SlideShare uma empresa Scribd logo
1 de 20
Baixar para ler offline
SEGURANÇA DA INFORMAÇÃO
APLICADA A NEGÓCIOS
Carlos Henrique M. da Silva
carloshenrique.85@globo.com
Conceitos de Segurança da
Informação
 Ativo de Informação: qualquer elemento que tenha valor para uma
organização.
 Valor do Ativo: quantificação de perda de determinado ativo quando
esse tem sua confidencialidade, integridade ou disponibilidade
(Princípios Básicos da SI) afetadas.
 Vulnerabilidade: falha no ambiente que ameace algum ativo.
 Ameaça: possibilidade de exploração de uma vulnerabilidade.
 Impacto: resultado da concretização de uma ameaça contra a
vulnerabilidade de um ativo.
Informação e sua Importância
para o Negócio da Organização
 A informação é um elemento essencial para a geração do conhecimento,
para a tomada de decisões, e que representa efetivamente valor para o
negócio dentro de cada um de seus processos.
 O custo para proteger esse Ativo cresce cada vez mais. Segurança
movimentará US$ 244 mi em 2011 no Brasil. Segundo a consultoria Frost &
Sullivan, mercado local de SI deve crescer 17% este ano e atingir
faturamento de US$ 460 milhões em 2016.
 Entendemos que a informação representa valor para o negócio, conforme
foi citado acima, então, podemos afirmar que a informação é um bem, um
ativo da organização, por isso, deve ser preservado e protegido da mesma
forma que os demais ativos da organização.
Segurança da Informação
 A segurança da informação tem como propósito proteger as
INFORMAÇÕES, sem importar onde estejam situadas.
 Um sistema de segurança da informação tem por objetivo proteger e
controlar os ATIVOS DE INFORMAÇÃO, garantindo os três princípios
básicos da segurança da informação.
Princípios básicos da
Segurança da Informação
 Existem três* princípios básicos da segurança da informação, são eles:
 Disponibilidade
 Confidencialidade
 Integridade
* Existem autores que destacam mais de três, são eles: Autenticidade,
Não-repúdio, Legalidade, Privacidade e Auditoria
DISPONIBILIDADE
 A informação está acessível à pessoas
autorizadas sempre que necessário
Quebra de Disponibilidade
 Sistemas fora do ar
 Ataques de Negação de Serviço
 Perdas de Documentos
 Perda de Acesso à informação
CONFIDENCIALIDADE
 Somente Pessoas explicitamente autorizadas podem ter acesso
à informação.
Quebra de Confidencialidade
 Conversas no elevador, restaurantes, etc. sobre assuntos
confidenciais de trabalho, disponibilizando assim a informação
para todos à sua volta.
 Engenharia Social
INTEGRIDADE
 A informação acessada é completa, sem alterações ou
distorções, e portanto, confiável. Mesmo estando errada.
Quebra de Integridade
 Falsificação de documentos
 Alteração de registro no BD
Política de Segurança da
Informação (PSI)
 A Política de Segurança da Informação é formada por um conjunto de normas e
procedimentos que de algum modo regulam o comportamento dos funcionários.
 Deve indicar como as coisas devem acontecer na organização no que se refere
à segurança da informação.
 Objetivo Principal: Estabelecer um padrão de comportamento que seja
conhecido por todos na organização e que sirva como base para decisões da
alta administração em assuntos relacionados com a segurança da informação.
Estrutura da Política de
Segurança da Informação (PSI)
1. Definições gerais;
a. Carta do diretor;
b. Conceitos de SI.
2. Objetivos e metas;
3. Responsabilidades pela PSI;
4. Registro de incidentes;
5. Diretrizes;
6. Normas;
7. Revisão da PSI;
8. Questões Legais e de
Regulamentação;
9. Pensando na Auditoria;
10. Composição da Política*;
11. Características Inerentes da
Política*;
12. Características de Uso da Política*.
Composição, Características Inerentes e
de Uso da Política de Segurança da
Informação (PSI)
Fatores Externos Fatores Internos
Análise de Impacto ao
Negócio (BIA)
 A Análise de Impactos nos Negócios é feita buscando identificar os
processos críticos que apóiam o negócio da organização, e qual impacto
para o negócio caso as ameaças mapeadas venham a se concretizar.
Calculo do Impacto
Impacto = (Relevância do Processo + Relevância do Ativo)
2
Relevância do Processo: Quão importante é o processo ao negócio da organização.
Relevância do Ativo: Importância do ativo no processo de negócio da organização.
Análise de Risco (RA)
 É realizada para identificar os riscos aos quais estão submetidos os ativos, ou
seja, para saber qual é a probabilidade de que as ameaças se concretizem e o
impacto que elas causarão ao negócio.
 A análise de risco possibilita identificar o grau de proteção que os ativos de
informação precisam, podendo assim, não só proporcionar o grau adequado de
proteção a esse ativo, mas principalmente utilizar de forma inteligente os
recursos da organização.
 A relevância de cada um dos processos de negócio na empresa é um ponto-
chave que deve ser considerado durante a realização da análise de riscos.
Análise de Risco (RA)
Como Calcular o Risco de um Incidente
acontecer com um Ativo?
Risco = (Probabilidade + Impacto + Índice de ocorrências anteriores)
3
Onde: Probabilidade = (Grau de Ameaça + Grau de Vulnerabilidade)
2
Índice de Ocorrências = (Total de dias no ano em que houve incidentes)
Análise de Risco (RA)
Exemplo de Análise de Risco
 Concluímos que, a partir do momento em
que são conhecidos os RISCOS, é possível
tomar decisões a respeito dos ativos mais
críticos.
Normas
Normas
 ITIL: Melhores práticas para prover a qualidade de serviços de TI
 COBIT: Práticas que auxiliam a gestão e controle de iniciativas de TI
 BS 15000: Foi a 1ª norma formal para gestão de serviços de TI. Fornece
especificações claras para implementação de um processo de gestão de TI.
 ISO 20000: Substituiu a BS 15000 em 5/12/2005.
 ISO 17799:2005: Código de práticas com orientações para gestão de SI.
 “Família” ISO 27000: Incluem normas sobre requisitos de sistemas de gestão
de SI, gestão de riscos, métricas e medidas, e diretrizes para implementação.
Normas
NORMA PONTO FORTE PONTO FRACO
ITIL Processos de operação
Segurança e desenvolvimento de
sistemas
COBIT
- Controles
- Métricas
- Processos
São linhas gerais que não
indicam “como” fazer
ISO 17799 Controle de segurança
É um guia genérico sem material
específico
 As normas podem ser aplicadas de forma conjunta na busca pela excelência
nos serviços de TI.
CONCLUSÃO
 A Segurança da Informação é um processo que envolve todas as áreas
de negócio de uma organização e deve ser entendida como mais uma
disciplina orientada a atingir a missão estabelecida.
OBRIGADO!
Formado em Análise de Sistemas
Pós-Graduado em Auditoria em T.I.
Gerente de TI da CLIOC – Coleção de Leishmania do Instituto
Oswaldo Cruz – Fiocruz
Certificado em Gestão de Segurança da Informação e
Gerenciamento de T.I. pela Academia Latino-Americana
(Microsoft TechNet / Módulo Security)
Carlos Henrique M. da Silva
carloshenrique.85@globo.com

Mais conteúdo relacionado

Mais procurados

Banco de Dados I - Aula 05 - Banco de Dados Relacional (Modelo Conceitual)
Banco de Dados I - Aula 05 - Banco de Dados Relacional (Modelo Conceitual)Banco de Dados I - Aula 05 - Banco de Dados Relacional (Modelo Conceitual)
Banco de Dados I - Aula 05 - Banco de Dados Relacional (Modelo Conceitual)Leinylson Fontinele
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaGilberto Sudre
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão DocumentalDaniel Gorita
 
Banco de Dados I - Aula 09 - Normalização de Dados
Banco de Dados I - Aula 09 - Normalização de DadosBanco de Dados I - Aula 09 - Normalização de Dados
Banco de Dados I - Aula 09 - Normalização de DadosLeinylson Fontinele
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosAldson Diego
 
Aula 7 gestão de riscos
Aula 7   gestão de riscosAula 7   gestão de riscos
Aula 7 gestão de riscosDaniel Moura
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDEliézer Zarpelão
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Sistemas de Informações - Aula 07: Sistemas de Processamento de Transações (SPT)
Sistemas de Informações - Aula 07: Sistemas de Processamento de Transações (SPT)Sistemas de Informações - Aula 07: Sistemas de Processamento de Transações (SPT)
Sistemas de Informações - Aula 07: Sistemas de Processamento de Transações (SPT)Marcus Araújo
 
Banco de Dados Conceitos
Banco de Dados ConceitosBanco de Dados Conceitos
Banco de Dados ConceitosCleber Ramos
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Banco de Dados I Aula 02 - Introdução aos Bancos de Dados
Banco de Dados I  Aula 02 - Introdução aos Bancos de DadosBanco de Dados I  Aula 02 - Introdução aos Bancos de Dados
Banco de Dados I Aula 02 - Introdução aos Bancos de DadosLeinylson Fontinele
 
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosBanco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosLeinylson Fontinele
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 

Mais procurados (20)

Aula 5 banco de dados
Aula 5   banco de dadosAula 5   banco de dados
Aula 5 banco de dados
 
Banco de Dados I - Aula 05 - Banco de Dados Relacional (Modelo Conceitual)
Banco de Dados I - Aula 05 - Banco de Dados Relacional (Modelo Conceitual)Banco de Dados I - Aula 05 - Banco de Dados Relacional (Modelo Conceitual)
Banco de Dados I - Aula 05 - Banco de Dados Relacional (Modelo Conceitual)
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão Documental
 
Banco de Dados I - Aula 09 - Normalização de Dados
Banco de Dados I - Aula 09 - Normalização de DadosBanco de Dados I - Aula 09 - Normalização de Dados
Banco de Dados I - Aula 09 - Normalização de Dados
 
Introdução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplosIntrodução à política de segurança da Informação com exemplos
Introdução à política de segurança da Informação com exemplos
 
Aula 7 gestão de riscos
Aula 7   gestão de riscosAula 7   gestão de riscos
Aula 7 gestão de riscos
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPDA importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Sistemas de Informações - Aula 07: Sistemas de Processamento de Transações (SPT)
Sistemas de Informações - Aula 07: Sistemas de Processamento de Transações (SPT)Sistemas de Informações - Aula 07: Sistemas de Processamento de Transações (SPT)
Sistemas de Informações - Aula 07: Sistemas de Processamento de Transações (SPT)
 
Banco de Dados Conceitos
Banco de Dados ConceitosBanco de Dados Conceitos
Banco de Dados Conceitos
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
O que é dds
O que é ddsO que é dds
O que é dds
 
Banco de Dados I Aula 02 - Introdução aos Bancos de Dados
Banco de Dados I  Aula 02 - Introdução aos Bancos de DadosBanco de Dados I  Aula 02 - Introdução aos Bancos de Dados
Banco de Dados I Aula 02 - Introdução aos Bancos de Dados
 
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosBanco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 

Semelhante a Segurança da Informação para Negócios

Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição  importância elaboração e imple...Politica de segurança da informação definição  importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...Diego Souza
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit  5 - APO13 - Gestão da Segurança da InformaçãoCobit  5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoFabiano Da Ventura
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarArthur Tofolo Washington
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoModelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoEd Oliveira
 

Semelhante a Segurança da Informação para Negócios (20)

Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Politica de segurança da informação definição importância elaboração e imple...
Politica de segurança da informação definição  importância elaboração e imple...Politica de segurança da informação definição  importância elaboração e imple...
Politica de segurança da informação definição importância elaboração e imple...
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit  5 - APO13 - Gestão da Segurança da InformaçãoCobit  5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da InformaçãoModelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
Modelo Tecnologia - Consultoria & Auditoria em Segurança da Informação
 
segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
 

Mais de Carlos Henrique Martins da Silva (14)

eXtensible Markup Language (XML)
eXtensible Markup Language (XML)eXtensible Markup Language (XML)
eXtensible Markup Language (XML)
 
eXtreme Programming (XP)
eXtreme Programming (XP)eXtreme Programming (XP)
eXtreme Programming (XP)
 
Rational Unified Process (RUP)
Rational Unified Process (RUP)Rational Unified Process (RUP)
Rational Unified Process (RUP)
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - Backdoor
 
Aula 8 - SQL Injection
Aula 8 - SQL InjectionAula 8 - SQL Injection
Aula 8 - SQL Injection
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força Bruta
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
 
Aula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado DigitalAula 5 - Assinatura e Certificado Digital
Aula 5 - Assinatura e Certificado Digital
 
Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
 
Deep web
Deep webDeep web
Deep web
 
Segurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
Segurança Através de Controles Biométricos - Carlos Henrique Martins da SilvaSegurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
Segurança Através de Controles Biométricos - Carlos Henrique Martins da Silva
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e Segurança
 

Segurança da Informação para Negócios

  • 1. SEGURANÇA DA INFORMAÇÃO APLICADA A NEGÓCIOS Carlos Henrique M. da Silva carloshenrique.85@globo.com
  • 2. Conceitos de Segurança da Informação  Ativo de Informação: qualquer elemento que tenha valor para uma organização.  Valor do Ativo: quantificação de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade (Princípios Básicos da SI) afetadas.  Vulnerabilidade: falha no ambiente que ameace algum ativo.  Ameaça: possibilidade de exploração de uma vulnerabilidade.  Impacto: resultado da concretização de uma ameaça contra a vulnerabilidade de um ativo.
  • 3. Informação e sua Importância para o Negócio da Organização  A informação é um elemento essencial para a geração do conhecimento, para a tomada de decisões, e que representa efetivamente valor para o negócio dentro de cada um de seus processos.  O custo para proteger esse Ativo cresce cada vez mais. Segurança movimentará US$ 244 mi em 2011 no Brasil. Segundo a consultoria Frost & Sullivan, mercado local de SI deve crescer 17% este ano e atingir faturamento de US$ 460 milhões em 2016.  Entendemos que a informação representa valor para o negócio, conforme foi citado acima, então, podemos afirmar que a informação é um bem, um ativo da organização, por isso, deve ser preservado e protegido da mesma forma que os demais ativos da organização.
  • 4. Segurança da Informação  A segurança da informação tem como propósito proteger as INFORMAÇÕES, sem importar onde estejam situadas.  Um sistema de segurança da informação tem por objetivo proteger e controlar os ATIVOS DE INFORMAÇÃO, garantindo os três princípios básicos da segurança da informação.
  • 5. Princípios básicos da Segurança da Informação  Existem três* princípios básicos da segurança da informação, são eles:  Disponibilidade  Confidencialidade  Integridade * Existem autores que destacam mais de três, são eles: Autenticidade, Não-repúdio, Legalidade, Privacidade e Auditoria
  • 6. DISPONIBILIDADE  A informação está acessível à pessoas autorizadas sempre que necessário Quebra de Disponibilidade  Sistemas fora do ar  Ataques de Negação de Serviço  Perdas de Documentos  Perda de Acesso à informação
  • 7. CONFIDENCIALIDADE  Somente Pessoas explicitamente autorizadas podem ter acesso à informação. Quebra de Confidencialidade  Conversas no elevador, restaurantes, etc. sobre assuntos confidenciais de trabalho, disponibilizando assim a informação para todos à sua volta.  Engenharia Social
  • 8. INTEGRIDADE  A informação acessada é completa, sem alterações ou distorções, e portanto, confiável. Mesmo estando errada. Quebra de Integridade  Falsificação de documentos  Alteração de registro no BD
  • 9. Política de Segurança da Informação (PSI)  A Política de Segurança da Informação é formada por um conjunto de normas e procedimentos que de algum modo regulam o comportamento dos funcionários.  Deve indicar como as coisas devem acontecer na organização no que se refere à segurança da informação.  Objetivo Principal: Estabelecer um padrão de comportamento que seja conhecido por todos na organização e que sirva como base para decisões da alta administração em assuntos relacionados com a segurança da informação.
  • 10. Estrutura da Política de Segurança da Informação (PSI) 1. Definições gerais; a. Carta do diretor; b. Conceitos de SI. 2. Objetivos e metas; 3. Responsabilidades pela PSI; 4. Registro de incidentes; 5. Diretrizes; 6. Normas; 7. Revisão da PSI; 8. Questões Legais e de Regulamentação; 9. Pensando na Auditoria; 10. Composição da Política*; 11. Características Inerentes da Política*; 12. Características de Uso da Política*.
  • 11. Composição, Características Inerentes e de Uso da Política de Segurança da Informação (PSI) Fatores Externos Fatores Internos
  • 12. Análise de Impacto ao Negócio (BIA)  A Análise de Impactos nos Negócios é feita buscando identificar os processos críticos que apóiam o negócio da organização, e qual impacto para o negócio caso as ameaças mapeadas venham a se concretizar. Calculo do Impacto Impacto = (Relevância do Processo + Relevância do Ativo) 2 Relevância do Processo: Quão importante é o processo ao negócio da organização. Relevância do Ativo: Importância do ativo no processo de negócio da organização.
  • 13. Análise de Risco (RA)  É realizada para identificar os riscos aos quais estão submetidos os ativos, ou seja, para saber qual é a probabilidade de que as ameaças se concretizem e o impacto que elas causarão ao negócio.  A análise de risco possibilita identificar o grau de proteção que os ativos de informação precisam, podendo assim, não só proporcionar o grau adequado de proteção a esse ativo, mas principalmente utilizar de forma inteligente os recursos da organização.  A relevância de cada um dos processos de negócio na empresa é um ponto- chave que deve ser considerado durante a realização da análise de riscos.
  • 14. Análise de Risco (RA) Como Calcular o Risco de um Incidente acontecer com um Ativo? Risco = (Probabilidade + Impacto + Índice de ocorrências anteriores) 3 Onde: Probabilidade = (Grau de Ameaça + Grau de Vulnerabilidade) 2 Índice de Ocorrências = (Total de dias no ano em que houve incidentes)
  • 15. Análise de Risco (RA) Exemplo de Análise de Risco  Concluímos que, a partir do momento em que são conhecidos os RISCOS, é possível tomar decisões a respeito dos ativos mais críticos.
  • 17. Normas  ITIL: Melhores práticas para prover a qualidade de serviços de TI  COBIT: Práticas que auxiliam a gestão e controle de iniciativas de TI  BS 15000: Foi a 1ª norma formal para gestão de serviços de TI. Fornece especificações claras para implementação de um processo de gestão de TI.  ISO 20000: Substituiu a BS 15000 em 5/12/2005.  ISO 17799:2005: Código de práticas com orientações para gestão de SI.  “Família” ISO 27000: Incluem normas sobre requisitos de sistemas de gestão de SI, gestão de riscos, métricas e medidas, e diretrizes para implementação.
  • 18. Normas NORMA PONTO FORTE PONTO FRACO ITIL Processos de operação Segurança e desenvolvimento de sistemas COBIT - Controles - Métricas - Processos São linhas gerais que não indicam “como” fazer ISO 17799 Controle de segurança É um guia genérico sem material específico  As normas podem ser aplicadas de forma conjunta na busca pela excelência nos serviços de TI.
  • 19. CONCLUSÃO  A Segurança da Informação é um processo que envolve todas as áreas de negócio de uma organização e deve ser entendida como mais uma disciplina orientada a atingir a missão estabelecida.
  • 20. OBRIGADO! Formado em Análise de Sistemas Pós-Graduado em Auditoria em T.I. Gerente de TI da CLIOC – Coleção de Leishmania do Instituto Oswaldo Cruz – Fiocruz Certificado em Gestão de Segurança da Informação e Gerenciamento de T.I. pela Academia Latino-Americana (Microsoft TechNet / Módulo Security) Carlos Henrique M. da Silva carloshenrique.85@globo.com