lembrar;
 Use senhas com no máximo 3 caracteres
repetidos;

34. Normas para a escolha de
uma senha (3)
 Nunca escreva sua senha;
 Troque sua senha pelo menos uma vez
por mês;
 Nunca fale sua senha, nem empreste
sua conta para ninguém. Ela, e
qualquer coisa feita com ela é de sua
inteira responsabilidade. Não corra
riscos.

35. Senhas que não devem ser
usadas
EEEBBBCCC (3 caracteres repetidos)
4610133 (número de telefone)
carleto (nome de pessoa) PEDROSILVA
(Nome em maiúscula) 215423 (só números)
opmac (Campos ao contrário) LGF-
4589 (Placa de carro)
Leonardo Di Capri (Nome de artista)
clipes (contém no dicionário)
#$cr^98Y/kl1 (difícil de digitar e de lembrar)

36. Probabilidade é a chance que um incidente de
segurança da informação tem de acontecer,
considerando o grau das vulnerabilidades presentes
nos ativos de informação e o grau das ameaças
que possam explorar essas vulnerabilidades. Mas
esses graus são relativos, ou seja, mesmo as mais
baixas vulnerabilidades poderão representar
probabilidades consideráveis, se o grau da ameaça
for muito grande.

37. Resultado da ação bem sucedida
de uma ameaça ao explorar as
vulnerabilidades de um ativo, atingindo
assim um ou mais conceitos da
segurança da informação.
O impacto se denomina pelos
danos/prejuízos causados por um
incidente de segurança da informação
ocorrido no negócio organização.

38. O tamanho ou grau de um
impacto no negócio da organização
dependedo grau da relevância dos
ativos de informação para os processos
da organização, ou seja, quanto maior
for a relevância do ativo para a
organização, maior será o impacto de
um incidente de segurança da
informação caso ele venha acontecer.

39. É preciso definir um grau de
impacto para cada incidente de
segurança da informação que
possa vir ocorrer. Este grau de
impacto será de extrema
importância para o cálculo do
risco, que veremos mais à
frente.

41. É feita buscando identificar os
processos críticos que apoiam o
negócio da organização, e qual impacto
para o negócio caso as ameaças
mapeadas venham a se concretizar.
Business Impact Analysis

42. Impacto = (Relevância do Processo + Relevância do Ativo)
2
Relevância do Processo: Importância do processo ao negócio.
Relevância do Ativo: Importância do ativo no processo
de negócio.
Calculo do Impacto

43. É realizada para identificar os riscos
aos quais estão submetidos os
ativos, ou seja, para saber qual é a
probabilidade de que as ameaças se
concretizem e o impacto que elas
causarão ao negócio.

44. A análise de risco possibilita
identificar o grau de proteção
que os ativos de informação
precisam, podendo assim, não
só proporcionar o grau adequado
de proteção a esse ativo, mas
principalmente utilizar de forma
inteligente os recursos da
organização.

45. Calculo de Risco de um
Incidente a um Ativo?
Risco = (Probabilidade + Impacto + Índice ocorrências
anteriores)
3
Onde:
Probabilidade = (Grau de Ameaça + Grau de Vulnerabilidade)
2
Índice de Ocorrências = (Total de dias no ano* em que houve
incidentes)
* Ano = 365 dias SEMPRE.

46.  Concluímos que, a partir do momento
em que são conhecidos os RISCOS, é
possível tomar decisões a respeito
dos ativos mais críticos.
Exemplo de Análise de Risco

47. A Segurança da Informação é
um processo que envolve todas
as áreas de negócio de uma
organização e deve ser entendida
como mais uma disciplina
orientada a atingir a missão
estabelecida.

48. Medidas de Segurança
As medidas de segurança tem como função
reduzir ao máximo o impacto das ameaças
sobre os ativos.
Sem medidas
De segurança Após
ATIVO
ATIVO
Com medidas
De segurança

49. Jogo dos 10 erros

50. Jogo dos 10 erros
Encontre 10 erros da segurança da
informação na imagem abaixo.

51. Exercícios
1) Qual dos princípios básicos da segurança da informação
enuncia a garantia de que uma informação não foi alterada
durante seu percurso, da origem ao destino?
2) Faça um resumo das principais normas de criação de uma
boa senha, com exemplos diferentes, dos passados em sala
de aula.
3) De um modo geral, a manutenção da segurança dos ativos de
informação deve cuidar da preservação de:
a) confidencialidade e integridade, somente.
b) confidencialidade, somente.
c) integridade, somente.
d) confidencialidade, integridade e disponibilidade.
e) confidencialidade e disponibilidade, somente.