segurança da informação - conceitos
DESCRIPTION
Uma visão geral sobre segurança da informação.TRANSCRIPT
![Page 1: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/1.jpg)
Professor André Campos
Segurança da
Informação
Por André Campos
![Page 2: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/2.jpg)
Professor André Campos
Segurança da
Informação
Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação
relacionadas com Tecnologia da Informação.
O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas,
desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos.
Este material não pode ser vendido. Seu uso é permitido sem qualquer custo.
Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram
utilizadas em seu estado original, com 72DPI.
Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando
Riscos".
Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção
de lucro.
Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas
de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books,
2007.
![Page 3: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/3.jpg)
Conceitos básicos de SI
• Ativo de informação
• Ameaça
• Vulnerabilidade
• Incidente
• Probabilidade
• Impacto
• Risco
• Incidente
![Page 4: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/4.jpg)
Conceitos básicos de SI
Ativo de informação
DADOS INFORMAÇÃO CONHECIMENTO
A informação é elemento essencial para todos os
processos de negócio da organização, sendo,
portanto, um bem ou ativo de grande valor.
![Page 5: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/5.jpg)
Conceitos básicos de SI
Propriedades de segurança da informação
INTEG
RID
AD
E
DISPONIBILIDADE
CO
NFI
DEN
CIA
LID
AD
E
![Page 6: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/6.jpg)
Professor André Campos
Conceitos básicos de SI
Confidencialidade
O princípio da
confidencialidade é
respeitado quando
apenas as pessoas
explicitamente
autorizadas podem ter
acesso à informação.
![Page 7: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/7.jpg)
Conceitos básicos de SI
Integridade
O princípio da
integridade é
respeitado quando a
informação acessada
está completa, sem
alterações e, portanto,
confiável.
![Page 8: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/8.jpg)
Conceitos básicos de SI
Disponibilidade
O princípio da
disponibilidade é
respeitado quando a
informação está
acessível, por pessoas
autorizadas, sempre
que necessário.
![Page 9: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/9.jpg)
Conceitos básicos de SI
Vulnerabilidade
São as fraquezas
presentes nos ativos de
informação, que podem
causar, intencionalmente
ou não, a quebra de um
ou mais dos três
princípios de segurança
da informação:
confidencialidade,
integridade, e
disponibilidade.
![Page 10: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/10.jpg)
Conceitos básicos de SI
Ameaça
A ameaça é um agente
externo ao ativo de
informação, que
aproveitando-se das
vulnerabilidades deste
ativo, poderá quebrar a
confidencialidade,
integridade ou
disponibilidade da
informação suportada ou
utilizada por este ativo.
![Page 11: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/11.jpg)
Conceitos básicos de SI
Probabilidade
A probabilidade é a
chance de uma falha de
segurança ocorrer
levando-se em conta o
grau das
vulnerabilidades
presentes nos ativos que
sustentam o negócio e o
grau das ameaças que
possam explorar estas
vulnerabilidades.
![Page 12: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/12.jpg)
Conceitos básicos de SI
Impacto
O impacto de um
incidente são as
potenciais
conseqüências que este
incidente possa causar
ao negócio da
organização.
![Page 13: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/13.jpg)
Conceitos básicos de SI
Risco
O risco é a relação entre a probabilidade e o
impacto. É a base para a identificação dos
pontos que demandam por investimentos em
segurança da informação.
RISCO=IMPACTO*PROBABILIDADE
![Page 14: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/14.jpg)
Conceitos básicos de SI
Incidente de Segurança da Informação
Incidente de segurança
Negócio da organização
Informação
Ativos de informação
VulnerabilidadesAmeaças
Confidencialidade
Integridade
Disponibilidade
Grau
vulnerabilidadeGrau ameaça
PROBABILIDADE IMPACTO
![Page 15: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/15.jpg)
Como implementar um sistema de segurança
Conhecer os conceitos
sobre segurança da
informação não significa
necessariamente saber
garantir esta segurança.
Muitos têm experimentado
esta sensação quando
elaboram seus planos de
segurança e acabam não
atingindo os resultados
desejados.
![Page 16: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/16.jpg)
Como implementar um sistema de segurança
Um gerente de segurança da
informação de verdade trabalha com
fatos, com resultados de análise e
exames da organização em questão.
A partir destes resultados ele
estabelece um conjunto de ações
coordenadas no sentido de garantir a
segurança da informação; um
conjunto de ações, um conjunto de
mecanismos integrados entre si, de
fato, um sistema de segurança da
informação.
![Page 17: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/17.jpg)
Como implementar um sistema de segurança
![Page 18: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/18.jpg)
Como implementar um sistema de segurança
Definição
do escopo
Análise
do risco
Planejamento de
tratamento do risco
![Page 19: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/19.jpg)
Como implementar um sistema de segurança
ORGANIZAÇÃO
Vendas
Recursos Humanos
Produção
Tecnologia da
Informação
Escopo inicial.
Escopo ampliado.
Escopo final.
Escopo
![Page 20: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/20.jpg)
Como implementar um sistema de segurança
Análise de risco
Manter
serviços de
rede
Firewall
Tecnologia da
informação
Servidor de
arquivos
Servidor de
correio
Invasor
interno
Variação
de
energia
Vírus
Invasor
externo
Bloqueio
portas TCP
Nobreak
Sistema
antivírus
Controle
de acesso
físico
Médio
Alto
Médio
![Page 21: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/21.jpg)
Como implementar um sistema de segurança
Análise de risco
![Page 22: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/22.jpg)
Como implementar um sistema de segurança
Análise de risco
Tecnologias
Processos
Pessoas
Ambientes
![Page 23: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/23.jpg)
Como implementar um sistema de segurança
O que fazer com o risco?
• Evitar
• Controlar
• Transferir
• Aceitar
![Page 24: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/24.jpg)
Como implementar um sistema de segurança
Declaração de aplicabilidade
![Page 25: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/25.jpg)
Como implementar um sistema de segurança
Implementando o sistema
Planejar a implementação
ImplementarEncerrar a
implementação
Controlar a implementação
![Page 26: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/26.jpg)
Monitorando o sistema de segurança
Monitorar controles
Reavaliar sistema
Reavaliarriscos
Realizar auditorias
Realizar registros
![Page 27: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/27.jpg)
Controles de segurança da informação
PolíticaD
IRE
TR
IZE
SN
OR
MA
SP
RO
CE
DIM
EN
TO
S
D1
N2 N3N1
P4 P5P3P2P1 P6 P7
![Page 28: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/28.jpg)
Controles de segurança da informação
Política
Estabelecer o método de
trabalho
Avaliar as questões de
negócio, legais e contratuais
Definir contexto estratégicoe de risco
Construir apolítica
Aprovar a política
Divulgar a política
Legislação
Regulamento interno
Contratos
Definições gerais
Objetivos e metas
Diretrizes
Responsabilidades
Definições de registro de incidente
Frequência de revisão
Critérios de risco
Risco aceitável
Decreto 3.505 de 13 de
junho de 2000.
![Page 29: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/29.jpg)
Controles de segurança da informação
Política Ser simples
Definir
responsabilidades
Definir
metas
Definir
penalidades
Ser
consistenteSer
objetiva
ACESSÍVEL
CONHECIDA
APROVADA
DINÂMICA
EXEQUÍVEL
FA
TOR
ES IN
TER
NO
SFA
TOR
ES E
XTE
RN
OS
![Page 30: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/30.jpg)
Controles de segurança da informação
Estrutura organizacional
ESCRITÓRIO DE
SEGURANÇA DA
INFORMACÃO
COMITÊ
COORDENADOR
Security Officer
IMPLEMENTAÇÃOAUDITORIA
INTERNA
![Page 31: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/31.jpg)
Controles de segurança da informação
Estrutura organizacional
Diretor de Recursos Humanos
Diretor de Tecnologia da Informação
Diretor de Vendas
Diretor de Produção
Diretor de Logística
Representação executiva
OR
GA
NIZ
AÇ
ÀO
FÓRUM DE
SEGURANÇA DA
INFORMAÇÃO
![Page 32: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/32.jpg)
Controles de segurança da informação
Classificação
Classificar envolve
inventariar, definir o grau
de relevância, e
identificar estes ativos
de informação.
Decreto 4.553 de 12 de
dezembro de 2003.
![Page 33: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/33.jpg)
Controles de segurança da informação
Pessoas
As pessoas são o elemento
central de um sistema de
segurança da informação.
Os incidentes de segurança
da informação sempre
envolve pessoas, quer no
lado das vulnerabilidades
exploradas, quer no lado
das ameaças que exploram
estas vulnerabilidades.
![Page 34: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/34.jpg)
Controles de segurança da informação
Segurança física
Sala dos computadores
servidores
Suporte operacional
Atendimento
ao clienteRecepção
1 2
3
4Porta, e
equipamento
para
digitação de
senha e
leitura de
impressão
digital
Porta, e
equipamento
para
digitação de
senha
Porta
Porta e
recepcionista
![Page 35: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/35.jpg)
Controles de segurança da informação
Gestão de operações de TI
Garantir a boa gestão
das operações básicas
de TI (tecnologia da
informação) é essencial
para a manutenção da
segurança das
informações que
suportam os processos
do negócio.
![Page 36: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/36.jpg)
Controles de segurança da informação
Acesso lógico
É preciso elaborar uma
política de controle de
acesso, que apontará
para os requisitos de
negócio e para as regras
de controle de acesso
![Page 37: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/37.jpg)
Controles de segurança da informação
Aquisição, desenvolvimento e manutenção de sistemas
O objetivo da equipe de
sistemas deve ser
garantir a
confidencialidade,
integridade e
disponibilidade das
informações recebidas,
processadas e
disponibilizadas através
dos sistemas de
informação.
![Page 38: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/38.jpg)
Controles de segurança da informação
Gestão dos incidentes
Apesar de todos os
controles
implementados,
eventualmente ocorrerão
incidentes de segurança
da informação. Estes
incidentes podem ser
uma indicação de que
alguns dos controles não
estão sendo eficazes, e
este é um bom motivo
para reavaliar o referido
controle.
![Page 39: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/39.jpg)
Controles de segurança da informação
Continuidade do negócio organizacional
Como o sistema pode
garantir a continuidade
do negócio, de como os
controles
implementados podem
impedir a interrupção
dos processos de
negócio mesmo nos
casos de incidente de
segurança da
informação.
![Page 40: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/40.jpg)
Controles de segurança da informação
Conformidade legal
Todo o sistema de segurança
da informação, com todos os
seus controles, esteja em
plena harmonia e
conformidade com as leis
internacionais, nacionais,
estaduais, municipais, e com
as eventuais regulamentações
internas da organização, bem
como com as orientações de
normatização e
regulamentação do mercado.
![Page 41: Segurança da Informação - Conceitos](https://reader033.vdocuments.mx/reader033/viewer/2022052901/5571f7d149795991698c0fe6/html5/thumbnails/41.jpg)
Professor André Campos
Segurança da
Informação
Por André Campos