Escolar Documentos
Profissional Documentos
Cultura Documentos
Gesto da infra-estrutura
atravs do ITIL e Gesto de
Segurana para T.I.
Ms. Joo Caldas Jr.
1
Sumrio
Apresentao................................................................................................4
Captulo 1 - Fundamentos de Segurana da Informao.............................4
1.1. Dados, Informao e Segurana.................................................................... 4
1.2 Evoluo da Informao................................................................................. 6
1.3 Ameaas Informao .................................................................................7
Captulo 2 - Polticas de Segurana da Informao.....................................8
2.1. Aspectos bsicos da Segurana da Informao............................................... 9
2.2. Itens que precisam ser protegidos................................................................. 9
2.3. Principais Tipos de Incidentes...................................................................... 10
2.4. Tipos de Atacantes e as Formas de Proteo................................................ 11
2.5. Polticas de Segurana: um processo de controle.......................................... 13
2.6. Criao de uma Poltica de Segurana.......................................................... 14
Captulo 3 - Gesto de Ativos.....................................................................17
3.1. Classificao e Controle dos Ativos............................................................... 17
3.2. Classificao e Gesto dos Ativos de Informao........................................... 19
Captulo 4 - Segurana em Recursos Humanos.........................................21
4.1. Garantia da Segurana da Informao para as Pessoas................................. 21
Captulo 5 - Segurana Fsica.....................................................................23
5.1. Segurana Fsica: Proteo de ativos........................................................... 23
3.2. Ameaas Segurana Fsica........................................................................ 24
3.3. Proteo contra as ameaas........................................................................ 25
3.4. Instalao e proteo de equipamentos....................................................... 26
Captulo 6 - Segurana Operacional...........................................................28
6.1. Segurana Operacional: processo contnuo................................................... 28
6.2. Separao de Ambientes: Produo, Desenvolvimento e Testes.................... 29
6.3. Terceirizao (outsourcing)....................................................................... 30
6.4. Cpias de Segurana (Backup)................................................................. 30
6.5. Segurana de Dados em Redes.................................................................... 31
Apresentao
Captulo 1 - Fundamentos de
Segurana da Informao
organizaes: a informao.
acesso e manipulao.
clssica
de
definio
far a
sua prpria
Uma
consequncia
natural
da
importncia
da
autorizados?
http://www.youtube.com/watch?v=
4smKTkeuxvg&feature=related
Captulo 2 - Polticas de
Segurana da Informao
Confidencialidade:
Confidencialidade
a
capacidade que um sistema tem de permitir que
apenas a pessoa autorizada possa ter acesso a
determinadas informaes, como a quantidade de
itens vendidos, o nvel do estoque ou o nmero de
clientes, por exemplo.
Todos
estes
mecanismos
de segurana.
Como podemos
Embora
um
sistema
100%
ocorrncia.
consequncias legais.
Ameaa
(Threat):
Usamos
geralmente
os
alguma forma.
10
na
literatura
comunidade de segurana
sobre a nomenclatura e
de acesso de outrem.
tipos
de
ou
na
atacantes
ou vandalismo.
acesso permita ao
invasor um acesso
com
direitos
administrao
de
no
entender
no
divulgar
sistema.
as
novidades
avanos
da
rea.
11
Abstrao
gerenciamento,
dificultar
agrupar
seu
elementos
individualmente.
Ocultamento de Dados (Data Hiding): Como o
prprio nome diz, a tcnica consiste em se prevenir
a exposio de determinados dados colocando-
facilitar
Layering):
podem-se
Para
ou
(Abstraction):
as
atividades
12
Outro
aspecto
importante
da
sistema
deve
falhar
negando
confidencialidade
permanecero
intactas.
dados inconsistentes,
13
formato do comit;
2.
3.
as violaes da poltica;
4. Aprovar as polticas e processos estipuladas e as
alteraes propostas.
as etapas:
14
direo.
incidentes relatados.
15
Exerccios do Captulo 2
acesso de outrem.
E.
sistema.
a)
i-E
ii-C
iii-A
iv-B
v-F
vi-D
b)
i-F
ii-C
iii-B
iv-E
v-D
vi-A
c)
i-E
ii-D
iii-B
iv-F
v-C
vi-A
ii-E
d) i-A
16
tradicionais
como
imveis,
mveis,
algumas:
Sistemas
de
gerenciamento
de
redes:
Ativos de informao:
fsicos:
computacionais,
renem
de
os
equipamentos
comunicao,
mdias
removveis;
refrigerao,
iluminao,
eletricidade;
17
ferramentas
18
Cada
informao
dentro
da
empresa
possui
mesmas.
um
determinado
evento.
passa
de
um
dos
ser
classificada
originalmente
da entrega e Desclassificada
de
responsabilidade
do
corporao.
19
Requisitos
de
Confidencialidade: Conforme
vimos
anteriormente, os proprietrios dos ativos so os
responsveis por atribuir as permisses de acesso aos
ativoserevis-lasperiodicamenteparaassegurar-sequeo
controlemaisapropriadosejaaplicadoquelainformao.
Esta classificao deve garantir que o princpio de least
privilege seja aplicado, ou seja, cada usurio somente
ter acesso ao que realmente necessita e as permisses
conferidas a este sero somente as necessrias para a
execuo de sua tarefa relacionada quela informao.
A classificao dos ativos deve ser clara e objetiva,
estando presente em todas as informaes,
independente de seu meio de armazenamento. Os
documentos eletrnicos confidenciais, por exemplo,
devem conter dispositivos como mensagens de rodap
Exerccios do Captulo 3
1) A informao por si s um ativo para as
organizaes. No entanto todos os ativos possuem um
valor que vai alm do monetrio, mas existe um nvel
de classificao importante para a organizao. Cite
pelo menos trs tipos de ativos e sua classificao.
20
Captulo 4 - Segurana em
Recursos Humanos
informao.
polticas,
normas,
bem
como
uso
de
Cada funo profissional deve ter suas
responsabilidades explicitamente definidas
e de conhecimento das pessoas que vo
exerc-la. Antes da contratao o candidato
deve entender sua funo profissional e concordar
com o papel que vai desempenhar na organizao.
As responsabilidades do cargo e suas caractersticas
devem estar definidas em um documento que descreve
as condies de contratao.
21
informao na empresa.
processo
(funcionrios,
que
acontece
fornecedores
quando
terceiros)
as
pessoas
deixam
22
Exerccios do Captulo 4
1 ) Quais os cuidados que devemos ter durante
o processo de contratao de profissionais para a
empresa?
a) V V F F
b) F F V V
antecip-las. Exemplos
c)
FVFV
incluem tempestades,
d) V F V F
23
Sistemas
de
suprimento
(utilidades):
Correspondem aos elementos que fazem a operao
funcionar e so essenciais em toda a infraestrutura
fsica. Como exemplo temos energia, comunicao,
encanamento. importante que a disposio
desses elementos esteja protegida, pois ex istem
casos conhecidos de tratores que partiram fibras
ticas subterrneas que ligavam prdios, ou um
cano estourar nas instalaes que continham
equipamentos eltricos ou mesmo num datacenter.
A energia eltrica deve ser sempre mensurada para
suportar o ambiente fsico e elementos crticos
de
uma
autorizao de acesso
para o colaborador e
E) Locais de trabalho e
processamento: So reas onde
o recurso tecnolgico propriamente dito reside, incluindo
computadores, fax, sistemas de comunicao, entre outros.
24
Para garantir a proteo devem-se revisar periodicamente as instalaes eltricas e hidrulicas, evitar
protegidas, e garantir que os equipamentos de proteo
como mangueiras e extintores de incndio, estejam em
local de fcil acesso e sejam revisados periodicamente.
acessos indevidos.
Fonte: http://www.videocontrolroom.com/home.php
25
26
seja pblica.
Como forma adicional de controle, pode-se estabelecer
limites para perodo de sada de equipamentos alm do
registro do mesmo quando da sua sada e de seu retorno.
Exerccios do Captulo 5
industrial.
Leia
sobre
notcias
ligadas
Segurana da Informao da
27
a) V V F F F
b) F F V V V
c)
VVFFV
d) V F V F F
Captulo 6 - Segurana
Operacional
http://youtu.be/9fA0eg_atMU
Caso ache interessante, leia mais sobre o tema em:
h tt p : / / w w w 2 . a n a c . g ov. b r / S G S O 2 / O s % 2 0
quatro%20componentes%20do%20SGSO.asp
28
29
suas atividades.
30
31
Exerccios do Captulo 6
controles
de
acesso
so
um
conjunto
de
32
recursos.
O controle de acesso aos recursos de informao
uma das principais tarefas do administrador de uma rede.
levando-se em conta:
33
Com
os
avanos
mais
de
um
de
autenticao
presena
segundo
fator
neste
(token,
smart
34
Exerccios do Captulo 7
de acesso?
poltica de acesso?
Captulo 8 - Conformidade
Nos dias atuais, pode-se afirmar que o que
h de mais importante no mundo corporativo
a informao. Os detentores da informao
obtm larga vantagem na disputa pelo
exigente mercado, porm s isso no basta,
imprescindvel ainda garantir a disponibilidade e
o acesso mesma. Para isso devem ser definidos
processos de conformidade e adequao s
regras de acesso e uso da informao, tema que
ser objeto deste captulo.
35
legislao.
entidades.
Nesse sentido, torna-se vlido relacionar algumas
A adoo e a implementao do
cdigo de prticas para a gesto da
segurana da informao devem estar
obrigatoriamente alinhadas s leis,
estatutos, regulamentaes ou obrigaes contratuais
inerentes, sob pena de sofrer sanes legalmente
previstas. As prticas, ainda que restritas ao universo
corporativo, em hiptese alguma devem deixar de
considerar os aspectos legais envolvidos.
difcil
compreenso
para
os
profissionais
no
36
corporaes.
37
confiabilidade
inequvoca
nas
processos de negcio.
concluses
apresentadas.
Exerccios do Captulo 8
informao,
38
Disponibilidade).
Este
processo
de
Gerente de Fornecedor
Responsvel por atender aos objetivos deste processo, cuidar da poltica de Segurana da Informao como um todo e
garantir que a mesma seja adequada e seguida por todos.
Produtos
Sistema de Gerenciamento da Segurana da Informao e Poltica do Sistema de Informao.
39
Planejamento
Implementao
Avaliao
Manuteno
Controle
40
41
Consideraes Finais
Bibliografia
ALBERTIN, Rosa; ALBERTIN, Albert. Estratgias de
ALEXANDER,
Managers
Philip.
Guide
to
Information
Thwarting
security:
Data
Thieves
organizaes.
de novembro de 2011.
42
Tecnologias e ferramentas de
FRANCO, D.H.
2011.
UFRN, 2010.
ISO/IEC
13335-1.
Information
technology
Genebra: 2004.
2005.
Professional
Stephen;
Intrusion Detection.
NOVAK,
Avenel,
Judy.
New
Network
Jersey:
Publishing, 2008.
Sams
Publishing, 2002.
de 2011.
OLIVEIRA, D. P. R.
Sistemas de informaes
Sergio F. C.
ITIL e a Segurana de
Indicaes na web:
Anual
em
Segurana
da
Informao
- Jefferson DAddario
2006.
geral do tema
http://www.youtube.com/watch?v=x3f4MbT5D9c
43