SlideShare uma empresa Scribd logo

Modulo 01 CapíTulo 04

Robson Silva Espig
Robson Silva Espig
TecnologiaTurismo
1 de 7
Baixar para ler offline
Capítulo 4 - Riscos, medidas e ciclo de segurança 4.1 Introdução quot;Se vocês me perguntassem, em dezembro de 2002, teria afirmado que em janeiro de 2003 teríamos um mês tranqüilo em relação às pragas virtuaisquot;, disse em entrevista o especialista sênior da MessageLabs, Alex Shipp. Apesar de o mercado ter previsto um início de 2003 mais calmo, o novo ano começou trabalhoso para as equipes especializadas na defesa de sistemas. Somente nos primeiros dias de janeiro foram detectadas quatro novas ameaças: uma variante do Yaha e os worms Sobig e Lirva. E não podemos esquecer do worm Slammer, detectado em 25/01, que causou lentidão no tráfego da web. Alguns especialistas internacionais do mercado de antivírus apontam também como tendência neste ano, o crescimento de outro tipo de ameaça virtual: os quot;Remote Access Trojans (RATs)quot;, programas que permitem uma conexão no sistema da vítima através de uma backdoor. Os RATs podem incluir em sua carga programas quot;keystroke-loggingquot; para capturar senhas e outras informações confidenciais do sistema da vítima. Uma das dificuldades apontadas para se combater essa espécie de praga está no fato dela não ficar circulando pela internet, dificultando sua captura para análise e criação de vacinas pelos laboratórios especializados na área. quot;As empresas de antivírus só conseguem criar uma vacina específica contra um Trojan Horse caso tenham acesso ao programa maliciosoquot;, disse Alex Shipp, em entrevista para Searchsecurity.com. *Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=1766&pagenumber=0&idiom=0 Notícias como essa são comuns no mundo de hoje. Todos os dias ficamos sabendo de possíveis riscos em diferentes dispositivos ou sistemas de gestão de informação. Para poder evitar esses riscos, é necessário conhecê-los bem, além de conhecer as medidas de segurança necessárias para minimizá-los. 4.2 Objetivos
Conhecer o conceito de risco e sua implicação na segurança das informações da empresa; Saber as conseqüências de se aplicar ou não medidas de segurança nos diferentes aspectos de nossa empresa; Compreender o que se conhece como ciclo de segurança, o que nos permitirá conduzir nossas ações. 4.3 Riscos O risco é a probabilidade de que as ameaças explorem os vulnerabilidades, combinada com as perdas ou danos aos ativos e impactos no negócio. Em outras palavras, a probabilidade de que ocorram incidentes que afetem a confidencialidade, a integridade e a disponibilidade das informações.
Concluímos que a segurança é uma prática orientada para a eliminação das vulnerabilidades a fim de evitar ou reduzir a possibilidade de que as ameaças potenciais se concretizem no ambiente que se deseja proteger. O principal objetivo é garantir o êxito da comunicação segura, com informações disponíveis, íntegras e confidenciais, através de medidas de segurança que possam tornar o negócio de um indivíduo ou empresa factível com o menor risco possível. 4.4 Medidas de segurança As ameaças sempre existiram e é de se esperar que, à medida que a tecnologia progrida, também surjam novas formas através das quais elas possam se concretizar; portanto, é importante conhecer a estrutura geral de como se classificam as vulnerabilidades que podem fazer com que essas ameaças causem impactos em nossos sistemas, comprometendo os princípios da segurança da informação. As medidas de segurança são ações orientadas para a eliminação ou diminuição de vulnerabilidades, com o objetivo de evitar que uma ameaça se torne realidade. Além disso, estas medidas podem também reduzir o impacto de algumas ameaças caso elas venham a se concretizar. Essas medidas são o primeiro passo para o aumento da segurança da informação em um ambiente de tecnologia da informação e devem considerar a totalidade do processo.
Como existe uma variedade de tipos de vulnerabilidades que afetam a disponibilidade, a confidencialidade e a integridade das informações, é importante haver medidas de segurança específicas para lidar com cada caso. Antes da definição das medidas de segurança que serão adotadas, deve-se conhecer o ambiente nos mínimos detalhes, buscando as vulnerabilidades existentes. A partir desse conhecimento, tomam-se medidas ou realizam-se ações de segurança que podem ser do tipo: Preventivo: buscando evitar o surgimento de novos pontos fracos e ameaças; • Corretivo: orientado para a eliminação de problemas de segurança uma vez que os mesmos são • identificados; Reativo: visam responder de forma eficiente caso um problema de segurança ocorra. • Medidas globais de segurança
As medidas de segurança são um conjunto de práticas que, quando integradas, constituem uma solução global e eficaz da segurança da informação. Entre as principais medidas, destacamos: Análise de riscos; Política de segurança; Especificação de segurança; Administração de segurança. A segurança da informação deve ser garantida de forma integral e completa, por isso é muito útil conhecer com um pouco mais de detalhes estas quatro medidas de segurança que permitem nos mover desde a análise de risco até a administração da segurança: Análise de riscos É uma medida que busca avaliar qual a real probabilidade de que ameaças se concretizem utilizando as vulnerabilidades existentes, além de identificar os possíveis impactos que possam ser causados. A análise de riscos tem como resultado uma lista de problemas que devem ser priorizados. Política de segurança É uma medida que busca estabelecer os padrões de segurança que devem ser seguidos por todos os envolvidos no uso e na manutenção dos ativos. É uma forma de administrar um conjunto de normas para guiar as pessoas na realização de seu trabalho. É o primeiro passo para aumentar a consciência da segurança das pessoas, pois está orientada para a formação de hábitos, por meio de manuais de instrução e procedimentos operacionais. Especificações de segurança São medidas que objetivam instruir a correta implementação de um novo ambiente tecnológico definindo a forma como os mesmos devem estar dispostos para atender aos princípios da segurança da informação. Administração da segurança São medidas integradas para produzir a gestão dos riscos de um ambiente. A administração da segurança envolve a implementação e a manutenção de todas as medidas mencionadas anteriormente, preventivas, corretivas e reativas, com base em um ciclo da segurança que apresentaremos a seguir. 4.5 Ciclo de segurança
O ciclo de segurança se inicia com a identificação das ameaças que as empresas enfrentam. A identificação das ameaças permitirá a visualização das vulnerabilidades que podem ser exploradas, expondo os ativos a riscos de segurança. Essa exposição leva a uma perda de um ou mais princípios básicos da segurança da informação, causando impactos no negócio da empresa, aumentando ainda mais os riscos a que estão expostas as informações. Para que o impacto dessas ameaças ao negócio seja reduzido é necessário tomar medidas de segurança para eliminar vulnerabilidades e reduzir impactos. Assim, concluímos a definição de segurança da informação com a ilustração do ciclo:
Como podemos ver no diagrama anterior: os riscos na segurança da empresa aumentam à medida que as ameaças conseguem explorar as vulnerabilidades e, portanto, provocar danos nos ativos. Esses danos podem fazer com que a confidencialidade, a integridade ou a disponibilidade da informação sejam comprometidas, causando impactos no negócio da empresa. As medidas de segurança permitem diminuir os riscos e, desta forma, fazer com que o ciclo seja de muito menor impacto para os ativos e, portanto, para a empresa. Portanto, a segurança é uma atividade cujo propósito é: proteger os ativos contra acessos não-autorizados; • evitar alterações indevidas que possam pôr em risco sua integridade; • garantir sua disponibilidade no momento que os usuários precisam. • E é instrumentada por meio de políticas e procedimentos de segurança que permitem a identificação e o controle de ameaças e vulnerabilidades, levando em consideração a preservação da confidencialidade, integridade e disponibilidade das informações. 4.6 Lições aprendidas Identificamos como devemos visualizar os diferentes riscos aos quais nossa empresa está exposta, o que nos permitirá reduzi-los e aumentar a segurança dos ativos.; Compreendemos os diferentes tipos de medidas de segurança que podemos tomar na empresa, sejam preventivas, corretivas ou reativas; Conhecemos o ciclo de segurança, no qual se recorre às diferentes medidas para diminuir os riscos do ambiente

Recomendados

Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Robson Silva Espig
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Robson Silva Espig
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1Robson Silva Espig
 
Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Robson Silva Espig
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 

Recomendados

Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Robson Silva Espig
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Robson Silva Espig
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1Robson Silva Espig
 
Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Robson Silva Espig
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Apostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosApostila de princípios de segurança da informação alunos
Apostila de princípios de segurança da informação alunosCARDOSOSOUSA
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 segurancaMarco Guimarães
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoDaniel de Sousa Luz
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informaçãoLuiz Siles
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Bruno Luiz A. de Pai Paiva
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosCarlos Henrique Martins da Silva
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesDeivison Pinheiro Franco.·.
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...University of North Carolina at Chapel Hill Balloni
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 segurancaMarco Guimarães
 
Playa Small
Playa SmallPlaya Small
Playa Smallanto_08
 
The Food Industry Hypermarkets
The Food Industry HypermarketsThe Food Industry Hypermarkets
The Food Industry Hypermarketsclemaitre
 
Playa
PlayaPlaya
Playam4ti4s4
 

Mais conteúdo relacionado

Mais procurados

Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoDaniel de Sousa Luz
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informaçãoLuiz Siles
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 

Mais procurados (19)

Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
 
Aula 18 segurança da informação
Aula 18 segurança da informaçãoAula 18 segurança da informação
Aula 18 segurança da informação
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de Informações
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na web
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 

Destaque

Playa Small
Playa SmallPlaya Small
Playa Smallanto_08
 
The Food Industry Hypermarkets
The Food Industry HypermarketsThe Food Industry Hypermarkets
The Food Industry Hypermarketsclemaitre
 
peru marino
peru marinoperu marino
peru marinoyuyumimi
 
A New Open Source Approach to Rapid Authoring of E-Learning
A New Open Source Approach to Rapid Authoring of E-LearningA New Open Source Approach to Rapid Authoring of E-Learning
A New Open Source Approach to Rapid Authoring of E-LearningTonia A. Dousay
 

Destaque (7)

Playa Small
Playa SmallPlaya Small
Playa Small
 
The Food Industry Hypermarkets
The Food Industry HypermarketsThe Food Industry Hypermarkets
The Food Industry Hypermarkets
 
Playa
PlayaPlaya
Playa
 
peru marino
peru marinoperu marino
peru marino
 
José Luis Gordillo
José Luis GordilloJosé Luis Gordillo
José Luis Gordillo
 
Olympic Games
Olympic GamesOlympic Games
Olympic Games
 
A New Open Source Approach to Rapid Authoring of E-Learning
A New Open Source Approach to Rapid Authoring of E-LearningA New Open Source Approach to Rapid Authoring of E-Learning
A New Open Source Approach to Rapid Authoring of E-Learning
 

Semelhante a Modulo 01 CapíTulo 04

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 
Segurança da informação - Aula 02
Segurança da informação - Aula 02Segurança da informação - Aula 02
Segurança da informação - Aula 02profandreson
 
Livro cap01
Livro cap01Livro cap01
Livro cap01higson
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoArtur Nascimento
 
Seguranca da informacao
Seguranca da informacaoSeguranca da informacao
Seguranca da informacaoTati Moura
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Cisco do Brasil
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 

Semelhante a Modulo 01 CapíTulo 04 (20)

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Cap5e6
Cap5e6Cap5e6
Cap5e6
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Jose
JoseJose
Jose
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Palestra
PalestraPalestra
Palestra
 
Segurança da informação - Aula 02
Segurança da informação - Aula 02Segurança da informação - Aula 02
Segurança da informação - Aula 02
 
Livro cap01
Livro cap01Livro cap01
Livro cap01
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Seguranca da informacao
Seguranca da informacaoSeguranca da informacao
Seguranca da informacao
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
 

Mais de Robson Silva Espig

Master Place - Convenção Bloco D
Master Place - Convenção Bloco DMaster Place - Convenção Bloco D
Master Place - Convenção Bloco DRobson Silva Espig
 
[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOKRobson Silva Espig
 
[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade[ ref ] Convergência - Mobilidade
[ ref ] Convergência - MobilidadeRobson Silva Espig
 
[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL ServerRobson Silva Espig
 
A Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de SoftwareA Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de SoftwareRobson Silva Espig
 
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custosComo implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custosRobson Silva Espig
 
Analise de Requisitos de Software
Analise de Requisitos de SoftwareAnalise de Requisitos de Software
Analise de Requisitos de SoftwareRobson Silva Espig
 
Desenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e IncrementalDesenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e IncrementalRobson Silva Espig
 

Mais de Robson Silva Espig (20)

Master Place - Convenção Bloco D
Master Place - Convenção Bloco DMaster Place - Convenção Bloco D
Master Place - Convenção Bloco D
 
Aquarelas Envelhecidas
Aquarelas EnvelhecidasAquarelas Envelhecidas
Aquarelas Envelhecidas
 
[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK
 
[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade
 
[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server
 
A Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de SoftwareA Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de Software
 
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custosComo implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
 
Gestao Projetos - Aula 02
Gestao Projetos - Aula 02Gestao Projetos - Aula 02
Gestao Projetos - Aula 02
 
Gestao Projetos - Aula 01
Gestao Projetos - Aula 01Gestao Projetos - Aula 01
Gestao Projetos - Aula 01
 
Aula 01
Aula 01Aula 01
Aula 01
 
Aula 05
Aula 05Aula 05
Aula 05
 
Aula 04
Aula 04Aula 04
Aula 04
 
Aula 02
Aula 02Aula 02
Aula 02
 
Caso de Desenvolvimento
Caso de DesenvolvimentoCaso de Desenvolvimento
Caso de Desenvolvimento
 
SOA
SOASOA
SOA
 
Aula 03
Aula 03Aula 03
Aula 03
 
Artigo Caso de Uso
Artigo Caso de UsoArtigo Caso de Uso
Artigo Caso de Uso
 
RAD
RADRAD
RAD
 
Analise de Requisitos de Software
Analise de Requisitos de SoftwareAnalise de Requisitos de Software
Analise de Requisitos de Software
 
Desenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e IncrementalDesenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e Incremental
 

Modulo 01 CapíTulo 04

  • 1. Capítulo 4 - Riscos, medidas e ciclo de segurança 4.1 Introdução quot;Se vocês me perguntassem, em dezembro de 2002, teria afirmado que em janeiro de 2003 teríamos um mês tranqüilo em relação às pragas virtuaisquot;, disse em entrevista o especialista sênior da MessageLabs, Alex Shipp. Apesar de o mercado ter previsto um início de 2003 mais calmo, o novo ano começou trabalhoso para as equipes especializadas na defesa de sistemas. Somente nos primeiros dias de janeiro foram detectadas quatro novas ameaças: uma variante do Yaha e os worms Sobig e Lirva. E não podemos esquecer do worm Slammer, detectado em 25/01, que causou lentidão no tráfego da web. Alguns especialistas internacionais do mercado de antivírus apontam também como tendência neste ano, o crescimento de outro tipo de ameaça virtual: os quot;Remote Access Trojans (RATs)quot;, programas que permitem uma conexão no sistema da vítima através de uma backdoor. Os RATs podem incluir em sua carga programas quot;keystroke-loggingquot; para capturar senhas e outras informações confidenciais do sistema da vítima. Uma das dificuldades apontadas para se combater essa espécie de praga está no fato dela não ficar circulando pela internet, dificultando sua captura para análise e criação de vacinas pelos laboratórios especializados na área. quot;As empresas de antivírus só conseguem criar uma vacina específica contra um Trojan Horse caso tenham acesso ao programa maliciosoquot;, disse Alex Shipp, em entrevista para Searchsecurity.com. *Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=1766&pagenumber=0&idiom=0 Notícias como essa são comuns no mundo de hoje. Todos os dias ficamos sabendo de possíveis riscos em diferentes dispositivos ou sistemas de gestão de informação. Para poder evitar esses riscos, é necessário conhecê-los bem, além de conhecer as medidas de segurança necessárias para minimizá-los. 4.2 Objetivos
  • 2. Conhecer o conceito de risco e sua implicação na segurança das informações da empresa; Saber as conseqüências de se aplicar ou não medidas de segurança nos diferentes aspectos de nossa empresa; Compreender o que se conhece como ciclo de segurança, o que nos permitirá conduzir nossas ações. 4.3 Riscos O risco é a probabilidade de que as ameaças explorem os vulnerabilidades, combinada com as perdas ou danos aos ativos e impactos no negócio. Em outras palavras, a probabilidade de que ocorram incidentes que afetem a confidencialidade, a integridade e a disponibilidade das informações.
  • 3. Concluímos que a segurança é uma prática orientada para a eliminação das vulnerabilidades a fim de evitar ou reduzir a possibilidade de que as ameaças potenciais se concretizem no ambiente que se deseja proteger. O principal objetivo é garantir o êxito da comunicação segura, com informações disponíveis, íntegras e confidenciais, através de medidas de segurança que possam tornar o negócio de um indivíduo ou empresa factível com o menor risco possível. 4.4 Medidas de segurança As ameaças sempre existiram e é de se esperar que, à medida que a tecnologia progrida, também surjam novas formas através das quais elas possam se concretizar; portanto, é importante conhecer a estrutura geral de como se classificam as vulnerabilidades que podem fazer com que essas ameaças causem impactos em nossos sistemas, comprometendo os princípios da segurança da informação. As medidas de segurança são ações orientadas para a eliminação ou diminuição de vulnerabilidades, com o objetivo de evitar que uma ameaça se torne realidade. Além disso, estas medidas podem também reduzir o impacto de algumas ameaças caso elas venham a se concretizar. Essas medidas são o primeiro passo para o aumento da segurança da informação em um ambiente de tecnologia da informação e devem considerar a totalidade do processo.
  • 4. Como existe uma variedade de tipos de vulnerabilidades que afetam a disponibilidade, a confidencialidade e a integridade das informações, é importante haver medidas de segurança específicas para lidar com cada caso. Antes da definição das medidas de segurança que serão adotadas, deve-se conhecer o ambiente nos mínimos detalhes, buscando as vulnerabilidades existentes. A partir desse conhecimento, tomam-se medidas ou realizam-se ações de segurança que podem ser do tipo: Preventivo: buscando evitar o surgimento de novos pontos fracos e ameaças; • Corretivo: orientado para a eliminação de problemas de segurança uma vez que os mesmos são • identificados; Reativo: visam responder de forma eficiente caso um problema de segurança ocorra. • Medidas globais de segurança
  • 5. As medidas de segurança são um conjunto de práticas que, quando integradas, constituem uma solução global e eficaz da segurança da informação. Entre as principais medidas, destacamos: Análise de riscos; Política de segurança; Especificação de segurança; Administração de segurança. A segurança da informação deve ser garantida de forma integral e completa, por isso é muito útil conhecer com um pouco mais de detalhes estas quatro medidas de segurança que permitem nos mover desde a análise de risco até a administração da segurança: Análise de riscos É uma medida que busca avaliar qual a real probabilidade de que ameaças se concretizem utilizando as vulnerabilidades existentes, além de identificar os possíveis impactos que possam ser causados. A análise de riscos tem como resultado uma lista de problemas que devem ser priorizados. Política de segurança É uma medida que busca estabelecer os padrões de segurança que devem ser seguidos por todos os envolvidos no uso e na manutenção dos ativos. É uma forma de administrar um conjunto de normas para guiar as pessoas na realização de seu trabalho. É o primeiro passo para aumentar a consciência da segurança das pessoas, pois está orientada para a formação de hábitos, por meio de manuais de instrução e procedimentos operacionais. Especificações de segurança São medidas que objetivam instruir a correta implementação de um novo ambiente tecnológico definindo a forma como os mesmos devem estar dispostos para atender aos princípios da segurança da informação. Administração da segurança São medidas integradas para produzir a gestão dos riscos de um ambiente. A administração da segurança envolve a implementação e a manutenção de todas as medidas mencionadas anteriormente, preventivas, corretivas e reativas, com base em um ciclo da segurança que apresentaremos a seguir. 4.5 Ciclo de segurança
  • 6. O ciclo de segurança se inicia com a identificação das ameaças que as empresas enfrentam. A identificação das ameaças permitirá a visualização das vulnerabilidades que podem ser exploradas, expondo os ativos a riscos de segurança. Essa exposição leva a uma perda de um ou mais princípios básicos da segurança da informação, causando impactos no negócio da empresa, aumentando ainda mais os riscos a que estão expostas as informações. Para que o impacto dessas ameaças ao negócio seja reduzido é necessário tomar medidas de segurança para eliminar vulnerabilidades e reduzir impactos. Assim, concluímos a definição de segurança da informação com a ilustração do ciclo:
  • 7. Como podemos ver no diagrama anterior: os riscos na segurança da empresa aumentam à medida que as ameaças conseguem explorar as vulnerabilidades e, portanto, provocar danos nos ativos. Esses danos podem fazer com que a confidencialidade, a integridade ou a disponibilidade da informação sejam comprometidas, causando impactos no negócio da empresa. As medidas de segurança permitem diminuir os riscos e, desta forma, fazer com que o ciclo seja de muito menor impacto para os ativos e, portanto, para a empresa. Portanto, a segurança é uma atividade cujo propósito é: proteger os ativos contra acessos não-autorizados; • evitar alterações indevidas que possam pôr em risco sua integridade; • garantir sua disponibilidade no momento que os usuários precisam. • E é instrumentada por meio de políticas e procedimentos de segurança que permitem a identificação e o controle de ameaças e vulnerabilidades, levando em consideração a preservação da confidencialidade, integridade e disponibilidade das informações. 4.6 Lições aprendidas Identificamos como devemos visualizar os diferentes riscos aos quais nossa empresa está exposta, o que nos permitirá reduzi-los e aumentar a segurança dos ativos.; Compreendemos os diferentes tipos de medidas de segurança que podemos tomar na empresa, sejam preventivas, corretivas ou reativas; Conhecemos o ciclo de segurança, no qual se recorre às diferentes medidas para diminuir os riscos do ambiente