Gesto da Tecnologia da Informao

Segurana da informao

Gesto da Tecnologia da Informao

Grau de preciso/necessidade da Segurana da Informao

Organizaes fortemente dependentes da tecnologia/informao;
Servios pblicos (transparncia e obrigaes em relao aos
cidados);
Aspectos de privacidade individual ou coletiva.

Gesto da Tecnologia da Informao

Como tratar as questes relacionadas

com a
Segurana da informao

Gesto da Tecnologia da Informao

Mapear o ambiente (dimenso);

Identificar o que deve ser protegido (valor);

Estimar o valor do que dever ser protegido (risco/impacto);

Identificar os envolvidos (relacionamentos);

Definir responsabilidades (dono da informao);

Gesto da Tecnologia da Informao

Definir as aes de proteo (definies);

Orar e adquirir os recursos necessrios (custos);
Aplicar as aes e procedimentos (melhores prticas);
Medir os resultados (monitoramento);
Reviso (processos).

Gesto da Tecnologia da Informao

Conceito de Segurana da Informao

Toda ao ou poltica relacionada com a proteo de um conjunto

de dados, no sentido de preservar o valor que possuem para um
indivduo, grupo ou uma organizao como um todo.

Gesto da Tecnologia da Informao

Conceito de Segurana da Informao

a proteo de dados ou informaes: armazenados, em

processamento ou em trnsito, abrangendo a segurana dos
recursos humanos, da documentao e do material, das reas e
instalaes das comunicaes e computacional.

Gesto da Tecnologia da Informao

Principais pilares da Segurana da Informao
Confidencialidade
A informao deve estar acessvel somente por aqueles usurios
autorizados.
Integridade
A informao deve estar correta, ser verdadeira e no estar
corrompida.

Disponibilidade
A informao deve estar disponvel para todos que precisarem dela
para a realizao dos objetivos organizacionais.

Gesto da Tecnologia da Informao

Outros pilares da Segurana da Informao
Autenticidade
A garantia de que um usurio de fato quem alega ser.
No-repdio
A capacidade do sistema provar quem fez a ao, impedindo o
usurio de negar essa participao no evento.

Legalidade
A garantia de que o sistema esteja dentro da legislao pertinente
ao segmento de negcio.
Auditoria
A capacidade do sistema de auditar tudo o que foi realizado pelos
usurios, detectando fraudes ou tentativas de ataque.

Gesto da Tecnologia da Informao

Conceito de Incidente na Segurana da Informao

a ocorrncia de um evento que possa causar interrupes nos

processos de negcio em consequncia da violao de algum dos
aspectos de um sistema de informao.
Exemplos:

Desastres naturais;
Greves;
Qualquer fator que impea acesso aos sistemas.

Gesto da Tecnologia da Informao

Conceito de Ativos na Segurana da Informao

Todo e qualquer recurso que d suporte aos processos de negcio

na organizao:

Exemplos:
Fsicos: Listagens, cofre, agenda, arquivos, etc;

Tecnolgicos: Servidores, e-mail, notebook, rede, etc;

Humanos: Funcionrios e terceiros.

Gesto da Tecnologia da Informao

Conceito de Ataque

um incidente de segurana caracterizado pela existncia de um

agente que busca obter de algum tipo de retorno, atingindo algum
ativo de valor.

Gesto da Tecnologia da Informao

Conceito de vulnerabilidade
um ponto fraco de um ativo.
Os

ativos

de

informao

possuem

vulnerabilidades

ou

fraquezas que podem gerar, intencionalmente ou no, a

indisponibilidade, a quebra de confidencialidade ou integridade.
Uma vulnerabilidade pode vir a ser explorada ou no.

Gesto da Tecnologia da Informao

Conceito de Ameaa
um ataque potencial a um ativo da informao.
um agente externo que, aproveitando-se da vulnerabilidade,
poder quebrar um ou mais dos aspectos bsicos de segurana
da

informao.

Gesto da Tecnologia da Informao

Exemplos de ameaa
Fsicas: Incndio, inundao, queda de energia, etc.
Tecnolgicas: Bugs de software, defeitos, invases web, etc.

Humanas: Erro humano, fraude, descuido, sabotagem, etc.

Gesto da Tecnologia da Informao

Conceito de Probabilidade

a chance de uma falha de segurana ocorrer levando em

conta a vulnerabilidade do ativo e as ameaas que venham a
explor-la.

Gesto da Tecnologia da Informao

Conceito de Impacto

Um incidente de segurana medido pelas consequncias que

possam causar aos processos.
Ativos possuem valores diferentes, quanto maior for o valor do
ativo, maior ser o impacto de um eventual incidente que possa
ocorrer.

Gesto da Tecnologia da Informao

Conceito de Controles
Podem ser internos e externos.
Internos: aspectos da informao que devem ser observados e
os esforos para diminuio das vulnerabilidades.
Externos: preveno sobre as ameaas.

Gesto da Tecnologia da Informao

Controles Adicionais
Segmentar as informaes pela importncia (relevncia)
Definir nveis de segurana compatveis com a relevncia
Avaliar o valor da informao e o custo da proteo

Gesto da Tecnologia da Informao

Exemplo de aplicao de controles
Ativo Fsico -> Arquivo para documentos em papel
Ameaas -> Cpia ilegal de documentos, fraude, vazamento de
informaes
Vulnerabilidades -> Arquivo sem chave
Controles -> Cadeado, Alarme, Guarda.

Gesto da Tecnologia da Informao

Nveis de maturidade da Segurana da Informao

Gesto da Tecnologia da Informao

Segurana Reativa (ou fase do essencial)

Fase onde a empresa est focada apenas nas solues de

tecnologia, e onde os controles tcnicos bsicos fundamentais de

segurana da informao so implementados, destacando-se os
trs controles mais difundidos e implementados: backup, anti-

malware e firewall.

Gesto da Tecnologia da Informao

Polticas, Normas e Acordos (ou fase documental)

Fase onde ocorre um entendimento maior de que a segurana

da informao no ser administrada apenas com tecnologia;

comea-se a perceber a importncia do fator humano, jurdico e

normativo.

Gesto da Tecnologia da Informao

Anlise de Risco

Fase que tem o potencial para ser um divisor de guas na gesto

da segurana da informao da empresa. A avaliao de risco
difere da anlise de vulnerabilidade pois leva em considerao a

importncia do ativo analisado para os processos de negcio e os

objetivos da organizao.

Gesto da Tecnologia da Informao

Gesto do Risco

Fase em que no apenas a implementao de controles para

mitigar os riscos identificados na anlise de risco, mas tambm

calcular o risco residual e at mesmo permitir que a direo da

empresa aceite riscos, ou seja, formalize o conhecimento dos
riscos identificados e que no pretende no momento investir
recursos na mitigao do risco, mas conviver com o mesmo
temporariamente ou indefinidamente.

Gesto da Tecnologia da Informao

Gesto da Segurana da Informao

Fase onde se estabelece um Sistema de Gesto de Segurana da

Informao (SGSI ou ISMS) baseado em normas da famlia

27000.

Gesto da Tecnologia da Informao

Gesto da Tecnologia da Informao

Gesto da Tecnologia da Informao

Polticas de Segurana
Acesso aos sistemas
Controle de privilgios
Vrus
Ambiente de desenvolvimento
Segurana dos dados
Segurana de comunicaes

Segurana na administrao de pessoas

Segurana de pessoas
Segurana fsica do ambiente

Administrao da segurana da proteo

Gesto da Tecnologia da Informao

Ciclo de vida da Informao em relao Segurana da Informao