Segurança Informação

Curso Bsico de Segurana da
Informao
Academia Latino-Americana de Segurana da Informao
Introduo Segurana da Informao

Mdulo 1
Academia Latino-Americana de Segurana da Informao Curso Bsico

Mdulo 1 Introduo Segurana da Informao - Microsoft TechNet
Pgina 1
Apostila desenvolvida pelo Mdulo Security e revisada pelo

captulo Brasil da ISSA, em parceria com a Microsoft Informtica
www.modulo.com.br
http://www.issabrasil.org
Reviso 1.1 Dezembro de 2006
COORDENADOR TCNICO
Fernando Fonseca
REVISORES:
Anchises de Paula
Augusto Paes de Barros
Dimitri Abreu
Luciana Vartuli
Luciano Barreto
Pgina 2
COMO USAR ESSE MATERIAL

Este um material de apoio para o curso Introduo Segurana da Informao
ministrado pela Academia de Segurana Microsoft. Um vdeo ser explicando os
conceitos deste material estar disponvel na academia para auxiliar no
entendimento dos conceitos aqui explicados.
VDEO
Indica que ser apresentado um filme para ilustrar as prticas ou conceitos.
CONCEITO-CHAVE
Indica um ponto importante para se assimilar melhor a matria.
PERGUNTAS PARA PENSAR

Indica uma pergunta que estimula um racioccio lgico para auxiliar o
aprendizado
VULNERABILIDADES
Indica uma vulnerabilidade atrubuda a um conceito sendo estudado

Pgina 3
NDICE
INTRODUO ............................................................................................................................... 6
Notcias pelo Mundo ....................................................................................................................................................................... 7
Objetivos......................................................................................................................................................................................... 8
Contedo da unidade: .................................................................................................................................................................... 9
INTRODUO SEGURANA DA INFORMAO ............................................................................. 10

1.1 Introduo ............................................................................................................. 10
Notcias pelo Mundo ..................................................................................................................................................................... 11
1.2 - Objetivos................................................................ Error! Bookmark not defined.

1.3 - Implementao de um sistema de segurana ..................................................... 13
1.4 Conceitos bsicos ................................................................................................. 14
1.4.1 Princpios bsicos da segurana da informao ................................................. 17
1.4.2 - Princpio da Integridade da Informao ............................................................ 18
Proteger a Integridade da Informao ........................................................................................................................................ 19
1.4.3 - Princpio da Confidencialidade da Informao ................................................. 20

Proteger a Confidencialidade da Informao ............................................................................................................................. 21
1.4 .4 - Princpio da Disponibilidade das Informaes ................................................ 23

Proteger a Disponibilidade da Informao .................................................................................................................................. 24
1.5 - Evoluo da segurana da Informao ............................................................... 25

1.6 Lies Aprendidas ................................................................................................. 29
ATIVOS ...................................................................................................................................... 31
2.1 Introduo ............................................................................................................. 31
2.2 Objetivos ............................................................................................................... 33

Pgina 4
2.3 Tipos de Ativos ..................................................................................................... 34

2.3.1 - Informaes .................................................................................................... 35
2.3.2 - Software (B1) .................................................................................................. 36
2.3.2 - Hardware (B2).................................................................................................. 37
2.3.2 - Organizao (B3) ............................................................................................ 38
2.4 - Usurios ............................................................................................................. 39
2.6 - Lies aprendidas .............................................................................................. 40
AMEAAS E PONTOS FRACOS..................................................................................................... 41
3.1 Introduo ............................................................................................................. 41
3.2 - Objetivos........................................................................................................... 43
3.3 - As Ameaas...................................................................................................... 44
3.4 - Vulnerabilidades ................................................................................................. 47
3.5 - Lies Aprendidas .............................................................................................. 54
RISCOS, MEDIDAS E CICLO DE SEGURANA .................................................................................. 55
4.1 Introduo ............................................................................................................. 55
4.2 Objetivos ............................................................................................................... 57

4.3 Riscos ................................................................................................................... 58
4.4 Medidas de Segurana ......................................................................................... 59
4.5 Ciclo de Segurana ............................................................................................... 62
4.6 Lies Aprendidas ................................................................................................. 64
4.7 Referncia Bibliogrfica ........................................................................................ 65

Pgina 5
INTRODUO
No mundo atual a posse e o uso do conhecimento passou a ser um fator estratgico
decisivo para muitas empresas e corporaes. Estamos vivendo a poca batizada como
"Era da Informao". Mas a informao voltil. frgil. Hoje, ela pode desaparecer na
velocidade de um pulso eltrico.
Muitas empresas tem seus ativos fsicos e suas informaes constantemente expostos a
diversas ameaas, que poderiam representar prejuzos de milhares ou milhes de dlares
se forem concretizadas. As vulnerabilidades e fragilidades em nossos sistemas de
informao podem causar problemas graves ao negcio, por isso muito importante
compreender os conceitos necessrios para combat-las e, assim, nos defendermos de
possveis ataques s informaes estratgicas.
Exemplos destas ameaas so os vrus e os worms (vermes) que se aproveitam de falhas
na segurana dos sistemas e circulam pela Internet em busca de mquinas vulnerveis
nas quais possa realizar seu ataque. Na maioria das vezes, estes ataques resultam em
perdar de dados e destruio de informaes valiosas.
Exemplos
claros
de
como
as
vulnerabilidades
presentes
em
nossos
sistemas computacionais podem ser aproveitadas por Crakers (pessoas que se dedicam a
criar pestes eletrnicas e invadir sistemas) so danos causados no mundo todo
pelos vermes Blaster, Ninda e Slammer.
Os fabricantes de software e a comunidade de software livre se esforam para para
corrigir estas vulnerabilidades atravs de atualizaes (patches), mas um fator mais
importante nos chama a ateno: Ser que as empresas conhecem os riscos aos quais
esto expostas e se preparam para reduz-los?
H poucos anos atrs, a resposta seria um sonoro no. Prova disso que estes worms
causaram um estrago enorme mesmo tendo atacado vulnerabilidades que j haviam sido
corrigidas meses antes. Faltou um processo de manuteno da segurana do ambiente
para que as correes fossem aplicadas e bilhes de dlares fossem perdidos. A boa
notcia que depois de tanto prejuzo as empresas comeam a valorizar estes processos.
O objetivo deste curso capacitar um nmero maior de profissionais nos conceitos e boas
prticas em segurana da Informao e, assim, fazer com que os processos necessrios
para a reduo dos riscos e proteo dos ativos sejam criados e que a cultura de
segurana se espalhe cada vez mais pelas empresas.

Pgina 6
NOTCIAS PELO MUNDO
Montadora de avies tem notebook roubado e pode ter informaoes expostas
A Boeing, uma das maiores montadoras de avies do mundo, teve um notebook roubado.
O equipamento continha nomes e nmeros da previdncia social de cerca de 382 mil
funcionrios e aposentados, que j comearam a ser notificados do ocorrido. Este o
terceiro porttil da companhia que desaparece em 13 meses. A informao do site
BetaNews.
O sumio de tais informaes pode fazer com que funcionrios tenham suas identidades
roubadas, alm de haver riscos de fraudes com cartes de crdito. Dados como
endereos residenciais, datas de nascimento e telefones de contato estavam presentes no
notebook. A Boeing declarou que dados de fornecedores ou clientes no estavam
armazenados no dispositivo, mas no divulgou em qual de seus escritrios ocorreu o furto.
Segundo a companhia, para o ladro visualizar os dados do notebook, ele teria de
conseguir a senha de acesso do laptop, coisa que um cracker de competncia mdia pode
conseguir sem muito trabalho. Na tentativa de evitar golpes com tais informaes, a
empresa oferecer um servio de monitorao de crdito por um perodo de trs anos
Fonte: Mdulo Security News ( www.modulo.com.br)

Pgina 7
OBJETIVOS
Conhecer os conceitos bsicos que fundamentam os estudos sobre segurana da

informao
Conhecer as diferentes categorias de ativos existentes em uma empresa.
Compreender o conceito de pontos fracos para identificar as possveis vulnerabilidades
e as ameaas existentes nos ativos.
Interpretar a classificao proposta das possveis ameaas encontradas nos diferentes
processos da empresa.
Revisar os conceitos de integridade, confidencialidade e disponibilidade da informao.
Conhecer o conceito de risco e sua implicao no ciclo de segurana das informaes
da empresa.
Distinguir a diferena entre aplicar ou no medidas de segurana nos diferentes
aspectos de nossa empresa.
Compreender os conceitos bsicos de anlise de riscos e poltica de segurana, dois
pontos muito importantes para definir as aes em matria de segurana aplicveis s
empresas.

Pgina 8
CONTEDO DA UNIDADE:
Conceitos bsicos
Ativos
Ameaas e pontos fracos
Riscos, medidas e ciclo de segurana

Pgina 9
Captulo
1
INTRODUO SEGURANA DA INFORMAO
1.1 INTRODUO
Neste captulo, veremos alguns conceitos fundamentais para a compreenso da
segurana da informao e das metodologias para sua implantao nas organizaes.
Desde o surgimento da raa humana na Terra, a informao esteve presente atravs de
diferentes formas e tcnicas. O homem buscava representar seus hbitos, costumes e
intenes com diversos meios que pudessem ser utilizados por ele e por outras pessoas e
que pudessem ser levados de um lugar para outro. As informaes importantes eram
registradas em objetos preciosos e sofisticados e pinturas magnficas, entre outros, que
eram armazenados com muito cuidado em locais de difcil acesso. A eles s tinham
acesso aqueles que tivessem autorizao para interpret-la.
Atualmente, as informaes constituem o objeto de maior valor para as empresas. O
progresso da informtica e das redes de comunicao nos apresenta um novo cenrio, no
qual os objetos do mundo real esto representados por bits e bytes, que ocupam lugar em
diversos meios e possuem formas diferentes das originais, sem deixar de ter o mesmo
valor que os objetos reais e, em muitos casos, chegando a ter um valor maior.
Por esse e outros motivos a segurana da informao um assunto to importante para
todos, pois afeta diretamente todos os negcios de uma empresa ou de um indivduo.
Segurana um termo que transmite conforto e tranqilidade a quem desfruta de seu
estado. Entender e implementar este estado em um ambiente organizacional exigem
conhecimento e prticas especializadas que somente so possveis com o emprego e uso
de um cdigo de prticas de segurana, contidos em uma norma, como a ABNT NBR
ISO/IEC 17799:2005.

Pgina 10
NOTCIAS PELO MUNDO
Pesquisa revela falta de padres de segurana em grandes empresas

Um estudo recente feito pela empresa britnica de consultoria Pentasafe revela que a falta
de procedimentos de segurana por parte de funcionrios coloca informaes
confidenciais das grandes empresas em risco.
Foram entrevistados 15 mil funcionrios de 600 grandes empresas dos EUA e da Europa.
A pesquisa constatou que 60% dos funcionrios tm poucos conhecimentos sobre planos
de segurana. 90% dos entrevistados admitiram abrir ou executar arquivos desconhecidos
anexados em e-mails.
No entanto, muitas empresas tambm so responsveis pelos problemas relacionados
segurana. Em um tero delas os empregados no so obrigados a ler a poltica de
segurana existente. 50% admitiram nunca terem recebido qualquer tipo de treinamento
especfico sobre o tema.
Fonte: http://www.modulo.com.br/

Pgina 11
OBJETIVOS
Compreender os conceitos bsicos da segurana da informao para obter uma

melhor idia de suas implicaes.
Entender a importncia da informao nos negcios atualmente para agir de forma
mais gil na sua proteo.
Conhecer os princpios bsicos da segurana da informao: confidencialidade,
disponibilidade e integridade, com a finalidade de entender como as ameaas e
vulnerabilidades podem atingir a cada um deles e saber quais as medidas de proteo
mais adequadas para cada informao.
Conhecer a evoluo da segurana da informao como disciplina de estudos desde o
seu nascimento at os dias de hoje.

Pgina 12
1.3 - IMPLEMENTAO DE UM SISTEMA DE SEGURANA
Podemos representar a implantao de um sistema de segurana da informao na

empresa como a escalada de uma grande montanha, na qual pouco a pouco iremos
subindo e passando os nveis em termos de conceitos, ferramentas e conhecimento do
ambiente tecnolgico da empresa. Mais tarde veremos que no basta chegar ao topo da
montanha; a segurana um processo contnuo, o chamado ciclo de segurana.

Pgina 13
1.4 CONCEITOS BSICOS

Nesta primeira etapa da escalada, voc conhecer os conceitos bsicos da segurana da
informao.
Depois de entender cada conceito, voc receber uma nova ferramenta para ajudar a
montar sua barraca e, assim, poder continuar a escalada da montanha, avanando at os
prximos captulos para compreender como se implementa a segurana da informao.
Nesta etapa, voc ainda no possui essas ferramentas, por isso vai comear a escalada
com um acampamento bsico. Esse acampamento ilustra a situao em que se
encontram as empresas na etapa inicial da implementao da segurana: baixo controle
do ambiente, alto ndice de risco, processo de segurana pessoal e intuitivo, entre outros.
Ento vamos conhecer os principais conceitos da segurana da informao e por que ela
necessria para o sucesso dos negcios de uma empresa.
O objetivo deste estudo obter um ambiente seguro para a informao. Mas o que
informao?
Segundo o dicionrio Aurlio [1], informao o conjunto de dados acerca de algum ou
de algo. Estendendo esse conceito, podemos dizer que a informao a interpretao
desses dados. De nada vale um conjunto de dados sem que se faa a interpretao dos
mesmos para se extrair um conhecimento til.
Pgina 14
As organizaes necessitam da informao para tomar decises objetivando seus fins (o

sucesso). Isto mostra o quo poderosa a informao. Sem ela no h estratgias, no
h mudanas ou at mesmo no existiria a empresa. Uma conseqncia natural da
importncia da informao a extrema vulnerabilidade a que cada empresa se expe
caso haja perda de dados vitais, como plantas de projetos, planilhas de custos,
documentos contbeis, financeiros, etc. Quanto maior for a organizao maior ser sua
dependncia da informao.
A informao pode estar armazenada de vrias formas: impressa em papel, em meios
digitais (discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em imagens
armazenadas em fotografias e filmes. Quando lidamos com segurana da informao,
necessrio pensar em sua confidencialidade, integridade e disponibilidade em qualquer um
desses meios, utilizando todos os recursos disponveis, e no somente os tecnolgicos.
Devemos tratar a informao como um ativo da empresa com a mesma importncia que
qualquer outro bem palpvel. Por isso, deve ser protegido contra roubo, problemas
ambientais, vandalismo, dano acidental ou provocado.
Quanto mais interconectada for uma empresa, maior ser a complexidade dos sistemas
por onde trafegam e so armazenadas as informaes e, conseqentemente, maior ser a
preocupao com o nvel de segurana a ser implantado a fim de garantir a
confidencialidade, confiabilidade, disponibilidade e integridade da informao que ela
detm.
A disciplina de segurana da informao trata do conjunto de controles e processos que
visam preservar os dados que trafegam ou so armazenados em qualquer meio.
As modernas tecnologias de transporte, armazenamento e manipulao dos dados,
trouxeram enorme agilidade para as empresas, mas, ao mesmo tempo, trouxeram tambm
novos riscos. Ataques de crackers (black hat hackers), de engenharia social, vrus,
worms, negao de servio, espionagem eletrnica so noticiadas pela imprensa todos os
dias. Diante deste cenrio, a segurana da informao torna-se imprescindvel para as
organizaes, sejam elas do setor pblico ou privado.
A segurana da informao tem como propsito proteger as

informaes registradas, sem importar onde estejam situadas:
impressas em papel, nos discos rgidos dos computadores ou at
mesmo na memria das pessoas que as conhecem.
Idiaschave

Pgina 15
Perguntas para
pensar
Os objetos reais ou tangveis (entendendo-os como coisas de

valor fsico jias, pinturas, dinheiro etc.) esto protegidos por
tcnicas que os isolam atrs de grades ou dentro de caixas fortes,
sob a mira de cmeras ou seguranas. Mas, e as informaes
encontradas dentro de servidores de arquivos, que transitam pelas
redes de comunicao ou que so lidas na tela de um
computador? O que fazer para proteg-las, j que no possvel
usar as mesmas tcnicas de proteo de objetos reais?
Para responder essas perguntas, convidamos voc a continuar revendo o contedo

temtico desta unidade, onde conheceremos com detalhes os princpios que permitiro
proteger a informao. Por enquanto, neste captulo, encerraremos dizendo que
uma das preocupaes da segurana da informao proteger os elementos que
fazem parte da comunicao. Assim, para comear, necessrio identificar os elementos
que a segurana da informao tenta proteger:
As informaes
Os equipamentos e sistemas que oferecem suporte a elas
As pessoas que as utilizam
Alm disso, importante que todos os funcionrios da empresa tenham conscincia de

como devem lidar com as informaes de forma segura, j que de nada serve qualquer
sistema de segurana, por mais complexo e completo que seja, se os funcionrios, por
exemplo, facilitam o acesso ou fornecem seu nome de usurio e senha a pessoas
estranhas empresa e, com isso, deixam aberta a porta para possveis ataques ou
vazamento de informaes crticas para fora da empresa.

Pgina 16
As
informaes
A segurana
das
informaes
Os
equipamentos
e sistemas que
oferecem
suporte a elas
As pessoas
que as utilizam
1.4.1 PRINCPIOS BSICOS DA SEGURANA DA INFORMAO

Agora aprofundaremos os princpios bsicos que nos ajudaro a proteger o ativo de mais
valor nos negcios modernos: a informao.
Proteger os ativos significa adotar medidas para evitar a concretizao de ameaas que
podem afetar a informao:
Corrompendo-a,
tendo acesso a ela de forma indevida, ou mesmo
eliminando-a ou furtando-a
Por isso, entendemos que a segurana da informao busca proteger os ativos de uma
empresa ou indivduo com base na preservao de trs princpios bsicos:
Integridade
Confidencialidade e
Disponibilidade da informao
Nas prximas pginas, voc encontrar informaes mais detalhadas sobre cada um
desses princpios.

Pgina 17
1.4.2 - PRINCPIO DA INTEGRIDADE DA INFORMAO

O primeiro dos trs princpios da segurana da informao que aplicamos a integridade,
a qual nos permite garantir que a informao no tenha sido alterada de forma no
autorizada e, portanto, ntegra.
Uma informao ntegra uma informao que no foi alterada de forma indevida ou noautorizada.
Para que a informao possa ser utilizada, ela deve estar ntegra. Quando ocorre uma
alterao no-autorizada da informao em um documento, isso quer dizer que o
documento perdeu sua integridade.
A integridade da informao fundamental para o xito da comunicao.
O receptor dever ter a segurana de que a informao recebida, lida ou ouvida
exatamente a mesma que foi colocada sua disposio pelo emissor para uma
determinada finalidade. Estar ntegra quer dizer estar em seu estado original, sem ter
sofrido qualquer alterao por algum que no tenha autorizao para tal. Se uma
informao sofre alteraes em sua verso original, ento ela perde sua integridade, o que
pode levar a erros e fraudes, prejudicando a comunicao e o processo de decises.
A quebra de integridade ocorre quando a informao corrompida, falsificada ou
indevidamente alterada.
Uma informao poder ser alterada de vrias formas, tanto em seu contedo quanto no
ambiente que lhe oferece suporte. Portanto, a quebra da integridade de uma informao
poder ser considerada sob dois aspectos:

Pgina 18
1. Alteraes do contedo dos documentos quando so realizadas inseres,

substituies ou excluses de parte de seu contedo.
2. Alteraes nos elementos que oferecem suporte informao quando so
realizadas alteraes na estrutura fsica e lgica onde a informao est armazenada.
Exemplo:
Quando as configuraes de um sistema so alteradas para permitir acesso de escrita a
informaes restritas, quando so superadas as barreiras de segurana de uma rede de
computadores. Todos so exemplos de situaes que podem levar a quebra da
integridade, afetando a segurana. Portanto, a prtica da segurana da informao tem
como objetivo impedir que ocorram eventos de quebra de integridade, que causam danos
s pessoas e s empresas
Perguntas
para
pensar
Quo importante para voc que as informaes sobre os salrios dos

funcionrios de sua empresa no sejam alteradas por acidente ou
delito?
Voc sabe se as informaes sobre os projetos de negcios
confidenciais esto seguras e no podem ser alteradas por terceiros?
Vejamos algumas observaes finais sobre o propsito que queremos alcanar ao

proteger a integridade da informao.
PROTEGER A INTEGRIDADE DA INFORMAO
Buscar a integridade tentar assegurar que apenas as pessoas ou sistemas autorizados

possam fazer alteraes na forma e no contedo de uma informao, ou que alteraes
causadas por acidentes ou defeitos de tecnologia no ocorram, assim como no ambiente
no qual ela armazenada e pela qual transita, ou seja, em todos os ativos.
Logo, para proteger a integridade, preciso que todos os elementos que compem a base
da gesto da informao se mantenham em suas condies originais definidas por seus
responsveis e proprietrios.
Em resumo: proteger a integridade um dos principais objetivos para a segurana das
informaes de um indivduo ou empresa

Pgina 19
1.4.3 - PRINCPIO DA CONFIDENCIALIDADE DA INFORMAO

O princpio da confidencialidade da informao tem como objetivo garantir que apenas
a pessoa correta tenha acesso informao.
As informaes trocadas entre indivduos e empresas nem sempre devero ser
conhecidas por todos. Muitas informaes geradas pelas pessoas se destinam a um grupo
especfico de indivduos e, muitas vezes, a uma nica pessoa. Isso significa que esses
dados devero ser conhecidos apenas por um grupo controlado de pessoas, definido pelo
responsvel da informao
Por isso, dizemos que a informao possui um grau de confidencialidade que dever ser
mantido para que as pessoas no-autorizadas no tenham acesso a ela.
Ter confidencialidade na comunicao ter a segurana de que o que foi dito a algum ou
escrito em algum lugar s ser escutado ou lido por quem tiver autorizao para tal.
Perda de confidencialidade significa perda de segredo. Se uma informao for
confidencial, ela ser secreta e dever ser guardada com segurana, e no divulgada para
pessoas no-autorizadas.
Exemplo:
Pensemos no caso de um carto de crdito. O nmero do carto s poder ser conhecido
por seu proprietrio e pela loja onde usado. Se esse nmero for descoberto por algum
mal-intencionado, como nos casos noticiados sobre crimes da Internet, o prejuzo causado
pela perda de confidencialidade poder ser muito elevado, pois esse nmero poder ser

Pgina 20
usado por algum para fazer compras na Internet, trazendo prejuzos financeiros e uma
grande dor de cabea para o proprietrio do carto.
O mesmo ocorre no caso de uso indevido de senhas de acesso a sistemas bancrios, por
exemplo. Milhares de dlares so roubados diariamente pela ao de criminosos virtuais
que se dedicam a invadir sistemas para quebrar a confidencialidade das pessoas e
empresas.
Perguntas
para pensar
Voc sabe quem pode ter acesso a suas informaes?

Elas esto guardadas de forma suficientemente segura para
que pessoas no-autorizadas no tenham acesso a elas?
O envio e o armazenamento de informaes confidenciais so
feitos de forma segura, e os meios pelos quais transitam so
controlados, conhecidos e seguros?
Se a resposta para alguma dessas perguntas for negativa, ento chegou o momento de
pensar na segurana da informao para proteger a confidencialidade das informaes na
sua empresa.
PROTEGER A CONFIDENCIALIDADE DA INFORMAO
Proteger a confidencialidade um dos fatores determinantes para a segurana e uma das

tarefas mais difceis de implementar, pois envolve todos os elementos que fazem parte da
comunicao da informao, partindo do emissor, passando pelo caminho percorrido e
chegando at o receptor. Alm disso, informaes tem diferentes graus de
confidencialidade, normalmente relacionados ao seus valores. Quanto maior for o grau de
confidencialidade, maior ser o nvel de segurana necessrio na estrutura tecnolgica e
humana que participa desse processo: uso, acesso, trnsito e armazenamento das
informaes.
Deve-se considerar a confidencialidade com base no valor que a informao tem para a
empresa ou a pessoa e os impactos causados por sua divulgao indevida. Assim, deve
ser acessada, lida e alterada somente por aqueles indivduos que possuem permisso
para tal. O acesso deve ser considerado com base no grau de sigilo das informaes, pois
nem todas as informaes importantes da empresa so confidenciais.

Pgina 21
Como mencionado, o primeiro passo para proteger a confidencialidade das informaes

atravs do estabelecimento do grau de sigilo. Vejamos a seguir esse conceito
fundamental:
Conceitochave
Grau de sigilo: As informaes geradas pelas pessoas tm

uma finalidade especfica e destinam-se a um indivduo ou
grupo. Portanto, elas precisam de uma classificao com
relao sua confidencialidade. o que chamamos de grau de
sigilo, que uma graduao atribuda a cada tipo de
informao com base no grupo de usurios que possuem
permisses de acesso. O grau de sigilo faz parte de um
importante processo de segurana de informaes, a
classificao da informao.
Dependendo do tipo de informao e do pblico para o qual se deseja colocar

disposio a informao, define-se um grau de sigilo. Um exemplo de graus de sigilo pode
ser:
Confidencial
Restrito
Sigiloso
Pblico

Pgina 22
1.4 .4 - PRINCPIO DA DISPONIBILIDADE DAS INFORMAES

Alm de trabalharmos para que a informao chegue apenas aos destinatrios ou usurios
adequados e de forma ntegra, devemos fazer com que esteja disponvel no momento
oportuno. disso que trata o terceiro princpio da segurana da informao: a
disponibilidade
Para que uma informao possa ser utilizada, ela deve estar disponvel. A disponibilidade
o terceiro princpio bsico da segurana da informao.
Refere-se disponibilidade da informao e de toda a estrutura fsica e tecnolgica que
permite o acesso, o trnsito e o armazenamento.
A disponibilidade da informao permite que:
Seja utilizada quando necessrio
Esteja ao alcance de seus usurios e destinatrios
Possa ser acessada no momento em que for necessrio utiliz-la.
Esse princpio est associado adequada estruturao de um ambiente tecnolgico e
humano que permita a continuidade dos negcios da empresa ou das pessoas, sem
impactos negativos para a utilizao das informaes.
Assim, o ambiente tecnolgico e os suportes da informao devero estar funcionando
corretamente para que a informao armazenada neles e que por eles transita possa ser
utilizada pelos usurios.

Pgina 23
Exemplo:
Durante uma reunio de altos executivos da empresa, os servios de banco de dados
falham, o que impede que se tome uma deciso central em termos de negcios.
Devido a um incndio em um dos escritrios, as informaes de vendas da empresa
foram destrudas e no se contava com um suporte para as mesmas
Perguntas
para pensar
A informao necessria para a tomada de decises crticas

para o negcio se encontra sempre disponvel?
Voc sabe se existem vulnerabilidades que impeam isso?
Voc conta com sistemas de suporte de informao?
PROTEGER A DISPONIBILIDADE DA INFORMAO
Para que seja possvel proteger a disponibilidade da informao, necessrio conhecer

seus usurios, para que se possa organizar e definir, conforme cada caso, as formas de
disponibilizao, seu acesso e uso quando necessrio.
A disponibilidade da informao deve ser considerada com base no valor que a
informao tem e no impacto resultante de sua falta de disponibilidade.
Para proteger a disponibilidade, muitas medidas so levadas em considerao. Entre elas,
destacamos:
A configurao segura de um ambiente em que todos os elementos que fazem parte
da cadeia de comunicao estejam dispostos de forma adequada para assegurar o
xito da leitura, do trnsito e do armazenamento da informao.
Tambm importante fazer cpias de segurana backup. Isso permite que as
mesmas estejam duplicadas em outro local para uso caso no seja possvel recuperlas a partir de sua base original
Para aumentar ainda mais a disponibilidade da informao, deve-se:
Definir estratgias para situaes de contingncia.
Estabelecer rotas alternativas para o trnsito da informao, para garantir seu acesso
e a continuidade dos negcios, inclusive quando alguns dos recursos tecnolgicos, ou
humanos, no estejam em perfeitas condies de funcionamento.

Pgina 24
1.5 - EVOLUO DA SEGURANA DA INFORMAO
Desde a pr-histria, cerca de 2000 anos antes de Cristo (AC), o homem j sentia
necessidade de transmitir e perpetuar a informao. Usava pinturas nas pedras para
expressar seu cotidiano. Em 3500 AC, registrou-se o primeiro sistema de linguagem
escrita na Sumria. A partir da vrias civilizaes desenvolveram seus prprios mtodos
de registro e transmisso da informao, dentre eles podemos destacar:
Os hierglifos e o papiro no antigo Egito, em 3000 AC;
O baco dos babilnios, 1800 AC;
Os primitivos livros chineses de bambu ou madeira presos por cordas datados de

1300 anos AC;
O processo chins de fabricao de papel, de 105 DC alcanando Bagd em 753

DC;
A fotografia de 1826;
O telgrafo eletromagntico de Samuel Morse, em 1837;
As primeiras transmisses de rdio em broadcast em 1917;
O primeiro computador digital em 1943.

Pgina 25
Todo este processo milenar nos levou at as modernas tecnologias de transmisso e

armazenamento digital de dados no sculo 20 [2].
Todos aqueles mtodos de armazenamento padeciam de um problema: como preservar
essas informaes para que fossem acessadas aps sua gerao? No ano 600 da era
crist o rei Ashurbanipal em Nineveh organizou a primeira biblioteca, cujo acervo
sobrevive at os dias atuais com cerca de 20000 placas. um exemplo clssico da
necessidade da transmisso da informao armazenada.
Desde o incio, o desafio era conter as diversas ameaas informao, algumas das quais
enfrentamos at hoje: incndios, saques, catstrofes naturais, deteriorao do meio de
armazenamento.
medida que a sociedade evolua, a preocupao com a segurana das informaes
aumentava, principalmente no quesito confidencialidade. Foram criados vrios processos
de cifragem da informao, que tinham a funo de alterar o contedo das mensagens
antes de seu envio. Ao capturar uma mensagem o inimigo obtinha apenas um texto cifrado
e no a mensagem original. Isso permitiu que segredos e estratgias fossem trocados de
forma segura entre aliados. Por exemplo, a cifragem de Csar foi usada para troca de
informaes entre os exrcitos durante o imprio romano; a mquina de cifrar Enigma foi
utilizada como uma grande arma de guerra pelos alemes durante o perodo da segunda
grande guerra. Atualmente a criptografia e a esteganografia continuam sendo largamente
utilizadas em diversas aplicaes de transferncia e armazenamento de dados.
O surgimento dos computadores e de sua interconexo atravs de redes mundialmente

distribudas permitiu maior capacidade de processamento e de distribuio das
informaes. Com essa capacidade de comunicao, surgiu tambm a necessidade da
criao de mecanismos que evitassem o acesso e a alterao indevida das informaes.
Como resultado surgiram vrias propostas e publicaes de normas de segurana em
todo o mundo.

Pgina 26
Evoluo da segurana da informao

2005
ISO/IEC 27002
ISO 20000 + ISO/IEC FDIS 17799:2005(E)
2000
BS 15000
ISO/IEC 17799:2000
BS7799-1:1999
1995
BS7799
1990
+ ABNT NBR ISO/IEC 17799:2005
ITIL e CobiT
1985
CSC-STD-001-83
1980
DoD 5200.28-STD
1975
1970
1965
W.H. Hare Security Controls for Computer Systems
Conforme Chappman [3], o ano de 1967, foi o ano em que a segurana de computadores
passou a ter ateno oficial nos Estados Unidos. Nesta poca foi criada uma fora tarefa
cujo foco era a construo de mecanismos de segurana de computadores que deveriam
ser desenvolvidos para prover a proteo de informaes classificadas e do
compartilhamento de recursos do sistema; este esforo resultou em um documento
denominado Security Controls for Computer Systems: Report of Defense Science Boad
Task Force on Computer Security editado por W. H. Ware [4]. Este relatrio representou o
trabalho inicial de identificao e tratamento do problema clssico de segurana de
computadores.
Em 1978, o Departamento de Defesa dos Estados Unidos, publicou um conjunto de regras
para avaliao da segurana nas solues disponibilizadas. Ficou conhecido como The
Orange Book. Em 1978, teve incio o processo de escrita do Orange Book, denominado
DoD 5200.28-STD, que foi concludo em 15 de agosto 1983, com o documento CSC-STD001-83 - Library No. S225,711 - DEPARTMENT OF DEFENSE TRUSTED COMPUTER
SYSTEM EVALUATION CRITERIA (TCSEC) [5]. Paralelamente foi publicado o documento
An Introduction to Computer Security: The NIST Handbook [6], proposto pelo National
Institute of Standards and Technology - U.S. Department of Commerce.
Para facilitar sua aplicao, as normas de segurana foram divididas em vrios controles.
Cada controle seria responsvel por atender a um dos quesitos da norma. O uso de
controles permite uma viso modular da questo da segurana e a aplicao
contextualizada das normas s organizaes.

Pgina 27
medida que as organizaes cresciam, as redes de computadores e os problemas de

segurana tambm cresciam. No demorou muito para ficar claro que proteger somente
os sistemas operacionais, as redes e as informaes que trafegavam por elas no era o
suficiente. Com isto, foram criados comits com o objetivo de desenvolver mecanismos
mais eficientes e globais de proteo informao. Desses pode-se destacar o Comercial
Computer Security Centre, criado pelo governo britnico e que publicaria mais tarde a
norma BS-7799.
A BS-7799 foi a primeira norma homologada a apresentar solues para o tratamento da
informao de uma maneira mais ampla. Segundo esta norma, todo tipo de informao
deve ser protegido, independente da sua forma de armazenamento, seja analgica ou
digital, e de seu valor para a organizao. No ano de 2000, houve a homologao da
primeira parte da BS-7799 pela ISO. Esta homologao originou a Norma Internacional de
Segurana da Informao - ISO/IEC 17799, sendo composta por 10 macros controles,
cada qual subdividido em controles especficos.
Em abril de 2001, a verso brasileira da norma ISO foi disponibilizada para consulta
pblica. Em setembro do mesmo ano a ABNT homologou a verso brasileira que passou a
ser denominada NBR ISO/IEC 17799:2000. A Norma trouxe mais do que vrios controles
de segurana. Ela permitiu a criao de um mecanismo de certificao das organizaes,
atravs da BS 7799-2 e posteriormente atravs da ISO 27001.
Em 30 de setembro de 2005, passou a ter validade a segunda edio atualizada da norma
brasileira. Foi publicada sob o nmero ABNT NBR ISO/IEC 17799:2005, que equivalente
norma ISO/IEC 17799:2005, entrando em vigor a partir de novembro de 2005.
Uma famlia de normas est atualmente em desenvolvimento e adotar um esquema de
numerao usando uma srie de nmeros 27000 em seqncia. Incluem normas sobre
requisitos de sistemas de gesto da segurana da informao, gesto de riscos, mtricas
e medidas, e diretrizes para implementao, tais como [7]:
ISO 27000 - Contm vocabulrio e definies utilizados nas normas da srie ISO
27000. Em desenvolvimento, tem sua publicao prevista para 2008 e deve
absorver a ISO Guide 73 - Risk Management Vocabulary.
ISO 27001 - publicada em outubro de 2005, substitui a BS7799-2, tornando-se a

norma para certificao da segurana da informao. Nesta norma so organizados
os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e
melhorar o SGSI (Sistema de Gesto da Segurana da Informao, ou ISMS,
Information Security Management System da sigla em ingls).
ISO 27002 - organiza os controles de segurana da informao, reunindo as

melhores prticas para a segurana da informao realizada mundialmente. Tratase na realidade da ISO 17799:2005.
ISO 27003 No oficialmente tratar-se- de um guia de implementao.

Pgina 28
ISO 27004 - Information Security Management Metrics and Measurement, voltada

para a medio da efetividade da implementao do SGSI e dos controles de
segurana da informao implementados. Encontra-se em desenvolvimento e a sua
publicao dever ocorrer em 2007.
ISO 27005 - Novo padro para gerenciamento de riscos, dever substituir a

BS7799-3 em 2007. Reunir diretriz e orientao para a identificao, avaliao,
tratamento e gesto suportada dos riscos sobre os recursos do escopo
compreendidos no SGSI.
ISO 27006 - Este documento tem o ttulo provisrio de "Guidelines for information
and communications technology disaster recovery services", baseada na SS507,
padro de Singapura para continuidade do negcio e recuperao de desastres.
Ainda sem previso para publicao.
Diversas iniciativas de organizaes governamentais j aplicam normas especficas

internas baseadas em normas internacionais e nacionais. No Brasil a poltica de
segurana da Informao nos rgos e nas entidades da administrao pblica federal
regulamentada atravs do Decreto Presidencial No 3.505, de 13 de junho de 2.000. Esse
decreto enfatiza em seu artigo 3o inciso I, o seguinte objetivo:
Dotar os rgos e as entidades da Administrao Pblica Federal de instrumentos
jurdicos, normativos e organizacionais que os capacitem cientfica, tecnolgica e
administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o norepdio e a disponibilidade dos dados e das informaes tratadas, classificadas e
sensveis [8].
Esse decreto representa a importncia que as entidades devem dar segurana da
informao. Atendendo a esse decreto, diversos organismos governamentais
desenvolvem seus cdigos de boas prticas em segurana da informao que devem ser
seguidos pelas pessoas que de alguma forma esto relacionadas com os ambientes
informatizados.
Empresas privadas tambm se valem dos cdigos de conduta propostos pelas normas, a
fim de obterem a certificao de segurana da informao, garantindo relaes de negcio
com seus parceiros e clientes, em que a mtua confiana no sigilo da informao
imprescindvel.
1.6 LIES APRENDIDAS

Pgina 29
Aprendemos ao longo deste captulo os conceitos gerais que configuram a segurana

da informao.
Compreendemos a importncia atual que tem para a empresa proteger a informao
utilizada e que permite a realizao de seus negcios.
Conhecemos o que deve ser protegido em um sistema de segurana de informao: as
informaes, os equipamentos e sistemas que a utilizam ou oferecem suporte a ela e as
pessoas que a utilizam.
Aprendemos que a informao deve ter:
disponibilidade para que seja til organizao.
integridade,
confidencialidade
Conhecemos o caminho da Segurana da Informao desde a antiguidade at os dias

de hoje.

Pgina 30
Captulo
2
ATIVOS
2.1 INTRODUO
Toda e qualquer informao, que seja um elemento essencial para os negcios de uma
organizao, deve ser preservada pelo perodo necessrio, de acordo com sua
importncia. A informao um bem como qualquer outro e por isso deve ser tratada
como um ativo.
De forma mais genrica, os ativos so elementos que a segurana busca proteger. Os
ativos possuem valor para as empresas e, como conseqncia, precisam receber uma
proteo adequada para que seus negcios no sejam prejudicados.
Na viso de segurana da informao, so trs os elementos que compem o que
chamamos de ativos:
as informaes;
os equipamentos e sistemas que oferecem suporte a elas;
as pessoas que as utilizam.
Neste captulo revisaremos com um pouco mais de detalhes os diferentes tipos de ativos,
identificando tambm algumas das diversas vulnerabilidades que podem afet-los.

Pgina 31
NOTCIAS PELO MUNDO
Voc sabia que 94% das empresas que perdem seus dados desaparecem? *
Segundo um estudo realizado pela Universidade do Texas, apenas 6% das empresas que
sofrem um desastre informtico sobrevivem. Os demais 94% desaparecem, mais cedo ou
mais tarde. Pesquisas do Gartner Group, ainda que mais moderadas, confirmam essa
tendncia ao indicar que duas de cada cinco empresas que enfrentam grandes ataques ou
danos em seus sistemas deixam de existir
por isso que a Hitachi Data Systems assegura que o mercado de armazenamento de
dados crescer cerca de 12% ao ano no Chile at 2008.
Enrique Mosiejko, diretor regional da Amrica Latina Sul da Hitachi Data Systems (HDS),
explica que os dados de uma empresa podem desaparecer ou sofrer danos de muitas
formas. Devido a m administrao da informao, erros humanos, vrus, hackers,
ataques terroristas ou at mesmo desastres naturais. No Chile, por exemplo, os
terremotos e as inundaes so uma sria ameaa para os equipamentos que armazenam
a informao crtica das empresas.
Como se pode observar na notcia, importante conhecer os ativos da empresa e detectar
suas vulnerabilidades para proteger a confidencialidade, a disponibilidade e a integridade
da informao. por isso que, neste captulo, abordaremos esses temas.
*Fonte: http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35

Pgina 32
2.2 OBJETIVOS
Conhecer os diferentes tipos de ativos na empresa para identificar tudo aquilo que a
segurana da informao deveria proteger.
Detectar possveis vulnerabilidades relacionadas com esses ativos para nos
prepararmos para sua proteo.

Pgina 33
2.3 TIPOS DE ATIVOS

Os ativos so elementos que a segurana busca proteger. Os ativos possuem valor para
as empresas e, como conseqncia, precisam receber uma proteo adequada para que
seus negcios no sejam prejudicados.
So trs os elementos que compem o que chamamos de ativos:
as informaes;
os equipamentos e sistemas que oferecem suporte a elas;
as pessoas que as utilizam.
Revisaremos com um pouco mais de detalhes os diferentes tipos de ativos. Para isso,
consideramos esta classificao:
a. Informaes
b. Os equipamentos e sistemas que oferecem
suporte a elas:
b.1 Software
b.2 Hardware
b.3 Organizao
c. Pessoas que as utilizam ou usurios:
Conceito- chave
Um ativo todo elemento que manipula a informao,

inclusive ela mesma, passando pelo seu emissor, o meio pelo
qual ela transmitida ou armazenada, at chegar a seu
receptor.

Pgina 34
2.3.1 - INFORMAES
Neste grupo esto os elementos que contm informao registrada, em meio eletrnico ou
fsico. Qualquer tipo de informao, independente do tipo de meio em que esteja
armazenada, que seja importante para a empresa e seus negcios Cultura importante,
exemplos desses ativos so:
documentos
relatrios
livros
manuais
correspondncias
patentes
informaes de mercado
cdigo de programao
linhas de comando
arquivos de configurao
planilhas de remunerao de funcionrios
plano de negcios de uma empresa etc.
Possveis
vulnerabilidades
Documentos abandonados em locais pblicos, informaes

publicadas em sistemas sem proteo de acesso,
correspondncia em envelope no lacrado.

Pgina 35
2.3.2 - SOFTWARE (B1)

Este grupo de ativos contm todos os programas de computador utilizados para a
automatizao de processos, isto , acesso, leitura, trnsito, armazenamento e
processamento das informaes. Dentre eles citamos:
os aplicativos comerciais
programas institucionais
sistemas operacionais
A segurana da informao busca avaliar a forma em que as aplicaes so criadas,
como so colocadas disposio e como so utilizadas pelos usurios e pelos demais
sistemas para detectar e corrigir problemas existentes na comunicao entre eles.
Os aplicativos devero estar seguros para que a comunicao entre os bancos de dados,
outros aplicativos e os usurios ocorra de forma segura, atendendo aos princpios bsicos
da segurana da informao, a confidencialidade, a integridade e a disponibilidade
So exemplos desse tipo de ativo os sistemas operacionais (Unix, Windows, Linux, etc.),
sistemas informatizados, aplicativos especficos, programas de correio eletrnico e
sistemas de suporte, entre outros.
Possveis
vulnerabilidades
Falhas conhecidas e no reparadas que podem ser exploradas

para permitir acessos no autorizados aos computadores.
Sistema de autenticao por senha que permite o uso de senhas
em branco.

Pgina 36
2.3.2 - HARDWARE (B2)

Esses ativos representam toda a infra-estrutura tecnolgica que oferece suporte
informao durante seu uso, trnsito, processamento e armazenamento. Faz parte desse
grupo qualquer equipamento no qual se armazene, processe ou transmita as informaes
da empresa:
Possveis
vulnerabilidades
as estaes de trabalho
os servidores
os computadores portteis
os mainframes
as mdias de armazenamento
Infra-estrutura eltrica sujeita a falhas que danifiquem os

equipamentos, centros de computao sujeitos a inundaes,
computadores portteis sem vigilncia em locais pblicos.

Pgina 37
Presidente
Segurana
Financeiro
Produo
Compras
2.3.2 - ORGANIZAO (B3)

Neste grupo, esto includos os aspectos que compem a estrutura fsica e organizacional
das empresas. Refere-se organizao lgica e fsica do pessoal dentro da empresa em
questo. Como exemplos de estrutura organizacional, temos, entre outros:
a estrutura departamental e funcional
o quadro de alocao dos funcionrios
a distribuio de funes e os fluxos de informao da empresa os
servidores
Em relao ao ambiente fsico, entre outros, so considerados:
salas e armrios onde esto localizados os documentos, fototeca, sala de
servidores de arquivos
Possveis
vulnerabilidades
Localizao insegura de documentos, equipamentos ou

pessoas.
Estrutura organizacional que no permita mudanas em
termos de segurana.
Ausncia de equipe dedicada de segurana.

Pgina 38
2.4 - USURIOS
O grupo usurios refere-se aos indivduos que utilizam a estrutura tecnolgica e de
comunicao da empresa e que lidam com a informao.
O enfoque da segurana nos usurios est voltado para a formao do hbito da
segurana em todos os funcionrios de uma empresa para tomar decises e empreender
aes, desde a alta direo at os usurios finais da informao, incluindo os grupos que
mantm em funcionamento a estrutura tecnolgica, como tcnicos, operadores e
administradores de ambientes tecnolgicos.
So exemplos deste tipo de ativo:
Funcionrios da rea de contabilidade.
Direo da empresa
Possveis
vulnerabilidades
Desconhecimento dos mtodos de escolha de senhas fortes.

Resistncia de funcionrios a adotar prticas de segurana.
Descuido por parte dos usurios na manipulao da
informao.

Pgina 39
2.6 - LIES APRENDIDAS

Este captulo permitiu conhecer vrios conceitos novos de segurana da informao, o
que permitir acelerar nosso processo rumo criao de uma poltica de segurana.
Categorizamos os diferentes tipos de ativos na empresa e identificamos possveis
vulnerabilidades. Isso ajudar a saber em quais ativos deve-se dedicar mais ateno
em matria de segurana.

Pgina 40
Captulo
3
AMEAAS E PONTOS FRACOS
3.1 INTRODUO
No captulo anterior conhecemos os ativos que devemos proteger atravs de medidas de
segurana da informao. Para cada um dos grupos apresentados foram identificadas
vulnerabilidades.
Vulnerabilidades no seriam um problema se no houvesse elementos capazes de
explor-las, causando danos. Estes elementos so conhecidos como Ameaas.
Neste captulo conheceremos os diversos tipos de Ameaas que podem causar danos aos
ativos, assim como suas diferentes classificaes.
Tambm sero conhecidos os tipos de Vulnerabilidades e pontos fracos existentes nos
ativos de uma empresa.

Pgina 41
NOTCIAS PELO MUNDO
A Atos Origin, parceira tecnolgica mundial do Comit Olmpico Internacional (COI),

anunciou em Londres, no dia 17 de setembro de 2004, que a soluo de segurana
implementada na infra-estrutura tecnolgica dos Jogos Olmpicos de Atenas 2004
conseguiu resolver sem problemas os ataques de vrus e hackers ocorridos durante o
evento, garantindo a no-interrupo das transmisses e uma retransmisso precisa e em
tempo real dos resultados tanto para os meios de comunicao para o resto do mundo.
Durante os 16 dias que durou a competio, foram registrados mais de cinco milhes de
alertas de segurana nos sistemas de informao dos Jogos, dos quais 425 foram graves
e 20, crticos. Entre os invasores, encontravam-se pessoas autorizadas que pretendiam
desconectar o sistema INFO 2004 a Intranet dos Jogos Olmpicos, que oferecia os
resultados e o calendrio de provas, alm de informaes sobre os atletas , com a
finalidade de conectar os computadores portteis para obter acesso Internet. A equipe
responsvel conseguiu oferecer uma resposta rpida a todos esses alertas e evitar
acessos no-autorizados.
Devido ao enorme aumento no nmero de ataques e vrus de computador dos ltimos
anos, a Atos Origin transformou a segurana tecnolgica em sua prioridade mxima,
melhorando-a de forma significativa em relao de Salt Lake City, afirma o diretor de
tecnologia do COI, Philippe Verveer. A Atos Origin gerenciou de forma eficiente e eficaz o
grande nmero de alertas de segurana registrados durante os Jogos, garantindo que sua
infra-estrutura tecnolgica no fosse afetada.
Fonte: http://www.sema.es/noticia_extendida_home.asp?id=64
A notcia apresentada nos leva a confirmar que conhecer perfeitamente as possveis

ameaas e riscos aos quais se encontram expostos nossos ativos permite que nosso
trabalho possa se transformar em um caso de sucesso. Neste captulo, vamos examinar o
que se refere a ameaas e pontos fracos.

Pgina 42
3.2 - OBJETIVOS
Conhecer os diferentes tipos de ameaas que podem aparecer em todos os ativos da

empresa para reconhecer sua importncia e nos permitir minimizar o impacto que
geram.
Identificar os diferentes tipos de vulnerabilidades dos ativos e saber como eles podem
permitir que as ameaas alterem a disponibilidade, a confidencialidade ou a
integridade das informaes.

Pgina 43
3.3 - AS AMEAAS
Conceitochave
As ameaas so causa potencial de um incidente indesejado,

que caso se concretize pode resultar em dano. Ameaas
exploram as falhas de segurana, que denominamos pontos
fracos, e, como conseqncia, provocam perdas ou danos aos
ativos de uma empresa, afetando os seus negcios.
Os ativos esto constantemente sob ameaas que podem colocar em risco a integridade,
a confidencialidade e a disponibilidade das informaes. Essas ameaas sempre existiro
e esto relacionadas a causas que representam riscos, as quais podem ser:
causas naturais ou no-naturais
causas internas ou externas
Dessa forma, entendemos que um dos objetivos da segurana da informao impedir
que as ameaas explorem os pontos fracos e afetem um dos princpios bsicos da
segurana da informao (integridade, disponibilidade, confidencialidade), provocando
danos ao negcio das empresas.
Dados a importncia das ameaas e o impacto que elas pode ter para as informaes das
organizaes, vamos revisar agora a sua classificao.

Pgina 44
As ameaas so constantes e podem ocorrer a qualquer momento. Essa relao de

freqncia-tempo se baseia no conceito de risco, o qual representa a probabilidade de
que uma ameaa se concretize por meio de uma vulnerabilidade ou ponto fraco. Elas
podem se dividir em trs grandes grupos:
1. Ameaas naturais condies da natureza e a intemprie que podero
provocar danos nos ativos, tais como fogo, inundao, terremotos.
2. Intencionais so ameaas deliberadas, fraudes, vandalismo, sabotagens,
espionagem, invases e furtos de informaes, entre outros.
3. Involuntrias so ameaas resultantes de aes inconscientes de
usurios, por vrus eletrnicos, muitas vezes causados pela falta de
conhecimento no uso dos ativos, tais como erros e acidentes.
Entre as principais ameaas, a ocorrncia de vrus, a divulgao de senhas e a ao de
hackers esto entre as mais freqentes.
Com a importncia estratgica que vem conquistando as tecnologias da informao, os
prejuzos com as invases e incidentes na Internet provocam a cada ano um impacto mais
profundo nos negcios das empresas brasileiras.
O mercado est mais atento aos novos perigos que resultam da presena e do uso da
Internet. Sete de cada dez executivos entrevistados acreditam que haver um aumento no
nmero de problemas de segurana em 2000; 93% reconhecem a grande importncia da
proteo dos dados para o sucesso do negcio, sendo que 39% a consideram vital para o
ambiente corporativo.
O controle daquilo que ocorre nas redes corporativas foi um dos pontos mais fracos nas
empresas brasileiras. Destacamos os seguintes fatores crticos detectados pela pesquisa
a ser analisada a seguir:

Pgina 45
Somente 27% afirmam nunca ter sofrido algum tipo de ataque.

Cerca de 41% nem sequer sabem que foram invadidos, revelando o grande risco que
as organizaes correm em no conhecer os pontos fracos da intranet.
Para 85% das empresas, no foi possvel quantificar as perdas causadas por invases
ou contingncias ocorridas.
O acesso Internet por modem permitido em 38% das empresas. Este um grande
perigo indicado pela pesquisa, j que as empresas no destacaram a utilizao de
medidas de segurana para esse uso.
Setenta e cinco por cento das empresas mencionam que os vrus so a maior ameaa
segurana da informao nas empresas. Embora 93% das corporaes afirmem ter
adotado sistemas de preveno contra vrus, 48% viram seus sistemas contaminados
nos ltimos seis meses e apenas 11% das empresas entrevistadas declaram nunca ter
sido infectadas.
A divulgao de senhas foi indicada como a segunda maior ameaa segurana,
sendo mencionada por 57% das empresas. Os hackers, tradicionalmente os maiores
viles da Internet, aparecem em terceiro lugar (44%), e os funcionrios insatisfeitos
(42%) em quarto lugar.

Pgina 46
3.4 - VULNERABILIDADES
As ameaas sempre existiram e de se esperar que, medida que a tecnologia progride,
tambm surjam novas formas atravs das quais as informaes podem ficar expostas;
portanto, importante conhecer a estrutura geral de como se classificam as
vulnerabilidades ou pontos fracos que podem fazer com que essas ameaas causem
menos impactos em nossos sistemas, comprometendo os princpios da segurana da
informao.
Fsicas
Naturais
De hardware
As
vulnerabilidades
cujos ativos podem estar
expostos incluem:
De software
De meios de
armazenagem
De comunicao
Humanas

Pgina 47
As vulnerabilidades so os elementos que, ao serem explorados por ameaas, afetam a

confidencialidade, a disponibilidade e a integridade das informaes de um indivduo ou
empresa. Um dos primeiros passos para a implementao da segurana rastrear e
eliminar os pontos fracos de um ambiente de tecnologia da informao.
Ao se identificarem as vulnerabilidades ou pontos fracos, ser possvel dimensionar os
riscos aos quais o ambiente est exposto e definir as medidas de segurana apropriadas
para sua correo.
As vulnerabilidades dependem da forma como se organizou o ambiente em que se
gerenciam as informaes. A existncia de vulnerabilidades est relacionada presena
de elementos que prejudicam o uso adequado da informao e da mdia que ela est
utilizando.
Podemos compreender agora outro objetivo da segurana da informao: a correo de
vulnerabilidades ou pontos fracos existentes no ambiente em que se usa a informao,
com o objetivo de reduzir os riscos a que ela est submetida, evitando, assim, a
concretizao de uma ameaa.
Agora aprofundaremos um pouco mais a descrio de cada um desses tipos de
vulnerabilidades:
a) Vulnerabilidades fsicas
Os pontos fracos de ordem fsica so aqueles presentes

nos ambientes em que esto sendo armazenadas ou
gerenciadas as informaes.
Fsicas
Exemplo:
Como exemplo desse tipo de vulnerabilidade distinguemse os seguintes: instalaes inadequadas do espao de
trabalho, ausncia de recursos para o combate a
incndios; disposio desorganizada dos cabos de energia
e de rede, no-identificao de pessoas e de locais, entre
outros.
Esses pontos fracos, ao serem explorados por ameaas, afetam diretamente os princpios
bsicos da segurana da informao, principalmente a disponibilidade.

Pgina 48
b) Vulnerabilidades naturais
Os pontos fracos naturais so aqueles relacionados s

condies da natureza que podem colocar em risco as
informaes.
Naturais
Entre as ameaas naturais mais comuns, podemos citar:
Exemplo:
ambientes sem proteo contra incndios,
locais prximos a rios propensos a inundaes,
infra-estrutura incapaz de resistir s manifestaes da
natureza, como terremotos, maremotos, furaces, etc.
Muitas vezes, a umidade, o p e a contaminao podem provocar danos aos ativos. Por
isso, eles devem ficar protegidos para poder garantir suas funes.
A probabilidade de estar expostos s ameaas naturais fundamental na escolha e na
preparao de um ambiente. Devem ser tomados cuidados especiais com o local, de
acordo com o tipo de ameaa natural que possa ocorrer em uma determinada regio
geogrfica.
c) Vulnerabilidades de hardware
Os possveis defeitos de fabricao ou configurao dos

equipamentos da empresa que poderiam permitir o ataque ou a
alterao dos mesmos.
De hardware
Exemplo:
A falta de configurao de suportes ou equipamentos de

contingncia poderia representar uma vulnerabilidade para os
sistemas da empresa.

Pgina 49
Existem muitos elementos que representam pontos fracos do hardware. Dentre eles,
podemos mencionar:
a ausncia de atualizaes de acordo com as orientaes dos fabricantes dos
programas utilizados e
a conservao inadequada dos equipamentos.
Por isso, a segurana da informao busca avaliar:
se o hardware utilizado est dimensionado corretamente para as suas funes.
se possui rea de armazenamento suficiente, processamento e velocidade adequados.
d) Vulnerabilidades de softwares
Os pontos fracos dos aplicativos permitem que ocorram

acessos indevidos aos sistemas de computador, inclusive sem
o conhecimento de um usurio ou administrador de rede.
De software
Exemplo:
Programas de email que permitem a execuo de cdigos

maliciosos, editores de texto que permitem a execuo de
vrus de macro, etc. esses pontos fracos colocam em risco
a segurana dos ambientes tecnolgicos.
Tambm podero ter pontos fracos os programas utilizados
para edio de texto e imagem, para a automatizao de
processos e os que permitem a leitura das informaes de
uma pessoa ou empresa, como os navegadores de pginas
da Internet.
Esses aplicativos so vulnerveis a vrias aes que afetam
sua segurana, como, por exemplo, a configurao e a
instalao inadequadas, a ausncia de atualizaes,
programao insegura, etc.
Os pontos fracos relacionados ao software podero ser explorados por diversas ameaas
j conhecidas.
Dentre eles, destacamos:
A configurao e a instalao indevidas dos programas de computador, que podero
levar ao uso abusivo dos recursos por parte de usurios mal-intencionados. s vezes,
a liberdade de uso implica aumento do risco.

Pgina 50
Os aplicativos so os elementos que fazem a leitura das informaes e que permitem

que os usurios acessem determinados dados em mdia eletrnica e, por isso, se
transformam no objetivo preferido dos agentes causadores de ameaas.
Os sistemas operacionais, como Microsoft Windows e Unix , que oferecem a
interface para configurao e organizao de um ambiente tecnolgico. Esses so o
alvo dos ataques, pois, atravs deles, ser possvel realizar qualquer alterao na
estrutura de um computador ou rede.
e) Vulnerabilidades dos meios de armazenamento

Os meios de armazenamento so os suportes fsicos ou magnticos utilizados para
armazenar as informaes.
Entre os tipos de suporte ou meios de armazenamento das informaes que esto
expostos, podemos citar os seguintes:
disquetes
CD-ROMs
fitas magnticas
discos rgidos dos servidores e dos bancos de dados, bem como o que est registrado
em papel.
Portanto...
De meios de
armazenamento
Exemplos
Se os suportes que armazenam as informaes

no forem utilizados de forma adequada, seu
contedo poder estar vulnervel a uma srie de
fatores que podero afetar a integridade, a
disponibilidade e a confidencialidade das
informaes.
Os meios de armazenamento podem ser afetados
por pontos fracos que podem danific-los ou deixlos indisponveis. Dentre os pontos fracos,
destacamos os seguintes:
prazo de validade e expirao

defeito de fabricao
uso incorreto
local de armazenamento em locais insalubres
ou com alto nvel de umidade, magnetismo ou
esttica, mofo, etc.

Pgina 51
f) Vulnerabilidades de comunicao
Esse tipo de ponto fraco abrange todo o trfego de
informaes.
De comunicao
Exemplos
Onde quer que transitem as informaes, seja por cabo,

satlite, fibra ptica ou ondas de rdio, deve existir
segurana. O sucesso no trfego dos dados um
aspecto fundamental para a implementao da
segurana da informao.
A ausncia de sistemas de criptografia nas
comunicaes poderia permitir que pessoas alheias
organizao obtivessem informaes privilegiadas.
A m escolha dos sistemas de comunicao para
envio de mensagens de alta prioridade da empresa
poderia fazer com que elas no alcanassem o destino
esperado ou que a mensagem fosse interceptada no
meio do caminho.
H um grande intercmbio de dados atravs dos meios de comunicao que rompem as

barreiras fsicas, como telefone, Internet, WAP, fax, telex, etc.
Dessa forma, esses meio devero receber tratamento de segurana adequado com o
propsito de evitar que:
Qualquer falha na comunicao faa com que uma informao fique indisponvel para
os seus usurios, ou, pelo contrrio, fique disponvel para quem no possua direitos de
acesso.
As informaes sejam alteradas em seu estado original, afetando sua integridade.
Assim, a segurana da informao tambm est associada ao desempenho dos
equipamentos envolvidos na comunicao, pois se preocupa com: a qualidade do
ambiente que foi preparado para o trfego, tratamento, armazenamento e leitura das
informaes.

Pgina 52
g) Vulnerabilidades humanas
Essa categoria de vulnerabilidade relaciona-se aos danos

que as pessoas podem causar s informaes e ao
ambiente tecnolgico que lhes oferece suporte.
Humanas
Exemplo
Senhas fracas, falta de uso de criptografia na

comunicao, compartilhamento de identificadores como
nome de usurio ou credencial de acesso, entre outros.
Os pontos fracos humanos tambm podem ser intencionais ou no. Muitas vezes, os erros
e acidentes que ameaam a segurana da informao ocorrem em ambientes
institucionais. A maior vulnerabilidade o desconhecimento das medidas de segurana
adequadas que so adotadas por cada elemento do sistema, principalmente os membros
internos da empresa.
A seguir so destacados os pontos fracos humanos de acordo com seu grau de
freqncia:
a falta de capacitao especfica para a execuo das atividades inerentes s funes
de cada um,
a falta de conscincia de segurana para as atividades de rotina, os erros, omisses,
descontentamentos, etc.
No que se refere s vulnerabilidades humanas de origem externa, podemos considerar
todas aquelas que podem ser exploradas por ameaas como:
vandalismo,
fraudes,
invases, etc.

Pgina 53
3.5 - LIES APRENDIDAS

Este captulo nos forneceu a oportunidade de saber que as ameaas podem ser
divididas em trs grandes grupos: naturais, involuntrias e intencionais.
Alm disso, aprendemos que as ameaas no provm unicamente de pessoas alheias
empresa, podendo vir tambm de eventos naturais ou de erros humanos. Isso
incrementa nosso panorama em torno da segurana.
Identificamos algumas categorias dos diferentes pontos fracos ou vulnerabilidades que
possvel encontrar nos ativos da empresa.
Reconhecemos alguns exemplos dos pontos fracos e vulnerabilidades existentes em
elementos fsicos, humanos, de comunicao, entre outros. Isso nos permitiu ter uma
idia muito mais clara dos riscos que nossa empresa enfrenta.

Pgina 54
Captulo
4
RISCOS, MEDIDAS E CICLO DE SEGURANA
4.1 INTRODUO
Segundo Thomas A. Wadlow [9], A segurana dever ser proporcional ao valor do que se
est protegendo. Ou seja, a implantao do sistema de segurana da informao tem de
apresentar uma relao custo benefcio que torne a tentativa de ataque to cara que
desestimule o atacante, ao mesmo tempo em que ela mais barata do que o valor da
informao protegida.
Quando o valor do ativo que se est protegendo to alto que o dano causado ao mesmo
difcil de ser calculado, devemos assumir o valor da informao como altssimo,
imensurvel. Um exemplo a se analisar seria um receiturio de medicamentos para
pacientes internados em um hospital. Este sistema de informao lida com dados que
podem colocar em risco a vida humana caso a integridade dos dados seja corrompida,
neste caso no temos como fazer uma anlise quantitativa do impacto, pois a vida
humana tida como mais valiosa que qualquer ativo.
Mesmo no se tratando de um valor imensurvel, temos ainda os ativos que so vitais
para a empresa e aqueles que podem levar implicaes legais. Quando estamos lidando
com a anlise de valor destes bens, consideramos que o dano nos mesmos pode resultar
em grande perda de credibilidade pela empresa e at mesmo no posterior encerramento
de suas atividades.
Neste contexto, a segurana da informao a proteo da informao em si, dos
sistemas, da infra-estrutura e dos servios que a suporta, contra acidentes, roubos, erros
de manipulao, minimizando assim os impactos dos incidentes de segurana.
A identificao da real necessidade de proteo de cada ativo baseada no conceito de
Risco, que apresentado neste captulo. Uma vez identificados os maiores riscos s
informaes, sero implementadas medidas de segurana, cuja definio e classificao
tambm fazem parte deste captulo. A constante avaliao de risco e implementao de
medidas de segurana fazem parte do ciclo de segurana, que fecha o conjunto de
assuntos tratados neste mdulo.

Pgina 55
NOTCIAS PELO MUNDO
Especialistas em segurana informtica reunidos em Kuala Lumpur, na Malsia,

explicaram que problemas identificados em determinados softwares poderiam permitir
controlar o telefone de forma remota, ler a agenda dos diretores ou escutar secretamente
uma conversa. Advertiram que a ltima gerao de telefones mveis vulnervel a
ataques de hackers, segundo informou o site de notcias da BBC.
Os participantes da conferncia "Hack in the Box", realizada na capital da Malsia, foram
testemunhas de uma demonstrao dos defeitos de segurana encontrados no Java 2
Micro Edition ou J2ME, software desenvolvido em conjunto pela Sun Microsystems, Nokia,
Sony Ericsson e Motorola.
A vulnerabilidade do software, que vem includo em telefones "inteligentes" fabricados por
essas empresas, est relacionada com a maneira usada pela linguagem Java para tentar
evitar que o sistema operacional aceite ordens do exterior, ressaltou um porta-voz.
"A nova gerao de telefones, na verdade, vem com um software muito mais poderoso
dentro do sistema operacional", defendeu Dylan Andrew, o organizador do encontro.
"Encontramos novos ataques que afetam essas novas plataformas, permitindo que o
invasor, por exemplo, controle o telefone celular de forma remota, podendo at mesmo ler
a agenda dos diretores ou escutar secretamente uma conversa", acrescentou.
No entanto, o diretor de segurana sem-fio da empresa McAfee, esclareceu que o risco,
embora exista, ainda mnimo.
Fonte: http://www.laflecha.net/canales/seguridad/200410061/
Notcias como essa so comuns no mundo de hoje. Todos os dias ficamos sabendo de
possveis riscos em diferentes dispositivos ou sistemas de gesto de informao. Para
poder evitar esses riscos, necessrio conhec-los bem, alm de conhecer as medidas
de segurana necessrias para minimiz-los.

Pgina 56
4.2 OBJETIVOS
Conhecer o conceito de risco e sua implicao na segurana das informaes da

empresa.
Distinguir a diferena entre aplicar ou no medidas de segurana nos diferentes
aspectos de nossa empresa.
Compreender o que se conhece como ciclo de segurana, o que nos permitir manter
vigentes nossas aes nessa matria.

Pgina 57
4.3 RISCOS
Conceitochave
Risco a probabilidade de que as ameaas explorem os

pontos fracos, causando perdas ou danos aos ativos e
impactos
no
negcio,
ou
seja,
afetando:
a
confidencialidade, a integridade e a disponibilidade da
informao.
Conclumos que a segurana uma prtica orientada para a eliminao das

vulnerabilidades a fim de evitar ou reduzir a possibilidade de que as ameaas potenciais
se concretizem no ambiente que se deseja proteger. O principal objetivo garantir o xito
da comunicao segura, com informaes disponveis, ntegras e confidenciais, atravs de
medidas de segurana que possam tornar o negcio de um indivduo ou empresa factvel
com o menor risco possvel.

Pgina 58
4.4 MEDIDAS DE SEGURANA
Conceitochave
As medidas de segurana so aes orientadas para a

eliminao ou reduo de vulnerabilidades, com o objetivo
de evitar que uma ameaa se concretize. Essas medidas so
o primeiro passo para o aumento da segurana da
informao em um ambiente de tecnologia da informao e
devem considerar a totalidade do processo.
Como existe uma variedade de tipos de pontos fracos que afetam a disponibilidade, a
confidencialidade e a integridade das informaes, importante haver medidas de
segurana especficas para lidar com cada caso.
Antes da definio das medidas de segurana que sero adotadas, deve-se conhecer o
ambiente nos mnimos detalhes, buscando os pontos fracos existentes.

Pgina 59
Medidas globais de
segurana
Anlise de riscos
Poltica de
segurana
Especificao de
segurana
Administrao de
segurana
A partir desse conhecimento, tomam-se medidas ou realizam-se aes de segurana que

podem ser do tipo:
Preventivo: buscando evitar o surgimento de novos pontos fracos e ameaas.
Perceptivo: orientado para a revelao de atos que possam pr em risco as
informaes.
Corretivo: orientado para a correo dos problemas de segurana medida que
ocorrem.
As medidas de segurana so um conjunto de prticas que, quando integradas,
constituem uma soluo global e eficaz da segurana da informao. Entre as principais
medidas, destacamos:
Anlise de riscos;
Diretiva de segurana;
Especificao de segurana;
Administrao de segurana.
A segurana da informao deve ser garantida de forma integral e completa, por isso
muito til conhecer com um pouco mais de detalhes estas quatro medidas de segurana
que permitem nos mover desde a anlise de risco at a administrao da segurana:

Pgina 60
Anlise de riscos
uma medida que busca rastrear vulnerabilidades nos ativos que

possam ser explorados por ameaas. A anlise de riscos tem como
resultado um grupo de recomendaes para a correo dos ativos a
fim de que possam ser protegidos.
Diretiva de
segurana
uma medida que busca estabelecer os padres de segurana que

devem ser seguidos por todos os envolvidos no uso e na
manuteno dos ativos. uma forma de administrar um conjunto de
normas para guiar as pessoas na realizao de seu trabalho. o
primeiro passo para aumentar a conscincia da segurana das
pessoas, pois est orientada para a formao de hbitos, por meio
de manuais de instruo e procedimentos operacionais.
Especificaes
de segurana
So medidas que objetivam instruir a correta implementao de um

novo ambiente tecnolgico atravs do detalhe de seus elementos
constituintes e a forma como os mesmos devem estar dispostos para
atender aos princpios da segurana da informao.
So medidas integradas para produzir a gesto dos riscos de um
ambiente. A administrao da segurana envolve todas as medidas
mencionadas anteriormente, a do tipo preventiva, perceptiva e
corretiva, com base no ciclo da segurana apresentado a seguir.
Administrao da
segurana

Pgina 61
4.5 CICLO DE SEGURANA
Agora que voc j conhece todos os conceitos necessrios para compreender o que a
segurana, apresentamos a seguir o ciclo da segurana da informao, com todos os seus
conceitos bsicos.
O ciclo de segurana inicia com a identificao das ameaas que as empresas enfrentam.
A identificao das ameaas permitir a visualizao dos pontos fracos que podem ser
explorados, expondo os ativos a riscos de segurana.
Essa exposio leva a uma perda de um ou mais princpios bsicos da segurana da
informao, causando impactos no negcio da empresa, aumentando ainda mais os riscos
a que esto expostas as informaes.
Para que o impacto dessas ameaas ao negcio sejam reduzidas, necessrio tomar
medidas de segurana para impedir a ocorrncia de pontos fracos.
Acima, conclumos a definio de segurana da informao com a ilustrao do ciclo.
Como podemos ver no diagrama anterior: os riscos na segurana da empresa aumentam
medida que as ameaas conseguem explorar as vulnerabilidades e, portanto, provocar
danos nos ativos. Esses danos podem fazer com que a confidencialidade, a integridade ou
a disponibilidade da informao se percam, causando impactos no negcio da empresa.

Pgina 62
As medidas de segurana permitem diminuir os riscos e, assim, fazer com que o ciclo seja
de muito menor impacto para os ativos e, portanto, para a empresa.
Portanto, a segurana
uma atividade cujo propsito :
proteger os ativos contra acessos no-autorizados,
evitar alteraes indevidas que possam pr em risco sua integridade
maximizar a disponibilidade da informao
E instrumentada por meio de polticas e procedimentos de segurana que permitem:
a identificao e o controle de ameaas e pontos fracos, levando em considerao a
preservao da confidencialidade, integridade e disponibilidade das informaes.

Pgina 63
4.6 LIES APRENDIDAS
Identificamos como devemos visualizar os diferentes riscos aos quais nossa empresa
est exposta, o que nos permitir reduzi-los e aumentar a segurana dos ativos.
Compreendemos os diferentes tipos de medidas de segurana que podemos tomar na
empresa, sejam preventivas, perceptivas ou corretivas, aplicando-as e, assim,
diminuindo os possveis impactos ou danos resultados dos ataques.
Conhecemos o ciclo de segurana, no qual se recorre s diferentes medidas para
evitar a ocorrncia de vulnerabilidades.

Pgina 64
4.7 REFERNCIA BIBLIOGRFICA

1
Novo Dicionrio Aurlio O Dicionrio da Lngua Portuguesa edio de 1999.
Timeline of the History of Information - Geoffrey Numberg
Chappman
Security Controls for Computer Systems: Report of Defense Science Boad Task Force on
Computer Security. Editado por W. H. Ware.
5
CSC-STD-001-83 - Library No. S225,711 - Department of Defense Trusted Computer

System Evaluation Criteria - 15 August 1983.
6
An Introduction to Computer Security: The NIST Handbook Special Publication 800-12.
http://www.iso27001security.com/html/iso27000.html.
Decreto No 3.505, de 13 de junho de 2.000 Presidncia da Repblica Casa Civil.
Segurana de Redes Projeto e gerenciamento de redes seguras Thomas A. Wadlow.

Editora Campus, 2000.

Pgina 65

Segurança Informação

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Segurança Informação

Enviado por

Direitos autorais:

Formatos disponíveis

Curso Bsico de Segurana da

Introduo Segurana da Informao

Academia Latino-Americana de Segurana da Informao Curso Bsico

Apostila desenvolvida pelo Mdulo Security e revisada pelo

Reviso 1.1 Dezembro de 2006

COMO USAR ESSE MATERIAL

PERGUNTAS PARA PENSAR

Academia Latino-Americana de Segurana da Informao Curso Bsico

INTRODUO SEGURANA DA INFORMAO ............................................................................. 10

1.2 - Objetivos................................................................ Error! Bookmark not defined.

1.4.3 - Princpio da Confidencialidade da Informao ................................................. 20

1.4 .4 - Princpio da Disponibilidade das Informaes ................................................ 23

1.5 - Evoluo da segurana da Informao ............................................................... 25

2.2 Objetivos ............................................................................................................... 33

Academia Latino-Americana de Segurana da Informao Curso Bsico

2.3 Tipos de Ativos ..................................................................................................... 34

4.2 Objetivos ............................................................................................................... 57

Academia Latino-Americana de Segurana da Informao Curso Bsico

Academia Latino-Americana de Segurana da Informao Curso Bsico

NOTCIAS PELO MUNDO

Montadora de avies tem notebook roubado e pode ter informaoes expostas

Academia Latino-Americana de Segurana da Informao Curso Bsico

Conhecer os conceitos bsicos que fundamentam os estudos sobre segurana da

Academia Latino-Americana de Segurana da Informao Curso Bsico

Academia Latino-Americana de Segurana da Informao Curso Bsico

Academia Latino-Americana de Segurana da Informao Curso Bsico

NOTCIAS PELO MUNDO

Pesquisa revela falta de padres de segurana em grandes empresas

Academia Latino-Americana de Segurana da Informao Curso Bsico

Compreender os conceitos bsicos da segurana da informao para obter uma

Academia Latino-Americana de Segurana da Informao Curso Bsico

1.3 - IMPLEMENTAO DE UM SISTEMA DE SEGURANA

Podemos representar a implantao de um sistema de segurana da informao na

Academia Latino-Americana de Segurana da Informao Curso Bsico

1.4 CONCEITOS BSICOS

As organizaes necessitam da informao para tomar decises objetivando seus fins (o

A segurana da informao tem como propsito proteger as

Academia Latino-Americana de Segurana da Informao Curso Bsico

Os objetos reais ou tangveis (entendendo-os como coisas de

Para responder essas perguntas, convidamos voc a continuar revendo o contedo

Alm disso, importante que todos os funcionrios da empresa tenham conscincia de

Academia Latino-Americana de Segurana da Informao Curso Bsico

1.4.1 PRINCPIOS BSICOS DA SEGURANA DA INFORMAO

Academia Latino-Americana de Segurana da Informao Curso Bsico

1.4.2 - PRINCPIO DA INTEGRIDADE DA INFORMAO

Academia Latino-Americana de Segurana da Informao Curso Bsico

1. Alteraes do contedo dos documentos quando so realizadas inseres,

Quo importante para voc que as informaes sobre os salrios dos

Vejamos algumas observaes finais sobre o propsito que queremos alcanar ao

Buscar a integridade tentar assegurar que apenas as pessoas ou sistemas autorizados

Academia Latino-Americana de Segurana da Informao Curso Bsico

1.4.3 - PRINCPIO DA CONFIDENCIALIDADE DA INFORMAO

Academia Latino-Americana de Segurana da Informao Curso Bsico

Voc sabe quem pode ter acesso a suas informaes?

Proteger a confidencialidade um dos fatores determinantes para a segurana e uma das

Academia Latino-Americana de Segurana da Informao Curso Bsico

Como mencionado, o primeiro passo para proteger a confidencialidade das informaes

Grau de sigilo: As informaes geradas pelas pessoas tm

Dependendo do tipo de informao e do pblico para o qual se deseja colocar

Academia Latino-Americana de Segurana da Informao Curso Bsico

1.4 .4 - PRINCPIO DA DISPONIBILIDADE DAS INFORMAES

Academia Latino-Americana de Segurana da Informao Curso Bsico

A informao necessria para a tomada de decises crticas

PROTEGER A DISPONIBILIDADE DA INFORMAO