P. 1
Segurança da Informação - Conceitos

Segurança da Informação - Conceitos

|Views: 1.722|Likes:
Publicado porAndre Campos
Uma visão geral sobre segurança da informação.
Uma visão geral sobre segurança da informação.

More info:

Categories:Types, School Work
Published by: Andre Campos on Aug 31, 2010
Direitos Autorais:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

05/07/2013

pdf

text

original

Segurança da Informação

Por André Campos

Professor André Campos

Segurança da Informação
Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação.

O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos.
Este material não pode ser vendido. Seu uso é permitido sem qualquer custo. Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI.

Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando Riscos".
Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro. Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007. Professor André Campos

Conceitos básicos de SI
• Ativo de informação • Ameaça • Vulnerabilidade • Incidente

• Probabilidade
• Impacto • Risco • Incidente

Conceitos básicos de SI
Ativo de informação

A informação é elemento essencial para todos os processos de negócio da organização, sendo, portanto, um bem ou ativo de grande valor.

DADOS

INFORMAÇÃO

CONHECIMENTO

Conceitos básicos de SI
Propriedades de segurança da informação

EN CI AL IDA D

E

IN R ID TEG E AD

CO NF ID
DISPONIBILIDADE

Conceitos básicos de SI
Confidencialidade

O princípio da confidencialidade é respeitado quando apenas as pessoas explicitamente autorizadas podem ter acesso à informação.

Professor André Campos

Conceitos básicos de SI
Integridade

O princípio da integridade é respeitado quando a informação acessada está completa, sem alterações e, portanto, confiável.

Conceitos básicos de SI
Disponibilidade

O princípio da disponibilidade é respeitado quando a informação está acessível, por pessoas autorizadas, sempre que necessário.

Conceitos básicos de SI
Vulnerabilidade São as fraquezas presentes nos ativos de informação, que podem causar, intencionalmente ou não, a quebra de um ou mais dos três princípios de segurança da informação: confidencialidade, integridade, e disponibilidade.

Conceitos básicos de SI
Ameaça A ameaça é um agente externo ao ativo de informação, que aproveitando-se das vulnerabilidades deste ativo, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação suportada ou utilizada por este ativo.

Conceitos básicos de SI
Probabilidade A probabilidade é a chance de uma falha de segurança ocorrer levando-se em conta o grau das vulnerabilidades presentes nos ativos que sustentam o negócio e o grau das ameaças que possam explorar estas vulnerabilidades.

Conceitos básicos de SI
Impacto

O impacto de um incidente são as potenciais conseqüências que este incidente possa causar ao negócio da organização.

Conceitos básicos de SI
Risco

RISCO=IMPACTO*PROBABILIDADE
O risco é a relação entre a probabilidade e o impacto. É a base para a identificação dos pontos que demandam por investimentos em segurança da informação.

Conceitos básicos de SI
Incidente de Segurança da Informação

Negócio da organização
Confidencialidade

Incidente de segurança

Informação Ativos de informação

Integridade Disponibilidade

Ameaças

Vulnerabilidades

Grau ameaça

Grau vulnerabilidade

PROBABILIDADE

IMPACTO

Como implementar um sistema de segurança
Conhecer os conceitos sobre segurança da informação não significa necessariamente saber garantir esta segurança.
Muitos têm experimentado esta sensação quando elaboram seus planos de segurança e acabam não atingindo os resultados desejados.

Como implementar um sistema de segurança
Um gerente de segurança da informação de verdade trabalha com fatos, com resultados de análise e exames da organização em questão. A partir destes resultados ele estabelece um conjunto de ações coordenadas no sentido de garantir a segurança da informação; um conjunto de ações, um conjunto de mecanismos integrados entre si, de fato, um sistema de segurança da informação.

Como implementar um sistema de segurança

Como implementar um sistema de segurança

Definição do escopo

Análise do risco

Planejamento de tratamento do risco

Como implementar um sistema de segurança
Escopo
ORGANIZAÇÃO

Vendas

Produção

Recursos Humanos

Tecnologia da Informação

Escopo inicial. Escopo ampliado. Escopo final.

Como implementar um sistema de segurança
Análise de risco
Tecnologia da informação Bloqueio portas TCP Controle de acesso físico Sistema antivírus
to Al

M éd io

Firewall

Invasor interno

Manter serviços de rede

Médio

Servidor de arquivos

Invasor externo

Vírus

Servidor de correio Nobreak

Variação de energia

Como implementar um sistema de segurança
Análise de risco

Como implementar um sistema de segurança
Análise de risco
Tecnologias

Pessoas

Processos

Ambientes

Como implementar um sistema de segurança
O que fazer com o risco?

• Evitar
• Controlar • Transferir

• Aceitar

Como implementar um sistema de segurança
Declaração de aplicabilidade

Como implementar um sistema de segurança
Implementando o sistema

Planejar a implementação

Implementar

Encerrar a implementação

Controlar a implementação

Monitorando o sistema de segurança
Realizar registros

Monitorar controles Reavaliar sistema Realizar auditorias

Reavaliar riscos

Controles de segurança da informação
Política
DIRETRIZES

D1

NORMAS

N1

N2

N3

PROCEDIMENTOS

P1

P2

P3

P4

P5

P6

P7

Controles de segurança da informação
Política
Estabelecer o método de trabalho Avaliar as questões de negócio, legais e contratuais
Definições gerais Objetivos e metas Diretrizes Responsabilidades Definições de registro de incidente Frequência de revisão

Legislação Regulamento interno Contratos

Definir contexto estratégico e de risco

Critérios de risco Risco aceitável

Construir a política

Aprovar a política

Decreto 3.505 de 13 de junho de 2000.

Divulgar a política

Controles de segurança da informação
Política
FATORES INTERNOS
Ser objetiva Ser simples Ser consistente

Definir penalidades

Definir metas

Definir responsabilidades

FATORES EXTERNOS

ACESSÍVEL CONHECIDA APROVADA DINÂMICA EXEQUÍVEL

Controles de segurança da informação
Estrutura organizacional

Security Officer

ESCRITÓRIO DE SEGURANÇA DA INFORMACÃO

COMITÊ COORDENADOR

IMPLEMENTAÇÃO

AUDITORIA INTERNA

Controles de segurança da informação
Estrutura organizacional

Representação executiva

ORGANIZAÇÀO

Diretor de Recursos Humanos Diretor de Tecnologia da Informação Diretor de Vendas Diretor de Produção Diretor de Logística FÓRUM DE SEGURANÇA DA INFORMAÇÃO

Controles de segurança da informação
Classificação

Classificar envolve inventariar, definir o grau de relevância, e identificar estes ativos de informação. Decreto 4.553 de 12 de dezembro de 2003.

Controles de segurança da informação
Pessoas
As pessoas são o elemento central de um sistema de segurança da informação. Os incidentes de segurança da informação sempre envolve pessoas, quer no lado das vulnerabilidades exploradas, quer no lado das ameaças que exploram estas vulnerabilidades.

Controles de segurança da informação
Segurança física
Porta, e equipamento para digitação de senha e leitura de impressão digital

Sala dos computadores servidores

4

3 Suporte operacional

Porta, e equipamento para digitação de senha

Porta

Recepção 1

Atendimento ao cliente 2

Porta e recepcionista

Controles de segurança da informação
Gestão de operações de TI

Garantir a boa gestão das operações básicas de TI (tecnologia da informação) é essencial para a manutenção da segurança das informações que suportam os processos do negócio.

Controles de segurança da informação
Acesso lógico

É preciso elaborar uma política de controle de acesso, que apontará para os requisitos de negócio e para as regras de controle de acesso

Controles de segurança da informação
Aquisição, desenvolvimento e manutenção de sistemas

O objetivo da equipe de sistemas deve ser garantir a confidencialidade, integridade e disponibilidade das informações recebidas, processadas e disponibilizadas através dos sistemas de informação.

Controles de segurança da informação
Gestão dos incidentes

Apesar de todos os controles implementados, eventualmente ocorrerão incidentes de segurança da informação. Estes incidentes podem ser uma indicação de que alguns dos controles não estão sendo eficazes, e este é um bom motivo para reavaliar o referido controle.

Controles de segurança da informação
Continuidade do negócio organizacional Como o sistema pode garantir a continuidade do negócio, de como os controles implementados podem impedir a interrupção dos processos de negócio mesmo nos casos de incidente de segurança da informação.

Controles de segurança da informação
Conformidade legal Todo o sistema de segurança da informação, com todos os seus controles, esteja em plena harmonia e conformidade com as leis internacionais, nacionais, estaduais, municipais, e com as eventuais regulamentações internas da organização, bem como com as orientações de normatização e regulamentação do mercado.

Segurança da Informação
Por André Campos

Professor André Campos

You're Reading a Free Preview

Descarregar
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->