P. 1
TI_Capitulo_01 - Seguranca Da Informacao Prof

TI_Capitulo_01 - Seguranca Da Informacao Prof

|Views: 110|Likes:
Published by api-3696913

More info:

Published by: api-3696913 on Oct 18, 2008
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

05/09/2014

pdf

text

original

Tecnologia da Informação Capítulo 1

Informação
É todo o conhecimento que possa ser criado, usado, armazenado, transportado, descartado, independente do meio em que se encontre. A informação é um dos patrimônios mais importantes das organizações, vital para a continuidade dos negócios.

Ex: Senhas, Contratos, Planejamentos, Propostas, Fórmulas etc

Valor dados dados dados

Informação

$

Ativos
Todo e qualquer recurso que manipule direta ou indiretamente a informação; É tudo para o qual a organização determina um valor e conseqüentemente exige proteção; A proteção destes ativos é o objeto básico da segurança da informação; Para a segurança da informação, o ativo é a própia informação.

dados dados dados Informação

ATIVO

Exemplos de Ativos

Prof. Fernando Ramos

1

Tecnologia da Informação Capítulo 1

Exemplos de Ativos
Aplicações – Sistemas Internos ou Pacotes de Mercado etc; Ambientes – Infra-estrutura predial, CPD, Escritórios, Salas, Divisões
Funcionais, áreas de importância relevante etc;

Processos – Planejamento Estratégico, Fluxo Financeiro etc; Equipamentos – Hardware, Mídias, Impressoras, Servidores,
Equipamentos de Comunicação, ou quaisquer tipos de equipamentos que Armazenam ou Manipulem as informações vitais para o Negócio;

Usuários – Alta/Gerên cia e Diretoria, Administradores de Rede
Operadores de Sistemas Críticos, Prestadores de Serviços, Técnicos e Usu ários de forma geral.

Ameaças

dados

dados

dados

Informação

ATIVO

Ameaças

Ativos Ameaça
Internet

Vírus

Anti-Vírus

Vulnerabilidade

(Desatualizado)

Prof. Fernando Ramos

2

Tecnologia da Informação Capítulo 1

Ameaça
Agentes causadores dos incidentes contra as informações e seus ativos. As ameaças exploram vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando impacto nos negócios. Naturais e Físicas: Expõe as instalações físicas como incêndios, enchentes, terremotos, tempestades eletromagnéticas, falhas de energia. Involuntárias: Ameaças inconscientes, quase sempre causadas pelo desconhecimento, acidentes, erros etc. Intencionais: Ameaças propositais como hackers, espiões, invasores, ladrões e vírus de computador

Os sistemas operacionais e servidores Windows estão presentes na maioria das residências e empresas no mundo inteiro, devido a isso se torna alvo de inúmeros tipos de ataques de vírus, hackers, crackers, worms, scan´s, etc. Segundo pesquisa realizada pelo “NIC BR Security Office (NBSO)” divulgado pela IDG Now! os incidentes de Segurança cresceram 71% no Brasil no primeiro semestre de 2004. Conforme poderemos ver no gráfico que segue a maioria dos Incidentes ocorridos no período de Abril a Junho 2004 foram de Worms e Scans.

Incidentes Reportados ao NBSO Abril a Junho de 2004

Prof. Fernando Ramos

3

Tecnologia da Informação Capítulo 1

Vulnerabilidades
São Fraquezas associadas as informações e seus ativos, e onde os mesmos estão suscetíveis aos ataques. As vulnerabilidades por si só não provocam incidentes, necessitando para tanto de um agente causador que são as ameaças. • Vulnerabilidades – Físicas – Naturais – Hardware – Software – Mídias – Comunicação – Humanas – outras

Vulnerabilidades
• Físicas - Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores; detetores de fumaça e outros recursos para combate a incêndio e m sala com armários e fichários estratégicos, risco de explosões, vazamento ou incêndio. • Naturais - Computadores são suscetíveis a desastres naturais e outros como falta de energia, acúmulo de poeira, aumento de umidade, temperatura etc. • Hardware - Falha nos recursos tecnológicos (desgaste, obsolescência, mal uso) ou erros durante a instalação. • Software - Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso. • Mídias - Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. • Comunicação - Acessos não autorizados ou perda de comunicação • Humanas - Falta de treinamento, compartilha mento de informações confidencia is, não execução de rotinas de segurança, erros ou omissões, ameaça de bomba, sabotagem, distúrbios civis, greves. Vandalismo, roubo, destruição de propriedade ou dados, invasões ou guerras.

Medidas de Segurança
• Práticas, procedimentos e mecanismos usados para a proteção da informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades, reduzir vulnerabilidades, limitar o impacto e reduzir o risco. Exemplos de medidas: – Preventivas - Políticas de Segurança da Informação, palestras de conscientização. – Detectivas - Câmeras de vigilância, alarmes – Corretivas - restauração de backups

Prof. Fernando Ramos

4

Tecnologia da Informação Capítulo 1

Segurança da Informação
• Processo que visa min imizar os riscos e garantir a continuidade dos negócios, através da prevenção, detecção e correção de incidentes contra as informações e seus ativos, A Segurança da Informação possu i três princíp ios básicos; – Confidencialidade - a informação só deve ser conhecida por usuários ou processos que estejam autorizados a fazê-lo. – Integridade - a informaç ão só deve ser modificada por usuários ou processos que estejam autorizados a fazê-lo, e a informação recuperada deve ser exatamente a mesma que foi armazenada pelo último usuário ou processo autorizado. – Disponibilidade - a informação e processos de negócio vitais devem estar disponíve is sempre que se necessitar deles.

Segurança da Informação
Informação Integra ?
Perda de Confiabilidade, Decisões Erradas

Disponível ?

Perda de Tempo, Oportunidades, Negócios.

Confidencial ? Processo de Negócio

Perda de Mercado, Negócios, Vazamentos Desgaste da Imagem

sim

não

Segurança da Informação
QUE informações precisam de segurança? POR QUE proteger as informações? QUANDO proteger as informações? ONDE proteger as informações? O QUE proteger nas informações? DO QUE proteger as informações?

Prof. Fernando Ramos

5

Tecnologia da Informação Capítulo 1

Segurança da Informação
QUE informações precisam de segurança?
• • • • • Identidade, CPF, Endereço residencial Telefone celular, Senhas, Informações bancárias Senhas de acesso da empresa, Número do Cartão de Crédito Planilha de Vendas, Propostas, Fórmulas, Rotina e horários de trabalho, Planejamentos Estratégicos

POR QUE proteger as informações?
• • • • • • Por seu valor Pelo impacto de sua ausência Pelo impacto resultante de seu uso por terceiros Pela importância de sua existência Pela relação de dependência com a sua atividade ...

Segurança da Informação
QUANDO proteger as informações?
Durante seu ciclo de vida • • • • Manuseio Armazenamento Transporte Descarte

ONDE proteger as informações?
Nos ativos que as custodiam: • Físicos • Tecnológicos • Humanos

Segurança da Informação
O QUE proteger nas informações?
• Confidencialidade • Integridade • Disponibilidade Que podem ser atingidos pela exploração de uma falha ou vulnerabilidade presente em um ativo.

DO QUE proteger as informações?
De ameaças: • Físicas • Tecnológicas • Humanas

Prof. Fernando Ramos

6

Tecnologia da Informação Capítulo 1

Ameaças

dados dados dados Informação

ATIVO Vulnerabilidades Medidas de Segurança

Manuseio

Armazen amento Transporte Descarte INFORMAÇÕES

FÍSICOS • agenda • sala • arquivo • cofre

HUMANOS • funcionário • parceiro • secretária • porteiro VULNERABILIDADES
TECNOLÓGICAS • sistema • e-mail • servidor • notebook TECNOLÓGICAS • vírus • bug software • defeito técnico • invasão web HUMA NAS • sabotagem • fraude • erro humano • descuido

ATIVOS AMEAÇAS

FÍS ICAS • incêndio • inundação • curto circu ito • apagão

AMEAÇAS exploram VULNERABILIDADES presentes nos ATIVOS que mantém informações, causando IMPACTOS no Negócio

Prof. Fernando Ramos

7

Tecnologia da Informação Capítulo 1

Ativos: Proposta em papel e disquete Vulnerabilidade: Em cima da mesa após o expediente Ameaça: Acesso
Indevido

Impacto:
Financeiro Imagem

Ameaças Agentes Controles
Informação

Falha Impacto
• Processos • Operacionais • Mercado • Financeiro • Administrativo • Imagem • RH • Legal

ATIVO Vulnerabilidades

Considerações:
• Para o Impacto do Negócios resultante de uma falha de Segurança consideram-se as potenciais conseqüências da perda de Confidencialidade, Integridade ou Disponibilidade da Informação ou de outros ativos relacionados; • A probabilidade de tal falha ocorrer, é decorrente das ameaças que exploram as vulnerabilidades que não são minimizadas pelos controles atualmente implementados nos ativos; • Os Controles devem ser selecionados e implementados Para garantir que p risco de um evento seja reduzido a um nível Aceitável; • Os Controles devem proteger o CICLO DA INFORMAÇÃO

Prof. Fernando Ramos

8

Tecnologia da Informação Capítulo 1

Controles
Informação

Ameaça 1 Ameaça 2

ATIVO Vulnerabilidades
Ameaça 3

Ameaça 1 – Probabilidade Alta – Impacto Alto • Ameaça 2 - Probabilidade Média – Impacto Baixo • Ameaça 3 - Probabilidade Baixa – Impacto Alto

Como Determinar o Possível Impacto ?
• O Impacto no Ativo Relevância do Ativo para a empresa; • Cada Processo de Negócio possui uma Relevância para a empresa; • Cada ativo possui uma Relevância para cada Processo; Processos: Vendas – Entrega – Desenvolvimento - Planejamento

Telemarketing

Secretária

Projetos

Logística

• COMO proteger as informações?
• Aplicando controles que eliminem e administrem as vulnerabilidades, reduzindo assim os riscos •Definindo níveis de segurança compatíveis • Avaliando o valor da informação e o custo da proteção

DESENCORAJAR

DIAGNOSTICAR

DISCRIMINAR

DIFICULTAR

DETECTAR

Prof. Fernando Ramos

DETER

9

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->