SlideShare uma empresa Scribd logo
Sistema de
Gestão de Segurança
da Informação
Todos os direitos de cópia reservados. Não é permitida a distribuição
física ou eletrônica deste material sem a permissão expressa do autor.
Interpretação da norma
NBR ISO/IEC 27001:2006
Curso e- Learning
Conceitos
Informação, segurança da
informação, ativos,
confidencialidade, integridade,
disponibilidade, vulnerabilidades,
ameaças, impactos, probabilidade
Módulo 2
Termos
O que é informação?
“Informação é um ativo que, como
qualquer outro ativo importante para os
negócios, tem valor para a organização e
conseqüentemente necessita ser
adequadamente protegido.”
Tipos de informação
Impressa ou escrita em papel
Armazenada eletronicamente
Transmitida pelo correio ou por
meios eletrônicos
Mostrada em vídeos
Verbal – falada em conversações
“Não importa a forma que
a informação toma, ou os
meios pelos quais ela é
compartilhada ou
armazenada. Ela deve
sempre ser
apropriadamente
protegida.”
Tipos de informação a serem protegidas
Internas da companhia
Informação que você não gostaria que a
concorrência soubesse
De clientes e fornecedores
Informação que eles não gostariam que
você divulgasse
De parceiros
Informação que necessita ser
compartilhada com outros parceiros
comerciais
Digite a
sua senha
A Informação pode ser:
Criada
Transmitida
Processada
Usada
Armazenada
Corrompida
Perdida
Destruída
Conceitos – O que é Segurança da Informação
A ISO/IEC 17799:2005 define:
Segurança da Informação - é a proteção da
informação contra diversos tipos de ameaças
para garantir a continuidade dos negócios,
minimizar os danos aos negócios e maximizar o
retorno dos investimentos e as oportunidades de
negócio.
Exemplos de ameaças à informação
Funcionários descontentes ou desmotivados
Baixa conscientização nos assuntos de
segurança
Crescimento do processamento distribuído e
das relações entre profissionais e empresas
Aumento da complexidade e eficácia das
ferramentas de hacking e dos vírus
E-mail
Inexistência de planos de recuperação a
desastres
Desastres naturais ou não (incêndio,
inundação, terremoto, terrorismo, etc.)
Falta de políticas e procedimentos
implementados
Exemplos de impactos
Perda de clientes e contratos
Danos à imagem
Perda de produtividade
Aumento no custo do trabalho para conter,
reparar e recuperar
Aumento de seguros
Penalidades e multas
Que aspectos da informação devemos avaliar?
Confidencialidade: assegurar que a
informação é acessível somente às
pessoas autorizadas.
Integridade: proteger a exatidão e
complexidade da informação e dos
métodos de processamento.
Disponibilidade: assegurar que os
usuários autorizados tenham acesso à
informação e ativos associados quando
necessário.
Integridade
Equilíbrio
Confidencialidade
Disponibilidade
Ativos
O que são ativos? (em relação à ISO 27001)
Devem ser aqueles relevantes ao escopo do
Sistema de Gestão de Segurança da
Informação
Um ativo é algo a que a organização atribui
valor, por exemplo:
Informação eletrônica
Documentos em papel
Software e hardware
Instalações
Pessoas
Imagem e reputação da companhia
Serviços
Ativos
Para a ISO 27001, os ‘ativos’ não
incluirão necessariamente tudo que
normalmente uma organização
considera que tem um valor.
Uma organização deve determinar
quais ativos podem materialmente
afetar a entrega de um produto ou
serviço pela sua ausência ou
deterioração, ou podem causar dano à
organização através de perda de
disponibilidade, integridade ou
confidencialidade.
Deve-se definir qual é o valor de um
ativo no caso de um incidente.
.
Conclusões
Alcançamos a segurança da informação através da implementação de um
conjunto adequado de controles, incluindo políticas, procedimentos, estrutura
organizacional e funções de hardware e software.
Cada empresa é única em suas exigências e requisitos de controle e para os
níveis de confidencialidade, integridade e disponibilidade.
Nem todos os controles e orientações incluídas podem ser aplicáveis
Exercício
Considere uma empresa de consultoria na área de informática que deseja implantar o
SGSI conforme a norma ISO27001 na sua área de vendas dentro do escopo:
Gerenciamento do Sistema de Segurança da Informação para vendas, projeto e
entrega de treinamento, consultoria e auditoria em segurança de informação na Rua
Pau Brasil 111, São Paulo, SP, Brasil.
1) Identifique, do seu ponto de vista, os possíveis ativos da informação dentro deste
processo. Considere: informações de entrada, informações de saída, equipamentos,
registros, recursos humanos, comunicação, ferramentas de software, softwares e
outros.
2) Valorize ao menos três destes ativos com base na perda da confidencialidade,
disponibilidade e integridade. Considere cores para identificar o valor: verde, amarelo
e vermelho, sendo verde o menor valor, vermelho o maior valor e amarelo o valor
intermediário.
As respostas dependem de critérios pessoais. Portanto é importante que o
profissional que esteja realizando a análise busque padronizar seus conceitos antes
de finalizar o tratamento de riscos.
Exercício – resposta 1
Informações de entrada Informações de Saída Equipamentos
Contrato Comercial/Técnico
Critérios:Legislação,
Regulamentações, Políticas
–Treinamento
Manuais,
Slides/Apresentações,
Apostilas
–Consultoria
Metodologia,Padrões de
relatório
–Auditoria
Checklist, Padrões de
Relatório
Critérios: Procedimentos,
Clientes
– Modem
– Firewall
– Router
– Hub
– 1 Servidor
– 2 Desktop
– 2 Notebook
Critérios: Procedimentos,
Padrões
Registros Recursos Humanos Comunicações
–Análise Crítica de Projeto
–Verificações de Projeto
–Alterações de Projeto
(Lições aprendidas)
Critérios: procedimentos
–5 pessoas
–Contratados
Critérios: Legislação,
Procedimentos e Políticas
–1 fax
–5 telefones
–2 linhas telefônicas
–Link da internet
Critérios: Procedimentos
Outros Software Ferramentas (Software)
–Instalações (escritório)
Critérios: Procedimentos
–IOS 12.2
–Windows 2000
–Windows XP Pro
–Windows 2000 Pro
Critérios: Padrões
–Retina
–LanGuard Scanner
–Anti-virus
Critérios: Padrões
Exercício – resposta 2
Descrição Disponibilidade Integridade Confidencialidade Valor Comentário
Contrato Comercial/Técnico
Acarreta dano, mas o processo
pode ser executado
Manuais Pequeno impacto ao processo
Slides/Apresentações Sem impacto significativo
Apostilas Pequeno impacto ao processo
Metodologia
Acarreta dano, mas o processo
pode ser executado
Padrões de Consultoria Sem impacto significativo
Checklist
Acarreta dano, mas o processo
pode ser executado
Padrões de Relatório Pequeno impacto ao processo
Alterações de Projeto
Acarreta dano, mas o processo
pode ser executado
Consultor 1 Peça chave do processo
Consultor 2 Peça chave do processo
Administrador Peça chave do processo
Modem Pode acarretar danos ao processo
Firewall Pode acarretar danos ao processo
Router Pode acarretar danos ao processo
Hub Pode acarretar danos ao processo
Servidor Peça chave do processo
Desktop
Acarreta dano, mas o processo
pode ser executado
Notebook
Acarreta dano, mas o processo
pode ser executado
Windows 2000 Server Peça chave do processo
Vulnerabilidades
Vulnerabilidades são fraquezas associadas
aos ativos da organização.
Vulnerabilidade = ponto fraco
Consultores:
Contratação inadequada
Falta de consultores
Instalação:
Falta de mecanismo de monitoramento
Proteção física inadequada
Energia elétrica instável
Banco de dados:
Falta de backup
Armazenamento inadequado
Ameaças
Os ativos estão sujeitos a muitos tipos de
ameaças que exploram suas vulnerabilidades.
Ameaça = uma ocorrência, um fato
Consultores
Falta de conhecimento
Doença
Instalação
Chuva forte, raios
Pessoas não autorizadas com acesso
Banco de dados
Ambiente inadequado
Probabilidade
Qual é a probabilidade de um incidente?
10%
50%
90% de chance?
Exercício
Para os ativos listados no exercício anterior identifique pelo menos para três ativos:
suas vulnerabilidades, as ameaças que podem atingí-los e a probabilidade desta
ameaça ocorrer.
Considere cores para identificar o valor: verde, amarelo e vermelho, sendo verde o
menor valor, vermelho o maior valor e amarelo o valor intermediário.
As respostas dependem de critérios pessoais. Portanto é importante que o
profissional que esteja realizando a análise busque padronizar seus conceitos antes
de finalizar o tratamento de riscos.
Resposta
Antivírus,
desatualizado
Backup
inadequado
Patches
desatualizados
Peça-chave
do processo
Servidor
Contamina
ção por
vírus,
ataque de
hacker
Roubo,
divulgação
Ameaças
Antivírus
desatualizado
Backup
inadequado
Patches
desatualizados
Não há pessoal
de segurança
Não há critérios
de contratação
para o pessoal
de apoio
Vulnerabilidade
Peça-chave
do processo
Acarreta
dano, mas o
processo
pode ser
executado
ComentárioValor
Servidor
Metodologia
ProbabilidadeConfidencialidadeIntegridadeDisponibilidadeDescrição
Conceitos
Informação, segurança da
informação, ativos,
confidencialidade, integridade,
disponibilidade, vulnerabilidades,
ameaças, impactos, probabilidade
Termos
Fim do módulo 2

Mais conteúdo relacionado

Mais procurados

ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
CompanyWeb
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
Adriano Martins Antonio
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
Fernando Palma
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
Fernando Palma
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
Didimax
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
marcos.santosrs
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
jcfarit
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Marcelo Veloso
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
Módulo Security Solutions
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
Data Security
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Rafael Maia
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
J Flávia Sales
 

Mais procurados (20)

ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL Security
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
 

Semelhante a ISO 27001

Aula sobre computação na nuvem e segurança da computação
Aula sobre computação na nuvem e segurança da computaçãoAula sobre computação na nuvem e segurança da computação
Aula sobre computação na nuvem e segurança da computação
bykmf8fhwp
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
João Carlos da Silva Junior
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
imsp2000
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
Mauro Risonho de Paula Assumpcao
 
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxVIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
ricardocapozzi1
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Rodrigo Gomes da Silva
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
Carlos Henrique Martins da Silva
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
GrupoAlves - professor
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
Bruno Felipe
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil -  Abr-2014Apresentação Strong Security Brasil -  Abr-2014
Apresentação Strong Security Brasil - Abr-2014
Strong Security Brasil
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Allan Piter Pressi
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
Esc Tiradentes
 
Aula01 introdução à segurança
Aula01   introdução à segurançaAula01   introdução à segurança
Aula01 introdução à segurança
Carlos Veiga
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
iMasters
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
Neemias Lopes
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
Neemias Lopes
 
Unbroken Institutional
Unbroken Institutional Unbroken Institutional
Unbroken Institutional
unbrokensecurity
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
Fernando Dulinski
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
Diego Souza
 
Outsourcing
OutsourcingOutsourcing
Outsourcing
Inovy IT Solutions
 

Semelhante a ISO 27001 (20)

Aula sobre computação na nuvem e segurança da computação
Aula sobre computação na nuvem e segurança da computaçãoAula sobre computação na nuvem e segurança da computação
Aula sobre computação na nuvem e segurança da computação
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
 
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxVIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil -  Abr-2014Apresentação Strong Security Brasil -  Abr-2014
Apresentação Strong Security Brasil - Abr-2014
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 
Aula01 introdução à segurança
Aula01   introdução à segurançaAula01   introdução à segurança
Aula01 introdução à segurança
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Unbroken Institutional
Unbroken Institutional Unbroken Institutional
Unbroken Institutional
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Outsourcing
OutsourcingOutsourcing
Outsourcing
 

Mais de jcfarit

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
jcfarit
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
jcfarit
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
jcfarit
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
jcfarit
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
jcfarit
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
jcfarit
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
jcfarit
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
jcfarit
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
jcfarit
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
jcfarit
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
jcfarit
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
jcfarit
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
jcfarit
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
jcfarit
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
jcfarit
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
jcfarit
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
jcfarit
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
jcfarit
 

Mais de jcfarit (20)

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
 

Último

Slide | Eurodeputados Portugueses (2024-2029) - Parlamento Europeu (atualiz. ...
Slide | Eurodeputados Portugueses (2024-2029) - Parlamento Europeu (atualiz. ...Slide | Eurodeputados Portugueses (2024-2029) - Parlamento Europeu (atualiz. ...
Slide | Eurodeputados Portugueses (2024-2029) - Parlamento Europeu (atualiz. ...
Centro Jacques Delors
 
EBOOK_HORA DO CONTO_MARINELA NEVES & PAULA FRANCISCO_22_23
EBOOK_HORA DO CONTO_MARINELA NEVES & PAULA FRANCISCO_22_23EBOOK_HORA DO CONTO_MARINELA NEVES & PAULA FRANCISCO_22_23
EBOOK_HORA DO CONTO_MARINELA NEVES & PAULA FRANCISCO_22_23
Sandra Pratas
 
Relatório de Atividades 2021/2022 CENSIPAM.pdf
Relatório de Atividades 2021/2022 CENSIPAM.pdfRelatório de Atividades 2021/2022 CENSIPAM.pdf
Relatório de Atividades 2021/2022 CENSIPAM.pdf
Falcão Brasil
 
Caça-palavras - multiplicação
Caça-palavras  -  multiplicaçãoCaça-palavras  -  multiplicação
Caça-palavras - multiplicação
Mary Alvarenga
 
EBOOK_HORA DO CONTO_O MONSTRO DAS CORES_ANGELINA & MÓNICA_22_23
EBOOK_HORA DO CONTO_O MONSTRO DAS CORES_ANGELINA & MÓNICA_22_23EBOOK_HORA DO CONTO_O MONSTRO DAS CORES_ANGELINA & MÓNICA_22_23
EBOOK_HORA DO CONTO_O MONSTRO DAS CORES_ANGELINA & MÓNICA_22_23
Sandra Pratas
 
Slides Lição 2, Betel, A Igreja e a relevância, para a adoração verdadeira no...
Slides Lição 2, Betel, A Igreja e a relevância, para a adoração verdadeira no...Slides Lição 2, Betel, A Igreja e a relevância, para a adoração verdadeira no...
Slides Lição 2, Betel, A Igreja e a relevância, para a adoração verdadeira no...
LuizHenriquedeAlmeid6
 
Caça-palavras e cruzadinha - Encontros consonantais.
Caça-palavras e cruzadinha -  Encontros consonantais.Caça-palavras e cruzadinha -  Encontros consonantais.
Caça-palavras e cruzadinha - Encontros consonantais.
Mary Alvarenga
 
Mini livro sanfona - Minha Escola Tem História.
Mini livro  sanfona - Minha Escola Tem História. Mini livro  sanfona - Minha Escola Tem História.
Mini livro sanfona - Minha Escola Tem História.
Mary Alvarenga
 
Aprendizagem Imersiva: Conceitos e Caminhos
Aprendizagem Imersiva: Conceitos e CaminhosAprendizagem Imersiva: Conceitos e Caminhos
Aprendizagem Imersiva: Conceitos e Caminhos
Leonel Morgado
 
Trabalho Colaborativo na educação especial.pdf
Trabalho Colaborativo na educação especial.pdfTrabalho Colaborativo na educação especial.pdf
Trabalho Colaborativo na educação especial.pdf
marcos oliveira
 
Caderno 1 - Módulo Água JMS 2024 (1).pdf
Caderno 1 -  Módulo Água JMS 2024 (1).pdfCaderno 1 -  Módulo Água JMS 2024 (1).pdf
Caderno 1 - Módulo Água JMS 2024 (1).pdf
SupervisoEMAC
 
A experiência do professor. Publicado EM 08.07.2024
A experiência do professor. Publicado EM 08.07.2024A experiência do professor. Publicado EM 08.07.2024
A experiência do professor. Publicado EM 08.07.2024
Espanhol Online
 
Folha de Atividades (Virei Super-Herói! Projeto de Edição de Fotos) com Grade...
Folha de Atividades (Virei Super-Herói! Projeto de Edição de Fotos) com Grade...Folha de Atividades (Virei Super-Herói! Projeto de Edição de Fotos) com Grade...
Folha de Atividades (Virei Super-Herói! Projeto de Edição de Fotos) com Grade...
marcos oliveira
 
CALENDÁRIO GRADUAÇÃO 2024-07ddddd-04 (1).pdf
CALENDÁRIO GRADUAÇÃO 2024-07ddddd-04 (1).pdfCALENDÁRIO GRADUAÇÃO 2024-07ddddd-04 (1).pdf
CALENDÁRIO GRADUAÇÃO 2024-07ddddd-04 (1).pdf
CristviaFerreira
 
Slides Lição 3, CPAD, Rute e Noemi, Entrelaçadas pelo Amor.pptx
Slides Lição 3, CPAD, Rute e Noemi, Entrelaçadas pelo Amor.pptxSlides Lição 3, CPAD, Rute e Noemi, Entrelaçadas pelo Amor.pptx
Slides Lição 3, CPAD, Rute e Noemi, Entrelaçadas pelo Amor.pptx
LuizHenriquedeAlmeid6
 
Estudo Infantil - MISSÕES NACIONAIS - IGREJA BATISTA
Estudo Infantil - MISSÕES NACIONAIS - IGREJA BATISTAEstudo Infantil - MISSÕES NACIONAIS - IGREJA BATISTA
Estudo Infantil - MISSÕES NACIONAIS - IGREJA BATISTA
deboracorrea21
 
Slide para aplicação da AVAL. FLUÊNCIA.pptx
Slide para aplicação  da AVAL. FLUÊNCIA.pptxSlide para aplicação  da AVAL. FLUÊNCIA.pptx
Slide para aplicação da AVAL. FLUÊNCIA.pptx
LeilaVilasboas
 
apresentação metodologia terapia ocupacional
apresentação metodologia terapia ocupacionalapresentação metodologia terapia ocupacional
apresentação metodologia terapia ocupacional
shirleisousa9166
 
Texto e atividade - O que fazemos com a água que usamos.
Texto e atividade -  O que fazemos com a água que usamos.Texto e atividade -  O que fazemos com a água que usamos.
Texto e atividade - O que fazemos com a água que usamos.
Mary Alvarenga
 

Último (20)

Slide | Eurodeputados Portugueses (2024-2029) - Parlamento Europeu (atualiz. ...
Slide | Eurodeputados Portugueses (2024-2029) - Parlamento Europeu (atualiz. ...Slide | Eurodeputados Portugueses (2024-2029) - Parlamento Europeu (atualiz. ...
Slide | Eurodeputados Portugueses (2024-2029) - Parlamento Europeu (atualiz. ...
 
EBOOK_HORA DO CONTO_MARINELA NEVES & PAULA FRANCISCO_22_23
EBOOK_HORA DO CONTO_MARINELA NEVES & PAULA FRANCISCO_22_23EBOOK_HORA DO CONTO_MARINELA NEVES & PAULA FRANCISCO_22_23
EBOOK_HORA DO CONTO_MARINELA NEVES & PAULA FRANCISCO_22_23
 
Relatório de Atividades 2021/2022 CENSIPAM.pdf
Relatório de Atividades 2021/2022 CENSIPAM.pdfRelatório de Atividades 2021/2022 CENSIPAM.pdf
Relatório de Atividades 2021/2022 CENSIPAM.pdf
 
Caça-palavras - multiplicação
Caça-palavras  -  multiplicaçãoCaça-palavras  -  multiplicação
Caça-palavras - multiplicação
 
EBOOK_HORA DO CONTO_O MONSTRO DAS CORES_ANGELINA & MÓNICA_22_23
EBOOK_HORA DO CONTO_O MONSTRO DAS CORES_ANGELINA & MÓNICA_22_23EBOOK_HORA DO CONTO_O MONSTRO DAS CORES_ANGELINA & MÓNICA_22_23
EBOOK_HORA DO CONTO_O MONSTRO DAS CORES_ANGELINA & MÓNICA_22_23
 
Slides Lição 2, Betel, A Igreja e a relevância, para a adoração verdadeira no...
Slides Lição 2, Betel, A Igreja e a relevância, para a adoração verdadeira no...Slides Lição 2, Betel, A Igreja e a relevância, para a adoração verdadeira no...
Slides Lição 2, Betel, A Igreja e a relevância, para a adoração verdadeira no...
 
FOTOS_AS CIÊNCIAS EM AÇÃO .
FOTOS_AS CIÊNCIAS EM AÇÃO                .FOTOS_AS CIÊNCIAS EM AÇÃO                .
FOTOS_AS CIÊNCIAS EM AÇÃO .
 
Caça-palavras e cruzadinha - Encontros consonantais.
Caça-palavras e cruzadinha -  Encontros consonantais.Caça-palavras e cruzadinha -  Encontros consonantais.
Caça-palavras e cruzadinha - Encontros consonantais.
 
Mini livro sanfona - Minha Escola Tem História.
Mini livro  sanfona - Minha Escola Tem História. Mini livro  sanfona - Minha Escola Tem História.
Mini livro sanfona - Minha Escola Tem História.
 
Aprendizagem Imersiva: Conceitos e Caminhos
Aprendizagem Imersiva: Conceitos e CaminhosAprendizagem Imersiva: Conceitos e Caminhos
Aprendizagem Imersiva: Conceitos e Caminhos
 
Trabalho Colaborativo na educação especial.pdf
Trabalho Colaborativo na educação especial.pdfTrabalho Colaborativo na educação especial.pdf
Trabalho Colaborativo na educação especial.pdf
 
Caderno 1 - Módulo Água JMS 2024 (1).pdf
Caderno 1 -  Módulo Água JMS 2024 (1).pdfCaderno 1 -  Módulo Água JMS 2024 (1).pdf
Caderno 1 - Módulo Água JMS 2024 (1).pdf
 
A experiência do professor. Publicado EM 08.07.2024
A experiência do professor. Publicado EM 08.07.2024A experiência do professor. Publicado EM 08.07.2024
A experiência do professor. Publicado EM 08.07.2024
 
Folha de Atividades (Virei Super-Herói! Projeto de Edição de Fotos) com Grade...
Folha de Atividades (Virei Super-Herói! Projeto de Edição de Fotos) com Grade...Folha de Atividades (Virei Super-Herói! Projeto de Edição de Fotos) com Grade...
Folha de Atividades (Virei Super-Herói! Projeto de Edição de Fotos) com Grade...
 
CALENDÁRIO GRADUAÇÃO 2024-07ddddd-04 (1).pdf
CALENDÁRIO GRADUAÇÃO 2024-07ddddd-04 (1).pdfCALENDÁRIO GRADUAÇÃO 2024-07ddddd-04 (1).pdf
CALENDÁRIO GRADUAÇÃO 2024-07ddddd-04 (1).pdf
 
Slides Lição 3, CPAD, Rute e Noemi, Entrelaçadas pelo Amor.pptx
Slides Lição 3, CPAD, Rute e Noemi, Entrelaçadas pelo Amor.pptxSlides Lição 3, CPAD, Rute e Noemi, Entrelaçadas pelo Amor.pptx
Slides Lição 3, CPAD, Rute e Noemi, Entrelaçadas pelo Amor.pptx
 
Estudo Infantil - MISSÕES NACIONAIS - IGREJA BATISTA
Estudo Infantil - MISSÕES NACIONAIS - IGREJA BATISTAEstudo Infantil - MISSÕES NACIONAIS - IGREJA BATISTA
Estudo Infantil - MISSÕES NACIONAIS - IGREJA BATISTA
 
Slide para aplicação da AVAL. FLUÊNCIA.pptx
Slide para aplicação  da AVAL. FLUÊNCIA.pptxSlide para aplicação  da AVAL. FLUÊNCIA.pptx
Slide para aplicação da AVAL. FLUÊNCIA.pptx
 
apresentação metodologia terapia ocupacional
apresentação metodologia terapia ocupacionalapresentação metodologia terapia ocupacional
apresentação metodologia terapia ocupacional
 
Texto e atividade - O que fazemos com a água que usamos.
Texto e atividade -  O que fazemos com a água que usamos.Texto e atividade -  O que fazemos com a água que usamos.
Texto e atividade - O que fazemos com a água que usamos.
 

ISO 27001

  • 1. Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning
  • 2. Conceitos Informação, segurança da informação, ativos, confidencialidade, integridade, disponibilidade, vulnerabilidades, ameaças, impactos, probabilidade Módulo 2 Termos
  • 3. O que é informação? “Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e conseqüentemente necessita ser adequadamente protegido.”
  • 4. Tipos de informação Impressa ou escrita em papel Armazenada eletronicamente Transmitida pelo correio ou por meios eletrônicos Mostrada em vídeos Verbal – falada em conversações “Não importa a forma que a informação toma, ou os meios pelos quais ela é compartilhada ou armazenada. Ela deve sempre ser apropriadamente protegida.”
  • 5. Tipos de informação a serem protegidas Internas da companhia Informação que você não gostaria que a concorrência soubesse De clientes e fornecedores Informação que eles não gostariam que você divulgasse De parceiros Informação que necessita ser compartilhada com outros parceiros comerciais Digite a sua senha
  • 6. A Informação pode ser: Criada Transmitida Processada Usada Armazenada Corrompida Perdida Destruída
  • 7. Conceitos – O que é Segurança da Informação A ISO/IEC 17799:2005 define: Segurança da Informação - é a proteção da informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.
  • 8. Exemplos de ameaças à informação Funcionários descontentes ou desmotivados Baixa conscientização nos assuntos de segurança Crescimento do processamento distribuído e das relações entre profissionais e empresas Aumento da complexidade e eficácia das ferramentas de hacking e dos vírus E-mail Inexistência de planos de recuperação a desastres Desastres naturais ou não (incêndio, inundação, terremoto, terrorismo, etc.) Falta de políticas e procedimentos implementados
  • 9. Exemplos de impactos Perda de clientes e contratos Danos à imagem Perda de produtividade Aumento no custo do trabalho para conter, reparar e recuperar Aumento de seguros Penalidades e multas
  • 10. Que aspectos da informação devemos avaliar? Confidencialidade: assegurar que a informação é acessível somente às pessoas autorizadas. Integridade: proteger a exatidão e complexidade da informação e dos métodos de processamento. Disponibilidade: assegurar que os usuários autorizados tenham acesso à informação e ativos associados quando necessário.
  • 12. Ativos O que são ativos? (em relação à ISO 27001) Devem ser aqueles relevantes ao escopo do Sistema de Gestão de Segurança da Informação Um ativo é algo a que a organização atribui valor, por exemplo: Informação eletrônica Documentos em papel Software e hardware Instalações Pessoas Imagem e reputação da companhia Serviços
  • 13. Ativos Para a ISO 27001, os ‘ativos’ não incluirão necessariamente tudo que normalmente uma organização considera que tem um valor. Uma organização deve determinar quais ativos podem materialmente afetar a entrega de um produto ou serviço pela sua ausência ou deterioração, ou podem causar dano à organização através de perda de disponibilidade, integridade ou confidencialidade. Deve-se definir qual é o valor de um ativo no caso de um incidente.
  • 14. . Conclusões Alcançamos a segurança da informação através da implementação de um conjunto adequado de controles, incluindo políticas, procedimentos, estrutura organizacional e funções de hardware e software. Cada empresa é única em suas exigências e requisitos de controle e para os níveis de confidencialidade, integridade e disponibilidade. Nem todos os controles e orientações incluídas podem ser aplicáveis
  • 15. Exercício Considere uma empresa de consultoria na área de informática que deseja implantar o SGSI conforme a norma ISO27001 na sua área de vendas dentro do escopo: Gerenciamento do Sistema de Segurança da Informação para vendas, projeto e entrega de treinamento, consultoria e auditoria em segurança de informação na Rua Pau Brasil 111, São Paulo, SP, Brasil. 1) Identifique, do seu ponto de vista, os possíveis ativos da informação dentro deste processo. Considere: informações de entrada, informações de saída, equipamentos, registros, recursos humanos, comunicação, ferramentas de software, softwares e outros. 2) Valorize ao menos três destes ativos com base na perda da confidencialidade, disponibilidade e integridade. Considere cores para identificar o valor: verde, amarelo e vermelho, sendo verde o menor valor, vermelho o maior valor e amarelo o valor intermediário. As respostas dependem de critérios pessoais. Portanto é importante que o profissional que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o tratamento de riscos.
  • 16. Exercício – resposta 1 Informações de entrada Informações de Saída Equipamentos Contrato Comercial/Técnico Critérios:Legislação, Regulamentações, Políticas –Treinamento Manuais, Slides/Apresentações, Apostilas –Consultoria Metodologia,Padrões de relatório –Auditoria Checklist, Padrões de Relatório Critérios: Procedimentos, Clientes – Modem – Firewall – Router – Hub – 1 Servidor – 2 Desktop – 2 Notebook Critérios: Procedimentos, Padrões Registros Recursos Humanos Comunicações –Análise Crítica de Projeto –Verificações de Projeto –Alterações de Projeto (Lições aprendidas) Critérios: procedimentos –5 pessoas –Contratados Critérios: Legislação, Procedimentos e Políticas –1 fax –5 telefones –2 linhas telefônicas –Link da internet Critérios: Procedimentos Outros Software Ferramentas (Software) –Instalações (escritório) Critérios: Procedimentos –IOS 12.2 –Windows 2000 –Windows XP Pro –Windows 2000 Pro Critérios: Padrões –Retina –LanGuard Scanner –Anti-virus Critérios: Padrões
  • 17. Exercício – resposta 2 Descrição Disponibilidade Integridade Confidencialidade Valor Comentário Contrato Comercial/Técnico Acarreta dano, mas o processo pode ser executado Manuais Pequeno impacto ao processo Slides/Apresentações Sem impacto significativo Apostilas Pequeno impacto ao processo Metodologia Acarreta dano, mas o processo pode ser executado Padrões de Consultoria Sem impacto significativo Checklist Acarreta dano, mas o processo pode ser executado Padrões de Relatório Pequeno impacto ao processo Alterações de Projeto Acarreta dano, mas o processo pode ser executado Consultor 1 Peça chave do processo Consultor 2 Peça chave do processo Administrador Peça chave do processo Modem Pode acarretar danos ao processo Firewall Pode acarretar danos ao processo Router Pode acarretar danos ao processo Hub Pode acarretar danos ao processo Servidor Peça chave do processo Desktop Acarreta dano, mas o processo pode ser executado Notebook Acarreta dano, mas o processo pode ser executado Windows 2000 Server Peça chave do processo
  • 18. Vulnerabilidades Vulnerabilidades são fraquezas associadas aos ativos da organização. Vulnerabilidade = ponto fraco Consultores: Contratação inadequada Falta de consultores Instalação: Falta de mecanismo de monitoramento Proteção física inadequada Energia elétrica instável Banco de dados: Falta de backup Armazenamento inadequado
  • 19. Ameaças Os ativos estão sujeitos a muitos tipos de ameaças que exploram suas vulnerabilidades. Ameaça = uma ocorrência, um fato Consultores Falta de conhecimento Doença Instalação Chuva forte, raios Pessoas não autorizadas com acesso Banco de dados Ambiente inadequado
  • 20. Probabilidade Qual é a probabilidade de um incidente? 10% 50% 90% de chance?
  • 21. Exercício Para os ativos listados no exercício anterior identifique pelo menos para três ativos: suas vulnerabilidades, as ameaças que podem atingí-los e a probabilidade desta ameaça ocorrer. Considere cores para identificar o valor: verde, amarelo e vermelho, sendo verde o menor valor, vermelho o maior valor e amarelo o valor intermediário. As respostas dependem de critérios pessoais. Portanto é importante que o profissional que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o tratamento de riscos.
  • 22. Resposta Antivírus, desatualizado Backup inadequado Patches desatualizados Peça-chave do processo Servidor Contamina ção por vírus, ataque de hacker Roubo, divulgação Ameaças Antivírus desatualizado Backup inadequado Patches desatualizados Não há pessoal de segurança Não há critérios de contratação para o pessoal de apoio Vulnerabilidade Peça-chave do processo Acarreta dano, mas o processo pode ser executado ComentárioValor Servidor Metodologia ProbabilidadeConfidencialidadeIntegridadeDisponibilidadeDescrição
  • 23. Conceitos Informação, segurança da informação, ativos, confidencialidade, integridade, disponibilidade, vulnerabilidades, ameaças, impactos, probabilidade Termos Fim do módulo 2