FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO

ISO/IEC 27001

Aula I – 10.11.2020

Processo é um conjunto ordenado de atividades desenhado para cumprir um objetivo definido.

Benefícios da Segurança da Informação – um dos benefícios mais imediatos é que a partir do

momento em que uma diretriz é escrita, ela força todos a segui-la.

a) Conformidade / Compliance – mostra mais rápido o “retorno sobre o investimento”. A ISO 27001
pode trazer a metodologia que permitirá fazer isso da maneira mais eficiente.

b) Vantagem de Mercado – Pode ser considerado um diferencial de mercado, especialmente ao lidar

com informações confidenciais dos seus clientes.

c) Redução de Despesas – há ganho financeiro ao diminuir os gastos causados por incidentes e ao se

evitar ou minimizar incidentes.

d) Organização da Empresa – é o ponto mais subestimado... ao crescer, uma empresa passa a ter
problemas como: quem tem de decidir o quê, quem é responsável por determinados ativos de
informações, quem tem de autorizar o acesso aos sistema de informações...

Aula II – 11.11.2020

Ameaça é uma causa potencial de um incidente indesejado, que pode resultar em dano a um sistema
ou organização.

Risco é o efeito da incerteza. Combinação entre a probabilidade e a consequência (impacto).

Análise de Risco é a utilização sistemática de informações para identificar fontes de risco e estimar o
risco.

Incidente de SI (quebra de ao menos um pilar do CID) x Desastre de SI (um ou mais incidentes)

Objetivos da Análise de Riscos

 Identificar os bens e seu valor

 Determinar vulnerabilidades e ameaças
 Determinar o risco em que as ameaças se tornarão uma realidade e interromperão um
processo operacional
 Determinar um equilíbrio entre os custos de um incidente e os custos de uma medida de
segurança

Quais são os tipos de medidas de segurança? Redutiva, Preventiva, Detectiva, Repressiva e Corretiva.
Tipos de Ameaças

 Ameaças humanas – intencionais ou não

 Engenharia Social = estelionato... Phising é uma forma de fraude na internet
 Ameaças não-humanas

Tipos de Danos

 Dano Direto: Ataque. Tentativa de destruir, expor, alterar, desativar, roubar ou obter acesso
não autorizado para o uso não-autorizado de um ativo.
 Dano Indireto: consequente perda que pode ocorrer. Ex.: Devido a inundação de um
datacenter, nenhum serviço pode ser oferecido pelo website, causando perda de receitas par
ao negócio.
 Expectativa de perda anual – 10 notebooks roubados por ano...
 Expectativa de perda única – incêndio em depósito de materiais de suprimento...

Quais são as estratégias para mitigação dos riscos de segurança?

M-E-T-A

 Mitigar – reduzir os riscos

 Evitar – não permitir que as ações que determinam os riscos ocorram
 Transferir – transferir riscos associados para outras partes
 Aceitar – consciente e objetivamente, aceitar os riscos
 Identificar – Analisar – Avaliar – Tratar – Monitorar

Política de Segurança da Informação – provê direcionamento para gestão e suporte da segurança da

informação de acordo com os requisitos de negócio e as leis e regulamentos pertinentes.

A PSI possui uma abordagem top-down.

SLIDES DE 139 a 145 – separar dicas de

prova.
Aula III – 11.11.2020

Objetivos Internos da Organização

Objetivos Externos da Organização

Lembrar de aplicar as medidas de segurança somente após realizar a análise e avaliação de riscos.

Acordo de Confidencialidade – deve ser assinado antes de ser dados acesso a instalações de
processamento de dados. NDA – Non Disclosure Agreement – Acordo de não-divulgação.

REPASSAR AS FUNÇÕES DESSES PROFISSIONAIS:

CISO – Chief Information Security Officer – O Diretor de Segurança da Informação. Define a estratégia
geral de segurança da informação da empresa.

ISO – Information Security Officer – Especialista responsável pela segurança da informação.

ISM – Information Security Manager – responsável pela implementação da política de segurança da

informação.

Segurança de Recursos Humanos

REPASSAR OS PROCEDIMENTOS DE SEGURANÇA

MELHORES PRÁTICAS – Código de Conduta (está sempre atrelado ao comportamento humano)

Em todos os processos de RH deve haver segurança da informação.

COMPONENTES DA ORGANIZAÇÃO DA SEGURANÇA

POLÍTICA PARA DISPOSITIVO MÓVEL
INVENTÁRIO DOS ATIVOS

PROPRIEDADE DOS BENS

GERENCIAMENTO DE INCIDENTES DE SI
OBJETIVOS

FORMULÁRIO DE RELATÓRIOS DE INCIDENTES – data e hora, nome do local, pessoa que reportou,
localização, o que ocorreu e como foi descoberto. Se possível descrever também: tipo de ativo, nome
ou código do sistema e quem mais foi informado.

CONSEQUÊNCIAS DE NÃO RELATAR INCIDENTES

PROCESSO DE GERENCIAMENTO DE INCIDENTES

Que tipo de escalonamento temos? Funcional (o mais qualificado para tratar) e Hierárquico (o chefe
imediato).

MEDIDAS DE SEGURANÇA***
40% DA PROVA ESTÁ NESTE TÓPICO!!
IMPORTÂNCIA DE MEDIDAS DE SEGURANÇA

Ler CLASSIFICAÇÃO DA INFORMAÇÃO

  NORMA
 OBJETIVO – garantir que a informação receba um nível adequado de proteção.
 DIRETRIZES
 ROTULAGEM

Ler MEDIDAS FÍSICAS

 NORMA
 OBJETIVO
 EQUIPAMENTO
 SEGURANÇA DE EQUIPAMENTOS

CONCEITO: ANÉIS DE PROTEÇÃO (ESPAÇOS)

Em qual anel de proteção são armazenadas as informações muito sensíveis? R.:

Anel do ativo/objeto.
Aula IV – 13.11.2020

MEDIDAS TÉCNICAS

As medidas técnicas de segurança da informação estão estruturadas, na norma, em dois grandes

tópicos:

CONTROLE DE ACESSO – A pessoa certa deve ter acesso à informação certa.

CRIPTOGRAFIA – simétrica (transposição) e assimétrica (chave pública). Objetiva manter as

informações codificadas em segredo.
GERENCIAMENTO DE ACESSO LÓGICO

CRIPTOGRAFIA

SEGURANÇA DE ARQUIVOS DO SISTEMA

PREVENÇÃO DE VAZAMENTO DE INFORMAÇÕES

MEDIDAS TÉCNICAS – ASSINATURAS DIGITAIS

Método para confirmar se a informação foi produzida ou enviada por quem afirma.

AMEAÇAS

PHISHING – é uma forma de fraude na internet

SPAM – conjunto de mensagens indesejadas

MALWARE – vírus, worms, trojans e spywares

MEDIDAS ORGANIZACIONAIS