SlideShare uma empresa Scribd logo
1 de 7
Baixar para ler offline
Capítulo 4 - Riscos, medidas e ciclo de segurança

4.1 Introdução



                                    quot;Se vocês me perguntassem, em dezembro de 2002, teria afirmado que
                                    em janeiro de 2003 teríamos um mês tranqüilo em relação às pragas
                                    virtuaisquot;, disse em entrevista o especialista sênior da MessageLabs, Alex
                                    Shipp. Apesar de o mercado ter previsto um início de 2003 mais calmo, o
                                    novo ano começou trabalhoso para as equipes especializadas na defesa de
                                    sistemas. Somente nos primeiros dias de janeiro foram detectadas quatro
                                    novas ameaças: uma variante do Yaha e os worms Sobig e Lirva. E não
                                    podemos esquecer do worm Slammer, detectado em 25/01, que causou
                                    lentidão no tráfego da web.

                                    Alguns especialistas internacionais do mercado de antivírus apontam
                                    também como tendência neste ano, o crescimento de outro tipo de
                                    ameaça virtual: os quot;Remote Access Trojans (RATs)quot;, programas que
                                    permitem uma conexão no sistema da vítima através de uma backdoor. Os
                                    RATs podem incluir em sua carga programas quot;keystroke-loggingquot; para
                                    capturar senhas e outras informações confidenciais do sistema da vítima.

                                    Uma das dificuldades apontadas para se combater essa espécie de praga
                                    está no fato dela não ficar circulando pela internet, dificultando sua
                                    captura para análise e criação de vacinas pelos laboratórios especializados
                                    na área. quot;As empresas de antivírus só conseguem criar uma vacina
                                    específica contra um Trojan Horse caso tenham acesso ao programa
                                    maliciosoquot;, disse Alex Shipp, em entrevista para Searchsecurity.com.

                                    *Fonte:
                                    http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=1766&pagenumber=0&idiom=0




Notícias como essa são comuns no mundo de hoje. Todos os dias ficamos sabendo de possíveis riscos em diferentes
dispositivos ou sistemas de gestão de informação. Para poder evitar esses riscos, é necessário conhecê-los bem, além
de conhecer as medidas de segurança necessárias para minimizá-los.




4.2 Objetivos
Conhecer o conceito de risco e sua implicação na segurança das
             informações da empresa;

              Saber as conseqüências de se aplicar ou não medidas de segurança
             nos diferentes aspectos de nossa empresa;

              Compreender o que se conhece como ciclo de segurança, o que nos
             permitirá conduzir nossas ações.




4.3 Riscos



             O risco é a probabilidade de que as ameaças explorem os
             vulnerabilidades, combinada com as perdas ou danos aos ativos e
             impactos no negócio. Em outras palavras, a probabilidade de que
             ocorram incidentes que afetem a confidencialidade, a integridade e a
             disponibilidade das informações.
Concluímos que a segurança é uma prática orientada para a eliminação das vulnerabilidades a fim de evitar
ou reduzir a possibilidade de que as ameaças potenciais se concretizem no ambiente que se deseja proteger.
O principal objetivo é garantir o êxito da comunicação segura, com informações disponíveis, íntegras e
confidenciais, através de medidas de segurança que possam tornar o negócio de um indivíduo ou empresa factível
com o menor risco possível.




4.4 Medidas de segurança

As ameaças sempre existiram e é de se esperar que, à medida que a tecnologia progrida, também surjam novas
formas através das quais elas possam se concretizar; portanto, é importante conhecer a estrutura geral de como se
classificam as vulnerabilidades que podem fazer com que essas ameaças causem impactos em nossos sistemas,
comprometendo os princípios da segurança da informação.



                                    As medidas de segurança são ações orientadas para a eliminação ou
                                    diminuição de vulnerabilidades, com o objetivo de evitar que uma
                                    ameaça se torne realidade. Além disso, estas medidas podem também
                                    reduzir o impacto de algumas ameaças caso elas venham a se
                                    concretizar. Essas medidas são o primeiro passo para o aumento da
                                    segurança da informação em um ambiente de tecnologia da informação e
                                    devem considerar a totalidade do processo.
Como existe uma variedade de tipos de vulnerabilidades que afetam a disponibilidade, a confidencialidade e a
integridade das informações, é importante haver medidas de segurança específicas para lidar com cada caso.

Antes da definição das medidas de segurança que serão adotadas, deve-se conhecer o ambiente nos mínimos
detalhes, buscando as vulnerabilidades existentes.

A partir desse conhecimento, tomam-se medidas ou realizam-se ações de segurança que podem ser do tipo:


       Preventivo: buscando evitar o surgimento de novos pontos fracos e ameaças;
   •

       Corretivo: orientado para a eliminação de problemas de segurança uma vez que os mesmos são
   •
       identificados;

       Reativo: visam responder de forma eficiente caso um problema de segurança ocorra.
   •


   Medidas globais de segurança
As medidas de segurança são um conjunto de
                                                               práticas que, quando integradas, constituem
                                                               uma solução global e eficaz da segurança da
                                                               informação. Entre as principais medidas,
                                                               destacamos:

                                                                Análise de riscos;

                                                                Política de segurança;

                                                                Especificação de segurança;

                                                                Administração de segurança.



A segurança da informação deve ser garantida de forma integral e completa, por isso é muito útil conhecer com um
pouco mais de detalhes estas quatro medidas de segurança que permitem nos mover desde a análise de risco até a
administração da segurança:

Análise de riscos

É uma medida que busca avaliar qual a real probabilidade de que ameaças se concretizem utilizando as
vulnerabilidades existentes, além de identificar os possíveis impactos que possam ser causados. A análise de
riscos tem como resultado uma lista de problemas que devem ser priorizados.

Política de segurança

É uma medida que busca estabelecer os padrões de segurança que devem ser seguidos por todos os
envolvidos no uso e na manutenção dos ativos. É uma forma de administrar um conjunto de normas para guiar
as pessoas na realização de seu trabalho. É o primeiro passo para aumentar a consciência da segurança das
pessoas, pois está orientada para a formação de hábitos, por meio de manuais de instrução e procedimentos
operacionais.

Especificações de segurança

São medidas que objetivam instruir a correta implementação de um novo ambiente tecnológico definindo a
forma como os mesmos devem estar dispostos para atender aos princípios da segurança da informação.

Administração da segurança

São medidas integradas para produzir a gestão dos riscos de um ambiente. A administração da segurança envolve a
implementação e a manutenção de todas as medidas mencionadas anteriormente, preventivas, corretivas
e reativas, com base em um ciclo da segurança que apresentaremos a seguir.




4.5 Ciclo de segurança
O ciclo de segurança se inicia com a identificação das ameaças que as empresas enfrentam. A identificação das
ameaças permitirá a visualização das vulnerabilidades que podem ser exploradas, expondo os ativos a riscos de
segurança.

Essa exposição leva a uma perda de um ou mais princípios básicos da segurança da informação, causando impactos
no negócio da empresa, aumentando ainda mais os riscos a que estão expostas as informações.

Para que o impacto dessas ameaças ao negócio seja reduzido é necessário tomar medidas de segurança para eliminar
vulnerabilidades e reduzir impactos.

Assim, concluímos a definição de segurança da informação com a ilustração do ciclo:
Como podemos ver no diagrama anterior: os riscos na segurança da empresa aumentam à medida que as ameaças
conseguem explorar as vulnerabilidades e, portanto, provocar danos nos ativos. Esses danos podem fazer com que a
confidencialidade, a integridade ou a disponibilidade da informação sejam comprometidas, causando impactos no
negócio da empresa.

As medidas de segurança permitem diminuir os riscos e, desta forma, fazer com que o ciclo seja de muito menor
impacto para os ativos e, portanto, para a empresa.

Portanto, a segurança é uma atividade cujo propósito é:


        proteger os ativos contra acessos não-autorizados;
    •

        evitar alterações indevidas que possam pôr em risco sua integridade;
    •

        garantir sua disponibilidade no momento que os usuários precisam.
    •

E é instrumentada por meio de políticas e procedimentos de segurança que permitem a identificação e o controle
de ameaças e vulnerabilidades, levando em consideração a preservação da confidencialidade, integridade e
disponibilidade das informações.




4.6 Lições aprendidas



                                     Identificamos como devemos visualizar os diferentes riscos aos quais
                                    nossa empresa está exposta, o que nos permitirá reduzi-los e aumentar
                                    a segurança dos ativos.;

                                     Compreendemos os diferentes tipos de medidas de segurança que
                                    podemos tomar na empresa, sejam preventivas, corretivas ou reativas;

                                     Conhecemos o ciclo de segurança, no qual se recorre às diferentes
                                    medidas para diminuir os riscos do ambiente

Mais conteúdo relacionado

Mais procurados

Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoDaniel de Sousa Luz
 
Aula 18 segurança da informação
Aula 18   segurança da informaçãoAula 18   segurança da informação
Aula 18 segurança da informaçãoLuiz Siles
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na webRafael Marinho
 

Mais procurados (19)

Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
 
Aula 18 segurança da informação
Aula 18   segurança da informaçãoAula 18   segurança da informação
Aula 18 segurança da informação
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Palestra Sobre Segurança de Informações
Palestra Sobre Segurança de InformaçõesPalestra Sobre Segurança de Informações
Palestra Sobre Segurança de Informações
 
Segurança da informação na web
Segurança da informação na webSegurança da informação na web
Segurança da informação na web
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 

Destaque

Playa Small
Playa SmallPlaya Small
Playa Smallanto_08
 
The Food Industry Hypermarkets
The Food Industry HypermarketsThe Food Industry Hypermarkets
The Food Industry Hypermarketsclemaitre
 
peru marino
peru marinoperu marino
peru marinoyuyumimi
 
A New Open Source Approach to Rapid Authoring of E-Learning
A New Open Source Approach to Rapid Authoring of E-LearningA New Open Source Approach to Rapid Authoring of E-Learning
A New Open Source Approach to Rapid Authoring of E-LearningTonia A. Dousay
 

Destaque (7)

Playa Small
Playa SmallPlaya Small
Playa Small
 
The Food Industry Hypermarkets
The Food Industry HypermarketsThe Food Industry Hypermarkets
The Food Industry Hypermarkets
 
Playa
PlayaPlaya
Playa
 
peru marino
peru marinoperu marino
peru marino
 
José Luis Gordillo
José Luis GordilloJosé Luis Gordillo
José Luis Gordillo
 
Olympic Games
Olympic GamesOlympic Games
Olympic Games
 
A New Open Source Approach to Rapid Authoring of E-Learning
A New Open Source Approach to Rapid Authoring of E-LearningA New Open Source Approach to Rapid Authoring of E-Learning
A New Open Source Approach to Rapid Authoring of E-Learning
 

Semelhante a Modulo 01 CapíTulo 04

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 
Segurança da informação - Aula 02
Segurança da informação - Aula 02Segurança da informação - Aula 02
Segurança da informação - Aula 02profandreson
 
Livro cap01
Livro cap01Livro cap01
Livro cap01higson
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoArtur Nascimento
 
Seguranca da informacao
Seguranca da informacaoSeguranca da informacao
Seguranca da informacaoTati Moura
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Cisco do Brasil
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 

Semelhante a Modulo 01 CapíTulo 04 (20)

Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Cap5e6
Cap5e6Cap5e6
Cap5e6
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Jose
JoseJose
Jose
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Palestra
PalestraPalestra
Palestra
 
Segurança da informação - Aula 02
Segurança da informação - Aula 02Segurança da informação - Aula 02
Segurança da informação - Aula 02
 
Livro cap01
Livro cap01Livro cap01
Livro cap01
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação  &  aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio  Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Seguranca da informacao
Seguranca da informacaoSeguranca da informacao
Seguranca da informacao
 
Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015Relatório de Segurança Anual de 2015
Relatório de Segurança Anual de 2015
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Abin aula 01-1
Abin   aula 01-1Abin   aula 01-1
Abin aula 01-1
 
segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
 

Mais de Robson Silva Espig (20)

Master Place - Convenção Bloco D
Master Place - Convenção Bloco DMaster Place - Convenção Bloco D
Master Place - Convenção Bloco D
 
Aquarelas Envelhecidas
Aquarelas EnvelhecidasAquarelas Envelhecidas
Aquarelas Envelhecidas
 
[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK[ reference ] Processos - PMBOK
[ reference ] Processos - PMBOK
 
[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade[ ref ] Convergência - Mobilidade
[ ref ] Convergência - Mobilidade
 
[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server[ ref ] Normalizing a Data Model in SQL Server
[ ref ] Normalizing a Data Model in SQL Server
 
A Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de SoftwareA Evolucao dos Processos de Desenvolvimento de Software
A Evolucao dos Processos de Desenvolvimento de Software
 
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custosComo implementar uma plataforma de ILM com eficiência, reduzindo custos
Como implementar uma plataforma de ILM com eficiência, reduzindo custos
 
Gestao Projetos - Aula 02
Gestao Projetos - Aula 02Gestao Projetos - Aula 02
Gestao Projetos - Aula 02
 
Gestao Projetos - Aula 01
Gestao Projetos - Aula 01Gestao Projetos - Aula 01
Gestao Projetos - Aula 01
 
Aula 01
Aula 01Aula 01
Aula 01
 
Aula 05
Aula 05Aula 05
Aula 05
 
Aula 04
Aula 04Aula 04
Aula 04
 
Aula 02
Aula 02Aula 02
Aula 02
 
Caso de Desenvolvimento
Caso de DesenvolvimentoCaso de Desenvolvimento
Caso de Desenvolvimento
 
SOA
SOASOA
SOA
 
Aula 03
Aula 03Aula 03
Aula 03
 
Artigo Caso de Uso
Artigo Caso de UsoArtigo Caso de Uso
Artigo Caso de Uso
 
RAD
RADRAD
RAD
 
Analise de Requisitos de Software
Analise de Requisitos de SoftwareAnalise de Requisitos de Software
Analise de Requisitos de Software
 
Desenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e IncrementalDesenvolvimento Iterativo e Incremental
Desenvolvimento Iterativo e Incremental
 

Último

COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASMarcio Venturelli
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)Alessandro Almeida
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiPaulo Pagliusi, PhD, CISM
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfRodolpho Concurde
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPaulo Pagliusi, PhD, CISM
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx2m Assessoria
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAMarcio Venturelli
 
Apostila e caderno de exercicios de WORD
Apostila e caderno de exercicios de  WORDApostila e caderno de exercicios de  WORD
Apostila e caderno de exercicios de WORDRONDINELLYRAMOS1
 
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docxATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx2m Assessoria
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Dirceu Resende
 
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docxATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx2m Assessoria
 

Último (11)

COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo Pagliusi
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
Apostila e caderno de exercicios de WORD
Apostila e caderno de exercicios de  WORDApostila e caderno de exercicios de  WORD
Apostila e caderno de exercicios de WORD
 
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docxATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docxATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
 

Modulo 01 CapíTulo 04

  • 1. Capítulo 4 - Riscos, medidas e ciclo de segurança 4.1 Introdução quot;Se vocês me perguntassem, em dezembro de 2002, teria afirmado que em janeiro de 2003 teríamos um mês tranqüilo em relação às pragas virtuaisquot;, disse em entrevista o especialista sênior da MessageLabs, Alex Shipp. Apesar de o mercado ter previsto um início de 2003 mais calmo, o novo ano começou trabalhoso para as equipes especializadas na defesa de sistemas. Somente nos primeiros dias de janeiro foram detectadas quatro novas ameaças: uma variante do Yaha e os worms Sobig e Lirva. E não podemos esquecer do worm Slammer, detectado em 25/01, que causou lentidão no tráfego da web. Alguns especialistas internacionais do mercado de antivírus apontam também como tendência neste ano, o crescimento de outro tipo de ameaça virtual: os quot;Remote Access Trojans (RATs)quot;, programas que permitem uma conexão no sistema da vítima através de uma backdoor. Os RATs podem incluir em sua carga programas quot;keystroke-loggingquot; para capturar senhas e outras informações confidenciais do sistema da vítima. Uma das dificuldades apontadas para se combater essa espécie de praga está no fato dela não ficar circulando pela internet, dificultando sua captura para análise e criação de vacinas pelos laboratórios especializados na área. quot;As empresas de antivírus só conseguem criar uma vacina específica contra um Trojan Horse caso tenham acesso ao programa maliciosoquot;, disse Alex Shipp, em entrevista para Searchsecurity.com. *Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=1766&pagenumber=0&idiom=0 Notícias como essa são comuns no mundo de hoje. Todos os dias ficamos sabendo de possíveis riscos em diferentes dispositivos ou sistemas de gestão de informação. Para poder evitar esses riscos, é necessário conhecê-los bem, além de conhecer as medidas de segurança necessárias para minimizá-los. 4.2 Objetivos
  • 2. Conhecer o conceito de risco e sua implicação na segurança das informações da empresa; Saber as conseqüências de se aplicar ou não medidas de segurança nos diferentes aspectos de nossa empresa; Compreender o que se conhece como ciclo de segurança, o que nos permitirá conduzir nossas ações. 4.3 Riscos O risco é a probabilidade de que as ameaças explorem os vulnerabilidades, combinada com as perdas ou danos aos ativos e impactos no negócio. Em outras palavras, a probabilidade de que ocorram incidentes que afetem a confidencialidade, a integridade e a disponibilidade das informações.
  • 3. Concluímos que a segurança é uma prática orientada para a eliminação das vulnerabilidades a fim de evitar ou reduzir a possibilidade de que as ameaças potenciais se concretizem no ambiente que se deseja proteger. O principal objetivo é garantir o êxito da comunicação segura, com informações disponíveis, íntegras e confidenciais, através de medidas de segurança que possam tornar o negócio de um indivíduo ou empresa factível com o menor risco possível. 4.4 Medidas de segurança As ameaças sempre existiram e é de se esperar que, à medida que a tecnologia progrida, também surjam novas formas através das quais elas possam se concretizar; portanto, é importante conhecer a estrutura geral de como se classificam as vulnerabilidades que podem fazer com que essas ameaças causem impactos em nossos sistemas, comprometendo os princípios da segurança da informação. As medidas de segurança são ações orientadas para a eliminação ou diminuição de vulnerabilidades, com o objetivo de evitar que uma ameaça se torne realidade. Além disso, estas medidas podem também reduzir o impacto de algumas ameaças caso elas venham a se concretizar. Essas medidas são o primeiro passo para o aumento da segurança da informação em um ambiente de tecnologia da informação e devem considerar a totalidade do processo.
  • 4. Como existe uma variedade de tipos de vulnerabilidades que afetam a disponibilidade, a confidencialidade e a integridade das informações, é importante haver medidas de segurança específicas para lidar com cada caso. Antes da definição das medidas de segurança que serão adotadas, deve-se conhecer o ambiente nos mínimos detalhes, buscando as vulnerabilidades existentes. A partir desse conhecimento, tomam-se medidas ou realizam-se ações de segurança que podem ser do tipo: Preventivo: buscando evitar o surgimento de novos pontos fracos e ameaças; • Corretivo: orientado para a eliminação de problemas de segurança uma vez que os mesmos são • identificados; Reativo: visam responder de forma eficiente caso um problema de segurança ocorra. • Medidas globais de segurança
  • 5. As medidas de segurança são um conjunto de práticas que, quando integradas, constituem uma solução global e eficaz da segurança da informação. Entre as principais medidas, destacamos: Análise de riscos; Política de segurança; Especificação de segurança; Administração de segurança. A segurança da informação deve ser garantida de forma integral e completa, por isso é muito útil conhecer com um pouco mais de detalhes estas quatro medidas de segurança que permitem nos mover desde a análise de risco até a administração da segurança: Análise de riscos É uma medida que busca avaliar qual a real probabilidade de que ameaças se concretizem utilizando as vulnerabilidades existentes, além de identificar os possíveis impactos que possam ser causados. A análise de riscos tem como resultado uma lista de problemas que devem ser priorizados. Política de segurança É uma medida que busca estabelecer os padrões de segurança que devem ser seguidos por todos os envolvidos no uso e na manutenção dos ativos. É uma forma de administrar um conjunto de normas para guiar as pessoas na realização de seu trabalho. É o primeiro passo para aumentar a consciência da segurança das pessoas, pois está orientada para a formação de hábitos, por meio de manuais de instrução e procedimentos operacionais. Especificações de segurança São medidas que objetivam instruir a correta implementação de um novo ambiente tecnológico definindo a forma como os mesmos devem estar dispostos para atender aos princípios da segurança da informação. Administração da segurança São medidas integradas para produzir a gestão dos riscos de um ambiente. A administração da segurança envolve a implementação e a manutenção de todas as medidas mencionadas anteriormente, preventivas, corretivas e reativas, com base em um ciclo da segurança que apresentaremos a seguir. 4.5 Ciclo de segurança
  • 6. O ciclo de segurança se inicia com a identificação das ameaças que as empresas enfrentam. A identificação das ameaças permitirá a visualização das vulnerabilidades que podem ser exploradas, expondo os ativos a riscos de segurança. Essa exposição leva a uma perda de um ou mais princípios básicos da segurança da informação, causando impactos no negócio da empresa, aumentando ainda mais os riscos a que estão expostas as informações. Para que o impacto dessas ameaças ao negócio seja reduzido é necessário tomar medidas de segurança para eliminar vulnerabilidades e reduzir impactos. Assim, concluímos a definição de segurança da informação com a ilustração do ciclo:
  • 7. Como podemos ver no diagrama anterior: os riscos na segurança da empresa aumentam à medida que as ameaças conseguem explorar as vulnerabilidades e, portanto, provocar danos nos ativos. Esses danos podem fazer com que a confidencialidade, a integridade ou a disponibilidade da informação sejam comprometidas, causando impactos no negócio da empresa. As medidas de segurança permitem diminuir os riscos e, desta forma, fazer com que o ciclo seja de muito menor impacto para os ativos e, portanto, para a empresa. Portanto, a segurança é uma atividade cujo propósito é: proteger os ativos contra acessos não-autorizados; • evitar alterações indevidas que possam pôr em risco sua integridade; • garantir sua disponibilidade no momento que os usuários precisam. • E é instrumentada por meio de políticas e procedimentos de segurança que permitem a identificação e o controle de ameaças e vulnerabilidades, levando em consideração a preservação da confidencialidade, integridade e disponibilidade das informações. 4.6 Lições aprendidas Identificamos como devemos visualizar os diferentes riscos aos quais nossa empresa está exposta, o que nos permitirá reduzi-los e aumentar a segurança dos ativos.; Compreendemos os diferentes tipos de medidas de segurança que podemos tomar na empresa, sejam preventivas, corretivas ou reativas; Conhecemos o ciclo de segurança, no qual se recorre às diferentes medidas para diminuir os riscos do ambiente