SEGURANÇA DA INFORMAÇÃO - RESUMO

1 Elementos de Segurança

 Confiabilidade – Para que uma informação seja útil, ela precisa também ser confiável. Podemos dizer
que a informação possui confiabilidade quando ela está livre de erros materiais e vieses e pode ser aceita
pelos usuários como representando fielmente o que se propõe a representar.

 integridade – Garante que a informação não foi alterada ou violada indevidamente. Refere-se à
exatidão da informação.

 Disponibilidade – Garante que a informação esteja sempre acessível quando, onde e como se propõe.

 Confidencialidade – Garante somente acesso autorizado às informações (refere-se ao sigilo).

 Autenticidade – Garante que a fonte e a autoria da informação são confiáveis, mediante registros que
atestam sua veracidade.

 Não-Repúdio – O não-repúdio ou irretratabilidade garante que o autor não poderá negar a criação ou
alteração da informação.

 Conformidade – Assegura que os processos envolvidos obedeçam as leis e normas regulamentadas.

2 Mecanismos de Segurança

 Criptografia – É a prática de codificar/decodificar dados. Quando dados são criptografados, aplica-se

um algoritmo para codificá-los de modo que eles não tenham mais o formato original e, portanto, não
possam ser lidos. Os dados só podem ser decodificados ao formato original com o uso de uma chave de
decriptografia específica. As técnicas de codificação constituem uma parte importante da segurança dos
dados, pois protegem informações confidenciais de ameaças que incluem exploração por malware e
acesso não autorizado por terceiros. A criptografia de dados é uma solução de segurança versátil: pode
ser aplicada a um dado específico (como uma senha) ou, mais amplamente, a todos os dados de um
arquivo, ou ainda a todos os dados contidos na mídia de armazenamento.

 Assinatura Digital – A assinatura digital é uma tecnologia utilizada para autenticar documentos
eletrônicos, como arquivos em PDF, por exemplo. Ela utiliza as chaves criptográficas de um certificado
digital para identificar os signatários, proteger as informações e conferir validade jurídica. Pode ser apli-
cada a contratos, procurações, laudos médicos, atestados e diversos documentos ou transações online.

A assinatura digital confe segurança e integridade a documentos eletrônicos. Com a expansão da

informática, grande parte dos arquivos em diversas áreas do mercado migrou para o ambiente digital. A
partir disso, surgiu a necessidade de autenticar todo esse volume de informações, da mesma forma que
as assinaturas manuscritas validam contratos e outros conteúdos em papel.

 Garantia de Integridade – Garantia de que a informação não tenha sido alterada, e que mantenha-se
em seu estado original.

 Controle de Acesso – Trata-se do uso de mecanismos tecnológicos para limitar as ações e privilégios
do usuário que utiliza os recursos computacionais.

 Certificação Digital – A certificação digital é a tecnologia que, por meio da criptografia de dados,
garante autenticidade, confidencialidade, integridade e não repúdio às informações eletrônicas. Trata-se
de um documento digital utilizado para identificar pessoas e empresas no mundo virtual. Com o certificado
digital é possível fazer transações, que antes seriam feitas presencialmente, de forma remota. Isso
garante mais agilidade e ganho de tempo para sua empresa.

O Certificado Digital é um documento eletrônico que funciona como um RG de pessoas físicas e jurídicas
no meio virtual. Com ele, é possível assinar documentos, emitir notas fiscais e fazer diversas operações
remotamente com validade jurídica.
Pág 1/2
3 Gerência de Riscos

 Ativo – O ativo (asset) refere-se a pessoas, propriedades e informações. As pessoas podem incluir
funcionários e clientes ou contratados. Os ativos imobiliários consistem em itens tangíveis e intangíveis
aos quais pode ser atribuído um valor. Os ativos intangíveis incluem reputação e informações
proprietárias. As informações podem incluir bancos de dados, código de software, registros críticos da
empresa e muitos outros itens intangíveis. Um ativo é o que estamos tentando proteger.

 Ameaça – A ameaça (threat) é qualquer coisa que possa explorar uma vulnerabilidade, intencional ou
acidental-mente, e obter, danificar ou destruir um ativo. É um conjunto de circunstâncias que têm o
potencial de causar uma quebra da segurança. Uma ameaça é contra a qual tentamos nos proteger.

 Vulnerabilidade – As vulnerabilidades (vulnerabilities) são as fraquezas ou buracos em um programa

de segurança que podem ser exploradas por ameaças para obter acesso não autorizado a um ativo. É
uma propriedade de um ativo ou do seu ambiente que, em conjunto com uma ameaça, pode levar a uma
falha da segurança. Uma vulnerabilidade é uma fraqueza ou falha em nossos esforços de proteção.

 Impacto – É o resultado de uma ameaça concretizada, isto é, que veio a ocorrer.

 Risco – O risco (risk) é o potencial de perda, dano ou destruição de um ativo como resultado de uma
ameaça que explora uma vulnerabilidade. Risco é uma possibilidade de corromper um ativo, através de
ameaças e vulnerabilidades.

Por que é importante entender a diferença entre esses termos? Se você não entender a diferença, nunca
entenderá o verdadeiro risco para os ativos. Veja como conduzir uma avaliação de risco.

Fórmula usada para determinar o risco: R = A + A + V (Risco = Ativo + Ameaça + Vulnerabilidade)

O risco é uma função das ameaças que exploram vulnerabilidades para obter, danificar ou destruir ativos.
Portanto, ameaças (reais, conceituais ou inerentes) podem existir, mas se não houver vulnerabilidades,
haverá pouco/nenhum risco. Da mesma forma, você pode ter uma vulnerabilidade, mas se não tiver
nenhuma ameaça, terá pouco/nenhum risco.

A avaliação precisa de ameaças e a identificação de vulnerabilidades são essenciais pra entender o risco
para os ativos. Compreender a diferença entre ameaças, vulnerabilidade e riscos é o primeiro passo.

Resumindo, por meio de perguntas, temos: Ameaça - O que pode acontecer?; Vulnerabilidade - Por que
pode acontecer?; Impacto - Qual é o resultado se acontecer?

4 Políticas de Segurança

Em 1995, as organizações internacionais ISO (The International Organization for Standardization) e IEC
(International Electrotechnical Commission) deram origem a um grupo de normas que consolidam as
diretrizes relacionadas ao escopo de Segurança da Informação, sendo representadas pela série 27000.

Neste grupo encontram-se a ISO/IEC 27001, cujo objetivo é criar um modelo padronizado para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar os sistemas e
processos de segurança da informação de uma empresa, e a ISO/IEC 27002 (antigo padrão 17799:2005),
norma internacional que estabelece código de melhores práticas para apoiar a implantação do Sistema
de Gestão de Segurança da Informação (SGSI) nas organizações.

 Políticas de Senhas – Realizar o gerenciamento de todos os acessos dos usuários nos sistemas
corporativos é fundamen-tal para garantir a segurança dos dados das empresas. Práticas para uma
política de senhas eficaz: Criação de senhas fortes; Utilização de caracteres diferentes; Troca periódica
das senhas; Conscientização dos funcionários; Não utilizar a mesma senha em todas as contas; Utilizar
softwares para guardar senhas; Implementação de sistemas de bloqueio de contas; Utilização de
softwares de monitoramento.

Pág 2/2