Você está na página 1de 78

Segurança da Informação

1º Aula
ATIVOS

Prof. Adriano Bicalho


adriano_bicalho@uol.com.br
1
“QUALQUER UM PODE SER UM
HACKER......BASTE TER UM MOTIVO”
“...não existe
SEGURANÇA 100%”
Tendências: Profissões em TI

CEO / CFO / CFO

GESTÃO TI

ADM. REDES
PROGRAMMER
REDES II

MASTER REDES I DESENVOLVIMENTO

GRAFICO WEB HARDWARE CABLING

DESIGN INFRA-ESTRUTURA

INFORMÁTICA
O Que é Segurança da Informação

5
História da Segurança da Informação
Pré-Informática
Pós-Informática
Pós-Internet (Atual)
Inteligência Artificial ?

WWW
6
Pré-Informática
Criptografia
Esteganografia
Espionagem
Juramento de Hipócrates

Hipócrates

7
Pós-Informática
Controle de acesso
Espionagem eletrônica
Segurança em Telecomunicações

8
Pós-Internet
Firewalls
Anti-vírus

9
Inteligência Artificial
Sistemas

10
Normas

O que é norma?

É um documento estabelecido por consenso e aprovado por um


organismo reconhecido, que fornece, para uso comum e
repetitivo, regras, diretrizes ou características para atividades
ou seus resultados, visando à obtenção de um grau ótimo de
ordenação em um dado contexto.
Definição internacional - Fonte: ABNT

11
ORGANIZAÇÃO ISO

O que é ISO?

Material Complementar de Estudos - (Família 27000).ppt

12
A Família ISO 27000

13
SÉRIE ISO 27000

Norma Descrição Estágio


27000 Visão Geral e Vocabulário Publicada 2009
27001 Requisitos de Sistemas de Gestão de Segurança da Informação Publicada 2005
27002 Código de prática para Gestão da Segurança da Informação Publicada 2005
Diretrizes para Implementação de Sistemas de Gestão de
27003 Segurança da Informação FDIS
27004 Métricas de Sistemas de Gestão de Segurança da Informação Publicada 2009
27005 Gestão de Riscos de Segurança da Informação Publicada 2008
Requisitos para Acreditação das Partes - Sistemas de Gestão
27006 de Segurança da Informação Publicada 2007
Diretrizes para auditar Sistemas de Gestão de Segurança da
27007 Informação DIS

27014 Governança em segurança da informação DIS

14
ATIVO
Qualquer elemento (hardware, software, pessoas)
que armazene, veicule e informações que tem valor
para o negócio da organização.

Segundo a Norma ISO 27001, tendo como fonte a ISO 13335:2004


“Ativo é qualquer coisa que tenha valor para a
organização”

Os ativos são o nosso objetivo de proteção


15
Tipos de Ativos
São exemplos de Ativos de Informação:

16
Tipos de Ativos
Intangíveis Informação
Imagem Arquivos e Base de Dados
Confiabilidade Contratos
Marca Material de Treinamento
Software
Sistemas
Físicos
Computadores
Ferramentas
Mídias
Pessoas Serviços
Empregados Sistema de Ar-Condicionado
Prestadores de serviço Comunicações

17
INFORMAÇÃO
Conceituando Informação
Dados, Informação e Informática

i
Analise de informações

Arquitetura de informações

Armazenamento

Gestão da informação

Sistema e Infra-estrutura de informação

19
DADOS E INFORMAÇÃO
Informação é o resultado do processamento, manipulação e
organização de dados de tal forma que represente uma
modificação (quantitativa ou qualitativa) no conhecimento do
sistema
(pessoa, animal ou máquina)
que a recebe.
Fonte: Wikipédia

20
CONHECIMENTO

Conhecimento é construído
a partir das informações
Platão
absorvidas, ele não pode
Sócrates
simplesmente ser inserido
em um sistema.

Aristóteles
21
Dados, Informação e Conhecimento
Foco Posição da
Época Ambiente Proteção Principal Informática

70 a 80 Mainframe Dados Confidencialidade Retaguarda

Mainframe Dados Confidencialidade Retaguarda


80 a 90 + Rede + Informação + Integridade +Administração
e Operação

Mainframe Dados Confidencialidade


90 a 2000 + Informação + Integridade Negócio
+ Rede
+ IP + Conhecimento + Disponibilidade

22
Informática
Ciência que visa ao tratamento da informação por
meio do uso de equipamentos e procedimentos da
área de processamento de dados
Fonte: Dicionário Aurélio

23
ANÁLISE DE INFORMAÇÕES
É o processo de composição e decomposição da
informação considerando seu significado num
dado contexto.

24
ARQUITETURA DE INFORMAÇÕES

Consiste no desenho de ambientes informacionais


compartilhados e resistentes à entropia, que vem a
ser o estado de desordem natural de qualquer
sistema, na ausência de uma força organizadora.

Fonte: Wikipédia

25
ARMAZENAMENTO DE INFORMAÇÕES

Armazenamento é o ato ou efeito armazenar, guardar,


juntar qualquer coisa em algum lugar de forma que seja
possível resgatá-la, consultá-la, usá-la ou consumi-la
posteriormente. Na informática, chamamos
de armazenamento o ato de
armazenar informações em algum
dispositivo físico.
Fonte: Wikipédia

26
DISPOSITIVO DE ARMAZENAMENTO
Um dispositivo de armazenamento, ou mídia, é um
hardware capaz de armazenar uma quantidade
considerável de informação.

Entendemos por hardware qualquer objeto físico que


armazena informações, como um livro, CD,
Pen Drive. Disco Rígido, etc.

27
CICLO DE VIDA DAS MÍDIAS

Por serem os meios de transmissão


e armazenamento de informações,
as mídias precisam de um cuidado
especial quanto à sua criação, transporte,
armazenamento e destruição. O critério utilizado
varia de acordo com o valor da informação que
armazenam.

28
GESTÃO DA INFORMAÇÃO

É o ato de gerir, gerência, administração


Fonte: Dicionário Aurélio

Consiste em administrar os processos, tecnologias,


pessoas e ambientes de tal maneira que a informação
esteja disponível e íntegra para quem dela necessite e
tenha permissão de acessá-la.

29
SISTEMA DE INFORMAÇÃO
Conjunto de funções interligadas que automatizam um
processo de tratamento de informação.

30
INFRAESTRUTURA DE INFORMAÇÃO

Base material, processual,


tecnológica, humana e econômica de
uma organização para o suporte às
informações

31
SEGURANÇA DA INFORMAÇÃO
Apresentação da Disciplina: SEGURANÇA

Metas:
• Planejar, gerenciar e implementar técnicas de gestão de risco.

• Integrar as visões técnicas e de negócios através do uso de metodologias.

• Conhecer os principais aspectos da segurança da informação para construir o conceito de ambiente


seguro a partir da necessidade de cada rede. – “O que é bom para um cliente pode não ser bom para
outro...”

• Conhecer as principais ferramentas de software e hardware orientadas à segurança das redes.


“Incluindo algumas ferramentas de ataques....”

• Aplicar os conhecimentos novos afim de minimizar riscos em processos críticos de negócio. Definir
plano de contingência para situações de emergência. Medidas PDCR – Preventivas, Detectivas,
Corretivas e Restauradoras
MESMO COM TUDO ISSO....
Capítulo I

Princípios e

Conceitos em

Segurança da Informação
Por que falar de Conceitos
Informação e
Segurança?

Informação
1 Ato ou efeito de informar. 2 Transmissão de notícias. 3
Instrução, ensinamento. 4 Transmissão de conhecimentos. 5
Opinião sobre o procedimento de alguém. 6 Investigação. 7
Inquérito.
Fonte: Dicionário Michaelis

Seguro (Segurança)
1 Livre de inquietações. 2 Sossegado. 3 Confiado. 4 Livre de
perigo ou não exposto a ele. 5 Que oferece segurança contra
ataques, acidentes, desastres ou danos de qualquer outra
natureza...
Fonte: Dicionário Michaelis
Por que falar de Conceitos
Informação e
Segurança?

Segurança da Informação é adotar controles


físicos, tecnológicos e humanos personalizados, que
viabilizem a redução e administração dos riscos,
levando a empresa a atingir o nível de segurança
adequado ao seu negócio.

NÃO EXISTE SEGURANÇA 100%, e SIM SEGURANÇA ACEITÁVEL PARA CADA


NEGÓCIO!
Por que falar de
Informação e
Segurança?

• Heterogeneidade tecnológica
• Volume de informações disponibilizadas
• Volume de relacionamentos com terceiros
• Volume de ativos físicos, tecnológicos e humanos
• Altos índices de conectividade e compartilhamento
• Pressão por competitividade e lucratividade
• Manutenção da credibilidade da imagem
• ...
A INFORMAÇÃO É UM ATIVO

VALIOSO! Pois…

“Tem mais vantagens quem sai a primeiro”


Informação

Possuir Informação é ganhar agilidade, competitividade,


previsibilidade, dinamismo. Informação é um diferencial!

EIS ALGUMAS INFORMAÇÕES QUE TALVES VOCE GOSTARIA DE SABER ANTES DOS OUTROS…

Eis alguns fatores onde existe a Dependência da informação

• aumento da gasolina • discurso do presidente Lula


• aumento da inflação • conflito no Oriente Médio
• precipitação de chuvas • valorização do Petróleo
• promoção da passagem aérea • tendências tecnológicas
• limite salarial para um cargo • planos do concorrente
• queda da Bovespa • oscilação da taxa de juros
• planos do seu chefe para você • plano de greve funcionários
• abandono da sua empregada • falência de uma parceira
• mudança no Código Civil • resultados do último exercício
• ... • ...
Informação vs Segurança

QUE informações precisam de segurança?

• Identidade
• CPF
• Endereço residencial
• Telefone celular
• Código da maleta
• Senha da agenda eletrônica
• Informações bancárias e senhas
• Senhas de acesso da empresa
• Número do Cartão de Crédito
• $ espécie na carteira
• $ patrimônio
• $ saldo bancário
• $ prêmio do seguro de vida e beneficiários
• Rotina e horários de trabalho

• ONDE DEIXA A CHAVE RESERVA PARA A EMPREGADA!


Informação vs Segurança

POR QUE proteger as informações?

• Por seu valor


• Pelo impacto de sua ausência
• Pelo impacto resultante de seu uso por terceiros
• Pela importância de sua existência
• Pela relação de dependência com a sua atividade
• ...

$ $ $
INFORMAÇÕES
Informação vs Segurança

QUANDO proteger as informações? – ISO-27001

Durante seu ciclo de vida

• Manuseio
• Armazenamento
• Transporte
• Descarte

Manuseio Armazenamento Transporte Descarte

INFORMAÇÕES
Informação vs Segurança

ONDE proteger as informações?

Nos ativos que as custodiam:

• Físicos
• Tecnológicos
• Humanos

FÍSICOS TECNOLÓGICAS HUMANOS


• agenda • sistema • funcionário
• sala • e-mail • parceiro
• arquivo • servidor • secretária
• cofre • notebook • porteiro
O VALOR DA INFORMAÇÃO

Ativos

Fator de Produção

44
SISTEMA DE GESTÃO DE SEGURANÇA DA
INFORMAÇÃO (SGSI)
RAZÕES PARA IMPLEMENTAR UM SGSI
“Um SGSI atua como parte de um
sistema maior de gestão de
riscos corporativos, que visa
proteger a empresa de danos
repetidos ou irreparáveis”

46
ORGANIZAÇÃO DA SEGURANÇA
A alta gestão deve patrocinar a segurança e agir
de forma exemplar
É necessário que haja um gestor responsável pelo
processo
A Equipe varia de acordo com o tamanho da
empresa

47
IMPLEMENTAÇÃO DE UM SGSI
A Organização deve criar um framework onde
agrupe as questões relativas à S.I. em grupos
de assuntos, que se conectam uns com os
outros.

48
CATEGORIAS DE SEGURANÇA
Contém:

Objetivo de Controle, indicando o


que precisa ser alcançado

Um ou mais controles que


podem ser utilizados para
alcançar este objetivo

49
A ORGANIZAÇÃO DA ISO 27002
Política de segurança da informação
Organizando a segurança da informação
Gestão de ativos
Segurança em recursos humanos
Segurança física e do ambiente
Gerenciamento das operações e comunicações
Controle de acesso
Aquisição, desenvolvimento e manutenção de sistemas de
informação
Gestão de incidentes de segurança da informação
Gestão da continuidade do negócio
Conformidade

50
GESTÃO DO SGSI (PDCA)
Sistema de Gestão de Segurança da
Informação
Plan (Desenhar o SGSI)

Do (Implementar o SGSI)

Check(Monitorar e checar)

Act (Manter e Ajustar)

51
POLÍTICA DE SEGURANÇA
Políticas são a linha mestra de todas as
atividades de Segurança da informação

Demonstram o comprometimento
da alta administração

com a segurança.

52
IMPACTO, PRIORIDADE E URGÊNCIA

Impacto – Quanto se perde?

Prioridade- Que tipo de ativo?

Urgência – Qual o prazo final?

53
DOCUMENTOS DA POLÍTICA

Diretrizes

Normas

Procedimentos

54
CLASSIFICAÇÃO DA INFORMAÇÃO
Recomenda-se o uso de três a cinco categorias de
classificação da informação.

As informações devem ser rotuladas física e


logicamente Governo Empresa
Ultra-secreto Confidencial
Secreto Restrita
Confidencial Interna
Reservado Pública
55
Case:OVNI´s no Brasil
Quais as classificações

originais dos documentos

liberados

O Que aconteceu em 2009?

56
CÓDIGO DE CONDUTA
São conjuntos de regras utilizados
pelas organizações para definir o
comportamento esperado de seus
colaboradores, e incluem em seu
escopo a segurança da informação

57
Incidente de Segurança

Qualquer evento fora da


rotina de operação que
possa causar dano aos
ativos.

O Incidente de segurança é
a materialização da
ameaça.
58
GESTÃO DE INCIDENTES
A Organização deve possuir um sistema
eficiente de gestão de incidentes onde os
colaboradores possam relatar fragilidades no
sistema ou eventos relativos à segurança

da informação.

59
ESCALONAMENTO
Funcional – Escalar atendimento para outro
colaborador com maior conhecimento

Hierárquico – Escalar para superior com


poder de decisão

60
Ciclo de vida de um incidente
Ameaças

Redução

Incidente

Repressão Recuperação

Prevenção
Avaliação
Detecção

61
A ISO 20000
Padrão formal para gerenciamento de serviços de TI
Melhores Práticas em Gerenciamento de TI, baseada no ITIL
Baseada na BS 15000, certifica organizações em melhores
práticas de TI
Trata SI em seu item 6.6.

62
GESTÃO DE MUDANÇAS
Garantir a disponibilidade do ambiente

Avaliar impacto nas proteções dos ativos

Avaliar impacto nos planos de continuidade e


recuperação de desastres

Descrita no ITIL ® e ISO 20000

63
Exercícios de Fixação
1) A Moveis Tabajara investirá 70% do orçamento de
segurança em processos e conscientização. Porque
isso?

2) Quais tipos de documentos compõem a política de


segurança da informação?

3) Qual a diferença entre evento de segurança

e incidente de segurança

64
LEIS E REGULAMENTAÇÕES
Leis e Regulamentações
Conformidade Legal

Conformidade técnica

Auditoria de sistemas

Crimes por computador

66
CONFORMIDADE
Evitar violação de qualquer lei

criminal ou civil, estatutos,


regulamentações ou
obrigações contratuais e de
quaisquer requisitos de
segurança.

67
Conformidade Legal
Direitos de propriedade intelectual

Salvaguarda de registros organizacionais

Proteção de dados e privacidade da


informação pessoal

68
DIREITOS AUTORAIS
Divulgação da política
Aquisição de Software
Conscientização
Manter registro de ativos
Controle de licenças
Inventário

69
LEGISLAÇÃO DE DADOS PESSOAIS
Proteção de dados pessoais de colaboradores
Proteção de dados de usuários

70
REGISTROS ORGANIZACIONAIS

Categorias de registros

Armazenamento e manuseio de mídias

Mudança de tecnologia

71
LEGISLAÇÃO INTERNACIONAL

Sarbanes-Oxley

Foreign Corrupt Practices Act (FCPA)

Anti-Bribary Act

Embargos comerciais

72
CONFORMIDADE TÉCNICA
Conformidade com a

política de segurança
Verificação da
conformidade técnica

73
A ISO 27002

Código de Práticas de Segurança da


Informação – ISO/IEC 27002:2005

Aceito como referência pelo código de


defesa do consumidor

74
Auditoria
Controles de auditoria de sistema
Proteção das ferramentas de auditoria de
sistemas

75
REGULAMENTAÇÃO GOVERNAMENTAL

Código do funcionalismo público

Proteção de dados públicos

76
CRIMES POR COMPUTADOR
Enquadramento em crimes comuns

Legislação de Crimes por Computador

77
OBRIGADO!

Dúvidas:
adriano_bicalho@uol.com.br

Você também pode gostar