SlideShare uma empresa Scribd logo
1 de 17
Baixar para ler offline
Capítulo 2 - Ativos

2.1 Introdução



                      Mercado britânico contabiliza perdas com ação de vírus *

                      As organizações pertencentes ao Corporate IT Forum (TIF) revelaram
                      recentemente que perdem mais de 100 mil euros em cada grande ação de
                      uma praga virtual em seus sistemas. Segundo especialistas, essa seria
                      uma boa justificativa para os gerentes de TI pedirem verbas extras para
                      investimentos em soluções de segurança.

                      O TIF reúne 140 organizações do Reino Unido, incluindo grandes empresas
                      britânicas. Segundo levantamento realizado pela instituição, as empresas
                      perdem 122 mil euros em deslocamento de equipes técnicas e outros
                      custos para cada infecção de um vírus ou worm.

                      Para se ter uma idéia de como a ação de vírus atinge diferentes sistemas
                      pelo mundo, no levantamento anual realizado pelo FBI/CSI, com 530
                      profissionais de TI de diversos segmentos do mercado americano, 82%
                      dos entrevistados admitiram ter sofrido prejuízos com ataques de vírus em
                      2002. E esses prejuízos foram calculados em torno de 27 milhões de
                      dólares.

                      *Fonte:
                      http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2601&pagenumber=0&idiom=0




2.2 Objetivos
Conhecer os diferentes tipos de ativos na empresa para identificar
                                  tudo aquilo que a segurança da informação deve proteger;

                                   Detectar vulnerabilidades relacionadas a esses ativos para nos
                                  prepararmos para sua proteção;

                                   Conhecer os princípios básicos da segurança da informação:
                                  confidencialidade, disponibilidade e integridade, para que possamos
                                  compreender quais aspectos devem ser preservados em termos de
                                  proteção.




2.3 Tipos de ativos



                                  Ativo é tudo aquilo que possuí valor para uma empresa e, por conta
                                  disso, precisa ser protegido.




Os ativos são elementos que a segurança da informação busca proteger por conta do seu valor. Este valor pode
estar no próprio ativo, como um servidor, ou no uso que se faz dele, como em um banco de dados.
Podemos classificar os ativos através de vários aspectos. Neste capítulo iremos dividi-los em:


    •   Informações;

    •   Equipamentos que oferecem suporte a elas;

    •   Pessoas que as utilizam.

Vejamos alguns exemplos de ativos dentro de cada uma das categorias:



                                   a. Informações




                                   b. Os equipamentos que            b.1 Software
                                   oferecem suporte a elas           b.2 Hardware
                                                                     b.3
                                                                     Organização




                                   c. Pessoas que as utilizam



a. Informações

Neste grupo sem encontram as próprias informações, estejam elas armazenadas e representadas de qualquer
forma, em meio eletrônico ou físico.
documentos;

relatórios;

livros;

manuais;

correspondências;

patentes;

informações de mercado;

códigos de programação;

linhas de comando;

arquivos de configuração;

planilhas de remuneração de funcionários;

plano de negócios de uma empresa.
Possíveis ameaças

Roubo de documentos confidenciais ou perda de arquivos de configuração, entre outros.




b.1 Software

Este grupo de ativos contém todos os programas de computador utilizados para a automatização de processos,
incluindo acesso, leitura, transmissão e armazenamento das informações.




A segurança da informação busca avaliar a forma em que as aplicações são criadas, disponibilizadas e utilizadas
pelos usuários e por outros sistemas para detectar e corrigir problemas existentes em seu funcionamento ou na forma
como se comunicam.




                                     Sistemas operacionais (Windows, Unix, etc.);

                                     Aplicativos;

                                     Soluções de CRM e ERP;
Possíveis ameaças

Acesso indevido aos sistemas, causando comprometimento das informações armazenadas ou tirando os sistemas do
ar.




b.2 Hardware

Esses ativos representam todos os elementos físicos dos sistemas computacionais que oferecem suporte ao
processamento, armazenamento e transmissão de informações.




                                   Computadores pessoais (PC's);

                                   Servidores;

                                   Laptops;

                                   Mainframes;

                                   Mídias de armazenamento;

                                   Equipamento de conectividade, como roteadores e switchs;
Possíveis ameaças

Exemplos seriam falhas elétricas que danifiquem os equipamentos, inundações em centros de computação ou roubo
de computadores portáteis.




b.3 Organização

Neste grupo, estão incluídos os aspectos que compõem a estrutura física e organizacional das empresas.




                                   Como exemplos de estrutura organizacional temos:

                                    A estrutura departamental;

                                    A hierarquia;

                                    Processos.

                                   Em relação ao ambiente físico podemos citar:

                                    Datacenters;

                                    Salas-cofre;

                                    Instalações físicas (construção onde a empresa está situada.
Possíveis ameaças

Acesso indevido a ambientes controlados ou problemas causados por aspectos culturais, como uso de recursos da
empresa para fins pessoais.




c. Usuários

O grupo usuários refere-se aos indivíduos que lidam com as informações no seu dia-a-dia de trabalho.




O enfoque da segurança nos usuários está voltado para a formação da consciência sobre segurança, para que
estes tomem decisões e empreendam ações de acordo com as necessidades de proteção. Isso vai desde a alta
direção até os usuários finais da informação, incluindo os grupos que mantêm em funcionamento a estrutura
tecnológica, como técnicos, operadores e administradores.



                                     Funcionários;

                                     Profissionais terceirizados;

                                     Executivos.
Possíveis ameaças

Dentro desta categoria podemos enquadrar praticamente todas as ameaças de origem humana, de roubos a invasões.




2.4 Proteção dos ativos

Uma vez conhecidos os diferentes tipos de ativos encontrados nas empresas, agora nos aprofundaremos nos
princípios básicos que nos ajudarão a proteger os ativos de informação.




a) Princípios básicos da segurança da informação

Proteger os ativos significa mantê-los seguros contra ameaças que possam causar danos diretos a eles ou que
possam trazer situações inesperadas, com conseqüente prejuízo em ambos os casos. Alguns exemplos:


    •   Acesso indevido;

    •   Corromper informações críticas;

    •   Apagar informações importantes.

Por isso, entendemos que a segurança da informação busca proteger esses ativos com base na preservação de
três aspectos básicos:


    •   Integridade;

    •   Confidencialidade;

    •   Disponibilidade.




a.1) Integridade

O primeiro dos três aspectos da segurança da informação que estudaremos é o da integridade, o qual nos permite
garantir que a informação não tenha sido alterada em seu conteúdo de forma intencional ou acidental, tornando-a
íntegra.
Uma informação íntegra é uma informação que não foi alterada de forma indevida ou não-autorizada.

O primeiro dos três aspectos da segurança da informação que estudaremos é o da integridade, o qual nos permite
garantir que a informação não tenha sido alterada em seu conteúdo de forma intencional ou acidental, tornando-a
íntegra.

A integridade da informação é fundamental para o êxito da comunicação

O receptor deverá ter a segurança de que a informação recebida, lida ou ouvida é exatamente a mesma que foi
colocada à sua disposição para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado original,
sem ter sofrido qualquer alteração por alguém que não tenha autorização para alterá-la. Se uma informação sofre
alterações em sua versão original, então ela perde sua integridade, ocasionando erros e fraudes, entre outros
problemas, e prejudicando a comunicação e o processo de decisões.

Uma informação poderá ser alterada de várias formas. Basicamente, a alteração pode ser feita diretamente na
informação ou no ambiente que a suporta. Portanto, a quebra da integridade de uma informação poderá ser
considerada sob dois aspectos:

1. Alterações do conteúdo dos documentos - quando são realizadas inserções, substituições ou exclusões de
parte de seu conteúdo.

2. Alterações nos elementos que oferecem suporte à informação - quando são realizadas alterações na
estrutura física e lógica onde a informação está armazenada.
Alteração nas configurações de um sistema para obtenção de acesso
                                    indevido;

                                     Inserção de tráfego inválido na comunicação entre dois dispositivos para
                                    causar erros de funcionamento;

                                     Alteração de informações em um sistema financeiro com o propósito de
                                    se cometer fraudes.




                                      Quão importante é para você que as informações sobre os salários dos
                                    funcionários de sua empresa não sejam alteradas por acidente ou delito?

                                     Você sabe se as informações sobre os projetos de negócios confidenciais
                                    estão seguras e não podem ser alteradas por terceiros?




Vejamos algumas observações finais sobre o propósito que queremos alcançar ao garantir a integridade da
informação, o qual está estreitamente relacionado ao aspecto que veremos na seção seguinte: a confidencialidade da
informação.



    Garantia da integridade da informação


                              Buscar a integridade é assegurar que apenas as pessoas autorizadas possam
                              fazer alterações na forma e no conteúdo de uma informação, assim como
                              no ambiente no qual ela é armazenada e pela qual transita.

                              Logo, para garantir a integridade, é preciso que todos os elementos que
                              compõem a base da gestão da informação se mantenham em suas condições
                              originais definidas por seus responsáveis e proprietários.

                              Em resumo: garantir a integridade é um dos principais objetivos para a
                              segurança das informações de uma empresa.
a.2) Confidencialidade

O aspecto da confidencialidade da informação tem como objetivo garantir que apenas as pessoas corretas tenham
acesso à informação que queremos distribuir.




Por isso, dizemos que a informação possui um grau de confidencialidade que deverá ser mantido para que as pessoas
não-autorizadas não tenham acesso a ela.

Ter confidencialidade na comunicação é ter a segurança de que o que foi dito a alguém ou escrito em algum lugar só
será escutado ou lido por quem tiver autorização para tal.

Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e
deverá ser guardada com segurança, e não divulgada para pessoas não-autorizadas.
Pensemos no caso de um cartão de crédito, o número do cartão só
                            poderá ser conhecido por seu proprietário e pelo vendedor da loja
                            onde é usado. Se esse número for descoberto por alguém mal-
                            intencionado, como nos casos denunciados em jornais sobre crimes na
                            Internet, o prejuízo causado pela perda de confidencialidade poderá ser
                            elevado, pois esse número poderá ser usado por alguém para fazer
                            compras indevidas, trazendo prejuízos financeiros e uma grande dor de
                            cabeça para o proprietário do cartão.

                            O mesmo ocorre no caso de uso indevido de senhas de acesso a
                            sistemas bancários, por exemplo. Milhares de reais são roubados
                            diariamente pela ação de criminosos virtuais que se dedicam a invadir
                            computadores domésticos para quebrar a confidencialidade de senhas
                            pessoais.




                             Você sabe quem pode ter acesso a suas informações?

                             Elas estão guardadas de forma suficientemente segura para que pessoas
                            não-autorizadas não tenham acesso a elas?

                              O envio e o armazenamento de informações confidenciais são feitos de
                            forma segura, e os meios pelos quais transitam são controlados,
                            conhecidos e seguros?




Garantia da confidencialidade das informações


                       Garantir a confidencialidade é um dos fatores determinantes para a
                       segurança e uma das tarefas mais difíceis de se implementar, pois envolve todos
                       os elementos que fazem parte da comunicação da informação, partindo do
                       emissor, passando pelo caminho percorrido e chegando até o receptor. Quanto
                       maior for o grau de confidencialidade, maior será o nível de segurança necessário
                       na estrutura tecnológica, física e humana que participa desse processo: uso,
                       acesso, transmissão e armazenamento das informações.

                       Deve-se considerar a confidencialidade com base no valor que a informação tem
                       para a empresa ou a pessoa e os impactos causados por sua divulgação indevida.
                       Desta forma, as informações devem ser acessadas, lidas e alteradas somente por
                       aqueles indivíduos que possuem permissão para tal. O acesso deve ser
                       considerado com base no grau de sigilo das informações, pois nem todas as
informações importantes da empresa são confidenciais.

                              No entanto, para garantir isso, somente a confidencialidade das informações não
                              é suficiente, é importante que, além de serem confidenciais, elas também estejam
                              íntegras. Logo, deve-se também manter a integridade da informação seguindo
                              princípios básicos já citados aqui.



Mencionamos que o melhor critério que deve ser levado em consideração na hora de definir as necessidades em
termos de confidencialidade de uma informação é o seu respectivos grau de sigilo. Vejamos em maiores detalhes
este importante conceito:



                              Grau de sigilo: As informações geradas dentro de uma empresa têm uma
                              finalidade específica e destinam-se a um indivíduo ou grupo de indivíduos.
                              Portanto, elas precisam de uma classificação com relação à sua confidencialidade.
                              É o que chamamos de grau de sigilo, que é uma graduação atribuída a cada tipo
                              de informação com base no grupo de usuários que devem ter permissões de
                              acesso a informação em questão.




Dependendo do tipo de informação e do público para o qual se deseja colocar à disposição a informação, os graus
de sigilo irão variar. Alguns exemplos:


    •   Confidencial;

    •   Restrito;

    •   Sigiloso;

    •   Público.

O que cada um desses graus significa em termos de proteção e em termos de requisitos de segurança vai variar
de uma empresa para outra. Esta variação ocorre porque as empresas criam os graus de sigilo com o propósito de
atender suas necessidades específicas. O único local onde estes graus não variam é na esfera governamental,
onde os graus são padronizados para que possam ser utilizados de forma uniforme por todos os servidores públicos.




a.3) Princípio de disponibilidade das informações

Quando tivermos assegurado que a informação correta chegue aos destinatários ou usuários adequados, devemos
também garantir que ela chegue no momento oportuno. É precisamente disso que trata o terceiro aspecto da
segurança da informação: a disponibilidade.
Para que uma informação possa ser utilizada, ela deverá estar disponível. A disponibilidade é o terceiro princípio
básico da segurança da informação.

Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, a
transmissão e o armazenamento.

A disponibilidade da informação permite que:


    •   Possa ser acessada no momento em que for necessário utilizá-la;

    •   Esteja ao alcance de seus usuários ou destinatários.

Esse princípio está associado à adequada estruturação de um ambiente tecnológico e humano que permita a
continuidade dos negócios da empresa ou das pessoas, sem impactos negativos para a utilização das informações.
Não basta estar disponível: a informação deverá estar acessível de forma segura para que se possa usá-la no
momento solicitado e para que seja possível garantir sua integridade e confidencialidade.
Durante uma reunião de altos executivos da empresa, os serviços de
                             banco de dados param de funcionar por causa de um vírus, o que impede
                             que se tome uma decisão importante para a empresa

                              Devido a um incêndio em um dos escritórios, as informações de vendas
                             da empresa foram destruídas e não se contava com um sistema de backup
                             adequado para as mesmas.




                              A informação necessária para a tomada de decisões críticas para o
                             negócio se encontram sempre disponíveis quando se precisa delas?

                              Você sabe se existem vulnerabilidades que possam impedir isso?

                              Você conta com sistemas de suporte de informação?




Garantia da disponibilidade da informação


                        Para que seja possível garantir a disponibilidade da informação, é necessário
                        conhecer seus usuários, com base no princípio da confidencialidade, para que se
                        possa organizar e definir as formas de disponibilização, garantindo, conforme
                        cada caso, seu acesso e uso quando necessário.

                        A disponibilidade da informação deve ser considerada com base no valor que a
                        informação tem e no impacto resultante de sua ausência, seja ela permanente ou
                        temporária.

                        Para garantir a disponibilidade, muitas medidas são levadas em consideração.
                        Entre elas, destacamos:

                          A configuração segura de um ambiente em que todos os elementos que
                        fazem parte da cadeia de comunicação estejam dispostos de forma adequada para
assegurar o êxito da leitura, da transmissão e do armazenamento da informação.

                         Também é importante fazer cópias de segurança - backup. Isso permite que
                        as mesmas estejam duplicadas em outro local para uso caso não seja possível
                        recuperá-las a partir de sua base original.

                        Para aumentar ainda mais a disponibilidade da informação, deve-se:

                         Definir estratégias para situações de emergência.

                          Estabelecer rotas alternativas para o trânsito da informação, para garantir
                        seu acesso e a continuidade dos negócios, inclusive quando alguns dos recursos
                        tecnológicos, ou humanos, não estejam em perfeitas condições de funcionamento.




2.5 Lições aprendidas



                              Este capítulo permitiu conhecer vários conceitos novos de segurança
                             da informação, o que permitirá acelerar nosso processo rumo à criação
                             de uma política de segurança;

                              Aprendemos que a informação deve ter: integridade,
                             confidencialidade e disponibilidade para que seja útil à organização,
                             sendo estes os princípios ou aspectos básicos de segurança;

                               Categorizamos os diferentes tipos de ativos de uma empresa e
                             identificamos possíveis vulnerabilidades. Isso ajudará a saber em quais
                             ativos devemos dedicar mais atenção em matéria de segurança.

Mais conteúdo relacionado

Mais procurados

Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
Luiz Arthur
 
Aula 18 segurança da informação
Aula 18   segurança da informaçãoAula 18   segurança da informação
Aula 18 segurança da informação
Luiz Siles
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na web
Rafael Marinho
 

Mais procurados (19)

Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Aula 18 segurança da informação
Aula 18   segurança da informaçãoAula 18   segurança da informação
Aula 18 segurança da informação
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de Informações
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na web
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 

Semelhante a Modulo 01 Capitulo 02

Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula   seguranca da informacao - politica de segurança da informaçãoNota de aula   seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informação
felipetsi
 

Semelhante a Modulo 01 Capitulo 02 (20)

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdf
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 
Politica de seguranca
Politica de segurancaPolitica de seguranca
Politica de seguranca
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03Artigo cientifico jonildo eric galdino ver.03
Artigo cientifico jonildo eric galdino ver.03
 
Aula01 introdução à segurança
Aula01   introdução à segurançaAula01   introdução à segurança
Aula01 introdução à segurança
 
Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024Segurança da informação na atualidade 2024
Segurança da informação na atualidade 2024
 
Nota de aula seguranca da informacao - politica de segurança da informação
Nota de aula   seguranca da informacao - politica de segurança da informaçãoNota de aula   seguranca da informacao - politica de segurança da informação
Nota de aula seguranca da informacao - politica de segurança da informação
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
Guia criptografia-corporativo
Guia criptografia-corporativoGuia criptografia-corporativo
Guia criptografia-corporativo
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 

Mais de Robson Silva Espig (20)

Master Place - Convenção Bloco D
Master Place - Convenção Bloco DMaster Place - Convenção Bloco D
Master Place - Convenção Bloco D
 
Aquarelas Envelhecidas
Aquarelas EnvelhecidasAquarelas Envelhecidas
Aquarelas Envelhecidas
 
[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK
 
[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade
 
[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server
 
A Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de SoftwareA Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de Software
 
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custosComo implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
 
Gestao Projetos - Aula 02
Gestao Projetos - Aula 02Gestao Projetos - Aula 02
Gestao Projetos - Aula 02
 
Gestao Projetos - Aula 01
Gestao Projetos - Aula 01Gestao Projetos - Aula 01
Gestao Projetos - Aula 01
 
Aula 01
Aula 01Aula 01
Aula 01
 
Aula 05
Aula 05Aula 05
Aula 05
 
Aula 04
Aula 04Aula 04
Aula 04
 
Aula 02
Aula 02Aula 02
Aula 02
 
Caso de Desenvolvimento
Caso de DesenvolvimentoCaso de Desenvolvimento
Caso de Desenvolvimento
 
SOA
SOASOA
SOA
 
Aula 03
Aula 03Aula 03
Aula 03
 
Artigo Caso de Uso
Artigo Caso de UsoArtigo Caso de Uso
Artigo Caso de Uso
 
RAD
RADRAD
RAD
 
Analise de Requisitos de Software
Analise de Requisitos de SoftwareAnalise de Requisitos de Software
Analise de Requisitos de Software
 
Desenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e IncrementalDesenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e Incremental
 

Último

Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Dirceu Resende
 

Último (9)

Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 
O futuro e o impacto da tecnologia nas salas de aulas
O futuro e o impacto da tecnologia  nas salas de aulasO futuro e o impacto da tecnologia  nas salas de aulas
O futuro e o impacto da tecnologia nas salas de aulas
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo Pagliusi
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
 
Apostila e caderno de exercicios de WORD
Apostila e caderno de exercicios de  WORDApostila e caderno de exercicios de  WORD
Apostila e caderno de exercicios de WORD
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 

Modulo 01 Capitulo 02

  • 1. Capítulo 2 - Ativos 2.1 Introdução Mercado britânico contabiliza perdas com ação de vírus * As organizações pertencentes ao Corporate IT Forum (TIF) revelaram recentemente que perdem mais de 100 mil euros em cada grande ação de uma praga virtual em seus sistemas. Segundo especialistas, essa seria uma boa justificativa para os gerentes de TI pedirem verbas extras para investimentos em soluções de segurança. O TIF reúne 140 organizações do Reino Unido, incluindo grandes empresas britânicas. Segundo levantamento realizado pela instituição, as empresas perdem 122 mil euros em deslocamento de equipes técnicas e outros custos para cada infecção de um vírus ou worm. Para se ter uma idéia de como a ação de vírus atinge diferentes sistemas pelo mundo, no levantamento anual realizado pelo FBI/CSI, com 530 profissionais de TI de diversos segmentos do mercado americano, 82% dos entrevistados admitiram ter sofrido prejuízos com ataques de vírus em 2002. E esses prejuízos foram calculados em torno de 27 milhões de dólares. *Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2601&pagenumber=0&idiom=0 2.2 Objetivos
  • 2. Conhecer os diferentes tipos de ativos na empresa para identificar tudo aquilo que a segurança da informação deve proteger; Detectar vulnerabilidades relacionadas a esses ativos para nos prepararmos para sua proteção; Conhecer os princípios básicos da segurança da informação: confidencialidade, disponibilidade e integridade, para que possamos compreender quais aspectos devem ser preservados em termos de proteção. 2.3 Tipos de ativos Ativo é tudo aquilo que possuí valor para uma empresa e, por conta disso, precisa ser protegido. Os ativos são elementos que a segurança da informação busca proteger por conta do seu valor. Este valor pode estar no próprio ativo, como um servidor, ou no uso que se faz dele, como em um banco de dados.
  • 3. Podemos classificar os ativos através de vários aspectos. Neste capítulo iremos dividi-los em: • Informações; • Equipamentos que oferecem suporte a elas; • Pessoas que as utilizam. Vejamos alguns exemplos de ativos dentro de cada uma das categorias: a. Informações b. Os equipamentos que b.1 Software oferecem suporte a elas b.2 Hardware b.3 Organização c. Pessoas que as utilizam a. Informações Neste grupo sem encontram as próprias informações, estejam elas armazenadas e representadas de qualquer forma, em meio eletrônico ou físico.
  • 4. documentos; relatórios; livros; manuais; correspondências; patentes; informações de mercado; códigos de programação; linhas de comando; arquivos de configuração; planilhas de remuneração de funcionários; plano de negócios de uma empresa.
  • 5. Possíveis ameaças Roubo de documentos confidenciais ou perda de arquivos de configuração, entre outros. b.1 Software Este grupo de ativos contém todos os programas de computador utilizados para a automatização de processos, incluindo acesso, leitura, transmissão e armazenamento das informações. A segurança da informação busca avaliar a forma em que as aplicações são criadas, disponibilizadas e utilizadas pelos usuários e por outros sistemas para detectar e corrigir problemas existentes em seu funcionamento ou na forma como se comunicam. Sistemas operacionais (Windows, Unix, etc.); Aplicativos; Soluções de CRM e ERP;
  • 6. Possíveis ameaças Acesso indevido aos sistemas, causando comprometimento das informações armazenadas ou tirando os sistemas do ar. b.2 Hardware Esses ativos representam todos os elementos físicos dos sistemas computacionais que oferecem suporte ao processamento, armazenamento e transmissão de informações. Computadores pessoais (PC's); Servidores; Laptops; Mainframes; Mídias de armazenamento; Equipamento de conectividade, como roteadores e switchs;
  • 7. Possíveis ameaças Exemplos seriam falhas elétricas que danifiquem os equipamentos, inundações em centros de computação ou roubo de computadores portáteis. b.3 Organização Neste grupo, estão incluídos os aspectos que compõem a estrutura física e organizacional das empresas. Como exemplos de estrutura organizacional temos: A estrutura departamental; A hierarquia; Processos. Em relação ao ambiente físico podemos citar: Datacenters; Salas-cofre; Instalações físicas (construção onde a empresa está situada.
  • 8. Possíveis ameaças Acesso indevido a ambientes controlados ou problemas causados por aspectos culturais, como uso de recursos da empresa para fins pessoais. c. Usuários O grupo usuários refere-se aos indivíduos que lidam com as informações no seu dia-a-dia de trabalho. O enfoque da segurança nos usuários está voltado para a formação da consciência sobre segurança, para que estes tomem decisões e empreendam ações de acordo com as necessidades de proteção. Isso vai desde a alta direção até os usuários finais da informação, incluindo os grupos que mantêm em funcionamento a estrutura tecnológica, como técnicos, operadores e administradores. Funcionários; Profissionais terceirizados; Executivos.
  • 9. Possíveis ameaças Dentro desta categoria podemos enquadrar praticamente todas as ameaças de origem humana, de roubos a invasões. 2.4 Proteção dos ativos Uma vez conhecidos os diferentes tipos de ativos encontrados nas empresas, agora nos aprofundaremos nos princípios básicos que nos ajudarão a proteger os ativos de informação. a) Princípios básicos da segurança da informação Proteger os ativos significa mantê-los seguros contra ameaças que possam causar danos diretos a eles ou que possam trazer situações inesperadas, com conseqüente prejuízo em ambos os casos. Alguns exemplos: • Acesso indevido; • Corromper informações críticas; • Apagar informações importantes. Por isso, entendemos que a segurança da informação busca proteger esses ativos com base na preservação de três aspectos básicos: • Integridade; • Confidencialidade; • Disponibilidade. a.1) Integridade O primeiro dos três aspectos da segurança da informação que estudaremos é o da integridade, o qual nos permite garantir que a informação não tenha sido alterada em seu conteúdo de forma intencional ou acidental, tornando-a íntegra.
  • 10. Uma informação íntegra é uma informação que não foi alterada de forma indevida ou não-autorizada. O primeiro dos três aspectos da segurança da informação que estudaremos é o da integridade, o qual nos permite garantir que a informação não tenha sido alterada em seu conteúdo de forma intencional ou acidental, tornando-a íntegra. A integridade da informação é fundamental para o êxito da comunicação O receptor deverá ter a segurança de que a informação recebida, lida ou ouvida é exatamente a mesma que foi colocada à sua disposição para uma determinada finalidade. Estar íntegra quer dizer estar em seu estado original, sem ter sofrido qualquer alteração por alguém que não tenha autorização para alterá-la. Se uma informação sofre alterações em sua versão original, então ela perde sua integridade, ocasionando erros e fraudes, entre outros problemas, e prejudicando a comunicação e o processo de decisões. Uma informação poderá ser alterada de várias formas. Basicamente, a alteração pode ser feita diretamente na informação ou no ambiente que a suporta. Portanto, a quebra da integridade de uma informação poderá ser considerada sob dois aspectos: 1. Alterações do conteúdo dos documentos - quando são realizadas inserções, substituições ou exclusões de parte de seu conteúdo. 2. Alterações nos elementos que oferecem suporte à informação - quando são realizadas alterações na estrutura física e lógica onde a informação está armazenada.
  • 11. Alteração nas configurações de um sistema para obtenção de acesso indevido; Inserção de tráfego inválido na comunicação entre dois dispositivos para causar erros de funcionamento; Alteração de informações em um sistema financeiro com o propósito de se cometer fraudes. Quão importante é para você que as informações sobre os salários dos funcionários de sua empresa não sejam alteradas por acidente ou delito? Você sabe se as informações sobre os projetos de negócios confidenciais estão seguras e não podem ser alteradas por terceiros? Vejamos algumas observações finais sobre o propósito que queremos alcançar ao garantir a integridade da informação, o qual está estreitamente relacionado ao aspecto que veremos na seção seguinte: a confidencialidade da informação. Garantia da integridade da informação Buscar a integridade é assegurar que apenas as pessoas autorizadas possam fazer alterações na forma e no conteúdo de uma informação, assim como no ambiente no qual ela é armazenada e pela qual transita. Logo, para garantir a integridade, é preciso que todos os elementos que compõem a base da gestão da informação se mantenham em suas condições originais definidas por seus responsáveis e proprietários. Em resumo: garantir a integridade é um dos principais objetivos para a segurança das informações de uma empresa.
  • 12. a.2) Confidencialidade O aspecto da confidencialidade da informação tem como objetivo garantir que apenas as pessoas corretas tenham acesso à informação que queremos distribuir. Por isso, dizemos que a informação possui um grau de confidencialidade que deverá ser mantido para que as pessoas não-autorizadas não tenham acesso a ela. Ter confidencialidade na comunicação é ter a segurança de que o que foi dito a alguém ou escrito em algum lugar só será escutado ou lido por quem tiver autorização para tal. Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não-autorizadas.
  • 13. Pensemos no caso de um cartão de crédito, o número do cartão só poderá ser conhecido por seu proprietário e pelo vendedor da loja onde é usado. Se esse número for descoberto por alguém mal- intencionado, como nos casos denunciados em jornais sobre crimes na Internet, o prejuízo causado pela perda de confidencialidade poderá ser elevado, pois esse número poderá ser usado por alguém para fazer compras indevidas, trazendo prejuízos financeiros e uma grande dor de cabeça para o proprietário do cartão. O mesmo ocorre no caso de uso indevido de senhas de acesso a sistemas bancários, por exemplo. Milhares de reais são roubados diariamente pela ação de criminosos virtuais que se dedicam a invadir computadores domésticos para quebrar a confidencialidade de senhas pessoais. Você sabe quem pode ter acesso a suas informações? Elas estão guardadas de forma suficientemente segura para que pessoas não-autorizadas não tenham acesso a elas? O envio e o armazenamento de informações confidenciais são feitos de forma segura, e os meios pelos quais transitam são controlados, conhecidos e seguros? Garantia da confidencialidade das informações Garantir a confidencialidade é um dos fatores determinantes para a segurança e uma das tarefas mais difíceis de se implementar, pois envolve todos os elementos que fazem parte da comunicação da informação, partindo do emissor, passando pelo caminho percorrido e chegando até o receptor. Quanto maior for o grau de confidencialidade, maior será o nível de segurança necessário na estrutura tecnológica, física e humana que participa desse processo: uso, acesso, transmissão e armazenamento das informações. Deve-se considerar a confidencialidade com base no valor que a informação tem para a empresa ou a pessoa e os impactos causados por sua divulgação indevida. Desta forma, as informações devem ser acessadas, lidas e alteradas somente por aqueles indivíduos que possuem permissão para tal. O acesso deve ser considerado com base no grau de sigilo das informações, pois nem todas as
  • 14. informações importantes da empresa são confidenciais. No entanto, para garantir isso, somente a confidencialidade das informações não é suficiente, é importante que, além de serem confidenciais, elas também estejam íntegras. Logo, deve-se também manter a integridade da informação seguindo princípios básicos já citados aqui. Mencionamos que o melhor critério que deve ser levado em consideração na hora de definir as necessidades em termos de confidencialidade de uma informação é o seu respectivos grau de sigilo. Vejamos em maiores detalhes este importante conceito: Grau de sigilo: As informações geradas dentro de uma empresa têm uma finalidade específica e destinam-se a um indivíduo ou grupo de indivíduos. Portanto, elas precisam de uma classificação com relação à sua confidencialidade. É o que chamamos de grau de sigilo, que é uma graduação atribuída a cada tipo de informação com base no grupo de usuários que devem ter permissões de acesso a informação em questão. Dependendo do tipo de informação e do público para o qual se deseja colocar à disposição a informação, os graus de sigilo irão variar. Alguns exemplos: • Confidencial; • Restrito; • Sigiloso; • Público. O que cada um desses graus significa em termos de proteção e em termos de requisitos de segurança vai variar de uma empresa para outra. Esta variação ocorre porque as empresas criam os graus de sigilo com o propósito de atender suas necessidades específicas. O único local onde estes graus não variam é na esfera governamental, onde os graus são padronizados para que possam ser utilizados de forma uniforme por todos os servidores públicos. a.3) Princípio de disponibilidade das informações Quando tivermos assegurado que a informação correta chegue aos destinatários ou usuários adequados, devemos também garantir que ela chegue no momento oportuno. É precisamente disso que trata o terceiro aspecto da segurança da informação: a disponibilidade.
  • 15. Para que uma informação possa ser utilizada, ela deverá estar disponível. A disponibilidade é o terceiro princípio básico da segurança da informação. Refere-se à disponibilidade da informação e de toda a estrutura física e tecnológica que permite o acesso, a transmissão e o armazenamento. A disponibilidade da informação permite que: • Possa ser acessada no momento em que for necessário utilizá-la; • Esteja ao alcance de seus usuários ou destinatários. Esse princípio está associado à adequada estruturação de um ambiente tecnológico e humano que permita a continuidade dos negócios da empresa ou das pessoas, sem impactos negativos para a utilização das informações. Não basta estar disponível: a informação deverá estar acessível de forma segura para que se possa usá-la no momento solicitado e para que seja possível garantir sua integridade e confidencialidade.
  • 16. Durante uma reunião de altos executivos da empresa, os serviços de banco de dados param de funcionar por causa de um vírus, o que impede que se tome uma decisão importante para a empresa Devido a um incêndio em um dos escritórios, as informações de vendas da empresa foram destruídas e não se contava com um sistema de backup adequado para as mesmas. A informação necessária para a tomada de decisões críticas para o negócio se encontram sempre disponíveis quando se precisa delas? Você sabe se existem vulnerabilidades que possam impedir isso? Você conta com sistemas de suporte de informação? Garantia da disponibilidade da informação Para que seja possível garantir a disponibilidade da informação, é necessário conhecer seus usuários, com base no princípio da confidencialidade, para que se possa organizar e definir as formas de disponibilização, garantindo, conforme cada caso, seu acesso e uso quando necessário. A disponibilidade da informação deve ser considerada com base no valor que a informação tem e no impacto resultante de sua ausência, seja ela permanente ou temporária. Para garantir a disponibilidade, muitas medidas são levadas em consideração. Entre elas, destacamos: A configuração segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicação estejam dispostos de forma adequada para
  • 17. assegurar o êxito da leitura, da transmissão e do armazenamento da informação. Também é importante fazer cópias de segurança - backup. Isso permite que as mesmas estejam duplicadas em outro local para uso caso não seja possível recuperá-las a partir de sua base original. Para aumentar ainda mais a disponibilidade da informação, deve-se: Definir estratégias para situações de emergência. Estabelecer rotas alternativas para o trânsito da informação, para garantir seu acesso e a continuidade dos negócios, inclusive quando alguns dos recursos tecnológicos, ou humanos, não estejam em perfeitas condições de funcionamento. 2.5 Lições aprendidas Este capítulo permitiu conhecer vários conceitos novos de segurança da informação, o que permitirá acelerar nosso processo rumo à criação de uma política de segurança; Aprendemos que a informação deve ter: integridade, confidencialidade e disponibilidade para que seja útil à organização, sendo estes os princípios ou aspectos básicos de segurança; Categorizamos os diferentes tipos de ativos de uma empresa e identificamos possíveis vulnerabilidades. Isso ajudará a saber em quais ativos devemos dedicar mais atenção em matéria de segurança.