Escolar Documentos
Profissional Documentos
Cultura Documentos
de Redes
Material Teórico
Gestão da Segurança da Informação
Revisão Textual:
Prof.ª Dr.ª Luciene Oliveira da Costa Granadeiro
Gestão da Segurança da Informação
• Introdução;
• Importância da Informação;
• Sistemas de Informação;
• Classificação da Informação;
• Ciclo de Vida da Informação;
• Conceitos e Definições Importantes;
• Conceitos de Política de Segurança da Informação (PSI);
• O Propósito dos Controles.
OBJETIVOS DE APRENDIZADO
• Compreender e abordar os principais aspectos da gestão da segurança da informação
(GSI) dentro de instituições públicas ou privadas, apresentando conceitos e definições do
clico de vida e importância da informação;
• Definir os propósitos da política de gestão da segurança da informação.
Orientações de estudo
Para que o conteúdo desta Disciplina seja bem
aproveitado e haja maior aplicabilidade na sua
formação acadêmica e atuação profissional, siga
algumas recomendações básicas:
Conserve seu
material e local de
estudos sempre
organizados.
Aproveite as
Procure manter indicações
contato com seus de Material
colegas e tutores Complementar.
para trocar ideias!
Determine um Isso amplia a
horário fixo aprendizagem.
para estudar.
Mantenha o foco!
Evite se distrair com
as redes sociais.
Seja original!
Nunca plagie
trabalhos.
Não se esqueça
de se alimentar
Assim: e de se manter
Organize seus estudos de maneira que passem a fazer parte hidratado.
da sua rotina. Por exemplo, você poderá determinar um dia e
horário fixos como seu “momento do estudo”;
No material de cada Unidade, há leituras indicadas e, entre elas, artigos científicos, livros, vídeos
e sites para aprofundar os conhecimentos adquiridos ao longo da Unidade. Além disso, você tam-
bém encontrará sugestões de conteúdo extra no item Material Complementar, que ampliarão sua
interpretação e auxiliarão no pleno entendimento dos temas abordados;
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discus-
são, pois irão auxiliar a verificar o quanto você absorveu de conhecimento, além de propiciar o
contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e de
aprendizagem.
UNIDADE Gestão da Segurança da Informação
Introdução
Com certeza, adquirir os conhecimentos em Gestão da Segurança da Informa-
ção traz ao profissional de Tecnologia da Informação e Comunicações um maior
preparo nas atividades de administração de sistemas e redes de dados, pois tais téc-
nicas previnem problemas em uma infraestrutura tecnológica. Dessa forma, nesta
unidade, vamos tratar dos aspectos fundamentais sobre segurança da informação
e trazer as principais características da Gestão da Segurança da Informação e Polí-
ticas de Segurança, necessários para a proteção de ativos em instituições públicas
ou privadas.
Importância da Informação
A informação tem sido importante por uma grande variedade de razões através
dos séculos para o homem, que foi capaz de transmitir dados valiosos, como a
localização de uma fonte de água mais próxima, ou de um rebanho de animais, ou
a caverna que lhe serviria de abrigo. Eram segredos cuidadosamente guardados e
que só eram passados para aqueles das mesmas tribos e/ou aqueles que tinham
necessidades e que eram considerados confiáveis. O método de transferência e o
armazenamento das informações, com certeza, foram mais primitivos do que os de
hoje, mas os princípios básicos de Segurança da Informação não mudaram muito
desde aqueles primórdios (BRIEN, 2013).
Os mecanismos que usamos para gerenciar informações são as áreas em que vi-
mos mudanças muito significativas, principalmente nas últimas décadas. O advento
de computadores, em particular, alterou a maneira como gerenciamos as informa-
ções extensivamente e também significou que temos muito mais informações para
nos preocuparmos do que imaginamos.
8
Um outro fator que alterou significativamente nossa necessidade de garantia
de informação é a da mobilidade. Quando o único local tinha informações de ne-
gócios, com certeza era mais fácil cuidar dessa informação. Para proteger essas
informações, fechávamos e trancávamos simplesmente a porta de um escritório
que as continha. Hoje, esperamos e precisamos ter informações em uma grande
variedade de locais, incluindo dispositivos em movimento, como em carros e trens.
Com escritórios de abrangência global e a crescente mobilidade do ambiente de
escritório, agora, temos uma crítica necessidade de maior segurança, para que
possamos permitir que pessoas autorizadas tenham acesso a nossas informações
de forma mais adequada (BRIEN, 2013).
Explor
Sistemas de Informação
Um sistema de informação pode ser definido tecnicamente como um conjunto
de componentes inter-relacionados que coletam e/ou recuperam, processam, ar-
mazenam e distribuem informações destinadas ao apoio de tomada de decisões
dentro de uma organização. Além de poder dar suporte à tomada de decisões, à
coordenação e ao controle, esses sistemas também podem auxiliar os diretores,
gerentes e profissionais a analisar possíveis problemas, visualizando assuntos com-
plexos e criando novos produtos e serviços.
Explor
9
9
UNIDADE Gestão da Segurança da Informação
Informação
pode ser
pode ser
Gerencial
Operacional
que é
que é rotineira
de longo prazo pouco precisa
precisa
curto prazo
gráfica
baixa circulação
detalhada circula muito
sem detalhes
Classificação da Informação
Nem toda informação merece uma atenção especial ou que possa ter sempre
um cuidado especial, no entanto, determinada informação pode ser vital para uma
determinada instituição. Por causa dessas questões, nasceu a necessidade de clas-
sificá-las em níveis de prioridade e respeitando a necessidade de cada corporação,
bem como definindo a importância de sua classe para uma correta manutenção de
suas atividades. Podemos classificar a informação sobre quatro aspectos:
• Confidencial: a informação classificada como confidencial é restrita aos limi-
tes da empresa, cuja divulgação ou perda da mesma pode levar a desequilíbrio
operacional, possivelmente perdas financeiras, ou de confiabilidade perante o
cliente externo, além de poder permitir vantagem expressiva ao concorrente;
• Secreta: a informação classificada como secreta é extremamente crítica para
as atividades da empresa, cuja integridade deve ser preservada a qualquer cus-
to e cujo acesso deve ser restritivo a um número bastante reduzido de cola-
boradores, sendo sua manipulação de vital importância e estratégica para a
companhia. É comum que órgão do governo e sistemas militares possuam em
sua estrutura esse tipo de classificação;
• Interna: a informação classificada como interna permite que o seu conteúdo
seja evitado por entidades externas à instituição, embora as consequências do
uso não autorizado dessa informação não sejam demasiadamente sérias. Sua
integridade é importante, mesmo que não seja vital;
• Pública: a informação classificada como pública, como o nome indica, é uma
informação que pode vir a ser divulgada ao público sem maiores consequências
danosas ao funcionamento de uma corporação e cuja integridade não é vital.
10
Ciclo de Vida da Informação
O Ciclo de Vida da Informação é composto e identificado pelos momentos vivi-
dos pela informação que os possam colocar em risco. Ou seja, os momentos são
vivenciados justamente quando seus ativos físicos, tecnológicos e humanos fazem
uso da informação, sustentando processos que, por sua vez, sejam mantidos na
operação da empresa. Observando que a informação possa ser exposta a possíveis
ameaças que as coloquem em risco, atingindo a sua segurança, temos 4 momentos
desse ciclo de vida que são necessitam de uma melhor atenção.
Manuseio
Autenticidade
Int
ade
eg
lid
rid
cia
ad
en
e
fid
Disponibilidade
Legalidade
Transporte
O ciclo de vida da informação é composto por quatro itens principais, são eles:
• Manuseio: é definido pelo momento em que a informação é criada e/ou ma-
nipulada, seja ao acessar um documento impresso, uma apostila ou livro de
papel ou ao digitar um endereço para acesso a um portal da Internet ou ao
utilizar seu login e senha de acesso para autenticação de um serviço;
• Armazenamento: é definido pelo momento em que uma determinada infor-
mação é devidamente armazenada, seja em um arquivo morto que guarda
documentos escritos ou impressos, e um sistema de banco de dados complexo
ou apenas armazenado em um disco óptico, um hard disk externo (HD) ou até
mesmo em um pen drive USB;
• Transporte: é definido pelo momento em que a informação é devidamente
transportada, seja por um profissional do correio que leva a uma pessoa uma
carta registrada, o envio de um correio eletrônico, o envio de uma mensagem
via FAX, ou até mesmo o falar ao telefone uma informação confidencial;
11
11
UNIDADE Gestão da Segurança da Informação
Segurança da Informação
A base de entendimento da segurança da informação é composta de três fatores
essenciais: a confidencialidade, a integridade e a disponibilidade. Vamos descrever
de forma suscinta cada um desses itens.
Confidencialidade
Segurança da
Informação
Integridade Disponibilidade
12
• Confidencialidade: é a propriedade de que as informações não são dispo-
nibilizadas ou divulgadas a pessoas, entidades ou processos não autorizados.
As informações geralmente serão aplicáveis apenas a um número limitado de
indivíduos por causa de sua natureza, seu conteúdo, ou porque sua distribuição
mais ampla resultará em efeitos indesejados, incluindo penalidades legais ou
financeiras, ou constrangimento. Restringindo o acesso à informação aos que
têm uma “necessidade de saber”, é uma boa prática e baseia-se no princípio da
confiança (confidencialidade). Os controles para se garantir a confidencialidade
constituem uma parte importante dos aspectos de gerenciamento de seguran-
ça da informação;
• Integridade: é a propriedade de salvaguardar com exatidão e integridade dos
ativos. A informação só é útil se for completar e precisar, e assim permanecer.
A manutenção desses aspectos da informação (sua integridade) é frequente-
mente crítica e pode assegurar que apenas certas pessoas tenham a autoridade
apropriada para alterar, atualizar ou excluir informações;
• Disponibilidade: é a propriedade de ser acessível e utilizável sob demanda por
uma entidade autorizada. A disponibilidade é uma área onde a evolução das
tecnologias aumentou as dificuldades para o profissional de Segurança da In-
formação. No passado, em um mundo ideal, todas as informações importantes
poderiam ser guardadas em um cofre muito seguro e de difícil acesso. Com a
evolução das redes de comunicação e dos sistemas de armazenamento, nem
sempre as informações de uma empresa estão guardadas em um dispositivo
local ou até mesmo em uma sala-cofre. Isso fez com que os profissionais de
segurança da informação tivessem a preocupação de como, onde e quando
essa informação poderia estar disponível aos seus clientes e/ou colaboradores
internos ou externos.
13
13
UNIDADE Gestão da Segurança da Informação
14
Gestão da Segurança da Informação (SGSI). A próxima figura descreve cada uma
das etapas desse modelo essencial para uma boa implementação (GALVÃO, 2015).
Planejar
Estabelecer o SGSI
Fazer Agir
Implementar o SGSI Manter o SGSI
Monitorar e
melhorar o SGSI
Checar
15
15
UNIDADE Gestão da Segurança da Informação
16
• Reduzir: redução de risco. Ação tomada para diminuir a probabilidade, negati-
va de consequências, ou ambas, associadas ao risco. Isso significa tomar uma
ou mais ações que reduzirão o impacto ou a probabilidade de ocorrência de um
risco. Muitas vezes, é necessário usar várias dessas medidas em parceria para
ter o efeito global desejado. Isso pode incluir medidas de contingência em vigor
que mitigam o efeito se o risco não ocorrer. Um plano de backup ou “plano
B”. Essa ação é, por vezes, referida como ‘tratar’;
• Transferir: transferência de risco. Compartilhando com outra parte o ônus
da perda, ou benefício de ganho, para um risco. Isso significa tomar medidas
para transferir a responsabilidade por um risco para outro na organização que
assumirá a responsabilidade pela gestão futura do risco. Na prática, isso pode
significar retirar alguma forma de indenização ou seguro contra o risco, ocor-
rendo ou, talvez, escrevendo contratos de tal forma que o impacto financeiro
de um risco a ocorrer seja suportado por um terceiro (danos liquidados). Essa
ação é, por vezes, referida como “partilhar”;
• Aceitar: aceitação de risco. Decisão de aceitar um risco. Isso significa que a
gerência sênior aceita que não é considerada prática ou sensível a tomar mais
ação do que o risco. Isso poderia ser por uma série de razões que outras ações
são consideradas inadequadas, mas não limitado a: impacto provável de um
risco ser muito pequeno; probabilidade muito pequena de um risco ocorrer;
custo de medidas apropriadas muito alto em comparação ao impacto financei-
ro do risco ocorrendo; risco fora do controle direto da organização. A decisão
também deve estar relacionada ao apetite de risco da organização, que deter-
mina o nível de risco que a organização está preparada para aceitar. Isso, às
vezes, é chamado de ‘tolerar’.
17
17
UNIDADE Gestão da Segurança da Informação
18
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Livros
Entendendo os Conceitos de Backup
BARROS, E. Entendendo os Conceitos de Backup. Restore e Recuperação de
Desastres. São Paulo: Ciência Moderna, 2007.
Administração de Sistemas da Informação
BRIEN, J. A.; MARAKAS, G. M. Administração de Sistemas da Informação. 15.
ed. Porto Alegre: Bookman, 2013.
Monitoramento de Redes com Zabbix
LIMA, J. R. Monitoramento de Redes com Zabbix. Rio de Janeiro: Brasport, Rio
de Janeiro, 2014.
Manual Completo do Linux Guia do Administrador
NEMETH, E.; SNYDER, G.; HEIN, T. R. Manual Completo do Linux Guia do
Administrador. São Paulo: Pearson, Pretice Hall, 2007.
Administração de Sistemas da Informação
ROSINI, A. M.; PALMISANO, A. Administração de Sistemas da Informação. 2. ed.
São Paulo: Cengage, 2012.
19
19
UNIDADE Gestão da Segurança da Informação
Referências
BURGESS, M. Princípios da Administração de Redes e Sistemas. 2. ed. Rio de
Janeiro: LTC, 2006.
20