Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança Informação
Segurança Informação
Informao
Academia Latino-Americana de Segurana da Informao
Pgina 1
www.modulo.com.br
http://www.issabrasil.org
COORDENADOR TCNICO
Fernando Fonseca
REVISORES:
Anchises de Paula
Augusto Paes de Barros
Dimitri Abreu
Luciana Vartuli
Luciano Barreto
Academia Latino-Americana de Segurana da Informao Curso Bsico
Mdulo 1 Introduo Segurana da Informao - Microsoft TechNet
Pgina 2
VDEO
Indica que ser apresentado um filme para ilustrar as prticas ou conceitos.
CONCEITO-CHAVE
Indica um ponto importante para se assimilar melhor a matria.
VULNERABILIDADES
Indica uma vulnerabilidade atrubuda a um conceito sendo estudado
Pgina 3
NDICE
INTRODUO ............................................................................................................................... 6
Notcias pelo Mundo ....................................................................................................................................................................... 7
Objetivos......................................................................................................................................................................................... 8
Contedo da unidade: .................................................................................................................................................................... 9
Pgina 4
3.2 - Objetivos........................................................................................................... 43
3.3 - As Ameaas...................................................................................................... 44
3.4 - Vulnerabilidades ................................................................................................. 47
3.5 - Lies Aprendidas .............................................................................................. 54
RISCOS, MEDIDAS E CICLO DE SEGURANA .................................................................................. 55
4.1 Introduo ............................................................................................................. 55
Notcias pelo Mundo ..................................................................................................................................................................... 56
Pgina 5
INTRODUO
No mundo atual a posse e o uso do conhecimento passou a ser um fator estratgico
decisivo para muitas empresas e corporaes. Estamos vivendo a poca batizada como
"Era da Informao". Mas a informao voltil. frgil. Hoje, ela pode desaparecer na
velocidade de um pulso eltrico.
Muitas empresas tem seus ativos fsicos e suas informaes constantemente expostos a
diversas ameaas, que poderiam representar prejuzos de milhares ou milhes de dlares
se forem concretizadas. As vulnerabilidades e fragilidades em nossos sistemas de
informao podem causar problemas graves ao negcio, por isso muito importante
compreender os conceitos necessrios para combat-las e, assim, nos defendermos de
possveis ataques s informaes estratgicas.
Exemplos destas ameaas so os vrus e os worms (vermes) que se aproveitam de falhas
na segurana dos sistemas e circulam pela Internet em busca de mquinas vulnerveis
nas quais possa realizar seu ataque. Na maioria das vezes, estes ataques resultam em
perdar de dados e destruio de informaes valiosas.
Exemplos
claros
de
como
as
vulnerabilidades
presentes
em
nossos
sistemas computacionais podem ser aproveitadas por Crakers (pessoas que se dedicam a
criar pestes eletrnicas e invadir sistemas) so danos causados no mundo todo
pelos vermes Blaster, Ninda e Slammer.
Os fabricantes de software e a comunidade de software livre se esforam para para
corrigir estas vulnerabilidades atravs de atualizaes (patches), mas um fator mais
importante nos chama a ateno: Ser que as empresas conhecem os riscos aos quais
esto expostas e se preparam para reduz-los?
H poucos anos atrs, a resposta seria um sonoro no. Prova disso que estes worms
causaram um estrago enorme mesmo tendo atacado vulnerabilidades que j haviam sido
corrigidas meses antes. Faltou um processo de manuteno da segurana do ambiente
para que as correes fossem aplicadas e bilhes de dlares fossem perdidos. A boa
notcia que depois de tanto prejuzo as empresas comeam a valorizar estes processos.
O objetivo deste curso capacitar um nmero maior de profissionais nos conceitos e boas
prticas em segurana da Informao e, assim, fazer com que os processos necessrios
para a reduo dos riscos e proteo dos ativos sejam criados e que a cultura de
segurana se espalhe cada vez mais pelas empresas.
Pgina 6
A Boeing, uma das maiores montadoras de avies do mundo, teve um notebook roubado.
O equipamento continha nomes e nmeros da previdncia social de cerca de 382 mil
funcionrios e aposentados, que j comearam a ser notificados do ocorrido. Este o
terceiro porttil da companhia que desaparece em 13 meses. A informao do site
BetaNews.
O sumio de tais informaes pode fazer com que funcionrios tenham suas identidades
roubadas, alm de haver riscos de fraudes com cartes de crdito. Dados como
endereos residenciais, datas de nascimento e telefones de contato estavam presentes no
notebook. A Boeing declarou que dados de fornecedores ou clientes no estavam
armazenados no dispositivo, mas no divulgou em qual de seus escritrios ocorreu o furto.
Segundo a companhia, para o ladro visualizar os dados do notebook, ele teria de
conseguir a senha de acesso do laptop, coisa que um cracker de competncia mdia pode
conseguir sem muito trabalho. Na tentativa de evitar golpes com tais informaes, a
empresa oferecer um servio de monitorao de crdito por um perodo de trs anos
Fonte: Mdulo Security News ( www.modulo.com.br)
Pgina 7
OBJETIVOS
Pgina 8
CONTEDO DA UNIDADE:
Conceitos bsicos
Ativos
Ameaas e pontos fracos
Riscos, medidas e ciclo de segurana
Pgina 9
Captulo
1
INTRODUO SEGURANA DA INFORMAO
1.1 INTRODUO
Neste captulo, veremos alguns conceitos fundamentais para a compreenso da
segurana da informao e das metodologias para sua implantao nas organizaes.
Desde o surgimento da raa humana na Terra, a informao esteve presente atravs de
diferentes formas e tcnicas. O homem buscava representar seus hbitos, costumes e
intenes com diversos meios que pudessem ser utilizados por ele e por outras pessoas e
que pudessem ser levados de um lugar para outro. As informaes importantes eram
registradas em objetos preciosos e sofisticados e pinturas magnficas, entre outros, que
eram armazenados com muito cuidado em locais de difcil acesso. A eles s tinham
acesso aqueles que tivessem autorizao para interpret-la.
Atualmente, as informaes constituem o objeto de maior valor para as empresas. O
progresso da informtica e das redes de comunicao nos apresenta um novo cenrio, no
qual os objetos do mundo real esto representados por bits e bytes, que ocupam lugar em
diversos meios e possuem formas diferentes das originais, sem deixar de ter o mesmo
valor que os objetos reais e, em muitos casos, chegando a ter um valor maior.
Por esse e outros motivos a segurana da informao um assunto to importante para
todos, pois afeta diretamente todos os negcios de uma empresa ou de um indivduo.
Segurana um termo que transmite conforto e tranqilidade a quem desfruta de seu
estado. Entender e implementar este estado em um ambiente organizacional exigem
conhecimento e prticas especializadas que somente so possveis com o emprego e uso
de um cdigo de prticas de segurana, contidos em uma norma, como a ABNT NBR
ISO/IEC 17799:2005.
Pgina 10
Pgina 11
OBJETIVOS
Pgina 12
Pgina 13
Pgina 14
Pgina 15
Perguntas para
pensar
As informaes
Os equipamentos e sistemas que oferecem suporte a elas
As pessoas que as utilizam
Pgina 16
As
informaes
A segurana
das
informaes
Os
equipamentos
e sistemas que
oferecem
suporte a elas
As pessoas
que as utilizam
Pgina 17
Pgina 18
Perguntas
para
pensar
Pgina 19
Pgina 20
usado por algum para fazer compras na Internet, trazendo prejuzos financeiros e uma
grande dor de cabea para o proprietrio do carto.
O mesmo ocorre no caso de uso indevido de senhas de acesso a sistemas bancrios, por
exemplo. Milhares de dlares so roubados diariamente pela ao de criminosos virtuais
que se dedicam a invadir sistemas para quebrar a confidencialidade das pessoas e
empresas.
Perguntas
para pensar
Se a resposta para alguma dessas perguntas for negativa, ento chegou o momento de
pensar na segurana da informao para proteger a confidencialidade das informaes na
sua empresa.
PROTEGER A CONFIDENCIALIDADE DA INFORMAO
Pgina 21
Conceitochave
Confidencial
Restrito
Sigiloso
Pblico
Pgina 22
Pgina 23
Exemplo:
Durante uma reunio de altos executivos da empresa, os servios de banco de dados
falham, o que impede que se tome uma deciso central em termos de negcios.
Devido a um incndio em um dos escritrios, as informaes de vendas da empresa
foram destrudas e no se contava com um suporte para as mesmas
Perguntas
para pensar
Pgina 24
Desde a pr-histria, cerca de 2000 anos antes de Cristo (AC), o homem j sentia
necessidade de transmitir e perpetuar a informao. Usava pinturas nas pedras para
expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagem
escrita na Sumria. A partir da vrias civilizaes desenvolveram seus prprios mtodos
de registro e transmisso da informao, dentre eles podemos destacar:
A fotografia de 1826;
Pgina 25
Pgina 26
ISO/IEC 27002
ISO 20000 + ISO/IEC FDIS 17799:2005(E)
2000
BS 15000
ISO/IEC 17799:2000
BS7799-1:1999
1995
BS7799
1990
ITIL e CobiT
1985
CSC-STD-001-83
1980
DoD 5200.28-STD
1975
1970
1965
Conforme Chappman [3], o ano de 1967, foi o ano em que a segurana de computadores
passou a ter ateno oficial nos Estados Unidos. Nesta poca foi criada uma fora tarefa
cujo foco era a construo de mecanismos de segurana de computadores que deveriam
ser desenvolvidos para prover a proteo de informaes classificadas e do
compartilhamento de recursos do sistema; este esforo resultou em um documento
denominado Security Controls for Computer Systems: Report of Defense Science Boad
Task Force on Computer Security editado por W. H. Ware [4]. Este relatrio representou o
trabalho inicial de identificao e tratamento do problema clssico de segurana de
computadores.
Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um conjunto de regras
para avaliao da segurana nas solues disponibilizadas. Ficou conhecido como The
Orange Book. Em 1978, teve incio o processo de escrita do Orange Book, denominado
DoD 5200.28-STD, que foi concludo em 15 de agosto 1983, com o documento CSC-STD001-83 - Library No. S225,711 - DEPARTMENT OF DEFENSE TRUSTED COMPUTER
SYSTEM EVALUATION CRITERIA (TCSEC) [5]. Paralelamente foi publicado o documento
An Introduction to Computer Security: The NIST Handbook [6], proposto pelo National
Institute of Standards and Technology - U.S. Department of Commerce.
Para facilitar sua aplicao, as normas de segurana foram divididas em vrios controles.
Cada controle seria responsvel por atender a um dos quesitos da norma. O uso de
controles permite uma viso modular da questo da segurana e a aplicao
contextualizada das normas s organizaes.
Pgina 27
ISO 27000 - Contm vocabulrio e definies utilizados nas normas da srie ISO
27000. Em desenvolvimento, tem sua publicao prevista para 2008 e deve
absorver a ISO Guide 73 - Risk Management Vocabulary.
Pgina 28
ISO 27006 - Este documento tem o ttulo provisrio de "Guidelines for information
and communications technology disaster recovery services", baseada na SS507,
padro de Singapura para continuidade do negcio e recuperao de desastres.
Ainda sem previso para publicao.
Pgina 29
integridade,
confidencialidade
Pgina 30
Captulo
2
ATIVOS
2.1 INTRODUO
Toda e qualquer informao, que seja um elemento essencial para os negcios de uma
organizao, deve ser preservada pelo perodo necessrio, de acordo com sua
importncia. A informao um bem como qualquer outro e por isso deve ser tratada
como um ativo.
De forma mais genrica, os ativos so elementos que a segurana busca proteger. Os
ativos possuem valor para as empresas e, como conseqncia, precisam receber uma
proteo adequada para que seus negcios no sejam prejudicados.
Na viso de segurana da informao, so trs os elementos que compem o que
chamamos de ativos:
as informaes;
os equipamentos e sistemas que oferecem suporte a elas;
as pessoas que as utilizam.
Neste captulo revisaremos com um pouco mais de detalhes os diferentes tipos de ativos,
identificando tambm algumas das diversas vulnerabilidades que podem afet-los.
Pgina 31
Voc sabia que 94% das empresas que perdem seus dados desaparecem? *
Segundo um estudo realizado pela Universidade do Texas, apenas 6% das empresas que
sofrem um desastre informtico sobrevivem. Os demais 94% desaparecem, mais cedo ou
mais tarde. Pesquisas do Gartner Group, ainda que mais moderadas, confirmam essa
tendncia ao indicar que duas de cada cinco empresas que enfrentam grandes ataques ou
danos em seus sistemas deixam de existir
por isso que a Hitachi Data Systems assegura que o mercado de armazenamento de
dados crescer cerca de 12% ao ano no Chile at 2008.
Enrique Mosiejko, diretor regional da Amrica Latina Sul da Hitachi Data Systems (HDS),
explica que os dados de uma empresa podem desaparecer ou sofrer danos de muitas
formas. Devido a m administrao da informao, erros humanos, vrus, hackers,
ataques terroristas ou at mesmo desastres naturais. No Chile, por exemplo, os
terremotos e as inundaes so uma sria ameaa para os equipamentos que armazenam
a informao crtica das empresas.
Como se pode observar na notcia, importante conhecer os ativos da empresa e detectar
suas vulnerabilidades para proteger a confidencialidade, a disponibilidade e a integridade
da informao. por isso que, neste captulo, abordaremos esses temas.
*Fonte: http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35
Pgina 32
2.2 OBJETIVOS
Conhecer os diferentes tipos de ativos na empresa para identificar tudo aquilo que a
segurana da informao deveria proteger.
Detectar possveis vulnerabilidades relacionadas com esses ativos para nos
prepararmos para sua proteo.
Pgina 33
b.1 Software
b.2 Hardware
b.3 Organizao
Conceito- chave
Pgina 34
2.3.1 - INFORMAES
Neste grupo esto os elementos que contm informao registrada, em meio eletrnico ou
fsico. Qualquer tipo de informao, independente do tipo de meio em que esteja
armazenada, que seja importante para a empresa e seus negcios Cultura importante,
exemplos desses ativos so:
documentos
relatrios
livros
manuais
correspondncias
patentes
informaes de mercado
cdigo de programao
linhas de comando
arquivos de configurao
planilhas de remunerao de funcionrios
plano de negcios de uma empresa etc.
Possveis
vulnerabilidades
Pgina 35
Possveis
vulnerabilidades
Pgina 36
Possveis
vulnerabilidades
as estaes de trabalho
os servidores
os computadores portteis
os mainframes
as mdias de armazenamento
Pgina 37
Presidente
Segurana
Financeiro
Produo
Compras
Possveis
vulnerabilidades
Pgina 38
2.4 - USURIOS
O grupo usurios refere-se aos indivduos que utilizam a estrutura tecnolgica e de
comunicao da empresa e que lidam com a informao.
O enfoque da segurana nos usurios est voltado para a formao do hbito da
segurana em todos os funcionrios de uma empresa para tomar decises e empreender
aes, desde a alta direo at os usurios finais da informao, incluindo os grupos que
mantm em funcionamento a estrutura tecnolgica, como tcnicos, operadores e
administradores de ambientes tecnolgicos.
So exemplos deste tipo de ativo:
Funcionrios da rea de contabilidade.
Direo da empresa
Possveis
vulnerabilidades
Pgina 39
Pgina 40
Captulo
3
AMEAAS E PONTOS FRACOS
3.1 INTRODUO
No captulo anterior conhecemos os ativos que devemos proteger atravs de medidas de
segurana da informao. Para cada um dos grupos apresentados foram identificadas
vulnerabilidades.
Vulnerabilidades no seriam um problema se no houvesse elementos capazes de
explor-las, causando danos. Estes elementos so conhecidos como Ameaas.
Neste captulo conheceremos os diversos tipos de Ameaas que podem causar danos aos
ativos, assim como suas diferentes classificaes.
Tambm sero conhecidos os tipos de Vulnerabilidades e pontos fracos existentes nos
ativos de uma empresa.
Pgina 41
Fonte: http://www.sema.es/noticia_extendida_home.asp?id=64
Pgina 42
3.2 - OBJETIVOS
Pgina 43
3.3 - AS AMEAAS
Conceitochave
Os ativos esto constantemente sob ameaas que podem colocar em risco a integridade,
a confidencialidade e a disponibilidade das informaes. Essas ameaas sempre existiro
e esto relacionadas a causas que representam riscos, as quais podem ser:
causas naturais ou no-naturais
causas internas ou externas
Dessa forma, entendemos que um dos objetivos da segurana da informao impedir
que as ameaas explorem os pontos fracos e afetem um dos princpios bsicos da
segurana da informao (integridade, disponibilidade, confidencialidade), provocando
danos ao negcio das empresas.
Dados a importncia das ameaas e o impacto que elas pode ter para as informaes das
organizaes, vamos revisar agora a sua classificao.
Pgina 44
Pgina 45
Pgina 46
3.4 - VULNERABILIDADES
As ameaas sempre existiram e de se esperar que, medida que a tecnologia progride,
tambm surjam novas formas atravs das quais as informaes podem ficar expostas;
portanto, importante conhecer a estrutura geral de como se classificam as
vulnerabilidades ou pontos fracos que podem fazer com que essas ameaas causem
menos impactos em nossos sistemas, comprometendo os princpios da segurana da
informao.
Fsicas
Naturais
De hardware
As
vulnerabilidades
cujos ativos podem estar
expostos incluem:
De software
De meios de
armazenagem
De comunicao
Humanas
Pgina 47
Como exemplo desse tipo de vulnerabilidade distinguemse os seguintes: instalaes inadequadas do espao de
trabalho, ausncia de recursos para o combate a
incndios; disposio desorganizada dos cabos de energia
e de rede, no-identificao de pessoas e de locais, entre
outros.
Esses pontos fracos, ao serem explorados por ameaas, afetam diretamente os princpios
bsicos da segurana da informao, principalmente a disponibilidade.
Pgina 48
b) Vulnerabilidades naturais
Muitas vezes, a umidade, o p e a contaminao podem provocar danos aos ativos. Por
isso, eles devem ficar protegidos para poder garantir suas funes.
A probabilidade de estar expostos s ameaas naturais fundamental na escolha e na
preparao de um ambiente. Devem ser tomados cuidados especiais com o local, de
acordo com o tipo de ameaa natural que possa ocorrer em uma determinada regio
geogrfica.
c) Vulnerabilidades de hardware
Pgina 49
Existem muitos elementos que representam pontos fracos do hardware. Dentre eles,
podemos mencionar:
a ausncia de atualizaes de acordo com as orientaes dos fabricantes dos
programas utilizados e
a conservao inadequada dos equipamentos.
Por isso, a segurana da informao busca avaliar:
se o hardware utilizado est dimensionado corretamente para as suas funes.
se possui rea de armazenamento suficiente, processamento e velocidade adequados.
d) Vulnerabilidades de softwares
Os pontos fracos relacionados ao software podero ser explorados por diversas ameaas
j conhecidas.
Dentre eles, destacamos:
A configurao e a instalao indevidas dos programas de computador, que podero
levar ao uso abusivo dos recursos por parte de usurios mal-intencionados. s vezes,
a liberdade de uso implica aumento do risco.
Pgina 50
disquetes
CD-ROMs
fitas magnticas
discos rgidos dos servidores e dos bancos de dados, bem como o que est registrado
em papel.
Portanto...
De meios de
armazenamento
Exemplos
Pgina 51
f) Vulnerabilidades de comunicao
Esse tipo de ponto fraco abrange todo o trfego de
informaes.
De comunicao
Exemplos
Pgina 52
g) Vulnerabilidades humanas
Humanas
Exemplo
Os pontos fracos humanos tambm podem ser intencionais ou no. Muitas vezes, os erros
e acidentes que ameaam a segurana da informao ocorrem em ambientes
institucionais. A maior vulnerabilidade o desconhecimento das medidas de segurana
adequadas que so adotadas por cada elemento do sistema, principalmente os membros
internos da empresa.
A seguir so destacados os pontos fracos humanos de acordo com seu grau de
freqncia:
a falta de capacitao especfica para a execuo das atividades inerentes s funes
de cada um,
a falta de conscincia de segurana para as atividades de rotina, os erros, omisses,
descontentamentos, etc.
No que se refere s vulnerabilidades humanas de origem externa, podemos considerar
todas aquelas que podem ser exploradas por ameaas como:
vandalismo,
fraudes,
invases, etc.
Pgina 53
Pgina 54
Captulo
4
RISCOS, MEDIDAS E CICLO DE SEGURANA
4.1 INTRODUO
Segundo Thomas A. Wadlow [9], A segurana dever ser proporcional ao valor do que se
est protegendo. Ou seja, a implantao do sistema de segurana da informao tem de
apresentar uma relao custo benefcio que torne a tentativa de ataque to cara que
desestimule o atacante, ao mesmo tempo em que ela mais barata do que o valor da
informao protegida.
Quando o valor do ativo que se est protegendo to alto que o dano causado ao mesmo
difcil de ser calculado, devemos assumir o valor da informao como altssimo,
imensurvel. Um exemplo a se analisar seria um receiturio de medicamentos para
pacientes internados em um hospital. Este sistema de informao lida com dados que
podem colocar em risco a vida humana caso a integridade dos dados seja corrompida,
neste caso no temos como fazer uma anlise quantitativa do impacto, pois a vida
humana tida como mais valiosa que qualquer ativo.
Mesmo no se tratando de um valor imensurvel, temos ainda os ativos que so vitais
para a empresa e aqueles que podem levar implicaes legais. Quando estamos lidando
com a anlise de valor destes bens, consideramos que o dano nos mesmos pode resultar
em grande perda de credibilidade pela empresa e at mesmo no posterior encerramento
de suas atividades.
Neste contexto, a segurana da informao a proteo da informao em si, dos
sistemas, da infra-estrutura e dos servios que a suporta, contra acidentes, roubos, erros
de manipulao, minimizando assim os impactos dos incidentes de segurana.
A identificao da real necessidade de proteo de cada ativo baseada no conceito de
Risco, que apresentado neste captulo. Uma vez identificados os maiores riscos s
informaes, sero implementadas medidas de segurana, cuja definio e classificao
tambm fazem parte deste captulo. A constante avaliao de risco e implementao de
medidas de segurana fazem parte do ciclo de segurana, que fecha o conjunto de
assuntos tratados neste mdulo.
Pgina 55
Pgina 56
4.2 OBJETIVOS
Pgina 57
4.3 RISCOS
Conceitochave
Pgina 58
Conceitochave
Como existe uma variedade de tipos de pontos fracos que afetam a disponibilidade, a
confidencialidade e a integridade das informaes, importante haver medidas de
segurana especficas para lidar com cada caso.
Antes da definio das medidas de segurana que sero adotadas, deve-se conhecer o
ambiente nos mnimos detalhes, buscando os pontos fracos existentes.
Pgina 59
Medidas globais de
segurana
Anlise de riscos
Poltica de
segurana
Especificao de
segurana
Administrao de
segurana
A segurana da informao deve ser garantida de forma integral e completa, por isso
muito til conhecer com um pouco mais de detalhes estas quatro medidas de segurana
que permitem nos mover desde a anlise de risco at a administrao da segurana:
Pgina 60
Anlise de riscos
Diretiva de
segurana
Especificaes
de segurana
Administrao da
segurana
Pgina 61
Agora que voc j conhece todos os conceitos necessrios para compreender o que a
segurana, apresentamos a seguir o ciclo da segurana da informao, com todos os seus
conceitos bsicos.
O ciclo de segurana inicia com a identificao das ameaas que as empresas enfrentam.
A identificao das ameaas permitir a visualizao dos pontos fracos que podem ser
explorados, expondo os ativos a riscos de segurana.
Essa exposio leva a uma perda de um ou mais princpios bsicos da segurana da
informao, causando impactos no negcio da empresa, aumentando ainda mais os riscos
a que esto expostas as informaes.
Para que o impacto dessas ameaas ao negcio sejam reduzidas, necessrio tomar
medidas de segurana para impedir a ocorrncia de pontos fracos.
Acima, conclumos a definio de segurana da informao com a ilustrao do ciclo.
Como podemos ver no diagrama anterior: os riscos na segurana da empresa aumentam
medida que as ameaas conseguem explorar as vulnerabilidades e, portanto, provocar
danos nos ativos. Esses danos podem fazer com que a confidencialidade, a integridade ou
a disponibilidade da informao se percam, causando impactos no negcio da empresa.
Pgina 62
As medidas de segurana permitem diminuir os riscos e, assim, fazer com que o ciclo seja
de muito menor impacto para os ativos e, portanto, para a empresa.
Portanto, a segurana
uma atividade cujo propsito :
proteger os ativos contra acessos no-autorizados,
evitar alteraes indevidas que possam pr em risco sua integridade
maximizar a disponibilidade da informao
E instrumentada por meio de polticas e procedimentos de segurana que permitem:
a identificao e o controle de ameaas e pontos fracos, levando em considerao a
preservao da confidencialidade, integridade e disponibilidade das informaes.
Pgina 63
Identificamos como devemos visualizar os diferentes riscos aos quais nossa empresa
est exposta, o que nos permitir reduzi-los e aumentar a segurana dos ativos.
Compreendemos os diferentes tipos de medidas de segurana que podemos tomar na
empresa, sejam preventivas, perceptivas ou corretivas, aplicando-as e, assim,
diminuindo os possveis impactos ou danos resultados dos ataques.
Conhecemos o ciclo de segurana, no qual se recorre s diferentes medidas para
evitar a ocorrncia de vulnerabilidades.
Pgina 64
Chappman
Security Controls for Computer Systems: Report of Defense Science Boad Task Force on
Computer Security. Editado por W. H. Ware.
5
http://www.iso27001security.com/html/iso27000.html.
Pgina 65