O documento discute conceitos fundamentais de segurança da informação, incluindo ativos, vulnerabilidades, ameaças, impactos e riscos. Também aborda princípios como confidencialidade, integridade e disponibilidade, além de normas, ferramentas e medidas de segurança.
3. Conceitos básicos que fundamentam os estudos sobre SI;
Diferentes categorias de ativos existentes em uma empresa;
Conceito de vulnerabilidades e ameaças dos ativos;
Conceitos de integridade, confidencialidade e
disponibilidade;
Conceitos de análise de riscos (AR);
Conceitos de política de segurança da informação (PSI);
Conceito de análise de impacto ao negócio (BIA);
Medidas de segurança;
Normas de SI;
Ferramentas;
ETC.
OBJETIVOS
4. DADOS INFORMAÇÃO CONHECIMENTO
A informação é algo que contém um
significado e causa impacto em diferentes graus,
tornando-a o elemento chave da extração e criação
do conhecimento.
O conhecimento só poderá ser formado
quando o indivíduo for exposto à informação,
deste modo é possível afirmar que poderá até
haver informação sem conhecimento, mas não
conhecimento sem informação.
S I - INTRODUÇÃO
5. No mundo atual a posse e o uso do conhecimento passou a
ser um fator estratégico decisivo para muitas empresas.
Estamos vivendo a época batizada como "Era da Informação".
Mas a informação é volátil, frágil. Hoje, ela pode desaparecer
na velocidade de um pulso elétrico.
Atualmente, as informações constituem o objeto de maior
valor para as empresas. Por esse e outros motivos a
segurança da informação é um assunto tão importante para
todos, pois afeta diretamente todos os negócios de uma
empresa ou de um indivíduo.
Importância da Informação para o Negócio - A informação é
um elemento essencial para a geração do conhecimento, para
a tomada de decisões, e que representa efetivamente valor
para o negócio.
S I - INTRODUÇÃO
6. Ativo de Informação: Qualquer elemento que tenha valor
para uma organização.
Valor do Ativo: Quantificação de perda de determinado
ativo quando esse tem sua confidencialidade,
integridade ou disponibilidade (Princípios Básicos da
SI) afetadas.
Vulnerabilidade: Falha no ambiente que ameace algum
ativo.
Ameaça: Possibilidade de exploração de uma
vulnerabilidade.
Impacto:Resultado da concretização de uma ameaça
contra a vulnerabilidade de um ativo.
S I - INTRODUÇÃO
7. A segurança da informação tem como propósito proteger
as INFORMAÇÕES, sem importar onde estejam situadas.
Um sistema de segurança da informação tem por objetivo
proteger e controlar os ATIVOS DE INFORMAÇÃO, garantindo
os três princípios básicos da segurança da informação.
9. ATIVOS
Exemplo de ativo:
BACKUP
FITAS ANTIGAS
Ativo
Vulnerabilidade
INDISPONIBILIDADE
PERDA DE INFORMAÇÃO
RETRABALHO
Ameaças
Após um longo período de uso as
mídias utilizadas no Backup
Começam a se degradar
diminuindo assim a capacidade de
armazenar Informação.
Você já verificou a data de
validade recomendada pelo
fabricante de suas Fitas de
Backup?
11. ATIVOS
Exemplo de ativo:
HARDWARE
MÁ CONFIGURAÇÃO
Ativo
Vulnerabilidade
INDISPONIBILIDADE
PERDA DE INFORMAÇÃO
RETRABALHO
Ameaças
Segurança
Presidente
Compras
Produção
Financeiro
13. Existem três* princípios básicos da
segurança da informação, são eles:
Disponibilidade
Confidencialidade
Integridade
* Existem autores que destacam mais de
três, são eles: Autenticidade, Não
repúdio, Legalidade, Privacidade e
Auditoria.
14. A informação está acessível à pessoas
autorizadas sempre que necessário.
QUEBRADEDISPONIBILIDADE
Sistemas fora do ar
Ataques de Negação de Serviço
Perdas de Documentos
Perda de Acesso à informação
15. Somente Pessoas explicitamente autorizadas podem ter
acesso à informação.
QUEBRADECONFIDENCIALIDADE
Conversas no elevador, restaurantes, etc. sobre assuntos
confidenciais de trabalho, disponibilizando assim a
informação para todos à sua volta.
Engenharia Social
16. As informações devem ser protegidas
conforme o seu nível de sigilo do seu
conteúdo, procurando limitar o seu acesso
para terceiros, sendo possível somente
acesso as pessoas para quem elas são
enviadas
17. A informação acessada é completa, sem
alterações ou distorções, e portanto, confiável.
Mesmo estando errada.
QUEBRADEINTEGRIDADE
Falsificação de documentos
Alteração de registro no Banco de Dado
18. São fraquezas inerentes aos ativos de
informação que podem ser exploradas por
ameaças ocasionando um incidente de
segurança da informação.
É possível que um ativo de informação
possua uma vulnerabilidade que, de fato,
nunca será efetivamente explorada por
uma ameaça.
SISTEMAIMUNOLÓGICOFRACO
19. Toda informação deve ser mantida na
mesma condição em que foi disponibilizada
pelo seu proprietário, visando protegê-las
contra as alterações indevidas, intencionais
ou acidentais
20. VÍRUS
São agentes externos ao ativo de
informação que, exploram as
vulnerabilidades pra gerar a quebra de um
ou mais dos três princípios básicos da
segurança da informação
(confidencialidade, integridade e
disponibilidade), ou seja, um incidente de
segurança da informação.
21. Agentes ou condições que causam incidentes
que comprometem as informações e seus
ativos por meio de exploração de
vulnerabilidades, provocando perdas de
confiabilidade, integridade e disponibilidade
As ameaças são classificadas quanto a
sua intencionalidade
Naturais: Decorrentes dos fenômenos da
natureza
Involuntárias: Podem ser causadas por acidentes,
erros
Voluntárias: Hackers, invasores, espiões, etc.
22. Medidas de Segurança
Preventivas: Objetivo evitar que incidentes
venham ocorrer
Exemplo: Política de segurança
Detectáveis: Visam identificar condições
ou indivíduos causadores de ameaça
Exemplo: Sistemas de detecção de intrusão, câmeras
Corretivas: Ações voltadas à correção de
uma estrutura tecnológica e humana para
que as mesmas se adaptem as condições
preventivas
23. INCIDENTE
Um incidente de segurança da
informação é a ocorrência de um evento que
possa interromper os processos do negócio
de um ou mais dos três princípios básicos
de segurança da informação
(confidencialidade, integridade e
disponibilidade).
26. Como prevenir e evitar
Ameaças Internas?
Restringir ao máximo o acesso dos usuários
às informações vitais da organização;
Restringir o acesso físico às áreas críticas;
Definir e divulgar normas e políticas de acesso físico e
lógico;
Implementar soluções de criptografia para
informações críticas;
Implementar soluções de auditoria para informações
críticas;
Controlar o acesso de prestadores de serviços as
áreas críticas e as informações.
28. Segurança Física
Providenciar mecanismos para restringir o
acesso às áreas críticas da organização
Como isto pode ser feito?
29. Segurança Lógica
Fornecer mecanismos para garantir:
Confidencialidade;
Integridade;
Autenticidade
Mecanismos tradicionais garantem a
Segurança Lógica?
30. Como pode se prevenir?
Mudando a Cultura!!!
Palestras
Seminários
Exemplos práticos
Simulações
Estudo de Casos
31. A importância da Senha
Escolha da SenhaX Segurança da Rede.
O acesso à senha de um usuário não dá
acesso apenas aos seus dados
particulares, mas a todos os recursos
que ele utiliza, como documentos de seu
setor, dados dos sistemas administrativos,
entre outros.
Programas que “quebram”senhas.
32. Normas para a escolha de
uma senha (1)
Não use seu login nem invertido, com
letras maiúsculas, duplicado, etc.
Não use qualquer um de seus nomes ou
sobrenomes;
Não use qualquer informação a seu respeito
(apelido, placa de automóvel, numero de
telefone, marca de seu automóvel, nome de
pessoas de sua família, datas de nascimento,
endereço, cep, cgc,cpf etc.);
33. Normas para a escolha de
uma senha (2)
Não use senhas óbvias (se você é atleticano,
não use Galo, nem Tardelli);
Não use palavras que constem do dicionário
(gaveta,
américa, celular);
Use senhas que misturem caracteres
maiúsculos e minúsculos e números;
Use senhas fáceis de lembrar;
Use senhas com no máximo 3 caracteres
repetidos;
34. Normas para a escolha de
uma senha (3)
Nunca escreva sua senha;
Troque sua senha pelo menos uma vez
por mês;
Nunca fale sua senha, nem empreste
sua conta para ninguém. Ela, e
qualquer coisa feita com ela é de sua
inteira responsabilidade. Não corra
riscos.
35. Senhas que não devem ser
usadas
EEEBBBCCC (3 caracteres repetidos)
4610133 (número de telefone)
carleto (nome de pessoa) PEDROSILVA
(Nome em maiúscula) 215423 (só números)
opmac (Campos ao contrário) LGF-
4589 (Placa de carro)
Leonardo Di Capri (Nome de artista)
clipes (contém no dicionário)
#$cr^98Y/kl1 (difícil de digitar e de lembrar)
36. Probabilidade é a chance que um incidente de
segurança da informação tem de acontecer,
considerando o grau das vulnerabilidades presentes
nos ativos de informação e o grau das ameaças
que possam explorar essas vulnerabilidades. Mas
esses graus são relativos, ou seja, mesmo as mais
baixas vulnerabilidades poderão representar
probabilidades consideráveis, se o grau da ameaça
for muito grande.
37. Resultado da ação bem sucedida
de uma ameaça ao explorar as
vulnerabilidades de um ativo, atingindo
assim um ou mais conceitos da
segurança da informação.
O impacto se denomina pelos
danos/prejuízos causados por um
incidente de segurança da informação
ocorrido no negócio organização.
38. O tamanho ou grau de um
impacto no negócio da organização
dependedo grau da relevância dos
ativos de informação para os processos
da organização, ou seja, quanto maior
for a relevância do ativo para a
organização, maior será o impacto de
um incidente de segurança da
informação caso ele venha acontecer.
39. É preciso definir um grau de
impacto para cada incidente de
segurança da informação que
possa vir ocorrer. Este grau de
impacto será de extrema
importância para o cálculo do
risco, que veremos mais à
frente.
40.
41. É feita buscando identificar os
processos críticos que apoiam o
negócio da organização, e qual impacto
para o negócio caso as ameaças
mapeadas venham a se concretizar.
Business Impact Analysis
42. Impacto = (Relevância do Processo + Relevância do Ativo)
2
Relevância do Processo: Importância do processo ao negócio.
Relevância do Ativo: Importância do ativo no processo
de negócio.
Calculo do Impacto
43. É realizada para identificar os riscos
aos quais estão submetidos os
ativos, ou seja, para saber qual é a
probabilidade de que as ameaças se
concretizem e o impacto que elas
causarão ao negócio.
44. A análise de risco possibilita
identificar o grau de proteção
que os ativos de informação
precisam, podendo assim, não
só proporcionar o grau adequado
de proteção a esse ativo, mas
principalmente utilizar de forma
inteligente os recursos da
organização.
45. Calculo de Risco de um
Incidente a um Ativo?
Risco = (Probabilidade + Impacto + Índice ocorrências
anteriores)
3
Onde:
Probabilidade = (Grau de Ameaça + Grau de Vulnerabilidade)
2
Índice de Ocorrências = (Total de dias no ano* em que houve
incidentes)
* Ano = 365 dias SEMPRE.
46. Concluímos que, a partir do momento
em que são conhecidos os RISCOS, é
possível tomar decisões a respeito
dos ativos mais críticos.
Exemplo de Análise de Risco
47. A Segurança da Informação é
um processo que envolve todas
as áreas de negócio de uma
organização e deve ser entendida
como mais uma disciplina
orientada a atingir a missão
estabelecida.
48. Medidas de Segurança
As medidas de segurança tem como função
reduzir ao máximo o impacto das ameaças
sobre os ativos.
Sem medidas
De segurança Após
ATIVO
ATIVO
Com medidas
De segurança
50. Jogo dos 10 erros
Encontre 10 erros da segurança da
informação na imagem abaixo.
51. Exercícios
1) Qual dos princípios básicos da segurança da informação
enuncia a garantia de que uma informação não foi alterada
durante seu percurso, da origem ao destino?
2) Faça um resumo das principais normas de criação de uma
boa senha, com exemplos diferentes, dos passados em sala
de aula.
3) De um modo geral, a manutenção da segurança dos ativos de
informação deve cuidar da preservação de:
a) confidencialidade e integridade, somente.
b) confidencialidade, somente.
c) integridade, somente.
d) confidencialidade, integridade e disponibilidade.
e) confidencialidade e disponibilidade, somente.