Escolar Documentos
Profissional Documentos
Cultura Documentos
Instrutor
Formao acadmica:
Graduado em Processamento de Dados (FES-MS). MBA em Gesto de Negcios (FGVRJ). Mestrado em Cincia da Informao (PUCCAMP).
ESTAMOS SEGUROS????
Christiano German
Estamos vivenciando um tempo de mudanas, ou um intervalo na histria. Intervalo este cuja caracterstica a transformao de nossa cultura material pelos mecanismos de um novo paradigma tecnolgico que se organiza em torno da tecnologia da informao
(Castells, 1999)
Peter Drucker
Christiano German
Manuel Castells
Peter Drucker
Peter Burke
Conceitos Importantes
CONFIDENCIALIDADE
S E G U RAN A
CICLO DE VIDA DA INFORMAO
IN F O R MA O
Conceitos Importantes
IN F O R MA O
A Questo da Informao
Informao: estruturas significantes. Produo da informao: atividades relacionadas reunio, seleo, codificao, reduo, classificao e armazenamento da informao. Estoques de informao
Conceitos Importantes
IN F O R MA O
A Questo da Informao
A produo da informao segue padres de produtividade , relacionados a decises polticas e econmicas. Quem detm a propriedade dos estoques de informao determina sua distribuio e condiciona, potencialmente, a produo do conhecimento
Conceitos Importantes
Viso Sistmica Processos de Negcio
NEGCIO
Viso Empresarial Desenvolvimento de Negcios Desenvolvimento de Solues Execuo de Servios Gesto do Conhecimento Apoio Gesto Aplicaes Infra-estrutura Fsica, Tecnolgica e Humana ...
Fonte: SMOLA, 2003
IN F O R MA O
Processo de Negcio
Informao
Ativo Tecnolgico Processo de Negcio Ativo Fsico Ativo Fsico Processo de Negcio Ativo Tecnolgico Processo de Negcio Ativo Fsico
Ativo Humano
Conceitos Importantes
MANUSEIO:
Momento em que a informao criada e manipulada, seja ao folhear um mao de papis, ao digitar informaes recm-geradas, ou, ainda, ao utilizar sua senha de acesso para autenticao.
ARMAZENAMENTO:
Momento em que a informao armazenada, seja em um banco de dados compartilhado, em uma anotao de papel, ou, ainda, em uma mdia magntica ou tica depositada na gaveta da mesa de trabalho.
TRANSPORTE:
Momento em que a informao transportada, seja ao encaminhar informaes por correio eletrnico (e-mail), ao postar um documento via fax, ou, ainda, ao falar ao telefone uma informao confidencial.
DESCARTE:
Momento em que a informao descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrnico, ou ainda, ao descartar um CD-ROM usado.
Conceitos Importantes
IMAGINE...... Voc gera, em reunio, uma nova definio: informao estratgica confidencial. A mesma anotada em papel e armazenada posteriormente em um cofre adequado. No momento imediatamente posterior, voc delega secretria que digite tal informao e a envie por correio eletrnico aos envolvidos. Pense agora que, depois de completada a tarefa, a secretria proceda o descarte da informao, jogando o papel na lixeira mais prxima.
Conceitos Importantes
Conceitos Importantes
S E G U RAN A
segurana. S. f. 2. Estado, qualidade ou condio de seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convico.
Conceitos Importantes
seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitvel, incontestvel. 10. Eficaz, eficiente.
S E G U RAN A
Conceitos Importantes
SEG U RAN A DA INFORMAO
Protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio.
NBR ISO/IEC 17799, 2001.
Conceitos Importantes
CONFIDENCIALIDADE
Garantia de que o acesso informao seja obtido somente por pessoas autorizadas.
NBR ISO/IEC 17799, 2001.
Conceitos Importantes
SEG U RAN A DA INFORMAO
INTEGRIDADE
Conceitos Importantes
Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.
NBR ISO/IEC 17799, 2001.
DISPONIBILIDADE
Fatores Crticos de Sucesso - Gesto Integrada -Conscientizao da alta Administrao -Normas e Procedimentos -Implementao, certificao e administrao -Viso Estratgica -Mudana de Processos -Controle Centralizado -Problema Generalizado -Ao Corporativa -Conformidade Aproveitamento dos 3 modelos mentais anteriores
Experincias Bug do Ano 2000 Software de Gesto ERP Qualidade ISO 9000 Gesto Corporativa de Segurana da Informao Fonte: SMOLA, 2003 Temporais
Negcio
Negcio
Negcio
Sem investimento Investimento isolado Baixo nvel de segurana do negcio Aumento relativo do nvel de segurana do negcio Falsa sensao de segurana Investimento integrado Aumento real do nvel de segurana do negcio Reduo dos riscos
Fonte: SMOLA, 2003
Responsabilidades
Monitorao das principais mudanas na exposio dos ativos das informaes s principais ameaas
Comits Setoriais
Devem aplicar as medidas de segurana no mbito dos processos de negcio; Responsveis por medir os resultados, reportar novas necessidades e situaes que exponham a informao;.
PN 1
PN 2
PN 3
PN n
Aplicaes
Ativo 1
Ativo 2
Ativo 3
Ativo n
ativos fsicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de comunicao (roteadores, PABXs, fax, secretrias eletrnicas), mdia magntica (fitas e discos), outros equipamentos tcnicos (no-breaks, ar-condicionado), moblia, acomodaes; servios: computao e servios de comunicao, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade, refrigerao;
ativos de informao: base de dados e arquivos, documentao de sistema, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade, procedimentos de recuperao, informaes armazenadas; ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;
Estudo de Permetros
Estudo de Atividades
PN 1
PN 2
PN 3
PN n
Peso
$ multa
NO CONSIDERVEL
RELEVANTE
IMPORTANTE
CRTICO
VITAL
Seria muito grave para o processo de negcio em anlise se algum fato atingisse qualquer um dos conceitos e aspectos, provocando a quebra da segurana da informao? URGNCIA: Havendo quebra da segurana da informao, independentemente do conceito ou aspecto atingidos, qual seria a urgncia em solucionar os efeitos do ocorrido e em reduzir os riscos no processo de negcio em anlise?
TENDNCIA: Considerando os planos de curto, mdio e longo prazos associados evoluo do processo do negcio em anlise, qual seria sua tendncia dos riscos de segurana se nenhuma atividade preventiva ou corretiva fosse aplicada?
Gravidade
1. Sem gravidade 2. Baixa gravidade 3. Mdia gravidade 4. Alta gravidade 5. Altssima gravidade
Tendncia
1. No vai agravar 2. Vai agravar a longo prazo 3. Vai agravar a mdio prazo 4. Vai agravar a curto prazo 5. Vai agravar imediatamente
Processo de Negcio 2
Processo de Negcio 4
Processo de Negcio 7
Processo de Negcio 3
Anlise de Vulnerabilidades
A anlise das ameaas para um ambiente de tecnologia da informao, deve incluir uma anlise das vulnerabilidades associadas ao ambiente dos sistemas. O objetivo desta etapa desenvolver uma lista das vulnerabilidades dos sistemas, que podem ser exploradas pelas ameaas em potencial. (NIST Special Publication 800-30, 2001, p. 15)
Anlise de Vulnerabilidades
A vulnerabilidade um ponto no qual o sistema suscetvel a ataque. Por exemplo:
as pessoas que operam e usam os ativos de informao (elas foram treinadas adequadamente?); a conexo do sistema Internet (as comunicaes so criptografadas?); e o fato do prdio estar em uma rea sujeita a inundaes (o ativo de informao est no piso trreo do prdio?).
Anlise de Vulnerabilidades
Vulnerabilidade: Uma falha ou fraqueza encontrada no projeto, implementao, procedimentos ou controles internos dos dispositivos de segurana de um sistema de informao, que podem ser explorados (intencional ou acidentalmente) e resultar em uma quebra ou violao das polticas de segurana da informao (NIST Special Publication 800-30, 2001, p. 15).
Anlise de Vulnerabilidades
Classificao das Vulnerabilidades
As vulnerabilidades as quais os sistemas de informao esto sujeitos podem ser classificadas em: fsicas; naturais; de hardware e software; de mdia; por emanao; de comunicao; e humanas.
Anlise de Vulnerabilidades
Vulnerabilidades Fsicas
Os prdios e salas que mantm o sistema so vulnerveis podendo ser invadidos, por exemplo, atravs de arrombamento.
Anlise de Vulnerabilidades
Vulnerabilidades Naturais
Computadores so extremamente vulnerveis a desastres de ordem natural e s ameaas ambientais. Desastres como fogo, inundao, terremoto e perda de energia podem danificar computadores ou destruir dados. Poeira, umidade ou condies de temperatura inadequadas tambm podem causar estragos.
Anlise de Vulnerabilidades
Vulnerabilidades de Hardware e Software
Falhas de hardware e software podem comprometer toda a segurana de um sistema. Falhas de software ou bugs podem abrir buracos ou portas no sistema, ou ainda, faz-lo comportar-se de forma imprevista. Mesmo que individualmente os componentes de hardware e software sejam seguros, a sua instalao ou conexo inadequadas pode comprometer a segurana do sistema.
Anlise de Vulnerabilidades
Vulnerabilidades de Mdia Discos, fitas e material impresso pode ser facilmente roubado ou danificado. Informaes sensveis podem ser mantidas em discos ou fitas mesmo aps terem sido logicamente removidas, mas no fisicamente apagadas.
Anlise de Vulnerabilidades
Vulnerabilidades por Emanao Todo equipamento eletrnico emite radiao eltrica e eletromagntica. Os sinais emitidos por computadores, equipamentos de rede e monitores podem ser captados e decifrados permitindo a obteno das informaes contidas no sistema ou a inferncia sobre seu contedo.
Anlise de Vulnerabilidades
Vulnerabilidades de Comunicao Mensagens em trnsito podem ser interceptadas, desviadas ou forjadas. Linhas de comunicao podem ser escutadas ou interrompidas.
Anlise de Vulnerabilidades
Vulnerabilidades Humanas
As pessoas que administram e usam o sistema representam sua maior vulnerabilidade. Normalmente a segurana de todo o sistema est sob o controle do administrador do sistema. Os usurios, operadores ou administradores do sistema podem cometer erros que comprometam o sistema ou ainda, podem ser subornados ou coagidos a cometer atos danosos.
Anlise de Vulnerabilidades
Ativos de Informao
Servios de Segurana
Confidencialidade Vulnerabilidades Integridade Disponibilidade
Anlise de Vulnerabilidades
Perda de Integridade: a integridade perdida caso alteraes no-autorizadas sejam realizadas em dados ou informaes constantes em sistemas de T.I., por aes intencionais ou no-intencionais. O uso continuado dos dados e/ou informaes afetados poder acarretar impreciso de informaes geradas e conseqente tomada de decises errnea.
Anlise de Vulnerabilidades
Perda de Disponibilidade: se um sistema de T.I., considerado de misso crtica torna-se indisponvel para o seu usurio final, o objetivo principal (a misso) da organizao poder estar comprometida. A perda da funcionalidade e da operacionalidade de um sistema de informao pode resultar na baixa da produtividade de uma equipe de trabalho, comprometendo a misso da organizao.
Anlise de Vulnerabilidades
Perda de Confidencialidade: o impacto da descoberta no autorizada, de informaes confidenciais pode colocar em risco toda uma organizao. A revelao de tais informaes, intencionais ou no, podem causar danos que vo desde o constrangimento pblico, podendo gerar at mesmo aes de cunho legal contra a organizao (NIST Special Publication 800-30, 2001, p. 28).
A maior parte dos danos causados nos sistemas de informao surgem pela ignorncia dos seus usurios ou administradores e no por aes maliciosas.
Servios de Segurana
Confidencialidade Ameaas Integridade Disponibilidade
Definio
A origem da ameaa est altamente motivada e suficientemente capaz, e os controles para proteger a vulnerabilidade envolvida so ineficientes. A origem da ameaa est motivada e tem capacidade, mas os controles para proteo da vulnerabilidade envolvida podem impedir sua explorao. A origem da ameaa tem baixa motivao ou baixa capacidade, ou ainda, os controles existentes para proteo da vulnerabilidade envolvida so 800-30, 2001. Fonte: NIST Special Publication suficientemente capazes de impedir sua explorao.
Mdio
Baixo
...
...
Anlise de Custo/Benefcio
Aps se completar a anlise de risco, necessria a realizao de uma Anlise de Custo-Benefcio. Esta anlise consiste na determinao do custo gerado caso uma ameaa se concretize, denominado Custo da Perda, e na determinao do custo do estabelecimento de mecanismos de defesa contra a ameaa, denominado Custo da Proteo.
Anlise de Custo/Benefcio
O Custo da Perda
O clculo de custos uma tarefa complicada. Um clculo simples pode considerar apenas o custo de reparo ou substituio de um item. Clculos mais complexos podem considerar o custo de se ter o equipamento fora de uso, o custo de treinamento adicional, o custo do estabelecimento de novos procedimentos e o custo devido m publicidade.
Anlise de Custo/Benefcio
O Custo da Perda
Na prtica podem ser estabelecidos nveis de custo para a quantificao de um determinado item afetado pela ocorrncia de uma ameaa.
Por exemplo, a perda de uma dezena de fitas magnticas pode representar um custo abaixo de $500. No entanto, a ocorrncia de um incndio na sala dos computadores pode significar um custo maior que $1.000.000.
Anlise de Custo/Benefcio
O Custo da Perda
Alguns itens ainda podem ser classificados como irreparveis ou insubstituveis.
Por exemplo, a perda de todas as fitas dos backups efetuados no sistema ou a sada do funcionrio que conhecia os detalhes do sistema.
Anlise de Custo/Benefcio
O Custo da Proteo
Deve ser considerado o custo associado utilizao de mecanismos de segurana que evitem ou minimizem a ocorrncia de danos decorrentes das ameaas. Por exemplo, o custo da perda no caso de uma falha momentnea no sistema de energia pode ser apenas relativo ao tempo em que os usurios ficaram parados. No entanto, o custo da proteo pode ser o da aquisio de um sistema ininterrupto de energia.
Anlise de Custo/Benefcio
>> ?
Bens ou Recursos
...
...
CONSCIENTIZAO
TREINAMENTO
INTERMEDIRIO
EDUCAO
AVANADO
estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao.
ISO/IEC 17799, 2001
b)
d)
IDENTIFICAR AS VULNERABILIDADES RELACIONADAS AOS ATIVOS DE INFORMAO IDENTIFICADOS NOS PROCESSOS DE NEGCIO. REALIZAR, PARA CADA ATIVO DE INFORMAO, A DETERMINAO DAS AMEAAS. RELACIONAR AS AMEAAS IDENTIFICADAS S VULNERABILIDADES QUE POSSAM SER EXPLORADAS. REALIZAR A ANLISE DOS RISCOS ENVOLVIDOS. CONCLUIR PROPONDO UM CONJUNTO DE AES ESTRATGICAS EM SEGURANA DA INFORMAO PARA MINIMIZAR OS RISCOS (CONSIDERADOS ALTOS) .