SlideShare uma empresa Scribd logo

Modulo 01 Capitulo 02

Robson Silva Espig
Robson Silva Espig
TecnologiaTurismo
1 de 17
Baixar para ler offline
Capítulo 2 - Ativos 2.1 Introdução Mercado britânico contabiliza perdas com ação de vírus * As organizações pertencentes ao Corporate IT Forum (TIF) revelaram recentemente que perdem mais de 100 mil euros em cada grande ação de uma praga virtual em seus sistemas. Segundo especialistas, essa seria uma boa justificativa para os gerentes de TI pedirem verbas extras para investimentos em soluções de segurança. O TIF reúne 140 organizações do Reino Unido, incluindo grandes empresas britânicas. Segundo levantamento realizado pela instituição, as empresas perdem 122 mil euros em deslocamento de equipes técnicas e outros custos para cada infecção de um vírus ou worm. Para se ter uma idéia de como a ação de vírus atinge diferentes sistemas pelo mundo, no levantamento anual realizado pelo FBI/CSI, com 530 profissionais de TI de diversos segmentos do mercado americano, 82% dos entrevistados admitiram ter sofrido prejuízos com ataques de vírus em 2002. E esses prejuízos foram calculados em torno de 27 milhões de dólares. *Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2601&pagenumber=0&idiom=0 2.2 Objetivos
Conhecer os diferentes tipos de ativos na empresa para identificar tudo aquilo que a segurança da informação deve proteger; Detectar vulnerabilidades relacionadas a esses ativos para nos prepararmos para sua proteção; Conhecer os princípios básicos da segurança da informação: confidencialidade, disponibilidade e integridade, para que possamos compreender quais aspectos devem ser preservados em termos de proteção. 2.3 Tipos de ativos Ativo é tudo aquilo que possuí valor para uma empresa e, por conta disso, precisa ser protegido. Os ativos são elementos que a segurança da informação busca proteger por conta do seu valor. Este valor pode estar no próprio ativo, como um servidor, ou no uso que se faz dele, como em um banco de dados.
Podemos classificar os ativos através de vários aspectos. Neste capítulo iremos dividi-los em: • Informações; • Equipamentos que oferecem suporte a elas; • Pessoas que as utilizam. Vejamos alguns exemplos de ativos dentro de cada uma das categorias: a. Informações b. Os equipamentos que b.1 Software oferecem suporte a elas b.2 Hardware b.3 Organização c. Pessoas que as utilizam a. Informações Neste grupo sem encontram as próprias informações, estejam elas armazenadas e representadas de qualquer forma, em meio eletrônico ou físico.
documentos; relatórios; livros; manuais; correspondências; patentes; informações de mercado; códigos de programação; linhas de comando; arquivos de configuração; planilhas de remuneração de funcionários; plano de negócios de uma empresa.
Possíveis ameaças Roubo de documentos confidenciais ou perda de arquivos de configuração, entre outros. b.1 Software Este grupo de ativos contém todos os programas de computador utilizados para a automatização de processos, incluindo acesso, leitura, transmissão e armazenamento das informações. A segurança da informação busca avaliar a forma em que as aplicações são criadas, disponibilizadas e utilizadas pelos usuários e por outros sistemas para detectar e corrigir problemas existentes em seu funcionamento ou na forma como se comunicam. Sistemas operacionais (Windows, Unix, etc.); Aplicativos; Soluções de CRM e ERP;
Possíveis ameaças Acesso indevido aos sistemas, causando comprometimento das informações armazenadas ou tirando os sistemas do ar. b.2 Hardware Esses ativos representam todos os elementos físicos dos sistemas computacionais que oferecem suporte ao processamento, armazenamento e transmissão de informações. Computadores pessoais (PC's); Servidores; Laptops; Mainframes; Mídias de armazenamento; Equipamento de conectividade, como roteadores e switchs;
Possíveis ameaças Exemplos seriam falhas elétricas que danifiquem os equipamentos, inundações em centros de computação ou roubo de computadores portáteis. b.3 Organização Neste grupo, estão incluídos os aspectos que compõem a estrutura física e organizacional das empresas. Como exemplos de estrutura organizacional temos: A estrutura departamental; A hierarquia; Processos. Em relação ao ambiente físico podemos citar: Datacenters; Salas-cofre; Instalações físicas (construção onde a empresa está situada.
Possíveis ameaças Acesso indevido a ambientes controlados ou problemas causados por aspectos culturais, como uso de recursos da empresa para fins pessoais. c. Usuários O grupo usuários refere-se aos indivíduos que lidam com as informações no seu dia-a-dia de trabalho. O enfoque da segurança nos usuários está voltado para a formação da consciência sobre segurança, para que estes tomem decisões e empreendam ações de acordo com as necessidades de proteção. Isso vai desde a alta direção até os usuários finais da informação, incluindo os grupos que mantêm em funcionamento a estrutura tecnológica, como técnicos, operadores e administradores. Funcionários; Profissionais terceirizados; Executivos.
Possíveis ameaças Dentro desta categoria podemos enquadrar praticamente todas as ameaças de origem humana, de roubos a invasões. 2.4 Proteção dos ativos Uma vez conhecidos os diferentes tipos de ativos encontrados nas empresas, agora nos aprofundaremos nos princípios básicos que nos ajudarão a proteger os ativos de informação. a) Princípios básicos da segurança da informação Proteger os ativos significa mantê-los seguros contra ameaças que possam causar danos diretos a eles ou que possam trazer situações inesperadas, com conseqüente prejuízo em ambos os casos. Alguns exemplos: • Acesso indevido; • Corromper informações críticas; • Apagar informações importantes. Por isso, entendemos que a segurança da informação busca proteger esses ativos com base na preservação de três aspectos básicos: • Integridade; • Confidencialidade; • Disponibilidade. a.1) Integridade O primeiro dos três aspectos da segurança da informação que estudaremos é o da integridade, o qual nos permite garantir que a informação não tenha sido alterada em seu conteúdo de forma intencional ou acidental, tornando-a íntegra.
Uma informação íntegra é uma informação que não foi alterada de forma indevida ou não-autorizada. O primeiro dos três aspectos da segurança da informação que estudaremos é o da integridade, o qual nos permite garantir que a informação não tenha sido alterada em seu conteúdo de forma intencional ou acidental, tornando-a íntegra. A integridade da informação é fundamental para o êxito da comunicação O receptor deverá ter a segurança de que a informação recebida, lida ou ouvida é exatamente a mesma que foi colocada à sua disposição para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado original, sem ter sofrido qualquer alteração por alguém que não tenha autorização para alterá-la. Se uma informação sofre alterações em sua versão original, então ela perde sua integridade, ocasionando erros e fraudes, entre outros problemas, e prejudicando a comunicação e o processo de decisões. Uma informação poderá ser alterada de várias formas. Basicamente, a alteração pode ser feita diretamente na informação ou no ambiente que a suporta. Portanto, a quebra da integridade de uma informação poderá ser considerada sob dois aspectos: 1. Alterações do conteúdo dos documentos - quando são realizadas inserções, substituições ou exclusões de parte de seu conteúdo. 2. Alterações nos elementos que oferecem suporte à informação - quando são realizadas alterações na estrutura física e lógica onde a informação está armazenada.
Alteração nas configurações de um sistema para obtenção de acesso indevido; Inserção de tráfego inválido na comunicação entre dois dispositivos para causar erros de funcionamento; Alteração de informações em um sistema financeiro com o propósito de se cometer fraudes. Quão importante é para você que as informações sobre os salários dos funcionários de sua empresa não sejam alteradas por acidente ou delito? Você sabe se as informações sobre os projetos de negócios confidenciais estão seguras e não podem ser alteradas por terceiros? Vejamos algumas observações finais sobre o propósito que queremos alcançar ao garantir a integridade da informação, o qual está estreitamente relacionado ao aspecto que veremos na seção seguinte: a confidencialidade da informação. Garantia da integridade da informação Buscar a integridade é assegurar que apenas as pessoas autorizadas possam fazer alterações na forma e no conteúdo de uma informação, assim como no ambiente no qual ela é armazenada e pela qual transita. Logo, para garantir a integridade, é preciso que todos os elementos que compõem a base da gestão da informação se mantenham em suas condições originais definidas por seus responsáveis e proprietários. Em resumo: garantir a integridade é um dos principais objetivos para a segurança das informações de uma empresa.
a.2) Confidencialidade O aspecto da confidencialidade da informação tem como objetivo garantir que apenas as pessoas corretas tenham acesso à informação que queremos distribuir. Por isso, dizemos que a informação possui um grau de confidencialidade que deverá ser mantido para que as pessoas não-autorizadas não tenham acesso a ela. Ter confidencialidade na comunicação é ter a segurança de que o que foi dito a alguém ou escrito em algum lugar só será escutado ou lido por quem tiver autorização para tal. Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não-autorizadas.
Pensemos no caso de um cartão de crédito, o número do cartão só poderá ser conhecido por seu proprietário e pelo vendedor da loja onde é usado. Se esse número for descoberto por alguém mal- intencionado, como nos casos denunciados em jornais sobre crimes na Internet, o prejuízo causado pela perda de confidencialidade poderá ser elevado, pois esse número poderá ser usado por alguém para fazer compras indevidas, trazendo prejuízos financeiros e uma grande dor de cabeça para o proprietário do cartão. O mesmo ocorre no caso de uso indevido de senhas de acesso a sistemas bancários, por exemplo. Milhares de reais são roubados diariamente pela ação de criminosos virtuais que se dedicam a invadir computadores domésticos para quebrar a confidencialidade de senhas pessoais. Você sabe quem pode ter acesso a suas informações? Elas estão guardadas de forma suficientemente segura para que pessoas não-autorizadas não tenham acesso a elas? O envio e o armazenamento de informações confidenciais são feitos de forma segura, e os meios pelos quais transitam são controlados, conhecidos e seguros? Garantia da confidencialidade das informações Garantir a confidencialidade é um dos fatores determinantes para a segurança e uma das tarefas mais difíceis de se implementar, pois envolve todos os elementos que fazem parte da comunicação da informação, partindo do emissor, passando pelo caminho percorrido e chegando até o receptor. Quanto maior for o grau de confidencialidade, maior será o nível de segurança necessário na estrutura tecnológica, física e humana que participa desse processo: uso, acesso, transmissão e armazenamento das informações. Deve-se considerar a confidencialidade com base no valor que a informação tem para a empresa ou a pessoa e os impactos causados por sua divulgação indevida. Desta forma, as informações devem ser acessadas, lidas e alteradas somente por aqueles indivíduos que possuem permissão para tal. O acesso deve ser considerado com base no grau de sigilo das informações, pois nem todas as
informações importantes da empresa são confidenciais. No entanto, para garantir isso, somente a confidencialidade das informações não é suficiente, é importante que, além de serem confidenciais, elas também estejam íntegras. Logo, deve-se também manter a integridade da informação seguindo princípios básicos já citados aqui. Mencionamos que o melhor critério que deve ser levado em consideração na hora de definir as necessidades em termos de confidencialidade de uma informação é o seu respectivos grau de sigilo. Vejamos em maiores detalhes este importante conceito: Grau de sigilo: As informações geradas dentro de uma empresa têm uma finalidade específica e destinam-se a um indivíduo ou grupo de indivíduos. Portanto, elas precisam de uma classificação com relação à sua confidencialidade. É o que chamamos de grau de sigilo, que é uma graduação atribuída a cada tipo de informação com base no grupo de usuários que devem ter permissões de acesso a informação em questão. Dependendo do tipo de informação e do público para o qual se deseja colocar à disposição a informação, os graus de sigilo irão variar. Alguns exemplos: • Confidencial; • Restrito; • Sigiloso; • Público. O que cada um desses graus significa em termos de proteção e em termos de requisitos de segurança vai variar de uma empresa para outra. Esta variação ocorre porque as empresas criam os graus de sigilo com o propósito de atender suas necessidades específicas. O único local onde estes graus não variam é na esfera governamental, onde os graus são padronizados para que possam ser utilizados de forma uniforme por todos os servidores públicos. a.3) Princípio de disponibilidade das informações Quando tivermos assegurado que a informação correta chegue aos destinatários ou usuários adequados, devemos também garantir que ela chegue no momento oportuno. É precisamente disso que trata o terceiro aspecto da segurança da informação: a disponibilidade.
Para que uma informação possa ser utilizada, ela deverá estar disponível. A disponibilidade é o terceiro princípio básico da segurança da informação. Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, a transmissão e o armazenamento. A disponibilidade da informação permite que: • Possa ser acessada no momento em que for necessário utilizá-la; • Esteja ao alcance de seus usuários ou destinatários. Esse princípio está associado à adequada estruturação de um ambiente tecnológico e humano que permita a continuidade dos negócios da empresa ou das pessoas, sem impactos negativos para a utilização das informações. Não basta estar disponível: a informação deverá estar acessível de forma segura para que se possa usá-la no momento solicitado e para que seja possível garantir sua integridade e confidencialidade.
Durante uma reunião de altos executivos da empresa, os serviços de banco de dados param de funcionar por causa de um vírus, o que impede que se tome uma decisão importante para a empresa Devido a um incêndio em um dos escritórios, as informações de vendas da empresa foram destruídas e não se contava com um sistema de backup adequado para as mesmas. A informação necessária para a tomada de decisões críticas para o negócio se encontram sempre disponíveis quando se precisa delas? Você sabe se existem vulnerabilidades que possam impedir isso? Você conta com sistemas de suporte de informação? Garantia da disponibilidade da informação Para que seja possível garantir a disponibilidade da informação, é necessário conhecer seus usuários, com base no princípio da confidencialidade, para que se possa organizar e definir as formas de disponibilização, garantindo, conforme cada caso, seu acesso e uso quando necessário. A disponibilidade da informação deve ser considerada com base no valor que a informação tem e no impacto resultante de sua ausência, seja ela permanente ou temporária. Para garantir a disponibilidade, muitas medidas são levadas em consideração. Entre elas, destacamos: A configuração segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicação estejam dispostos de forma adequada para
assegurar o êxito da leitura, da transmissão e do armazenamento da informação. Também é importante fazer cópias de segurança - backup. Isso permite que as mesmas estejam duplicadas em outro local para uso caso não seja possível recuperá-las a partir de sua base original. Para aumentar ainda mais a disponibilidade da informação, deve-se: Definir estratégias para situações de emergência. Estabelecer rotas alternativas para o trânsito da informação, para garantir seu acesso e a continuidade dos negócios, inclusive quando alguns dos recursos tecnológicos, ou humanos, não estejam em perfeitas condições de funcionamento. 2.5 Lições aprendidas Este capítulo permitiu conhecer vários conceitos novos de segurança da informação, o que permitirá acelerar nosso processo rumo à criação de uma política de segurança; Aprendemos que a informação deve ter: integridade, confidencialidade e disponibilidade para que seja útil à organização, sendo estes os princípios ou aspectos básicos de segurança; Categorizamos os diferentes tipos de ativos de uma empresa e identificamos possíveis vulnerabilidades. Isso ajudará a saber em quais ativos devemos dedicar mais atenção em matéria de segurança.

Recomendados

Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Robson Silva Espig
 
Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Robson Silva Espig
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1Robson Silva Espig
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Robson Silva Espig
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 

Recomendados

Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Robson Silva Espig
 
Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Robson Silva Espig
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1Robson Silva Espig
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Robson Silva Espig
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 segurancaMarco Guimarães
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoDaniel de Sousa Luz
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informaçãoLuiz Siles
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Bruno Luiz A. de Pai Paiva
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesDeivison Pinheiro Franco.·.
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosCarlos Henrique Martins da Silva
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 segurancaMarco Guimarães
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...University of North Carolina at Chapel Hill Balloni
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesIsraelCunha
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TISthefanie Vieira
 

Mais conteúdo relacionado

Mais procurados

Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoDaniel de Sousa Luz
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informaçãoLuiz Siles
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 

Mais procurados (19)

Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informação
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de Informações
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na web
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 

Semelhante a Modulo 01 Capitulo 02

A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesIsraelCunha
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfpolisolventepolisolv
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerAnderson Pontes
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Adriano Balani
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurançaCarlos Veiga
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãoNota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãofelipetsi
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsiMasters
 
Guia criptografia-corporativo
Guia criptografia-corporativoGuia criptografia-corporativo
Guia criptografia-corporativoDereco Tecnologia
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresBruno Dos Anjos Silveira
 

Semelhante a Modulo 01 Capitulo 02 (20)

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdf
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Politica de seguranca
Politica de segurancaPolitica de seguranca
Politica de seguranca
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurança
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informaçãoNota de aula seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informação
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
Guia criptografia-corporativo
Guia criptografia-corporativoGuia criptografia-corporativo
Guia criptografia-corporativo
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 

Mais de Robson Silva Espig

Master Place - Convenção Bloco D
Master Place - Convenção Bloco DMaster Place - Convenção Bloco D
Master Place - Convenção Bloco DRobson Silva Espig
 
[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOKRobson Silva Espig
 
[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade[ ref ] Convergência - Mobilidade
[ ref ] Convergência - MobilidadeRobson Silva Espig
 
[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL ServerRobson Silva Espig
 
A Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de SoftwareA Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de SoftwareRobson Silva Espig
 
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custosComo implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custosRobson Silva Espig
 
Analise de Requisitos de Software
Analise de Requisitos de SoftwareAnalise de Requisitos de Software
Analise de Requisitos de SoftwareRobson Silva Espig
 
Desenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e IncrementalDesenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e IncrementalRobson Silva Espig
 

Mais de Robson Silva Espig (20)

Master Place - Convenção Bloco D
Master Place - Convenção Bloco DMaster Place - Convenção Bloco D
Master Place - Convenção Bloco D
 
Aquarelas Envelhecidas
Aquarelas EnvelhecidasAquarelas Envelhecidas
Aquarelas Envelhecidas
 
[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK
 
[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade
 
[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server
 
A Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de SoftwareA Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de Software
 
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custosComo implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
 
Gestao Projetos - Aula 02
Gestao Projetos - Aula 02Gestao Projetos - Aula 02
Gestao Projetos - Aula 02
 
Gestao Projetos - Aula 01
Gestao Projetos - Aula 01Gestao Projetos - Aula 01
Gestao Projetos - Aula 01
 
Aula 01
Aula 01Aula 01
Aula 01
 
Aula 05
Aula 05Aula 05
Aula 05
 
Aula 04
Aula 04Aula 04
Aula 04
 
Aula 02
Aula 02Aula 02
Aula 02
 
Caso de Desenvolvimento
Caso de DesenvolvimentoCaso de Desenvolvimento
Caso de Desenvolvimento
 
SOA
SOASOA
SOA
 
Aula 03
Aula 03Aula 03
Aula 03
 
Artigo Caso de Uso
Artigo Caso de UsoArtigo Caso de Uso
Artigo Caso de Uso
 
RAD
RADRAD
RAD
 
Analise de Requisitos de Software
Analise de Requisitos de SoftwareAnalise de Requisitos de Software
Analise de Requisitos de Software
 
Desenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e IncrementalDesenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e Incremental
 

Modulo 01 Capitulo 02

  • 1. Capítulo 2 - Ativos 2.1 Introdução Mercado britânico contabiliza perdas com ação de vírus * As organizações pertencentes ao Corporate IT Forum (TIF) revelaram recentemente que perdem mais de 100 mil euros em cada grande ação de uma praga virtual em seus sistemas. Segundo especialistas, essa seria uma boa justificativa para os gerentes de TI pedirem verbas extras para investimentos em soluções de segurança. O TIF reúne 140 organizações do Reino Unido, incluindo grandes empresas britânicas. Segundo levantamento realizado pela instituição, as empresas perdem 122 mil euros em deslocamento de equipes técnicas e outros custos para cada infecção de um vírus ou worm. Para se ter uma idéia de como a ação de vírus atinge diferentes sistemas pelo mundo, no levantamento anual realizado pelo FBI/CSI, com 530 profissionais de TI de diversos segmentos do mercado americano, 82% dos entrevistados admitiram ter sofrido prejuízos com ataques de vírus em 2002. E esses prejuízos foram calculados em torno de 27 milhões de dólares. *Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2601&pagenumber=0&idiom=0 2.2 Objetivos
  • 2. Conhecer os diferentes tipos de ativos na empresa para identificar tudo aquilo que a segurança da informação deve proteger; Detectar vulnerabilidades relacionadas a esses ativos para nos prepararmos para sua proteção; Conhecer os princípios básicos da segurança da informação: confidencialidade, disponibilidade e integridade, para que possamos compreender quais aspectos devem ser preservados em termos de proteção. 2.3 Tipos de ativos Ativo é tudo aquilo que possuí valor para uma empresa e, por conta disso, precisa ser protegido. Os ativos são elementos que a segurança da informação busca proteger por conta do seu valor. Este valor pode estar no próprio ativo, como um servidor, ou no uso que se faz dele, como em um banco de dados.
  • 3. Podemos classificar os ativos através de vários aspectos. Neste capítulo iremos dividi-los em: • Informações; • Equipamentos que oferecem suporte a elas; • Pessoas que as utilizam. Vejamos alguns exemplos de ativos dentro de cada uma das categorias: a. Informações b. Os equipamentos que b.1 Software oferecem suporte a elas b.2 Hardware b.3 Organização c. Pessoas que as utilizam a. Informações Neste grupo sem encontram as próprias informações, estejam elas armazenadas e representadas de qualquer forma, em meio eletrônico ou físico.
  • 4. documentos; relatórios; livros; manuais; correspondências; patentes; informações de mercado; códigos de programação; linhas de comando; arquivos de configuração; planilhas de remuneração de funcionários; plano de negócios de uma empresa.
  • 5. Possíveis ameaças Roubo de documentos confidenciais ou perda de arquivos de configuração, entre outros. b.1 Software Este grupo de ativos contém todos os programas de computador utilizados para a automatização de processos, incluindo acesso, leitura, transmissão e armazenamento das informações. A segurança da informação busca avaliar a forma em que as aplicações são criadas, disponibilizadas e utilizadas pelos usuários e por outros sistemas para detectar e corrigir problemas existentes em seu funcionamento ou na forma como se comunicam. Sistemas operacionais (Windows, Unix, etc.); Aplicativos; Soluções de CRM e ERP;
  • 6. Possíveis ameaças Acesso indevido aos sistemas, causando comprometimento das informações armazenadas ou tirando os sistemas do ar. b.2 Hardware Esses ativos representam todos os elementos físicos dos sistemas computacionais que oferecem suporte ao processamento, armazenamento e transmissão de informações. Computadores pessoais (PC's); Servidores; Laptops; Mainframes; Mídias de armazenamento; Equipamento de conectividade, como roteadores e switchs;
  • 7. Possíveis ameaças Exemplos seriam falhas elétricas que danifiquem os equipamentos, inundações em centros de computação ou roubo de computadores portáteis. b.3 Organização Neste grupo, estão incluídos os aspectos que compõem a estrutura física e organizacional das empresas. Como exemplos de estrutura organizacional temos: A estrutura departamental; A hierarquia; Processos. Em relação ao ambiente físico podemos citar: Datacenters; Salas-cofre; Instalações físicas (construção onde a empresa está situada.
  • 8. Possíveis ameaças Acesso indevido a ambientes controlados ou problemas causados por aspectos culturais, como uso de recursos da empresa para fins pessoais. c. Usuários O grupo usuários refere-se aos indivíduos que lidam com as informações no seu dia-a-dia de trabalho. O enfoque da segurança nos usuários está voltado para a formação da consciência sobre segurança, para que estes tomem decisões e empreendam ações de acordo com as necessidades de proteção. Isso vai desde a alta direção até os usuários finais da informação, incluindo os grupos que mantêm em funcionamento a estrutura tecnológica, como técnicos, operadores e administradores. Funcionários; Profissionais terceirizados; Executivos.
  • 9. Possíveis ameaças Dentro desta categoria podemos enquadrar praticamente todas as ameaças de origem humana, de roubos a invasões. 2.4 Proteção dos ativos Uma vez conhecidos os diferentes tipos de ativos encontrados nas empresas, agora nos aprofundaremos nos princípios básicos que nos ajudarão a proteger os ativos de informação. a) Princípios básicos da segurança da informação Proteger os ativos significa mantê-los seguros contra ameaças que possam causar danos diretos a eles ou que possam trazer situações inesperadas, com conseqüente prejuízo em ambos os casos. Alguns exemplos: • Acesso indevido; • Corromper informações críticas; • Apagar informações importantes. Por isso, entendemos que a segurança da informação busca proteger esses ativos com base na preservação de três aspectos básicos: • Integridade; • Confidencialidade; • Disponibilidade. a.1) Integridade O primeiro dos três aspectos da segurança da informação que estudaremos é o da integridade, o qual nos permite garantir que a informação não tenha sido alterada em seu conteúdo de forma intencional ou acidental, tornando-a íntegra.
  • 10. Uma informação íntegra é uma informação que não foi alterada de forma indevida ou não-autorizada. O primeiro dos três aspectos da segurança da informação que estudaremos é o da integridade, o qual nos permite garantir que a informação não tenha sido alterada em seu conteúdo de forma intencional ou acidental, tornando-a íntegra. A integridade da informação é fundamental para o êxito da comunicação O receptor deverá ter a segurança de que a informação recebida, lida ou ouvida é exatamente a mesma que foi colocada à sua disposição para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado original, sem ter sofrido qualquer alteração por alguém que não tenha autorização para alterá-la. Se uma informação sofre alterações em sua versão original, então ela perde sua integridade, ocasionando erros e fraudes, entre outros problemas, e prejudicando a comunicação e o processo de decisões. Uma informação poderá ser alterada de várias formas. Basicamente, a alteração pode ser feita diretamente na informação ou no ambiente que a suporta. Portanto, a quebra da integridade de uma informação poderá ser considerada sob dois aspectos: 1. Alterações do conteúdo dos documentos - quando são realizadas inserções, substituições ou exclusões de parte de seu conteúdo. 2. Alterações nos elementos que oferecem suporte à informação - quando são realizadas alterações na estrutura física e lógica onde a informação está armazenada.
  • 11. Alteração nas configurações de um sistema para obtenção de acesso indevido; Inserção de tráfego inválido na comunicação entre dois dispositivos para causar erros de funcionamento; Alteração de informações em um sistema financeiro com o propósito de se cometer fraudes. Quão importante é para você que as informações sobre os salários dos funcionários de sua empresa não sejam alteradas por acidente ou delito? Você sabe se as informações sobre os projetos de negócios confidenciais estão seguras e não podem ser alteradas por terceiros? Vejamos algumas observações finais sobre o propósito que queremos alcançar ao garantir a integridade da informação, o qual está estreitamente relacionado ao aspecto que veremos na seção seguinte: a confidencialidade da informação. Garantia da integridade da informação Buscar a integridade é assegurar que apenas as pessoas autorizadas possam fazer alterações na forma e no conteúdo de uma informação, assim como no ambiente no qual ela é armazenada e pela qual transita. Logo, para garantir a integridade, é preciso que todos os elementos que compõem a base da gestão da informação se mantenham em suas condições originais definidas por seus responsáveis e proprietários. Em resumo: garantir a integridade é um dos principais objetivos para a segurança das informações de uma empresa.
  • 12. a.2) Confidencialidade O aspecto da confidencialidade da informação tem como objetivo garantir que apenas as pessoas corretas tenham acesso à informação que queremos distribuir. Por isso, dizemos que a informação possui um grau de confidencialidade que deverá ser mantido para que as pessoas não-autorizadas não tenham acesso a ela. Ter confidencialidade na comunicação é ter a segurança de que o que foi dito a alguém ou escrito em algum lugar só será escutado ou lido por quem tiver autorização para tal. Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não-autorizadas.
  • 13. Pensemos no caso de um cartão de crédito, o número do cartão só poderá ser conhecido por seu proprietário e pelo vendedor da loja onde é usado. Se esse número for descoberto por alguém mal- intencionado, como nos casos denunciados em jornais sobre crimes na Internet, o prejuízo causado pela perda de confidencialidade poderá ser elevado, pois esse número poderá ser usado por alguém para fazer compras indevidas, trazendo prejuízos financeiros e uma grande dor de cabeça para o proprietário do cartão. O mesmo ocorre no caso de uso indevido de senhas de acesso a sistemas bancários, por exemplo. Milhares de reais são roubados diariamente pela ação de criminosos virtuais que se dedicam a invadir computadores domésticos para quebrar a confidencialidade de senhas pessoais. Você sabe quem pode ter acesso a suas informações? Elas estão guardadas de forma suficientemente segura para que pessoas não-autorizadas não tenham acesso a elas? O envio e o armazenamento de informações confidenciais são feitos de forma segura, e os meios pelos quais transitam são controlados, conhecidos e seguros? Garantia da confidencialidade das informações Garantir a confidencialidade é um dos fatores determinantes para a segurança e uma das tarefas mais difíceis de se implementar, pois envolve todos os elementos que fazem parte da comunicação da informação, partindo do emissor, passando pelo caminho percorrido e chegando até o receptor. Quanto maior for o grau de confidencialidade, maior será o nível de segurança necessário na estrutura tecnológica, física e humana que participa desse processo: uso, acesso, transmissão e armazenamento das informações. Deve-se considerar a confidencialidade com base no valor que a informação tem para a empresa ou a pessoa e os impactos causados por sua divulgação indevida. Desta forma, as informações devem ser acessadas, lidas e alteradas somente por aqueles indivíduos que possuem permissão para tal. O acesso deve ser considerado com base no grau de sigilo das informações, pois nem todas as
  • 14. informações importantes da empresa são confidenciais. No entanto, para garantir isso, somente a confidencialidade das informações não é suficiente, é importante que, além de serem confidenciais, elas também estejam íntegras. Logo, deve-se também manter a integridade da informação seguindo princípios básicos já citados aqui. Mencionamos que o melhor critério que deve ser levado em consideração na hora de definir as necessidades em termos de confidencialidade de uma informação é o seu respectivos grau de sigilo. Vejamos em maiores detalhes este importante conceito: Grau de sigilo: As informações geradas dentro de uma empresa têm uma finalidade específica e destinam-se a um indivíduo ou grupo de indivíduos. Portanto, elas precisam de uma classificação com relação à sua confidencialidade. É o que chamamos de grau de sigilo, que é uma graduação atribuída a cada tipo de informação com base no grupo de usuários que devem ter permissões de acesso a informação em questão. Dependendo do tipo de informação e do público para o qual se deseja colocar à disposição a informação, os graus de sigilo irão variar. Alguns exemplos: • Confidencial; • Restrito; • Sigiloso; • Público. O que cada um desses graus significa em termos de proteção e em termos de requisitos de segurança vai variar de uma empresa para outra. Esta variação ocorre porque as empresas criam os graus de sigilo com o propósito de atender suas necessidades específicas. O único local onde estes graus não variam é na esfera governamental, onde os graus são padronizados para que possam ser utilizados de forma uniforme por todos os servidores públicos. a.3) Princípio de disponibilidade das informações Quando tivermos assegurado que a informação correta chegue aos destinatários ou usuários adequados, devemos também garantir que ela chegue no momento oportuno. É precisamente disso que trata o terceiro aspecto da segurança da informação: a disponibilidade.
  • 15. Para que uma informação possa ser utilizada, ela deverá estar disponível. A disponibilidade é o terceiro princípio básico da segurança da informação. Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, a transmissão e o armazenamento. A disponibilidade da informação permite que: • Possa ser acessada no momento em que for necessário utilizá-la; • Esteja ao alcance de seus usuários ou destinatários. Esse princípio está associado à adequada estruturação de um ambiente tecnológico e humano que permita a continuidade dos negócios da empresa ou das pessoas, sem impactos negativos para a utilização das informações. Não basta estar disponível: a informação deverá estar acessível de forma segura para que se possa usá-la no momento solicitado e para que seja possível garantir sua integridade e confidencialidade.
  • 16. Durante uma reunião de altos executivos da empresa, os serviços de banco de dados param de funcionar por causa de um vírus, o que impede que se tome uma decisão importante para a empresa Devido a um incêndio em um dos escritórios, as informações de vendas da empresa foram destruídas e não se contava com um sistema de backup adequado para as mesmas. A informação necessária para a tomada de decisões críticas para o negócio se encontram sempre disponíveis quando se precisa delas? Você sabe se existem vulnerabilidades que possam impedir isso? Você conta com sistemas de suporte de informação? Garantia da disponibilidade da informação Para que seja possível garantir a disponibilidade da informação, é necessário conhecer seus usuários, com base no princípio da confidencialidade, para que se possa organizar e definir as formas de disponibilização, garantindo, conforme cada caso, seu acesso e uso quando necessário. A disponibilidade da informação deve ser considerada com base no valor que a informação tem e no impacto resultante de sua ausência, seja ela permanente ou temporária. Para garantir a disponibilidade, muitas medidas são levadas em consideração. Entre elas, destacamos: A configuração segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicação estejam dispostos de forma adequada para
  • 17. assegurar o êxito da leitura, da transmissão e do armazenamento da informação. Também é importante fazer cópias de segurança - backup. Isso permite que as mesmas estejam duplicadas em outro local para uso caso não seja possível recuperá-las a partir de sua base original. Para aumentar ainda mais a disponibilidade da informação, deve-se: Definir estratégias para situações de emergência. Estabelecer rotas alternativas para o trânsito da informação, para garantir seu acesso e a continuidade dos negócios, inclusive quando alguns dos recursos tecnológicos, ou humanos, não estejam em perfeitas condições de funcionamento. 2.5 Lições aprendidas Este capítulo permitiu conhecer vários conceitos novos de segurança da informação, o que permitirá acelerar nosso processo rumo à criação de uma política de segurança; Aprendemos que a informação deve ter: integridade, confidencialidade e disponibilidade para que seja útil à organização, sendo estes os princípios ou aspectos básicos de segurança; Categorizamos os diferentes tipos de ativos de uma empresa e identificamos possíveis vulnerabilidades. Isso ajudará a saber em quais ativos devemos dedicar mais atenção em matéria de segurança.