Segurança da Informação

Professor: Igor Maximiliano

prof.igormaximiliano@gmail.com
Apresentações
 Data

18/08/2016
08/09/2016
13/09/2016
15/09/2016
 Avaliações

Nota N 1 – 13/09/2016
8,0 Atividade em sala de aula.
2,0 Participação / Frequência.

Nota N 2 – 15/09/2016
10,0 Prova
 Apostila da Disciplina

https://goo.gl/C8zm0L
 Introdução
O que é segurança da informação?
 Segurança da informação

É a proteção das informações, sistemas,

recursos e demais ativos contra desastres,
erros(intencionais ou não).
Manipulação não autorizada e proteção de
vários tipos de ameaças para garantir a
continuidade do negócio.
 Introdução

A informação pode existir em diversos formatos:

impressa, armazenada eletronicamente, falada,
transmitida pelo correio convencional de voz ou
eletrônico etc.
 Introdução

“Não importa a forma que a informação toma,

ou os meios pelos quais ela é compartilhada ou
armazenada. Ela deve sempre ser
apropriadamente protegida”.
Introdução
 Dado
E qualquer elemento identificado em sua
forma bruta que, por si só, não conduz
uma compreensão de um determinado
fato ou situação.

“Dados são átomos da Informação ”

 Informação

São os resultados dos dados devidamente

tratados, comparados, classificados,
relacionáveis entre outros dados servindo para
tomadas de decisões .

“São os dados trabalhados, gerando a

informação”
 Conhecimento

É o conjunto de ferramentas conceituais e

categorias usada para criar, colecionar,
armazenar e compartilha a informação.

“São as informações trabalhadas ”

 Valor da Informação.
O valor da informação é determinado pelo que
a organização ou usuário dá à ela.
 Sistema da Informação

É toda combinação de meios,

procedimentos, regras é pessoas que
asseguram o fornecimento de
informações para um processo
operacional.
Sistema da Informação
 Ativos

Qualquer coisa que tenha valor para

organização e para seus negócios.
 Ativos
 Informação eletrônica;
 Documentos em papel;
 Software em uso ou em desenvolvimento;
 Hardware computadores, servidores
componentes;
 Instalações;
 Pessoas e seu conhecimento;
 Imagem e reputação da organização;
 Serviços.
 Ameaças
Qualquer coisa (o homem fez ou ato da
natureza), que tem o potencial de causar
danos aos ativos da empresa.

 Ameaças Humanas;
 Ameaças Não Humanas;
Ameaças
Ameaças Humanas
Ameaças Não Humanas
 Vulnerabilidade

Qualquer fraqueza que possa ser

explorada e comprometer a segurança do
sistema de informação.

 Vulnerabilidade = Ponto Fraco

 Vulnerabilidade

 Falta de backup
 Armazenamento Inadequado
 Falta de mecanismo de monitoramento
 Contratação
 Risco

Probabilidade de um evento ocorrer,

explorando as vulnerabilidades.
 Ataque

Qualquer ação que comprometa a

segurança de uma organização.
 Impacto

Qualquer ação que comprometa a

segurança de uma organização.
 Impacto

 Perda de clientes e contratos

 Danos a imagem •Perda de Produtividade
 Aumento no custo do trabalho para conter,
reparar e recuperar.
 Aumento de seguros
 Penalidades e multas
Princípios Básicos da segurança
da informação
 Princípios Básicos da segurança
da informação

Confidencialidade. (Confidencial, Sigilo )

É a proteção de dados contra acesso não
autorizado, inclui medidas para proteger a
privacidade.
 Princípios Básicos da segurança
da informação

Integridade. (Íntegro, Correta )

A característica da integridade é ela ser

correta e sem erros
 Princípios Básicos da segurança
da informação

Disponibilidade. (Disponível, Funcional )

Determina que os recursos estejam

disponíveis para acesso, sempre que
solicitado
Princípios Básicos da segurança
da informação
Disponibilidade - Características
 Princípios Básicos da segurança
da informação

Autenticidade. (Autêntico )

Origem e destino verificam a identidade

da outra parte envolvida na comunicação
 Princípios Básicos da segurança
da informação

Não Repúdio (Não Recusa)

Garantia que o emissor de uma

mensagem ou a pessoa que executou
determinada transação de forma
eletrônica,
 Princípios Básicos da segurança
da informação

Não Repúdio (Não Recusa)

Só se pode garantir o não-repúdio quando

houver:
AUTENTICIDADE e INTEGRIDADE.
Pilares da Segurança da Informação

Disponibilidade
É o grau em que a informação estão disponíveis para o
usuário e para o sistema de informação que esta em operação
no momento que a organização requer.
Pilares da Segurança da Informação

Características da Disponibilidade
 Pontualidade. Os sistemas de informação estão disponíveis
quando necessário;
 Continuidade. A organização pode continuar trabalhando no
caso de falha.
 Robustez. Existe capacidade suficiente , o que permite que
toda organização trabalhe no sistema.
Pilares da Segurança da Informação

Integridade
É o grau em que a informação está atualizada e sem erros. A
característica da integridade é ela ser correta e sem erros.
Pilares da Segurança da Informação

Integridade
A perda de integridade surge no momento em que uma
determinada informação fica exposta ao manuseio de uma
pessoa não autorizada, que efetua alterações que não foram
aprovadas e não estão sob controle do proprietário da
informação
Pilares da Segurança da Informação

Confidencialidade
É o grau no qual o acesso à informação é restrito para
determinados grupos de pessoas autorizadas a ter este
acesso. Isso também inclui medidas para proteger a
privacidade.
Pilares da Segurança da Informação

Confidencialidade
É o grau no qual o acesso à informação é restrito para
determinados grupos de pessoas autorizadas a ter este
acesso. Isso também inclui medidas para proteger a
privacidade.
Política da Segurança da Informação
 Política da Segurança da Informação
A política da segurança da informação é o documento maior, que inclui
documentos, procedimentos e guias do que se deve seguir e que
provem detalhes.
Deve ser escrita de acordo com os requisitos do negócio e com as
regulamentações e legislação aplicáveis, deve ser aprovada pela
direção e comunicada a todos os funcionários e partes externas
relevantes .
 Política da Segurança da Informação
E comum que a política da segurança da informação ter um estrutura
hierárquica pois várias outras politicas serão desenvolvidas tendo a
política da organização como base.
 Política da Segurança da Informação
Elabora a política da segurança da informação e uma coisa,
implementar e verificar se ela está sendo cumprida e outra.
Muitas empresas trabalha com o ciclo PDCA
P= Planejar
D = Desenvolver
C = Checar
A = Agir
Política da Segurança da Informação
Ameaças e Riscos à
Informação
 Ameaças e Riscos à
Informação
 As ameaças aproveitam das falhas de segurança da organização,
que é considerado como ponto fraco, provocando possíveis danos,
perdas e prejuízos aos negócios da empresa. Elas são constantes
podendo acontecer a qualquer momento.
 Ameaças e Riscos à
Informação
Um risco, dano ou perda de informação é determinado pela ameaças,
ou melhor, a chance desta ameaças ocorrerem e suas consequências
 Ameaças à informação
 Funcionários descontentes ou desmotivados.
 Baixa conscientização nos assuntos de segurança.
 Aumento da complexidade e eficácia das ferramentas de hacking e
dos vírus.
 E-mail
 Inexistência de planos de recuperação a desastre
 Desastre(naturais ou não, como incêndio, inundações, terremoto,
terrorismo)
 Falta de políticas e procedimentos implementados
Vulnerabilidades
 Vulnerabilidades
 São fraquezas associadas aos ativos da organização.
 Identificar e eliminar os pontos fracos de um ambiente de tecnologia
da informação é um dos primeiros passos para garantir uma melhora
na segurança da informação. Quando identificado as
vulnerabilidades, os riscos ficarão melhores dimensionados nos
locais que estão expostos, facilitando assim, a definição de uma
medida de segurança para fazer a correção.
 Vulnerabilidades
 Físicas – Instalações prediais fora do padrão;
 Hardware – Falha nos recursos tecnológicos;
 Software – Sistemas mal instalados, erros nas versões dos softwares,
falta de atualização, etc;
 Mídias – Informações que ao serem gravadas, não fazem a devida
proteção nas mesmas;
 Comunicação – Rompimento de cabos comunicação;
 Humanas – Ação humana que prejudica a segurança devido a falhas no
treinamento destas ou outras situações causadas pela ação do homem;
Impactos no negócio
 Impactos ao negócio
 Perda de clientes e contratos
 Danos a imagem
 Perda de Produtividade
 Aumento no custo do trabalho para conter, reparar e recuperar.
 Aumento de seguros
 Penalidades e multas
 Firewall

 Firewall é um software ou um hardware que verifica informações

provenientes da Internet ou de uma rede, e as bloqueia ou permite
que elas cheguem ao seu computador
 Backup
 Backup: cópia de segurança (em inglês: backup) é a cópia de dados
de uma mídia ou dispositivo de armazenamento a outro para que
possam ser restaurados em caso da perda dos dados originais, o
que pode envolver apagamentos acidentais ou corrupção erros de
hardware entre outros.
 Spam

 Spam é o termo usado para referir-se aos e-mails não solicitados,

que geralmente são enviados para um grande número de pessoas.
 Protegendo a Empresa
Definição dos termos:
 Malware: é um nome abreviado para “software malicioso” Malware é
qualquer tipo de software indesejado, instalado sem o seu devido
consentimento. Vírus , worms e cavalos de troia são exemplos de
software mal-intencionado que com frequência são agrupados e
chamados, coletivamente, de malware.
 Vírus
Programa ou parte de um programa de computador, normalmente
malicioso, que se propaga inserindo cópias de si mesmo e se tornando
parte de outros programas e arquivos. Para que o seu computador seja
infectado é preciso que um programa já infectado seja executado.
 Depende da execução do programa/arquivo hospedeiro para:
 tornar-se ativo
 dar continuidade ao processo de infecção
 Principais meios de propagação: e-mail e pen-drive
 Phishing
Phishing é uma forma de fraude eletrônica, caracterizada por
tentativas de adquirir fotos, músicas e outros dados pessoais ao se
fazer passar por uma pessoa confiável ou uma empresa enviando uma
comunicação eletrônica oficial.
“phishing” em inglês corresponde a “pescaria”), tem o objetivo de
“pescar” informações e dados pessoais importantes através de
mensagens falsas.
 Cavalo de Troia
 São programas, normalmente recebidos de forma aparentemente
inofensiva, como por exemplo, uma foto, um jogo, um cartão de
aniversário virtual etc., que, além de executar funções de fachada
para as quais foi aparentemente projetado, também executa outras
operações sem o conhecimento do usuário
 Worm
 Worm: Sua tradução literal é a melhor explicação: imagine uma
minhoca cavando um túnel pela terra. O Worm, muitas vezes
confundido com o Vírus, é um programa auto-replicante que não
necessita de outro programa para existir.
 Adware
 Adware: são programas que fazem anúncios de propaganda em seu
computador. Existem casos em que os adware são, até certo ponto,
lícitos: quando aparecem dentro de outros programas (gratuitos) a
título de patrocínio.
 Keylogger
 É um programa oculto que registra tudo que é digitado em um
computador. Geralmente instalado por meio de um Trojan.
 Spyware
Definição dos termos:
 Spyware: É o “software espião”. Geralmente, é um arquivo que é
executado de maneira oculta, coletando dados de uso do
computador e da internet do computador infectado
 Protegendo a Empresa
Tenha controle do sistema de e-mails da empresa
Diversos problemas de segurança da informação nas empresas
começam por causa de e-mails.
Um bom exemplo disso são os ataques de phishing, uma forma de
fraude eletrônica que se baseia em tentativas de adquirir, senhas,
números de cartões de crédito, entre outros dados pessoais
 Protegendo a Empresa
Instale um Antivirus em todos os computadores. Inclusive Macs.
Novas ameaças surgem a todo momento e podem vir de qualquer
lugar. E-mails, sites e mídias removíveis como pendrives e DVDs, são
alguns exemplos. Por isso, manter o software de antivírus atualizado é
essencial para a garantir a segurança da informação nas empresas,
tanto de ameaças mais comuns quanto das desconhecidas.
 Protegendo a Empresa
Confira os itens básicos de segurança nas empresas
Treinar os funcionários sobre como manter a segurança do e-mail
corporativo e transmitir boas práticas da web
Ensinar os colaboradores sobre novas ameaças, tais como malware
móvel e phishing em redes sociais.
Pedir à equipe de TI que verifique as credenciais dos colaboradores e
limite o acesso administrativo a poucos usuários.
 Protegendo a Empresa
Restrinja o uso de mídias removíveis
pendrives, CDs e DVDs podem conter algum software não autorizado
que coloca a rede da empresa em risco.
O compartilhamento de dados com pessoas de fora da companhia
pode colocar em risco as informações da empresa.
 Protegendo a Empresa
Crie senhas mais seguras
90% de senhas geradas pelos usuários estão vulneráveis a ataques,
até mesmo aquelas consideradas mais fortes pelos departamentos de
TI