Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança da Informação
Ementa
Profª. Edna
1
Segurança da Informação
Objetivo
Compreender o papel da Segurança da Informação nas
organizações, ter uma visão abrangente sobre os aspectos
que envolvem essa atividade bem como sobre os
profissionais que atuam nesta área e de seu relacionamento
com o restante da organização. Compreender a necessidade
de elaboração e aplicação de controles no que diz respeito à
Segurança Física e Lógica (incluindo acesso) dos recursos
de Tecnologia da Informação nas organizações.
Compreender as funções de Gestão da Segurança da
Informação e que estão inter-relacionadas na definição de
um planejamento global, estratégico e operacional de
Segurança da Informação nas organizações.
Profª. Edna
Segurança da Informação
Avaliação
Avaliação
N1
Prova (0-7 ptos) – 10/10/2020
Atividades (0-3 ptos)
N2
Prova (0-6 ptos) – 28/11/2020
Trabalho (0-4 ptos) - 28/11/2020
N3
Prova (0-7 ptos) – 12/12/2020
Atividades (0-3 ptos)
Profª. Edna
2
Segurança da Informação
Definições
Segurança da informação
“É a proteção da informação contra vários tipos de ameaças para
garantir a continuidade do negócio, minimizar riscos, maximizar
retorno sobre os investimentos e as oportunidade de negócios”
[ISO 27002]
Informação
Algo que se conhece e em que se baseia para racionalizar.
Marcos Sêmola
Profª. Edna
Segurança da Informação
Valor da informação
Possuir informação é ganhar agilidade, competividade, previsibilidade, dinamismo.
Informação é um diferencial (Informações úteis que podem ser usadas a seu favor ou
contra você e sua empresa).
Profª. Edna
3
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Informação é o maior patrimônio para muitas empresas por este motivo deve
ser protegida, não é uma atividade simples.
Para que seja possível obter um nível aceitável de segurança, não basta reunir um
conjunto de ferramentas de software e implementá-las. Os seus resultados
tornam-se mais eficazes quando sua atualização está dentro do contexto de um
Plano de Segurança, elaborado em conjunto pelos níveis estratégicos, tático
e operacional da empresa.
Por outro lado, com o aumento da competitividade, e visando o aumento da
qualidade dos serviços prestados, uma tendência natural nas Organizações
é o aumento da confiança e da dependência nos sistemas computacionais.
Antes, havia um conjunto de sistemas que estavam fora da rede, agora, o negócio
da empresa gira em torno de um conjunto de sistemas, todos interligados e
disponíveis 24 horas por dia em muitos casos, fazendo com que o nível de
exposição aos riscos, em muitas empresas despreparadas sob o ponto de vista da
segurança, aumente.
Profª. Edna
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Estes riscos, muitas vezes herdados da Internet, e que no passado não existiam,
agora fazem parte do dia-a-dia das empresas. Além dos riscos externos, os riscos
internos continuam fazendo parte deste cenário, que também é muito
preocupante.
É nesse momento que surge a necessidade de um Programa de Segurança da
Informação, que tem como objetivo garantir a continuidade do negócio e
minimizar os danos causados à Organização através da prevenção e redução
dos impactos gerados por incidentes de segurança.
Segurança questão-chave para às empresas oferecendo a liberdade para a
criação de novas oportunidades de negócio.
É claro que as medidas de segurança não asseguram 100% de proteção contra
todas as ameaças, mas a definição das expectativas da Organização, com
relação ao comportamento e os procedimentos necessários no manuseio dos
seus bens/ativos, deverão estar mais do que enraizados na cultura da
empresa, pois segurança não é só uma questão técnica, mas de política e
educação empresarial.
Profª. Edna
4
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Segurança da Informação é resolvida somente com softwares desenvolvidos para
segurança?
Abrangência :
Análise de Risco
Política de Segurança
Controle de Acesso Físico e Lógico
Treinamento e Conscientização para a Segurança da
Informação
Plano de Continuidade de Negócios
Entre outros.
Profª. Edna
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Dependência dos negócios
Profª. Edna
10
5
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Dependência dos negócios
Processos
“1. Método, sistema, modo de fazer uma coisa; 2. Conjunto
de manipulações para obter um resultado; 3. O conjunto
dos papéis relativos a um negócio”.
Ativos
Qualquer elemento que tenha valor para a organização
[ISO 27002];
Ameaças
Causa potencial (agente) de um incidente indesejado, que
pode resultar em dano para um sistema ou organização
Profª. Edna
11
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Fatores motivacionais
Seguir uma tendência de mercado
concorrência
Demonstrar solidez
Atrair investidores
Profª. Edna
12
6
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Retorno do investimento (Market Share, significa participação de mercado, em português, é a fatia ou quota de
mercado que uma empresa tem no seu segmento ou no segmento de um determinado produto. O Market Share serve para avaliar a força e as
dificuldades de uma empresa, além da aceitação dos seus produtos).
Profª. Edna
13
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Tendência / Ampliação do perímetro
Profª. Edna
14
7
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Desafios
Priorização
Equilíbrio
Mitigação
Profª. Edna
15
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Gestão
Profª. Edna
16
8
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Problemas
POR QUE proteger as informações?
Valor direto
Impacto de sua ausência
Impacto resultante de seu uso por terceiros
Relação de dependência com sua atividade
QUANDO proteger as informações?
Durante o ciclo de vida
Manuseio
Armazenamento
Transporte
Profª. Edna
Descarte
17
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Problemas
ONDE proteger as informações?
Nos ativos que as custodiam
Físicos
Tecnológicos
Humanos
Profª. Edna
18
9
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Problemas
O QUE proteger as informações?
Os atributos principais
Confidencialidade
Integridade
Disponibilidade
Outros aspectos – LEGALIDADE e AUTENTICIDADE
Profª. Edna
19
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Problemas
CIDAL
Confidencialidade: é uma propriedade da informação que define a dimensão do grupo de
pessoas e sistemas que necessitam possuir acesso à informação
Certeza de que o que foi dito, escrito ou falado será acessado somente por pessoas autorizadas;
Integridade: Por definição, a garantia de integridade busca evitar que TERCEIROS, ou seja,
elementos não autorizados a acessar a informação, consigam alterá-la ou corrompê-la.
Mecanismos de garantia de integridade não são eficazes quando a alteração é feita pelo elemento
que possui as credenciais para fazê-lo;
Garantia de que a informação não foi alterada (de forma indevida ou não-autorizada);
A quebra da integridade ocorre quando a informação é corrompida, falsificada ou roubada;
Disponibilidade: Este atributo está ligado a uma demanda temporal que a empresa possui para
tomada de decisões, para as quais as informações são essenciais. Se não existem, precisam ser
construídas para que uma decisão adequada possa ser tomada, e isso pode ser inviável para o
negócio. Além disso, caso as informações existam, e rápidas decisões precisam ser tomadas,
existe a demanda de alta disponibilidade, definindo a necessidade de mecanismos de redundância
de equipamentos e enlaces, replicação de bases de dados, etc
Profª. Edna
20
10
Segurança da Informação
Informações corporativas e a evolução do ambiente
computacional
Negócio
Problemas
CIDAL
Autenticidade: É considerado atributo complementar por ser necessário a todos os outros. Se a
informação é confidencial, serão necessários mecanismos auxiliares de autenticidade para
garantir que a pessoa ou sistema que está acessando a informação realmente é quem diz ser e
está autorizado a acessá-la.
Profª. Edna
21
Segurança da Informação
Atividade I
1. CIDAL
Profª. Edna
22
11
Segurança da Informação
Atividade I
2. CIDAL
Profª. Edna
23
Segurança da Informação
Atividade I
2. CIDAL
Profª. Edna
24
12
Segurança da Informação
Risco - tudo aquilo que pode afetar o negócio e impedir que este
alcance seus objetivos.
Corresponde a um grau de perda ou a possibilidade de um impacto
negativo ao negócio.
Um risco existe quando uma ameaça, com potencial para causar
algum dano, possui uma vulnerabilidade correspondente com alto
índice de probabilidade de ocorrência no ambiente computacional e
um baixo nível de proteção.
Profª. Edna
25
Segurança da Informação
Profª. Edna
26
13
Segurança da Informação
Profª. Edna
27
Segurança da Informação
Vulnerabilidades Naturais
Possibilidade de desastres naturais (incêndios, enchentes, terremotos,
tempestades);
Acúmulo de poeira, aumento de umidade e de temperatura;
Profª. Edna
28
14
Segurança da Informação
Software
Erros na instalação ou na configuração que podem acarretar acessos
indevidos;
Falhas e bugs nos Sistemas Operacionais;
Falhas em programas que implementam serviços de rede.
Profª. Edna
29
Segurança da Informação
Comunicações
Constantes falhas nos links;
Tráfego de informações confidenciais sem proteção adicional
(criptografia);
Perda de comunicação
Profª. Edna
30
15
Segurança da Informação
Profª. Edna
31
Segurança da Informação
Profª. Edna
32
16
Segurança da Informação
Profª. Edna
33
Segurança da Informação
Estratégicas de segurança
Medida Preventiva
Medida Detectiva
Medida corretiva
Profª. Edna
34
17
Segurança da Informação
Estratégicas de segurança
Medida Preventiva
Medida Detectiva
Medida corretiva
Profª. Edna
35
Segurança da Informação
Medida Detectiva
Necessidade de obter auditoria, monitoramento e detecção em
tempo real de tentativas de invasão.
Medida corretiva
Propor mecanismos para a continuidade das operações
Profª. Edna
36
18
Segurança da Informação
Profª. Edna
37
Segurança da Informação
Exemplos:
Vírus eletrônico
Funcionário insatisfeito
Software pirata na empresa
Divulgação de senhas
Espionagem industrial
Sabotagem
Etc.
Profª. Edna
38
19
Segurança da Informação
Profª. Edna
39
Segurança da Informação
Análise de risco
Processo de identificação e avaliação dos fatores de risco
presentes, e de forma antecipada no Ambiente
Organizacional, possibilitando uma visão do impacto
negativo causado ao negócio.
40
20
Segurança da Informação
Análise de risco
Este processo deve, no mínimo, proporcionar as seguintes
informações:
Pontos vulneráveis do ambiente;
Ameaças potenciais ao ambiente;
Incidentes de segurança causado pela ação de cada ameaça;
Impacto negativo para o negócio a partir de cada incidente de
segurança;
Medidas de proteção adequadas para impedir ou diminuir ou
diminuir o impacto de cada incidente.
Profª. Edna
41
Segurança da Informação
Análise de risco
Peça fundamental para a obtenção da qualidade em um
programa de segurança, pois ajudará a identificar todos
os pontos críticos e falhos de proteção em todos os
processos, configurações, documentações, enfim, tudo
que possa ser valioso para a atividade da Organização.
Profª. Edna
42
21
Segurança da Informação
Análise de risco
Questionamentos:
Que ativos devem ser protegidos?
Quais ativos críticos deverão ter proteção adicional?
Quais serviços na rede deverão estar disponíveis para os
funcionários?
Quem terá acesso a esses serviços?
Quem poderá conceder autorizações e privilégios para o acesso
aos sistemas?
Que software permitir nas estações de trabalho?
Como proceder quando programas não aprovados/piratas forem
encontrados nas estações de trabalho?
Profª. Edna
43
Segurança da Informação
Análise de risco
Abrangência
Controle de acesso aos sistemas críticos da empresa.
Análise de segurança das estações de trabalho e notebooks.
Análise de segurança física e lógica dos servidores de rede.
Análise da segurança contra contaminação por vírus.
Avaliação da configuração do firewall X Política de Segurança.
Criptografia de dados (e-mails e informações confidenciais).
Análise da política de backup.
Análise da segurança do acesso físico aos locais críticos da
empresa.
Análise da existência de softwares piratas na empresa.
Plano de Contingência.
Profª. Edna
Etc.
44
22
Segurança da Informação
Análise de risco
Os três pilares da segurança
Segurança Física.
Segurança Técnica.
Segurança Lógica.
Os três são necessários e complementares. A gerência deve ser integrada sendo que
recursos e investimentos deverão ser cuidadosamente distribuídos.
45
Segurança da Informação
Análise de risco
Classificação dos ativos
Os ativos podem ser classificados em tangíveis e intangíveis:
Tangíveis
Aplicações: software ou pacotes de aplicativos existente. Devemos analisar e
verificar quais deles causam maior impacto ao negócio do cliente.
Equipamentos: máquinas, computadores e mídias, ou seja, qualquer tipo de
equipamento que manipule informações.
Informações: tecnologias, patentes, planejamentos, senhas, pastas ou outras
informações estratégicas que devam ser protegidas.
Organização: localização dos escritórios ou áreas departamentais de importância
relevante, como por exemplo, a estrutura dos servidores.
Usuários: alta administração, administradores de rede, operadores de sistemas
críticos, prestadores de serviço e usuários chave.
Intangíveis
Imagem, reputação, credibilidade, habilidade de desenvolvimento de alguma
atividade.
Profª. Edna
46
23
Segurança da Informação
Análise de risco
Conhecendo os riscos, ameaças e vulnerabilidades poderemos tomar
4 atitudes
Aceitar: só se justifica quando o custo de implementação é maior que o impacto
negativo que o risco poderá trazer.
Diminuir: colocar em práticas ações com o objetivo de reduzir o risco.
Ignorar: Não dar nenhum tipo de importância e acreditar que nada irá acontecer.
Transferir: transferir o risco para um terceiro, criando compensações, quase
sempre menores, sobre as perdas
Profª. Edna
47
Segurança da Informação
Análise de risco
Técnicas de análise de risco
Análise subjetiva: documentos são escritos com vários cenários como base para
sessão de brainstorming”.
Análise quantitativa: orientada a mensurar os impactos financeiros provocados por
uma situação de quebra de segurança a partir da valoração dos próprios ativos.
Para cada ameaça quantificar a sua incidência. Estimar o valor dos prejuízos que
pode causar. Estimar o custo de combater a ameaça. Pesar as várias ameaças
para obter um valor final.
Análise qualitativa: orientada por critérios que permitem estimar os impactos aos
negócios provocados pela exploração de uma vulnerabilidade por parte de uma
ameaça. Baseia-se em critérios e classificações que podem pegar ao mesmo
tempo valores tangíveis e intangíveis. Esta tem se demonstrado com eficiência
superior pois abrange o processo como um todo.
Profª. Edna
48
24
Segurança da Informação
Análise de risco
Impacto
É o conceito utilizado para medir os efeitos positivos ou negativos que uma
determinada atividade pode causar.
Como impactos podemos citar:
Perda financeira; Abalo na imagem; Multas ou sanções; Perda de investidores; Prejuízo
operacional; Aumento no custo operacional; Parada no negócio da empresa; Perda de
ativos; Alteração na quantidade de pessoas para a execução do processo; Redução da
margem de lucro e etc..
Profª. Edna
49
25
Segurança da Informação
Segurança de Redes
Método GUT para análise de riscos
Mapeamento de processos
Identificar e mapear os processos internos é uma atitude que ajuda a
empresa a se tornar mais competitiva otimizando o tempo e alcançando
melhores resultados. Trata-se de uma ferramenta simples, que pode ser
adotada por organizações de qualquer porte ou área de atuação, com
inúmeros ganhos principalmente na segurança da informação. Qualquer
organização é composta por um conjunto de processos tanto de natureza
técnica como social. Estes processos são as atividades de negócio
típicas que a empresa desenvolve para gerar valor, satisfazer as
necessidades dos seus clientes e criar rendimento.
Processo
Processo é um grupo de tarefas interligadas logicamente, que utilizam os recursos
da organização para gerar os resultados definidos, de forma a apoiar os seus
objetivos. Teoricamente, a transformação que nele ocorre deve adicionar valor e
criar um resultado que seja mais útil e eficaz ao recebedor acima ou abaixo da
cadeia produtiva.
Profª. Edna
1
Segurança de Redes
Método GUT para análise de riscos
O método GUT é uma ferramenta de auxílio na priorização de ações, especialmente
quando elas não apresentam dados quantificáveis. É um trabalho em grupo e a
priorização pode ser feita utilizando consenso ou multivotação.
O consenso é obtido a partir de uma argumentação lógica acerca do grau de gravidade,
urgência e tendência das questões/problemas em análise.
Gerar consenso a partir de argumentação lógica não é tarefa simples, mas possibilita a participação
democrática, considerando a opinião de todos os participantes, com o cuidado de não perder o foco, caindo
em discussões inócuas e sem resultados.
O método da multivotação, onde cada um vota em suas prioridades em cada uma das
dimensões GUT, pode agilizar o processo, mas deve ser complementado com um
consenso debatido para priorização final dos 3 itens mais votados.
Profª. Edna
Segurança de Redes
Método GUT para análise de riscos
Matriz de G.U.T (Gravidade, Urgência e Tendência)
A prioridade das ações a serem executada pode ser encontrada utilizando a matriz de G.U.T (gravidade,
urgência e tendência). A definição da prioridade final é composta pela análise e pelo produto das 3 dimensões
do GUT (Impacto = Gravidade X Urgência x Tendência).
Dimensão gravidade
Nesta linha de análise deve ser considerada a severidade dos impactos relacionados ao
processo do negócio analisado. Por exemplo: o que seria do Telemarketing se toda a base de
dados dos clientes fosse corrompida?
Dimensão urgência
Nesta linha de análise deve ser considerado o tempo da duração dos impactos relacionados ao
processo de negócio que esta sendo analisado. Por exemplo: o que aconteceria com a empresa
do exemplo anterior se a base continuasse corrompida por mais de 07 dias?
Dimensão tendência
Nesta linha de análise deve ser considerado a oscilação dos impactos relacionados ao
processo analisado. Por exemplo: o que aconteceria com a empresa do exemplo anterior se a
base ficasse comprometida a curto, médio e longo prazo?
Profª. Edna
2
Segurança de Redes
Método GUT para análise de riscos
Como se processa:
Listar os problemas ou os pontos de análise;
Pontuar cada tópico;
Classificar os problemas;
Tomar decisões estratégicas
Classificação
Profª. Edna
Segurança de Redes
Método GUT para análise de riscos
Impacto (o responsável pelo processo é que indica os pesos)
Impacto = Gravidade x Urgência x Tendência
3
Segurança de Redes
Método GUT para análise de riscos
Exemplo:
Profª. Edna
Segurança de Redes
Método GUT para análise de riscos - Atividade
Mapeamento de riscos
Cada grupo deverá escolher 3 processos, sendo estes os principais
da empresa. Para cada processo deverão ser apontados 3 ativos.
Para cada ativo deverão ser apontadas 3 vulnerabilidades. Para
cada vulnerabilidade deverá ser apontado uma ameaça que possa
explorar esta vulnerabilidade. Para cada ameaça identificar um
método de controle mitigador da mesma. Depois aplicar o método
de GUT.
Profª. Edna
4
Segurança de Redes
Análise de Risco
Como analisar o meu risco?
Existem diversas formas de calcular o risco, tudo dependerá dos
índices a serem utilizados. Um exemplo de fórmula que poderia ser
utilizada seria fazer a seguinte equação matemática.
Risco = ((T.A X T.V X T.I)/M) onde:
R = Risco
T.A = Total das Ameaças
T.V = Total das Vulnerabilidades
T.I = Total dos Impactos
M = Medidas de Proteção
Nesta fórmula ainda poderia ser acrescentada a variável P, onde P é a
probabilidade de ocorrer o evento (vezes por ano)
((T.A X T.V X T.I)/M)*P
Profª. Edna
Segurança de Redes
Análise de Risco
Profª. Edna
10
5
Segurança de Redes
Análise de Risco
Profª. Edna
11
Segurança de Redes
Análise de Risco
Profª. Edna
12
6
Segurança de Redes
Análise de Risco
Erros comuns na Análise de Risco
Um escopo muito abrangente
Período de tempo da análise ou muito longo ou muito pequeno
Falta de comprometimento da Alta Direção
Basear-se exclusivamente em tecnologia
Basear-se exclusivamente nas pessoas
Falta de verbas para mitigação
Não conhecimento total do negócio da empresa
Falta de tempo
Profª. Edna
13
7
Segurança da Informação
Segurança da Informação
Políticas de Segurança
Profª. Edna
1
Segurança da Informação
Políticas de Segurança
Importância
Na medida em que o tempo passa, aumenta-se a dependência das empresas no
uso de computadores e sistemas. Esta dependência é necessária para que ela se
torne eficiente e a partir daí, gere mais negócios.
Diante deste cenário a Política de Segurança passa a ter uma importante função,
pois visa à proteção dos ativos da Organização para que os negócios não parem e
ocorram dentro de um ambiente harmônico e seguro.
Profª. Edna
Segurança da Informação
Políticas de Segurança
Profª. Edna
2
Segurança da Informação
Políticas de Segurança
Exemplo: Autenticação
Estratégico:
A autenticação nos sistemas de informática serão baseadas em uma senha.
Esse meio é muito utilizado por sua facilidade de implantação e manutenção e
por seu baixo custo. Infelizmente esse meio também é o mais inseguro.
Tático:
Senhas como nome de usuário, combinações simples (abc123), substantivos
(casa, meia, cadeira), datas (20130405) e outros são fáceis de descobrir.
Então aprenda a criar senha de forma coerente, observando nossa política de
senha.
As senhas terão um tempo de vida útil determinado pela equipe de segurança.
Tudo que for executado com a sua senha será de sua inteira
responsabilidade, por isso tome todas as precauções possíveis para manter
sua senha secreta.
Profª. Edna
Segurança da Informação
Políticas de Segurança
Exemplo: Autenticação
Operacional:
Uma senha segura deve conter no mínino 7 caracteres alfanuméricos (letras e
números) com diferentes caixas.
Para facilitar a memorização das senhas utilize os exemplos:
eSu6C eu Sempre uso 6 CARACTERES
Caso desconfie que sua senha não está mais segura, sinta-se à vontade para
alterá-la, mesmo antes do prazo determinado de validade.
Profª. Edna
3
Segurança da Informação
Políticas de Segurança
Profª. Edna
Segurança da Informação
Políticas de Segurança
Profª. Edna
4
Segurança da Informação
Políticas de Segurança
Procedimentos de Segurança
Um procedimento de segurança deverá possuir as características a seguir:
ser fácil de entender ou não será posto em prática;
ter sua finalidade explicada ou será ignorado;
ser implementado com energia ou exceções serão criadas e virarão regras;
possuir sanções para os violadores;
cada colaborador deverá conhecer apenas os procedimentos de segurança
que lhe dizem respeito;
deve estar documentado formalmente e incluir diretivas claras. Profª. Edna
Segurança da Informação
Políticas de Segurança
ser claro.
ser conciso.
organização.
não deve ser muito específico.
Profª. Edna
10
5
Segurança da Informação
Políticas de Segurança
Profª. Edna
11
Segurança da Informação
Políticas de Segurança
Profª. Edna
12
6
Segurança da Informação
Políticas de Segurança
Profª. Edna
13
Segurança da Informação
Políticas de Segurança
Profª. Edna
14
7
Segurança da Informação
Políticas de Segurança
Profª. Edna
15
Segurança da Informação
Políticas de Segurança
perfil executivo.
Profª. Edna
16
8
Segurança da Informação
Atividade I - Exercício 1 – Diretriz / Norma /
Procedimento
A) Criar uma descrição que represente a política no nível estratégico,
para um determinado serviço.
Profª. Edna
17
Segurança da Informação
Atividade I – Exercício 2
Relacione 10 exemplos de assuntos a serem tratados em normas que
poderão fazer parte de uma política de segurança.
Elaborem de forma macro em 15 linhas uma política que o grupo
Profª. Edna
18
9
Segurança da Informação
Atividade I – Exercício 3
Criar com no mínimo 15 linhas uma sugestão de como divulgar a
política de segurança dentro da empresa.
Deverá ser indicada e citada qualquer ajuda extra dos outros
departamentos da empresa.
Poderá ser utilizado exemplo prático vivenciado pelo aluno.
Profª. Edna
19
10
Segurança da Informação
Segurança da Informação
Classificação da Informação
Profª. Edna
1
Segurança da Informação
Classificação da Informação
Profª. Edna
Segurança da Informação
Classificação da Informação
Profª. Edna
2
Segurança da Informação
Classificação da Informação
Proteção
Quando adotamos uma visão de proteção focada nas ameaças e
Segurança da Informação
Classificação da Informação
organização;
O investimento em proteção é otimizado;
Profª. Edna
3
Segurança da Informação
Classificação da informação
Exemplos:
As informações são classificadas mediante sua necessidade de
sigilo. Porém uma organização também pode elaborar
procedimentos para classificá-las perante suas necessidades de
integridades e disponibilidades
Decreto 4.553 – Casa Cível níveis de classificação em nível federal
Cada nível de classificação é criado visando a um tipo de
informação, temos que desenvolver critérios para avaliar uma
informação
Profª. Edna
Segurança da Informação
Classificação da Informação
Profª. Edna
4
Segurança da Informação
Classificação da Informação
estabelecidos.
Profª. Edna
Segurança da Informação
Classificação da informação
Profª. Edna
10
5
Segurança da Informação
Classificação da informação
Reclassificação – Alteração no nível classificação de uma
informação . São nível de proteção mais baixa, de forma a evitar o
comprometimento da confidencialidade.
Profª. Edna
11
Segurança da Informação
Classificação da informação
Papéis de responsabilidades
Uma das principais funções da Classificação da informação é
definir e atribuir responsabilidades relacionadas a segurança
diversas pessoas dentro de uma organização . Esses papeis e
responsabilidades variam de acordo com a relação que a pessoa
tem com a informação em questão.
Proprietário da Informação – É responsabilidade do
Profª. Edna
12
6
Segurança da Informação
Classificação da informação
Custodiante – É aquele que zela pelo armazenamento e
preservação de informações que não lhe pertencem
Existe dois tipos de Custodiante :
O proprietário de Aplicação – Um profissional de perfil
técnico responsável pela administração e funcionamento
de algum sistema , cabe a ele protegê-las e garantir que
enquanto elas se encontrem sob sua responsabilidade os
requisitos da classificação em termos de proteção estejam
sendo obedecidos.
O proprietário do Processo - É a pessoa responsável
pelo processo de negócio, um exemplo é um processo de
emissão de nota fiscal , que são informações sendo
geradas e processadas ao longo do seu funcionamento.
Profª. Edna
13
Segurança da Informação
Classificação da informação
Equipe de segurança – é o ponto de apoio das unidades
de negócios de forma de desenvolver, implementar e
monitorar estratégias de segurança que atendem aos
objetivos da organização, responsável pela avaliação e
seleção de controles apropriados para oferecer as
informações os níveis de proteção exigidos por cada
classificação . Esse equipe não pode assumir a total
responsabilidade pela proteção, já que deve ser
compartilhada por todos. Cabe ela sim selecionar os
melhores controles, conscientizar os usuários a respeito do
seu uso, administrá-los e monitorá-las, além de verificar se
todos na organização colaboram com as medidas.
Profª. Edna
14
7
Segurança da Informação
Classificação da informação
Gerente de Usuários – Responde pela ação de grupos
de usuários de sua responsabilidade, além dos
funcionários reponde pela ação dos visitantes, prestadores
de serviços que fazem o uso de informações da
organização. Desempenha outro papel fundamental que é
a solicitação, transferência e revogação de IDs de acesso
para os seus funcionários.
Usuário Final – Pessoal que faz uso constante das
informações e o que mais tem contato com elas, é o
responsável pelo seguimento das recomendações de
segurança.
Profª. Edna
15
Segurança da Informação
Classificação da informação
Implementação
Identificando a situação atual
O primeiro passo é identificar quais os tipos de documentos
Profª. Edna
16
8
Segurança da Informação
Classificação da informação
Levantamentos de requisitos
Uma vez identificados os ativos, devemos levantar os
requisitos de proteção aos quais esses ativos estão sujeitos.
Além dos aspectos legais devemos levar em conta uma série
de outros detalhes que veremos a seguir:
Requisitos legais – Fator importante na identificação dos
Profª. Edna
17
Segurança da Informação
Classificação da informação
Análise de Riscos – A Analise de riso, depois dos
aspectos legais, é o passo mais importante no
levantamento dos requisitos de proteção. Os aspectos
legais são inegociáveis. Já os aspectos mapeados na
Analise e Avaliação de Riscos dependem de nosso
discernimento.
BIA – Business Impact Analysis ou Analise de
impacto de negócios – é um processo executado
normalmente durante a elaboração e um BCP/PCN
(Business Continuity Plan ou Plano de continuidade de
negócios). Sua finalidade é avaliar única e exclusividade os
estragos causados por um evento indesejado,
normalmente de grandes proporções como um furação ,
uma inundação ou um apagão .
Profª. Edna
18
9
Segurança da Informação
Classificação da informação
Valorização – Pelo nome não precisa nem comentar
muito , é tudo aquilo que tem valor para a empresa ,
exemplo o balanço financeiro antes da sua publicação , ele
tem o valor importante para os acionistas. É difícil obter
uma valorização precisa, quase sempre, apenas uma
estimativa já é suficiente escolher proteções adequadas.
Custo de Aquisição: São informações que podem ser
adquiridas, isto é comprada
Custo de recriação: É custo para produzir novamente
uma documentação, como um relatório, caso ele tenha
sido perdido de uma maneira definitiva
Profª. Edna
19
Segurança da Informação
Classificação da informação
Vantagem competitiva: Permite que uma organização
tenha vantagem sobre outra em uma situação de
competição. Situações que pode ser uma lançamento de
um produto, um Home Site, pesquisa de mercado etc.
Nesse caso o valor da informação é normalmente avaliado
perante o comprimento de sua confidencialidade. Existem
muitas formas de estimar os prejuízos da divulgação não
autorizada
Desenvolvendo a Política de classificação da Informação
Uma vez levantados os requisitos que auxiliam na elaboração das
classificações, o passo seguinte é elaborar a Política de CI, Ao
elaborarmos a política, convém analisar as recomendações da NBR
ISO /IEC 17799:2005 no que tange ‘A classificação da informação
, Essas recomendações se encontram na Seção 7.2
Profª. Edna
20
10
Segurança da Informação
Segurança da Informação
Profª. Edna
1
Segurança da Informação
Antes e Depois
Antes da existência dos computadores e sistemas os dados
dos indivíduos eram mantidos e protegidos como registros de
papel, dispersos entre os deptos da organização.
Profª. Edna
Segurança da Informação
Profª. Edna
2
Segurança da Informação
Profª. Edna
Segurança da Informação
(1) Desastres
(2) Violações da segurança
(3) Erros administrativos
Profª. Edna
3
Segurança da Informação
Preocupações - Desastre
Destruição de hardware, software e dados por incêndio,
interrupção da energia, furacões, etc
Profª. Edna
Segurança da Informação
Preocupações - Erros
Profª. Edna
4
Segurança da Informação
Profª. Edna
Segurança da Informação
Auditoria
Identifica todos os controles que governam os sistemas de
informação individuais e avalia sua eficácia
Objetivo
Validar e avaliar os controles internos de Sistemas
Validar a eficácia do sistema
Reunir, agrupar e validar evidências
Garantir a segurança (física e lógica) da Informação e sistema
Profª. Edna
10
5
Segurança da Informação
Auditoria
Tipos de abordagem de auditorias de sistemas
Ao redor do computador:
Trabalha com documentos de entrada e saída;
Não necessita profundo conhecimento em TI;
Vantagens: baixo custo
Desvantagens: Incompleta, poucos parâmetros
Através do computador:
Envolve aprovação e registro de transações;
Utiliza técnicas de verificação;
Vantagens: aprofundado validação e apontamentos;
Desvantagens: alto custo
Profª. Edna
11
Segurança da Informação
Auditoria
Principais tipos de auditorias de sistemas
Profª. Edna
12
6
Segurança da Informação
Auditoria
Principais tipos de auditorias de sistemas
13
Segurança da Informação
Auditoria
Principais tipos de auditorias de sistemas
Profª. Edna
14
7
Segurança da Informação
Profª. Edna
15
Segurança da Informação
Aplicações web - Segurança
16
8
Segurança da Informação
Aplicações web - Segurança
Profª. Edna
17
Segurança da Informação
Aplicações web - Segurança
OWASP Top 10
Objetivo
educar desenvolvedores, projetistas, arquitetos, gestores e
organizações sobre as consequências das mais importantes
vulnerabilidades de segurança de aplicações web.
Profª. Edna
18
9
Segurança da Informação
Aplicações web - Segurança
Profª. Edna
19
Segurança da Informação
Aplicações web - Segurança
A1 – Injeção de código
As falhas de Injeção, tais como injeção de SQL, de Sistema
Operacional e de LDAP, ocorrem quando dados não confiáveis
são enviados para um interpretador como parte de um comando
ou consulta. Os dados manipulados pelo atacante podem iludir o
interpretador para que este execute comandos indesejados ou
permita o acesso a dados não autorizados.
Profª. Edna
20
10
Segurança da Informação
Aplicações web - Segurança
Profª. Edna
21
Segurança da Informação
Aplicações web - Segurança
Profª. Edna
22
11
Segurança da Informação
Aplicações web - Segurança
Profª. Edna
23
Segurança da Informação
Aplicações web - Segurança
Profª. Edna
24
12
Segurança da Informação
Aplicações web - Segurança
A6 – Má Configuração de Segurança
Configurações padrão inseguras (às vezes de fábrica),
configurações incompletas das aplicações e de seus
componentes, armazenamento em nuvem aberta
(economia “de baixa inteligência”), cabeçalhos HTTP mal
configurados e mensagens de erro contendo informações
confidenciais não possuem justificativa aceitável, pois,
violam os 3 (três) pilares da SI diretamente.
“next next finish”.
Profª. Edna
25
Segurança da Informação
Introdução – Cloud Computer
Infraestrutura cloud
Conjunto de recursos de hardware e software que são
fornecidos como serviços aos consumidores.
Características
Auto provisionamento
Acesso universal
Grupo de recursos
Elasticidade
Serviço mensurável
Profª. Edna
26
13
Segurança da Informação
Introdução – Cloud Computer
Profª. Edna
27
Segurança da Informação
Introdução – Cloud Computer
Profª. Edna
28
14
Segurança da Informação
Introdução – Cloud Computer
Profª. Edna
29
Segurança da Informação
Introdução – Cloud Computer
Profª. Edna
30
15
Segurança da Informação
Introdução – Cloud Computer
Modelos de serviços
IaaS, PaaS e SaaS
Profª. Edna
31
Segurança da Informação
Introdução – Cloud Computer
Pública
Profª. Edna
32
16
Segurança da Informação
Introdução – Cloud Computer
Pública
Benefícios
Baixo custo com recursos de TI
Escalabilidade
Preocupações
Disponibilidade da rede
Riscos com multi-tenancy
Pouco ou nenhum controle sobre os recursos e dados
Profª. Edna
33
Segurança da Informação
Introdução – Cloud Computer
Privada
Infraestrutura de nuvem está configurada para uso exclusivo
de uma organização;
Há duas variantes:
Local ou Interna
Hospedagem externa
Profª. Edna
34
17
Segurança da Informação
Introdução – Cloud Computer
Privada
Privada Local ou Interna
Profª. Edna
35
Segurança da Informação
Introdução – Cloud Computer
Privada
Privada hospedagem externa
Profª. Edna
36
18
Segurança da Informação
Introdução – Cloud Computer
Comunidade
Provisionada para uso exclusivo por uma comunidade
específica de consumidores com objetivos ou requisitos
comuns
Missão, segurança, política, etc.
Há duas variante:
Comunidade local ou interna
Comunidade hospedada externamente
Profª. Edna
37
Segurança da Informação
Introdução – Cloud Computer
Comunidade
Comunidade Local ou Interna
Profª. Edna
38
19
Segurança da Informação
Introdução – Cloud Computer
Comunidade
Comunidade hospedada externamente
Profª. Edna
39
Segurança da Informação
Introdução – Cloud Computer
Híbrida
Profª. Edna
40
20
Segurança da Informação
Introdução – Cloud Computer
Pacotes de aplicativos
Migração de aplicativos, tais como e-mail para a nuvem pública
Profª. Edna
41
Segurança da Informação
Introdução – Cloud Computer
Profª. Edna
42
21
Segurança da Informação
Aplicações web - Segurança
Profª. Edna
43
Segurança da Informação
Aplicações web - Segurança
A8 – Desserialização Insegura
“Desserializar” significa recuperar dados (ou estado de um objeto)
a partir de um conjunto de bytes, garantindo que eles representem
as mesmas informações. Se isso não é feito com a devida
segurança, um invasor pode executar remotamente o código
dentro de um aplicativo.
Profª. Edna
44
22
Segurança da Informação
Aplicações web - Segurança
Profª. Edna
45
Segurança da Informação
Aplicações web - Segurança
Profª. Edna
46
23
Segurança da Informação
Aplicações web - Segurança
Considerações
Um projeto de desenvolvimento de software seguro deve
promover:
Redução da superfície de ataque – mínimos pontos de acesso necessários;
Defesa em profundidade – tecnologias atuando na prevenção e na
monitoração;
Menor privilégio – usuários, métodos ou funções não possuem acesso
administrativo;
Padrões seguros – sem margem para “jeitinho”. Trabalhe com validação
dupla;
Isolar e executar o código que será desserializado em um ambiente de baixo
privilégio;
Implementar verificadores de integridade em qualquer objeto serializado;
Gerar um registro com as exceções e falhas de desserialização.
Profª. Edna
47
24