Prof. MSc.

Alan Carvalho
Princpios de Segurana da
Informao
Prof. MSc. Alan Carvalho
alan.carvalho@fatec.sp.gov.br
Licenciamento
Este material de autoria de Alan Henrique
Pardo de Carvalho e est licenciado sob a
Creative Commons Attribution-NonCommercial-
ShareAlike 3.0 Unported License.
Detalhes da licena encontram-se em
http://creativecommons.org/licenses/by-nc-sa/3.0/
Observaes iniciais
Este material no uma apostila da disciplina e
no substitui as aulas ministradas.
Trata-se apenas de algumas anotaes de aula
para facilitar o estudo.
Os tpicos abordados nas aulas podem Os tpicos abordados nas aulas podem
extrapolar o contedo deste material.
Avaliaes so baseadas nas aulas.
A atualizao deste material feita conforme a
disponibilidade do autor.
Recomenda-se leitura adicional.
Conceitos iniciais em Segurana
da Informao
Para que serve, em um ambiente
corporativo, a funo de
Segurana?
De uma forma
mais ampla, a mais ampla, a
funo de
Segurana tem
por objetivo
proteger a
organizao e
seus bens.
Requisitos bsicos de SI
Um programa de SI pode ter objetivos diversos,
mas todos eles baseiam-se em trs princpios
fundamentais:
Confidencialidade
(confidentiality) (confidentiality)
Integridade
(integrity)
Disponibilidade
(availability)
Todos os controles e mecanismos de segurana so implementados para
fornecer um ou mais desses princpios e todos os riscos, ameaas e
vulnerabilidades so medidos pelo seu potencial de comprometer um ou
mais desses princpios.
Confidencialidade
Garante que o grau necessrio
de segurana ser reforado
em cada recurso de TI de
forma a prevenir acesso no
autorizado. autorizado.
Esse nvel de confidencialidade
precisa prevalecer no apenas
enquanto os dados esto
armazenados dentro da
organizao, mas quando so
transmitidos e quando atingem
seu destino.
Integridade
obtida com a garantia de que a informao
exata, completa e que se pode prevenir ou
detectar alteraes no autorizadas.
Exata diferente de correta.
Hardware, software e meios de comunicao Hardware, software e meios de comunicao
precisam atuar de forma que os dados sejam
processados e
transmitidos sem
alteraes
inesperadas.
Disponibilidade
Garantia de que os dados e recursos estaro
disponveis para os indivduos devidamente
autorizados em um espao de tempo adequado.
Os recursos de TI precisam ter a capacidade
corretamente dimensionada para que tenham o corretamente dimensionada para que tenham o
desempenho necessrio e possam fornecer
acesso aos
usurios em
tempo hbil.
Alm desse trip...
Outros conceitos so importantes na rea de
Segurana da Informao:
No repdio
necessrio haver mecanismos
que evitem que a autoria de uma que evitem que a autoria de uma
transao eletrnica qualquer seja
repudiada, ou seja, negada.
Isso muito importante para que
se possa atribuir a
responsabilidade aos autores das
aes.
Alm desse trip...
Outros conceitos so importantes na rea de
Segurana da Informao:
Autenticidade
fundamental que as
partes envolvidas em partes envolvidas em
uma transao eletrnica
possam ter suas
identidades verificadas
de alguma maneira.
Outros conceitos em SI
Determinados termos so frequentemente
usados para representar as mesmas coisas, mas
eles tm significados diferentes e relacionam-se
de diversas maneiras.
Vulnerabilidade (vulnerability). Vulnerabilidade (vulnerability).
Ameaa (threat).
Risco (risk).
Exposio (exposure).
Contramedida ou salvaguarda (safeguard).
Vulnerabilidade
Fraqueza de software, hardware ou humana que
pode fornecer a um atacante uma porta aberta
para um computador ou para a rede e passe a ter
acesso no autorizado aos recursos dentro do
ambiente. ambiente.
Caracteriza a inexistncia ou ineficcia de uma
salvaguarda, o que pode ser explorado
(exploited).
Ameaa
qualquer perigo potencial a sistemas ou
informaes.
algum, ou algo, que identifica uma
vulnerabilidade especfica e a usa contra a
organizao ou contra indivduos. organizao ou contra indivduos.
A entidade que tira vantagem de uma
vulnerabilidade chamado de threat agent.
Risco
a probabilidade de que um threat agent explore
uma vulnerabilidade e o respectivo impacto para
a organizao.
Pode envolver aspectos tecnolgicos ou
humanos. humanos.
Exposio
O ato de estar sujeito a perdas causadas por um
threat agent.
Contramedida ou salvaguarda
algo que se faz ou se pe para mitigar os
riscos potenciais.
Inclui medidas tecnolgicas ou humanas.
Um exemplo
Se uma organizao tem software antivrus mas no
o mantm atualizado, isso uma vulnerabilidade. A
organizao est vulnervel a ataques por vrus.
A ameaa que um vrus poder aparecer no
ambiente e causar perdas e danos.
A probabilidade de um vrus aparecer no ambiente e
causar perdas e danos o risco.
Se um vrus infiltrar-se no ambiente da organizao,
ento a vulnerabilidade ter sido explorada e a
organizao estar exposta a perdas.
As contramedidas nessa situao seriam atualizar o
software antivrus em todos os computadores.