SI - Etapa 1

Segurança da Informação
Sejam bem vindos!

APRESENTAÇÃO
Professor: Adriano Saad
Formação
• Graduado em Tecnologia da Informação

• Especialização em Segurança da Informação –
Governança e ISO 27001
• MBA Empresarial pela Fundação Dom Cabral
Experiência
Passagem pelas empresas Shell, EDS, Xerox e
Modulo Security. Atualmente Consultor Executivo
em Governança de TI, implementação de ISO
27001 e Auditor Líder de Certificação ISO 27001.
Instrutor para formação de Auditores Líderes ISO
27001.
2 / 13
APRESENTAÇÃO DA DISCIPLINA
Nome: Segurança da Informação
Objetivo: Prover as bases para o desenvolvimento do conhecimento e

competências aplicáveis ao gerenciamento da segurança da informação.
Visão geral:
1. Compreender a importância e os principais conceitos relacionados à segurança

da informação.
2. Compreender como a segurança da informação se insere na questão maior da
governança da TI.
3. Compreender em profundidade o domínio do gerenciamento da segurança da
informação.
3 / 13
APRESENTAÇÃO DA DISCIPLINA
Visão geral:
4. Compreender a importância e os principais aspectos das normas ISO 27.001 e

27.002.
5. Compreender profundamente os conceitos de segurança e informação.
6. Compreender profundamente o que é governança da segurança da informação.
7. Avaliar o estágio atual da segurança da informação em diferentes organizações.
8. Compreender as questões legais relacionadas à segurança da informação.
9. Compreender profundamente o que são ameaças, riscos e conformidade.
10. Elaborar estratégias para o gerenciamento de risco de informação e
conformidade.
4 / 13
ESTRUTURA DA DISCIPLINA
• ESTRUTURA
• 10 ETAPAS
• Cada ETAPA com duas AULAS semanais (2ª e 4ª feiras)
• METODOLOGIA: aulas expositivas, simulados, dinâmicas
• RECURSOS DE APRENDIZAGEM
• LEITURA OBRIGATÓRIA
• ABNT NBR ISO/IEC 27001:2013 Técnicas de Segurança –
Sistemas de Gestão de Segurança da Informação -
Requisitos. ABNT, 2013
• ABNT NBR ISO/IEC 27002:2013 Técnicas de Segurança –
Código de Prática para Controles de Segurança da
Informação. ABNT, 2013
• CAMPOS, A. L. N. – Sistema de Segurança da Informação –
Controlando os Riscos. 3ª Edição, Visual Books, 2014
5 / 13
ESTRUTURA DA DISCIPLINA
• RECURSOS DE APRENDIZAGEM
• LEITURA COMPLEMENTAR
• ABNT NBR ISO/IEC 31000:2009 Gestão de Riscos –
Princípios e Diretrizes. ABNT, 2009
• SÊMOLA, M. Gestão da Segurança da Informação: Uma
visão Executiva. Rio de Janeiro: Campus 2003
• ALVES, G. A. Segurança da Informação: Uma visão inovadora
da Gestão. Ciência Moderna, 2006
• Harris, S. CISSP Exam Guide. McGraw-Hill. New York, 2013
• Artigos, Filme e Vídeos.
6 / 13
AVALIAÇÃO
• AVALIAÇÃO por COMPETÊNCIA

• TESTES:
• TO – Testes objetivos (em todas as etapas)
• TP – 2 Testes de performance obrigatórios
(Etapas ímpares). Etapas pares são
complementares e não obrigatórios
• ASSESSMENT: Avaliação final da Disciplina

• ENTREGA: Presencial, durante a aula.
• Formato de TP e AT: PDF
• Nomes dos arquivos: Nome e Sobrenome_(TP#

ou AT)_DR#_2016MMDD
• Ex: Adriano Saad_TP1_DR2_20191007
7 / 13
VAMOS COMBINAR...
• INTERVALO: sem intervalos
• CHAMADA: Pauta eletrônica
• ATRASOS: 30 min de tolerância antes ou depois. 2 atrasos = 1 falta
• FALTAS: limite de 5 faltas por trimestre (MEC)
• CELULARES: Por favor, mantê-los desligados ou no silencioso. Caso
precise atender a algum chamado urgente, dirija-se ao corredor,
discretamente
• INTERNET: Somente para as atividades de aula
8 / 13
OTIMIZE SEU APRENDIZADO
• Compartilhe suas experiências!
• Não se acanhe, ninguém aqui sabe tudo!
• Não leve dúvidas para casa!
• ...a presença e a participação (perguntas e contribuições) em

aula contribuirão para o bom desempenho do aluno!
9 / 13
Introdução à Segurança da Informação
Desde os primórdios da civilização, os seres

humanos demonstraram uma grande
necessidade de documentar informações
sobre suas vidas, seus inventos, suas
finanças e qualquer outra que julgasse
importante, seja para si ou para seu
grupo/sociedade.
Com a percepção do valor destas informações, surge a

preocupação em protegê-las, seja selecionando as pessoas ou
grupos que poderiam ter acesso a elas, seja garantindo que as
mesmas fossem resguardadas e assegurando que pudessem
assessá-las quando necessário.
10 / 13
Bibliotecas e outros meios de proteção

física foram criados para protegerem a
integridade e a disponibilidade das
informações, algumas delas com
esquemas de segurança que impediam
fisicamente o acesso a determinado
conteúdo. Além disso, criaram-se também
mecanismos de cifragem, visando garantir
que mesmo com acesso físico aos
documentos, a informação estaria
disponível somente para quem “soubesse
ler”.
11 / 13
INFORMAÇÃO
1 – Conjunto de dados organizados e

estruturados de forma a produzir
significado que possa ser absorvido como
conhecimento;
2 – Conhecimento armazenado, transmitido/recebido.
SEGURANÇA DA INFORMAÇÃO
"2.33 – Preservação da confidencialidade (2.12), integridade (2.40)

e da disponibilidade (2.90) da informação” (ISO 27000:2014)
12 / 13
No século XX, as informações migraram

também para o meio digital, e com o
advento da Internet o mundo em que
vivemos se transformou completamente.
Tais transformações afetaram pessoas e

organizações, quebrando diversos
paradigmas e promovendo uma profunda
reavaliação das prioridades daqueles que
estavam no comando.
13 / 13
1 – A Informação pode ser armazenada em:
Ø Meio físico (papel, metal, madeira...);

Ø Meio magnético (fita, disco rígido);
Ø Meio eletrônico (Pen drives, SSD);
Ø Meio óptico (CDs, DVD...).
2 – A Informação pode ser trasmitida por:
Ø Meio físico (papel, metal, madeira...);

Ø Meio aéreo (som, ondas de rádio, luz);
Ø Meio elétrico (cabos, cirtuitos).
14 / 13
Nos noticiários locais e internacionais podemos

reconhecer os principais problemas atuais:
• Terrorismo religioso, ideológico ou criminoso;
• Altos índices de criminalidade nos países em desenvolvimento;
• Crimes eletrônicos diversos;
• Discussões sobre direitos autorais e patentes;
• Crescimento assombroso de softwares maliciosos;
• Fraudes financeiras e contábeis;
• Roubo de identidade;
• Pirataria;
• Espionagem industrial;
• Guerra cibernética.
15 / 13
Para agravar, estamos cada vez mais virtuais!

• Armazenamento em Núvem;
• E-mail e mensagens;
• Internet Banking;
• Imposto de Renda pela Internet;
• Serviços diversos;
• Compra e venda de bens duráveis e de consumo;
Conclusão: maior exposição aos mal intencionados!
AUMENTA A ABRANGÊNCIA E A IMPORTÂNCIA DA

APLICAÇÃO DE SEGURANÇA DA INFORMAÇÃO !!
16 / 13
A segurança busca a proteção contra situações onde

prejuízos são causados por conta de danos aos bens.
No caso da Segurança da Informação, esta proteção,

como visto pela definição da ISO 27000:2014, deve
abordar 3 princípios:
D
• CONFIDENCIALIDADE;
I
• INTEGRIDADE;
C
• DISPONIBILIDADE
17 / 13
CONFIDENCIALIDADE
Assegura que o acesso à informação deve ser concedido

somente a quem dela necessita.
Quando falamos de confidencialidade estamos,
basicamente, falando de sigilo. Preservar a
confidencialidade de uma informação significa
garantir que apenas as pessoas que devem ter
D
conhecimento a seu respeito podem acessá-la.
I
Diferentes tipos de informação terão diferentes
necessidades em termos de confidencialidade. A
C
fórmula de uma marca de refrigerantes líder de
mercado, por exemplo, tem uma necessidade em
termos de sigilo maior que a maioria dos
memorandos internos desta empresa.
18 / 13
INTEGRIDADE
Assegura que a informação armazenada possui todas as suas

características originais, atualizadas e que será transportada e
entregue sem adulterações, até o seu descarte.
A preservação da integridade envolve proteger as
informações contra alterações em seu estado
original. Estas alterações podem ser tanto
intencionais quanto acidentais. Um funcionário que
D
tenta mudar o valor do seu salário nos sistemas de
I
RH de uma empresa ataca diretamente a integridade
C
desta informação de maneira intencional. Já um
pacote de comunicação cujo conteúdo foi alterado
por conta de uma falha de transmissão, teve a sua
integridade comprometida de maneira acidental.
19 / 13
DISPONIBILIDADE
Garante que a informação esteja sempre disponível para uso

quando usuários autorizados dela necessitem.
Uma informação disponível é a que pode ser
acessada por aqueles que dela necessitam, no
momento em que precisam. Novamente aqui,
podemos ter situações acidentais ou intencionais
D
que comprometeriam este aspecto. Uma pessoa mal
I
intencionada pode inserir um vírus em um servidor
apenas para comprometer o seu funcionamento. Já
C
uma falha prolongada no fornecimento de energia
elétrica pode impossibilitar o funcionamento de toda
uma empresa.
20 / 13
A Segurança da Informação em uma Organização aplica-se a todos

os bens de informação que possuem valor para a mesma.
A estes bens, nos referimos como

ATIVOS DE INFORMAÇÃO.
Estes ativos GERAM, PROCESSAM,

MANIPULAM, TRANSMITEM e
ARMAZENAM informações.
E são estes ATIVOS que necessitam ser

Protegidos.
21 / 13
Os ATIVOS podem ser organizados e categorizados de

acordo com diferentes propriedades:
•Informações impressas ou digitais
Tangíveis •Equipamentos
•Móveis e utilitários
•Marca de um produto
•Imagem de uma empresa

Intangíveis •Confiabilidade de um organismo
•Marca de um produto
•Informações armazenadas em um servidor

Lógicos •Sistema de Pessoal
•Rede de computadores
•Estações de Trabalho
Físicos •Sistema de Ar-condicionado
•Ambiente de Data Center
•Empregados
Humanos •Prestadores de Serviço
•Clientes
22 / 13
Os ATIVOS podem ainda serem classificados em TIPOS de

ATIVOS:
TIPO DE ATIVO DESCRIÇÃO
Tecnologia HW e SW, appliances, PBX, Sistemas
Processos Financeiro, RH, Marketing, Produção
Ambientes Data Center, Diretoria, um andar
Pessoas O Diretor, o gerente, o visitante, o
fornecedor.
.
23 / 13
• Em uma Organização, os ativos que compõem o escopo da SI,

geralmente, é equivocadamente considerado restrito aos
ativos de Tecnologia da Informação (TI);
• Esta abordagem é limitada e falha;
• As informações pertencentes a uma Organização são também

faladas, impressas, visualizadas e repassada para terceiros;
• Muitas vezes estas informações são manipuladas em

ambientes não controlados pela Organização, como
aeroportos e aviões, hotéis, salas de espera, restaurantes, etc.
24 / 13
• A organização dos ativos deve observar características

semelhantes em relação à necessidades, estratégias e
ferramentas de proteção;
• Estas características apontam abordagens específicas para

atender às demandas de segurança;
• Às medidas adotadas para atender a estas demandas de

segurança damos o nome de PROTEÇÃO ou CONTROLE.
25 / 13
A PROTEÇÃO ou CONTROLE pode ser categorizada da

seguinte forma:
• Permissões em sistemas de arquivos
Lógica • Configurações de Firewall
• Perfis de usuários em aplicações
• Portas
Física • Fechaduras
• Guardas
• Políticas, Normas e Procedimentos

Administrativa • Auditorias
• Comitês Gestores
26 / 13
A PROTEÇÃO, dependendo do objetivo pretendido, ainda

pode ser classificada em TIPOS de PROTEÇÃO:
TIPO DE
PROTEÇÃO/CONTROLE DESCRIÇÃO
Preventiva Evita que incidentes ocorram.
Desencorajadora Desencoraja a prática de ações.
Limitadora Diminuí danos causados.
Monitoradora Monitora estado e funcionamento.
Detectora Detecta a ocorrência de incidentes.
Reativa Reage a determinados incidentes.
Corretiva Repara falhas exploradas.
Recuperadora Repara danos causados por incidentes.
27 / 13
• Não existe segurança total e absoluta. A quantidade e o

peso das proteções aplicadas dependem de diversos
fatores que apontam para o custo/benefício de cada
medida.
• Encontrar o balanço adequado entre eficácia da proteção

e o seu custo efetivo é papel da gestão da Segurança da
Informação
28 / 13
• Para que possamos oferecer a segurança eficaz para uma

Organização, considerando o custo/benefício adequado,
precisam ser avaliados alguns agentes:
Valor Vulnerabilidade Ameaça Risco Impacto
29 / 13
• Importância do ATIVO para a Organização;

• Pode ser avaliado através de propriedades
mensuráveis (valor financeiro, lucro/receita obtida,
custo de substituição);
• Pode ser mensudado através de variáveis abstratas
como comprometimento na imagem, impacto no
lucro devido a um vazamento.
30 / 13
• Deficiência ou fragilidade em um ativo que pode

ser explorada acarretando danos a este ativo;
• Sua existência por si só não é prejudicial. Sua
exploração, sim;
• Para proteger uma vulnerabilidade, uma ou mais
proteções podem ser aplicadas.
31 / 13
• Uma causa potencial de um incidente

indesejável que possa resultar em dano para um
sistema ou organização;
• Possuem basicamente duas origens: naturais e
humanas;
• Ameaças geralmente exploram as
vulnerabilidades dos ativos.
32 / 13
• O potencial de uma determinada ameaça

explorar vulnerabilidades de um ativo ou grupo
de ativos para causar perda ou dano;
• Medida que indica a probabilidade de uma
determinada ameaça se concretizar combinada
com os impactos resultantes;
• Segundo a ISO 31000, risco é o “efeito da
incerteza sobre os objetivos”.
33 / 13
• Prejuízo medido, decorrente da perda ou dano

de um ativo causado por uma concretização de
uma ameaça;
34 / 13
ORGANIZAÇÃO
IMPACTOS
ATIVOS
DANOS
VULNERABILIDADES
CONTROLES
AMEAÇAS
35 / 13
Vejam como todos os componentes se interagem:
O diagrama ao lado apareceu pela

primeira vez em dezembro de 1985 na
norma Trusted Computer System
Evaluation Criteria, popularmente
conhecida como Orange Book. Este
documento faz parte de um conjunto
apelidado de Rainbow Series (Série do
Arco-íris, cada norma possuí uma cor de
capa diferente) que foi publicado pelo
National Computer Security Council,
entidade atrelada a NSA (National
Security Agency, agência nacional de
segurança dos EUA).
36 / 13

SI - Etapa 1

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

SI - Etapa 1

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança da Informação

Sejam bem vindos!

• Graduado em Tecnologia da Informação

Nome: Segurança da Informação

Objetivo: Prover as bases para o desenvolvimento do conhecimento e

1. Compreender a importância e os principais conceitos relacionados à segurança

4. Compreender a importância e os principais aspectos das normas ISO 27.001 e

• METODOLOGIA: aulas expositivas, simulados, dinâmicas

• AVALIAÇÃO por COMPETÊNCIA

• ASSESSMENT: Avaliação final da Disciplina

• Nomes dos arquivos: Nome e Sobrenome_(TP#

• Compartilhe suas experiências!

• Não se acanhe, ninguém aqui sabe tudo!

• Não leve dúvidas para casa!

• ...a presença e a participação (perguntas e contribuições) em

Desde os primórdios da civilização, os seres

Com a percepção do valor destas informações, surge a

Bibliotecas e outros meios de proteção

1 – Conjunto de dados organizados e

2 – Conhecimento armazenado, transmitido/recebido.

"2.33 – Preservação da confidencialidade (2.12), integridade (2.40)

No século XX, as informações migraram

Tais transformações afetaram pessoas e

1 – A Informação pode ser armazenada em:

Ø Meio físico (papel, metal, madeira...);

2 – A Informação pode ser trasmitida por:

Ø Meio físico (papel, metal, madeira...);

Nos noticiários locais e internacionais podemos

Para agravar, estamos cada vez mais virtuais!

Conclusão: maior exposição aos mal intencionados!

AUMENTA A ABRANGÊNCIA E A IMPORTÂNCIA DA

A segurança busca a proteção contra situações onde

No caso da Segurança da Informação, esta proteção,

Assegura que o acesso à informação deve ser concedido

Assegura que a informação armazenada possui todas as suas

Garante que a informação esteja sempre disponível para uso

A Segurança da Informação em uma Organização aplica-se a todos

A estes bens, nos referimos como

Estes ativos GERAM, PROCESSAM,

E são estes ATIVOS que necessitam ser

Os ATIVOS podem ser organizados e categorizados de

•Imagem de uma empresa

•Informações armazenadas em um servidor

Os ATIVOS podem ainda serem classificados em TIPOS de

• Em uma Organização, os ativos que compõem o escopo da SI,

• Esta abordagem é limitada e falha;

• As informações pertencentes a uma Organização são também

• Muitas vezes estas informações são manipuladas em

• A organização dos ativos deve observar características

• Estas características apontam abordagens específicas para

• Às medidas adotadas para atender a estas demandas de

A PROTEÇÃO ou CONTROLE pode ser categorizada da

• Políticas, Normas e Procedimentos

A PROTEÇÃO, dependendo do objetivo pretendido, ainda

• Não existe segurança total e absoluta. A quantidade e o

• Encontrar o balanço adequado entre eficácia da proteção

• Para que possamos oferecer a segurança eficaz para uma

Valor Vulnerabilidade Ameaça Risco Impacto

Valor Vulnerabilidade Ameaça Risco Impacto

• Importância do ATIVO para a Organização;

Valor Vulnerabilidade Ameaça Risco Impacto

• Deficiência ou fragilidade em um ativo que pode

Valor Vulnerabilidade Ameaça Risco Impacto