SlideShare uma empresa Scribd logo
1 de 29
Baixar para ler offline
Carlos Henrique M. da Silva
carloshenrique.85@globo.com
 Conceitos básicos que fundamentam os estudos sobre SI;
 Diferentes categorias de ativos existentes em uma empresa;
 Conceito de vulnerabilidades e ameaças dos ativos;
 Conceitos de integridade, confidencialidade e disponibilidade;
 Conceitos de análise de riscos (AR);
 Conceitos de política de segurança da informação (PSI);
 Conceito de análise de impacto ao negócio (BIA);
 Medidas de segurança;
 Normas de SI;
 Ferramentas;
 ETC.
DADOS INFORMAÇÃO CONHECIMENTO
A informação é algo que contém um significado e causa impacto em
diferentes graus, tornando-a o elemento chave da extração e criação
do conhecimento. O conhecimento só poderá ser formado quando o
indivíduo for exposto à informação, deste modo é possível afirmar
que poderá até haver informação sem conhecimento, mas não
conhecimento sem informação.
No mundo atual a posse e o uso do conhecimento passou a ser um
fator estratégico decisivo para muitas empresas. Estamos vivendo a
época batizada como "Era da Informação". Mas a informação é volátil,
frágil. Hoje, ela pode desaparecer na velocidade de um pulso
elétrico.
Atualmente, as informações constituem o objeto de maior valor para
as empresas. Por esse e outros motivos a segurança da informação é
um assunto tão importante para todos, pois afeta diretamente todos
os negócios de uma empresa ou de um indivíduo.
Importância da Informação para o Negócio - A informação é um
elemento essencial para a geração do conhecimento, para a tomada
de decisões, e que representa efetivamente valor para o negócio.
Ativo de Informação: Qualquer elemento que tenha valor para
uma organização.
Valor do Ativo: Quantificação de perda de determinado ativo
quando esse tem sua confidencialidade, integridade ou
disponibilidade (Princípios Básicos da SI) afetadas.
Vulnerabilidade: Falha no ambiente que ameace algum ativo.
Ameaça: Possibilidade de exploração de uma vulnerabilidade.
Impacto: Resultado da concretização de uma ameaça contra a
vulnerabilidade de um ativo.
 A segurança da informação tem como propósito proteger as
INFORMAÇÕES, sem importar onde estejam situadas.
 Um sistema de segurança da informação tem por objetivo
proteger e controlar os ATIVOS DE INFORMAÇÃO, garantindo os três
princípios básicos da segurança da informação.
CLASSIFICAÇÃO DE ATIVOS
INFORMAÇÕES
EQUIPAMENTOS E SISTEMAS
SOFTWARE
HARDWARE
ORGANIZAÇÃO
PESSOAS
Existem três* princípios básicos da segurança da informação, são
eles:
Disponibilidade
Confidencialidade
Integridade
* Existem autores que destacam mais de três, são eles:
Autenticidade, Não repúdio, Legalidade, Privacidade e Auditoria
 A informação está acessível à pessoas autorizadas sempre que
necessário.
QUEBRA DE DISPONIBILIDADE
 Sistemas fora do ar
 Ataques de Negação de Serviço
 Perdas de Documentos
 Perda de Acesso à informação
Somente Pessoas explicitamente autorizadas podem ter acesso à
informação.
QUEBRA DE CONFIDENCIALIDADE
 Conversas no elevador, restaurantes, etc. sobre assuntos
confidenciais de trabalho, disponibilizando assim a informação para
todos à sua volta.
 Engenharia Social
A informação acessada é completa, sem alterações ou distorções, e
portanto, confiável. Mesmo estando errada.
QUEBRA DE INTEGRIDADE
 Falsificação de documentos
 Alteração de registro no BD
São fraquezas inerentes aos ativos de informação que podem ser
exploradas por ameaças ocasionando um incidente de segurança da
informação. É possível que um ativo de informação possua uma
vulnerabilidade que, de fato, nunca será efetivamente explorada por
uma ameaça.
SISTEMA IMUNOLÓGICO FRACO
VÍRUS
São agentes externos ao ativo de informação que, exploram as
vulnerabilidades pra gerar a quebra de um ou mais dos três
princípios básicos da segurança da informação (confidencialidade,
integridade e disponibilidade), ou seja, um incidente de segurança da
informação.
INCIDENTE
Um incidente de segurança da informação é a ocorrência de um
evento que possa interromper os processos do negócio de um ou
mais dos três princípios básicos de segurança da informação
(confidencialidade, integridade e disponibilidade).
INCIDENTE
AMEAÇAVULNERABILIDADE
Probabilidade é a chance que um incidente de segurança da
informação tem de acontecer, considerando o grau das
vulnerabilidades presentes nos ativos de informação e o grau das
ameaças que possam explorar essas vulnerabilidades. Mas esses
graus são relativos, ou seja, mesmo as mais baixas vulnerabilidades
poderão representar probabilidades consideráveis, se o grau da
ameaça for muito grande.
Resultado da ação bem sucedida de uma ameaça ao explorar as
vulnerabilidades de um ativo, atingindo assim um ou mais conceitos
da segurança da informação. O impacto se denomina pelos
danos/prejuízos causados por um incidente de segurança da
informação ocorrido no negócio organização.
O tamanho ou grau de um impacto no negócio da organização
depende do grau da relevância dos ativos de informação para os
processos da organização, ou seja, quanto maior for a relevância do
ativo para a organização, maior será o impacto de um incidente de
segurança da informação caso ele venha acontecer.
É preciso definir um grau de impacto para cada incidente de
segurança da informação que possa vir ocorrer. Este grau de
impacto será de extrema importância para o cálculo do risco, que
veremos mais à frente.
É feita buscando identificar os processos críticos que apoiam o
negócio da organização, e qual impacto para o negócio caso as
ameaças mapeadas venham a se concretizar.
Calculo do Impacto
Impacto = (Relevância do Processo + Relevância do Ativo)
2
Relevância do Processo: Importância do processo ao negócio.
Relevância do Ativo: Importância do ativo no processo de
negócio.
 É realizada para identificar os riscos aos quais estão
submetidos os ativos, ou seja, para saber qual é a
probabilidade de que as ameaças se concretizem e o
impacto que elas causarão ao negócio.
 A análise de risco possibilita identificar o grau de proteção
que os ativos de informação precisam, podendo assim, não
só proporcionar o grau adequado de proteção a esse ativo,
mas principalmente utilizar de forma inteligente os recursos
da organização.
Calculo de Risco de um Incidente a um Ativo?
Risco = (Probabilidade + Impacto + Índice ocorrências anteriores)
3
Onde:
Probabilidade = (Grau de Ameaça + Grau de Vulnerabilidade)
2
Índice de Ocorrências = (Total de dias no ano* em que houve
incidentes)
* Ano = 365 dias SEMPRE.
 Concluímos que, a partir do momento em que são conhecidos os
RISCOS, é possível tomar decisões a respeito dos ativos mais
críticos.
Exemplo de Análise de Risco
A Segurança da Informação é um processo que envolve todas as
áreas de negócio de uma organização e deve ser entendida como
mais uma disciplina orientada a atingir a missão estabelecida.
RESPOSTAS
Formado em Análise de Sistemas
Pós-Graduado em Auditoria em T.I.
Gerente de TI da CLIOC – Coleção de Leishmania do
Instituto Oswaldo Cruz – Fiocruz
Certificado em Gestão de Segurança da Informação e
Gerenciamento de T.I. pela Academia Latino-Americana
(Microsoft TechNet / Módulo Security)
Carlos Henrique M. da Silva
carloshenrique.85@globo.com

Mais conteúdo relacionado

Mais procurados

Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAMaraLuizaGonalvesFre
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoCarlos De Carvalho
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfEdkallenn Lima
 
Gerencia e Administração de Redes
Gerencia e Administração de RedesGerencia e Administração de Redes
Gerencia e Administração de RedesAllan Piter Pressi
 
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativosSegurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativosCleber Fonseca
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Cleber Ramos
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Aula - Arquiteturas de aplicações móveis
Aula - Arquiteturas de aplicações móveisAula - Arquiteturas de aplicações móveis
Aula - Arquiteturas de aplicações móveisJanynne Gomes
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 

Mais procurados (20)

Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informação
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
 
Gerencia e Administração de Redes
Gerencia e Administração de RedesGerencia e Administração de Redes
Gerencia e Administração de Redes
 
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativosSegurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
Segurança da informação - Aula 3 - Ciclo de vida, classificação de ativos
 
Firewall
FirewallFirewall
Firewall
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Aula - Arquiteturas de aplicações móveis
Aula - Arquiteturas de aplicações móveisAula - Arquiteturas de aplicações móveis
Aula - Arquiteturas de aplicações móveis
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Dispositivos móveis
Dispositivos móveisDispositivos móveis
Dispositivos móveis
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafios
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 

Semelhante a Aula 1 - Introdução a Segurança da Informação

Introd seguranca da informacao assist adm
Introd seguranca da informacao assist admIntrod seguranca da informacao assist adm
Introd seguranca da informacao assist admAlexMartinsdaSilva2
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição  importância elaboração e imple...Politica de segurança da informação definição  importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Segurança da informação - Aula 02
Segurança da informação - Aula 02Segurança da informação - Aula 02
Segurança da informação - Aula 02profandreson
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2vicente nunes
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 

Semelhante a Aula 1 - Introdução a Segurança da Informação (20)

segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
 
Introd seguranca da informacao assist adm
Introd seguranca da informacao assist admIntrod seguranca da informacao assist adm
Introd seguranca da informacao assist adm
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição  importância elaboração e imple...Politica de segurança da informação definição  importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Segurança da informação - Aula 02
Segurança da informação - Aula 02Segurança da informação - Aula 02
Segurança da informação - Aula 02
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
 
Seg redes 1
Seg redes 1Seg redes 1
Seg redes 1
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011
 
Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2Tecnologia da Informação AVM aula 2
Tecnologia da Informação AVM aula 2
 
Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2Tecnologia da Informação - aula 2
Tecnologia da Informação - aula 2
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 

Mais de Carlos Henrique Martins da Silva (14)

eXtensible Markup Language (XML)
eXtensible Markup Language (XML)eXtensible Markup Language (XML)
eXtensible Markup Language (XML)
 
eXtreme Programming (XP)
eXtreme Programming (XP)eXtreme Programming (XP)
eXtreme Programming (XP)
 
Rational Unified Process (RUP)
Rational Unified Process (RUP)Rational Unified Process (RUP)
Rational Unified Process (RUP)
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - Backdoor
 
Aula 8 - SQL Injection
Aula 8 - SQL InjectionAula 8 - SQL Injection
Aula 8 - SQL Injection
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força Bruta
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
 
Aula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado DigitalAula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado Digital
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
 
Deep web
Deep webDeep web
Deep web
 
Segurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
Segurança Através de Controles Biométricos - Carlos Henrique Martins da SilvaSegurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
Segurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
 

Aula 1 - Introdução a Segurança da Informação

  • 1. Carlos Henrique M. da Silva carloshenrique.85@globo.com
  • 2.  Conceitos básicos que fundamentam os estudos sobre SI;  Diferentes categorias de ativos existentes em uma empresa;  Conceito de vulnerabilidades e ameaças dos ativos;  Conceitos de integridade, confidencialidade e disponibilidade;  Conceitos de análise de riscos (AR);  Conceitos de política de segurança da informação (PSI);  Conceito de análise de impacto ao negócio (BIA);  Medidas de segurança;  Normas de SI;  Ferramentas;  ETC.
  • 3. DADOS INFORMAÇÃO CONHECIMENTO A informação é algo que contém um significado e causa impacto em diferentes graus, tornando-a o elemento chave da extração e criação do conhecimento. O conhecimento só poderá ser formado quando o indivíduo for exposto à informação, deste modo é possível afirmar que poderá até haver informação sem conhecimento, mas não conhecimento sem informação.
  • 4. No mundo atual a posse e o uso do conhecimento passou a ser um fator estratégico decisivo para muitas empresas. Estamos vivendo a época batizada como "Era da Informação". Mas a informação é volátil, frágil. Hoje, ela pode desaparecer na velocidade de um pulso elétrico. Atualmente, as informações constituem o objeto de maior valor para as empresas. Por esse e outros motivos a segurança da informação é um assunto tão importante para todos, pois afeta diretamente todos os negócios de uma empresa ou de um indivíduo. Importância da Informação para o Negócio - A informação é um elemento essencial para a geração do conhecimento, para a tomada de decisões, e que representa efetivamente valor para o negócio.
  • 5. Ativo de Informação: Qualquer elemento que tenha valor para uma organização. Valor do Ativo: Quantificação de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade (Princípios Básicos da SI) afetadas. Vulnerabilidade: Falha no ambiente que ameace algum ativo. Ameaça: Possibilidade de exploração de uma vulnerabilidade. Impacto: Resultado da concretização de uma ameaça contra a vulnerabilidade de um ativo.
  • 6.  A segurança da informação tem como propósito proteger as INFORMAÇÕES, sem importar onde estejam situadas.  Um sistema de segurança da informação tem por objetivo proteger e controlar os ATIVOS DE INFORMAÇÃO, garantindo os três princípios básicos da segurança da informação.
  • 7. CLASSIFICAÇÃO DE ATIVOS INFORMAÇÕES EQUIPAMENTOS E SISTEMAS SOFTWARE HARDWARE ORGANIZAÇÃO PESSOAS
  • 8.
  • 9.
  • 10.
  • 11.
  • 12. Existem três* princípios básicos da segurança da informação, são eles: Disponibilidade Confidencialidade Integridade * Existem autores que destacam mais de três, são eles: Autenticidade, Não repúdio, Legalidade, Privacidade e Auditoria
  • 13.  A informação está acessível à pessoas autorizadas sempre que necessário. QUEBRA DE DISPONIBILIDADE  Sistemas fora do ar  Ataques de Negação de Serviço  Perdas de Documentos  Perda de Acesso à informação
  • 14. Somente Pessoas explicitamente autorizadas podem ter acesso à informação. QUEBRA DE CONFIDENCIALIDADE  Conversas no elevador, restaurantes, etc. sobre assuntos confidenciais de trabalho, disponibilizando assim a informação para todos à sua volta.  Engenharia Social
  • 15. A informação acessada é completa, sem alterações ou distorções, e portanto, confiável. Mesmo estando errada. QUEBRA DE INTEGRIDADE  Falsificação de documentos  Alteração de registro no BD
  • 16. São fraquezas inerentes aos ativos de informação que podem ser exploradas por ameaças ocasionando um incidente de segurança da informação. É possível que um ativo de informação possua uma vulnerabilidade que, de fato, nunca será efetivamente explorada por uma ameaça. SISTEMA IMUNOLÓGICO FRACO
  • 17. VÍRUS São agentes externos ao ativo de informação que, exploram as vulnerabilidades pra gerar a quebra de um ou mais dos três princípios básicos da segurança da informação (confidencialidade, integridade e disponibilidade), ou seja, um incidente de segurança da informação.
  • 18. INCIDENTE Um incidente de segurança da informação é a ocorrência de um evento que possa interromper os processos do negócio de um ou mais dos três princípios básicos de segurança da informação (confidencialidade, integridade e disponibilidade).
  • 20. Probabilidade é a chance que um incidente de segurança da informação tem de acontecer, considerando o grau das vulnerabilidades presentes nos ativos de informação e o grau das ameaças que possam explorar essas vulnerabilidades. Mas esses graus são relativos, ou seja, mesmo as mais baixas vulnerabilidades poderão representar probabilidades consideráveis, se o grau da ameaça for muito grande.
  • 21. Resultado da ação bem sucedida de uma ameaça ao explorar as vulnerabilidades de um ativo, atingindo assim um ou mais conceitos da segurança da informação. O impacto se denomina pelos danos/prejuízos causados por um incidente de segurança da informação ocorrido no negócio organização. O tamanho ou grau de um impacto no negócio da organização depende do grau da relevância dos ativos de informação para os processos da organização, ou seja, quanto maior for a relevância do ativo para a organização, maior será o impacto de um incidente de segurança da informação caso ele venha acontecer. É preciso definir um grau de impacto para cada incidente de segurança da informação que possa vir ocorrer. Este grau de impacto será de extrema importância para o cálculo do risco, que veremos mais à frente.
  • 22.
  • 23. É feita buscando identificar os processos críticos que apoiam o negócio da organização, e qual impacto para o negócio caso as ameaças mapeadas venham a se concretizar. Calculo do Impacto Impacto = (Relevância do Processo + Relevância do Ativo) 2 Relevância do Processo: Importância do processo ao negócio. Relevância do Ativo: Importância do ativo no processo de negócio.
  • 24.  É realizada para identificar os riscos aos quais estão submetidos os ativos, ou seja, para saber qual é a probabilidade de que as ameaças se concretizem e o impacto que elas causarão ao negócio.  A análise de risco possibilita identificar o grau de proteção que os ativos de informação precisam, podendo assim, não só proporcionar o grau adequado de proteção a esse ativo, mas principalmente utilizar de forma inteligente os recursos da organização.
  • 25. Calculo de Risco de um Incidente a um Ativo? Risco = (Probabilidade + Impacto + Índice ocorrências anteriores) 3 Onde: Probabilidade = (Grau de Ameaça + Grau de Vulnerabilidade) 2 Índice de Ocorrências = (Total de dias no ano* em que houve incidentes) * Ano = 365 dias SEMPRE.
  • 26.  Concluímos que, a partir do momento em que são conhecidos os RISCOS, é possível tomar decisões a respeito dos ativos mais críticos. Exemplo de Análise de Risco
  • 27. A Segurança da Informação é um processo que envolve todas as áreas de negócio de uma organização e deve ser entendida como mais uma disciplina orientada a atingir a missão estabelecida.
  • 29. Formado em Análise de Sistemas Pós-Graduado em Auditoria em T.I. Gerente de TI da CLIOC – Coleção de Leishmania do Instituto Oswaldo Cruz – Fiocruz Certificado em Gestão de Segurança da Informação e Gerenciamento de T.I. pela Academia Latino-Americana (Microsoft TechNet / Módulo Security) Carlos Henrique M. da Silva carloshenrique.85@globo.com