ISI 4 - Ativos de Informao - Presentation Transcript

(www.slideshare.net/.../isi-4-ativos-de-infor... - Estados Unidos)

1.

Baseado no curso An Introduction to Information Security da Open University

2. Na atualidade, dois modelos de organizao surgiram combinado elementos de} sistemas de

processamento e comunicaes eletrnicas, o chamado e-business ou Negcios diferentes ecommerce. So eles: B2B - Business-to-business trabalham juntos, usando a internet para trocar informaes, servios ou Ex: Gerenciamento de servidores terceirizado. B2C produtos. Onde a Internet utilizada para conectar um negcio Business-to-customer Ex:

Lojas de E-commerce. diretamente aos clientes.

3. Na atualidade, a troca eletrnica de informaes permite uma agilidade} muito maior aos
negcios de uma organizao, permitindo a transferncia de Porm, essas}informao interna e externamente empresa com extrema rapidez. normas formas de comunicao e comrcio apresentam novos perigos e ameaas aos ativos de informao de uma organizao.

4. } Compartilhar informaes de negcio , em si, um risco de negcio. } Informaes como

previses de venda, detalhes de clientes e informaes Cada vez fica mais evidente}estratgicas no tem preo para seus concorrentes. que informaes em mos erradas podem gerar tremendos prejuzos a um indivduo ou organizao.

5. Entretanto, entrar na era do e-business pode trazer grandes benefcios,} sendo uma grande
fonte de vantagem competitiva, contribuindo para uma Exemplo que ilustram o valor da}organizao atingir seus objetivos. informao. Em 1997: 1997 Valor dos Valor dos contabilistas investidores Ativos intangveis, como as informaes,}Coca-Cola $1.2 bilhes $33.4 bilhes contriburam com mais de $30 bilhes no valor de uma empresa.

6. Intangveis } Tangveis Ocupam espao e seu furto o faz desaparecer. } No ocupam espao
fsico e seu furto no facilmente detectado. Podem ser furtadas sem o contato direto com o equipamento, como observando a atividade de quem est no sistema. Alteraes no sistema podem compromet- los, como a presena de um spyware instalado na mquina ou um sniffer na rede.

7. Tudo que agrega valor a uma organizao. Podem ser, segundo a ISO 17799: } Ativos de
informao: bancos de dados, documentao de sistemas, planos de continuidade, material de treinamento, informaes arquivadas, etc. Ativos de software: aplicaes, sistemas operacionais, ferramentas de desenvolvimento e utilitrios. Ativos fsicos: computadores, equipamentos de comunicao (roteadores, switches), mdias magnticas, acomodaes, etc. Servios: computao e servios de comunicao, utilidades gerais, como eletricidade, arcondicionado, etc.

8. Segundo Grant (1998), as fronteiras de uma organizao se ampliaram e} apenas quatro

paredes no so mais suficientes para proteger os ativos. Sobre eles, enumera duas caractersticas: Os ativos devem estar disponveis para o uso (shareability) dentro da organizao. Os ativos devem estar indisponveis Grant vai alm e considera a}para o uso

(scarce) dentro da organizao. combinao das duas caractersticas como a base da vantagem competitiva de cada empresa.

9. Ampliando a viso de Grant, podemos dizer que: Um ativo deve estar} disponvel em uma rea
de disponibilidade, rea de que engloba as pessoas que Escassez necessitam do ativo e uma rea de escassez, envolvendo as outras pessoas e sistemas. rea de Disponibilidade Se um ativo tiver de passar de uma rea para outra, deve-se tomar medidas para proteg-lo ou para retirar informaes sensveis de seu contedo.

10. Para manter a segurana de um ativo de informao, uma organizao deve: } Manter a
informao indisponvel na regio de escassez e confidencial na regio disponvel. OU Danificada ou com supresso de informaes na rea de escassez, comprometendo a integridade do ativo. E Disponvel e ntegra na rea de disponibilidade

11. Problemas ocorrem quando: A confidencialidade comprometida, vazando} informao para a

rea de escassez. A integridade comprometida na rea de disponibilidade. A integridade mantida na rea de escassez. A Por disponibilidade interrompida na rea onde deveria estar disponvel. destruio ou corrompimento da informao no hardware ou software que a contm. Por interrupo, por um perodo de tempo, do acesso ao ativo de informao.

12. Grant, Robert M (1998) Contemporary Strategy Analysis (3rd edn),} Cartilha de Segurana para
Internet Conceitos}Blackwell. Classificao e controle dos}http://cartilha.cert.br/conceitos/sec1.html ativos http://infoauxsecurity.blogspot.com/2009/04/5-classificacao-e-controle- What is Asset Management?}dosativos.html http://www.theiam.org/en/knowledge/what-is-asset- management.cfm

13. http://openlearn.open.ac.uk/mod/resource/view .php?id=301299 Quer ajudar a} melhorar o

material? Lord_dagonet http://www.istf.com.br

Segurana da Informao (www.bigsolutions.com.br/seguranca-da-informacao.html)

Segurana da Informao
Hoje, os dados de sua empresa so seu maior patrimnio. Por isso, os servios de segurana da informao Infra Solutions esto preparados para fornecer proteo fsica e lgica de informaes corporativas, controles de acesso, integridade e criptografia com proteo efetiva para VPNs (Rede Privada Virtual), Intranet e Extranet, comunicao e troca de informaes protegidas com parceiros de negcios, websites e lojas de comrcio eletrnico seguros e confiveis. Contrate os servios de segurana da informao Infra Solutions e elimine os riscos com vazamentos de informaes, fraudes, uso indevido, sabotagens, roubo de informaes e diversos outros problemas que possam comprometer sua empresa, seus clientes, seus parceiros e seus negcios.

O que segurana da informao? Veja aqui um conjunto de boas prticas de mercado para
desenvolver uma poltica e uma cultura de segurana, essencial para qualquer tipo de empresa.

O ativo mais valioso para uma organizao ou pessoa a informao. Este grande diferencial competitivo ento deve estar disponvel apenas para as pessoas de direito. Elaborar e garantir critrios que protejam estas informaes contra fraudes, roubos ou vazamentos nas empresas so responsabilidades e habilidades dos gestores e analistas de segurana da informao. Nessa cartilha voc vai encontrar alguns passos e ideias de como entregar e melhorar resultados.

O que um departamento de segurana da informao faz?

As atividades de segurana da informao englobam o desenho, implementao, controle e monitorao de mtodos e processos que visam assegurar os ativos de informao de uma organizao ou pessoa. Sua atuao numa empresa est diretamente envolvida com as reas de negcio, principalmente com a rea de tecnologia, uma vez que esta sustenta a maioria dos processos de negcio da empresa. A sinergia da rea com os projetos e departamentos da organizao carter fundamental para a boa prtica da segurana da informao no ambiente corporativo. Para desenvolver uma poltica e uma cultura de segurana da informao, a TI precisa antes garantir a entrega dos recursos e da informao para os usurios, alm de mant-los ntegros e confidenciais. As informaes de negcio de uma organizao esto dispostas em um complexo ecossistema formado por processos de negcio, pessoas e tecnologia. Para garantir a continuidade do negcio de uma organizao, preciso assegurar que cada membro deste ecossistema esteja em conformidade com normas internas criadas pela prpria organizao e normatizaes externas, nacionais e internacionais. Vamos apresentar aqui um conjunto de boas prticas de mercado que ajuda a manter todos os recursos disponveis e seguros para as tomadas de deciso da organizao. Cada organizao tem seu core businness e para cada um podemos olhar e encontrar particularidades que devemos trabalhar para garanti-las tambm. Mas o principal objetivo nunca muda e em todos os programas de desenvolvimento de uma poltica e cultura de segurana da informao vamos encontrar estes trs itens:

Garantir disponibilidade dos recursos/informao; Garantir integridade da informao; Garantir confidencialidade da informao.

Garantindo a disponibilidade dos recursos

Recursos de informao como dados, servidores, aplicaes, equipamentos de telecom devem estar disponveis demanda e necessidade do negcio. preciso mapear quais so estes ativos principais crticos - para o negcio e controlar as necessidades de atualizaes de toda esta infraestrutura a fim de minimizar paradas no ambiente. Estas paradas ainda podem ser causadas por variveis no controlveis como falhas de hardware, problemas de software, ataques a rede computacional, ausncia de recursos humanos, entre outras. Para estas devemos ter o cuidado de procurar desenvolver processos detalhados para suprir quaisquer problemas que a organizao possa enfrentar, quais os impactos de uma falha e quais as atitudes a serem tomadas no caso de indisponibilidade de um recurso.

Este assunto trabalhado dentro de um item chamado de Gerenciamento de Riscos. Seguinte a isso encontramos por exemplo o Plano de Recuperao de Desastres (ou DRP, de Disaster Recovery Plan). Os principais itens trabalhados num plano de projeto para manuteno e disponibilidade de recursos, sobretudo tecnolgicos so:

Preveno e deteco de ameaas a rede computacional, tambm monitorao e controle da Definio de polticas e processos de uso de recursos de rede; Desativamento de recursos e servios no necessrios em servidores e aplicaes; Ajuste fino de servidores e aplicaes (Hardening); Cuidados com gerenciamento de identidades e controles de acesso a rede; Definio de um plano para aplicao de patches e atualizaes no ambiente; Definio de um plano de contingncia para os recursos e um plano para recuperao de

rede;

desastres.

Garantindo a integridade da informao

Entende-se em garantir integridade da informao o trabalho de coloc-la disponvel aos recursos que a utilizaro na forma de sua ltima verso vlida. O principal item desta etapa que eu gostaria de trabalhar aqui so os processos de auditoria, essenciais para a garantia de integridade das informaes e recursos da organizao. Os principais objetivos desta etapa so entender os mtodos como processos de negcio so aprovados e repassados, quem so seus proprietrios/responsveis e usurios e buscar ferramentas para monitorar e controlar estas alteraes a fim de garantir a integridade. Recursos como firewalls, antivrus, criptografia, assinatura digital, backup, processos e outras ferramentas devem ser usadas para garantir o bom funcionamento do ambiente.

Garantindo a confidencialidade da informao

Este ltimo tpico, porm no menos importante, resultante do trabalho j realizado nos tpicos anteriores. Onde atravs de processos e ferramentas buscamos entender e mapear todos os recursos e acima de tudo assegurar as informaes estratgicas para o negcio da organizao. As informaes devem estar disponveis apenas a pessoas e/ou outros recursos que tenham direito a elas. Com isso em mente podemos trabalhar para minimizar ataques a rede computacional da empresa, vazamento de dados atravs do envio de informaes de negcio sem autorizao por e-mails, impresses, cpias em dispositivos mveis, tambm acesso a informaes de projetos e departamentos armazenadas em servidores por pessoas no autorizadas. Sem esquecer as variveis incontrolveis que tambm esto presentes aqui, como por exemplo possveis perdas ou furtos de dispositivos como notebooks, smartphones e pendrives que porventura possam conter informaes confidenciais.

Mudana de paradigma
Primeiro vamos comear quebrando um paradigma. No comeo da informtica era fcil encontrar os ativos digitais de uma empresa. Eles ficavam num lugar chamado de CPD (Central de Processamento de Dados). Hoje a coisa complicou muito! Podemos encontrar informaes das empresas circulando em notebooks, fitas de backups, pendrives, smartphones, e-mails etc.

Como garantir o bom uso e a segurana das informaes crticas para o negcio agora? Apenas um firewall protegendo a rede j no adianta mais, pois os dados esto circulando por diversos meios, em diversos estados e at fora do permetro da organizao. Atravs do uso de processos e tecnologia, a rea de segurana da informao hoje pode entregar resultados fantsticos para as empresas diminuindo sensivelmente os riscos para o negocio.

Classificao da informao
Todo ativo de informao deve ter um gestor como responsvel para aprovao e controle. A classificao da informao deve ficar evidente e de fcil reconhecimento pelo usurio ou colaborador, para que este possa utilizar e compartilhar o recurso apenas com as reas de negcio que tenham acesso. Este mapeamento deve ser organizado e gerenciado por um comit de segurana da informao e os ativos avaliados, digitais ou no, devem ser entendidos junto a seus proprietrio e usurios, para a obteno de melhores resultados. Ativos digitais crticos para a organizao (como projetos estratgicos, planilhas financeiras, relatrio de vendas etc.) so algumas das informaes estratgicas mais comuns e sensveis para as empresas - e sua segurana merece total ateno. Confidencial - informaes e recursos disponveis a projetos e trabalhos crticos para a continuidade do negcio da organizao. Uso interno - informaes e recursos disponveis e gerados por departamentos e grupos de projeto, de uso restrito dentro da organizao. Uso pblico - informaes que podem ou devem ser divulgadas, a fornecedores, colaboradores externos, mdias de publicidade, etc.

Entendendo os diferentes estados da informao

Armazenada: so considerados dados armazenados os que residem em notebooks, desktops e servidores; Em movimento: so considerados dados em movimento os que residem em pen drives, smartphones, CDs e e-mails; Em uso: so considerados dados em uso os que se encontram em estado de processamento (sistemas de e-commerce, bancos de dados, ERPs etc.).

Administrao e controle de senhas

Usurios e senhas j fazem parte do dia-a-dia de todos, o que utilizamos isto para acessar a conta do banco, o sistema da empresa, o computador de casa, etc. Garantir a segurana e o bom uso destas identidades crucial para evitarmos vazamento ou roubo de informaes. A maioria dos softwares que requerem algum tipo de autenticao para administrao da ferramenta e/ou uso de outros perfis utilizam de um conjunto formado por um nome de usurio e uma senha, como Administrator senha password pass entre outros. A mudana do nome destes usurios e senhas padro nas ferramentas deve ocorrer se possvel logo ao trmino da sua instalao. Faa uma senha longa o suficiente. Uma boa senha possui de 8 a 12 dgitos. E quanto mais longa, melhor.

No utilize palavras e nomes conhecidos. Programas de quebra de senha possuem uma base bastante aprimorada com diversos dicionrios, a fim de testar cada uma destas palavras e tentar ento quebrar esta senha. Utilize caracteres alfanumricos como nmeros, pontuao alm de tambm alternar entre letras maisculas e minsculas. Evite anotar suas senhas em papis ou divulgar para outras pessoas. Trabalhe num conjunto de caracteres que possam representar simbolicamente algo para voc e que possa ser facilmente lembrado. Use senhas diferentes para suas contas. Obviamente mais cmodo ter apenas uma boa senha, mas em caso de furto ou vazamento, todas as contas e sistemas que voc utilizam desta senha para acesso podero ser facilmente acessados por quem se beneficiar. Mude suas senhas com frequncia. Isto com certeza pode ajudar no caso de algum estar bisbilhotando alguma conta sua particular ou na sua empresa e no estiver deixando rastros. Sempre que possvel utilize criptografia. Com isso voc pode garantir que apenas as pessoas autorizadas possam ter acesso a suas contas e informaes.

Gesto de identidades e acessos

O bom desenho da infraestrutura computacional e processos de tecnologia de extrema importncia para o controle dos acesso aos ativos de informao. Todas as mudanas nos perfis de acesso dos colaboradores devem ser documentadas e estes registros devem ficar disponveis para futuras consultas e auditorias. A rea de segurana da informao deve garantir o cumprimento dos prazos e controles para validao e concesso dos acessos.

Mudana cultural
A poltica de segurana da informao deve ser divulgada e de fcil acesso pelos colaboradores. Workshops e treinamentos so boas maneiras de divulg-la e orientar os usurios de como a rea de segurana da informao est trabalhando para proteger os ativos de informao da empresa e quais so as responsabilidades dos colaboradores dentro deste ecossistema. Como certo dizer que hoje qualquer processo de negcio de uma empresa depende de tecnologia e informao, a forma no mais fcil, porm melhor, de garantir interao da rea de segurana da informao para cumprimento da poltica orientar que cada projeto ou rea de negcio da empresa comunique e solicite colaborao para avaliao de riscos e implementao de controles. O contrrio disso pode demandar um esforo de venda das atividades na empresa que seguramente no apresentar bons resultados no final de cada trabalho

http://internativa.com.br/artigo_seguranca_02.html

O incio o comeo

Sempre que eu tenho que iniciar algum projeto na companhia em que trabalho ou at mesmo em minha vida pessoal, me pergunto o que realmente eu quero conseguir com aquele esforo: onde afinal eu quero chegar com isso?

Ao me responder esse questionamento, automaticamente minha mente avassalada por uma infinidade de outras perguntas, como por exemplo como? conseguir realizar aquilo que determinei como meta da minha empreitada. Com o passar dos anos e s vezes, a custa de alguns cabelos brancos, aprendemos que saber com clareza o que se quer e ter a disciplina necessria para manter o foco em nossos objetivos primordial para os alcanarmos com sucesso. As coisas no acontecem de forma muito diferente no campo da segurana da informao. Embora possa parecer redundante, vamos iniciar pelo comeo: Buscar definir claramente o que significa realmente segurana da informao. Para no despertar a ira dos puristas, fomos ISO17799, que o cdigo de prticas internacional e padro de facto para gesto da segurana da informao adotado pelo mercado buscar a definio para segurana da informao (vamos falar mais sobre esse documento em outros artigos). Segundo a norma, entende-se por segurana da informao, a preservao das seguintes propriedades da informao: Confidencialidade: Garantia de que o acesso informao seja obtido somente por pessoas autorizadas. Integridade: Salvaguarda da exatido e completeza da informao e dos mtodos de processamento. Disponibilidade: Garantia de que os usurios autorizados obtenham acesso a informao e aos ativos correspondentes sempre que necessrio. Fcil no ? Na verdade, nem sempre. Mas em todo caso, agora, com o auxlio da definio acima, vamos concentrar o nosso foco no verbo que nos foi apresentado: preservar. Mas preservar o qu? Ah sim! A Confidencialidade, Integridade e Disponibilidade dos Ativos de Informao. A propsito, ativos de informao so aquelas coisas que usamos para armazenar, transmitir e processar informaes (Ex.: pedao de papel, computadores, redes, discos rgidos, banco de dados, fitas etc..). Bem, j entendemos nossa misso, o que temos que fazer agora priorizar o que realmente importante. Antes de tudo, vamos, atravs de uma anlise de riscos criteriosa, eleger os ativos de informao mais crticos para sua organizao, saber qual destes est mais vulnervel no momento, e por conseqncia, precisa ser protegido mais emergencialmente e finalmente, tambm determinar onde sero empregados os maiores recursos (lembrando sempre que as medidas necessrias conteno dos riscos inicialmente levantados devero ser aplicadas seguindo a ordem de criticidade do impacto das perdas deste ativo para os negcios da companhia). Uma dica importante: Se voc no tem um profissional de segurana no seu staff, no faa economias, melhor contratar um consultor experiente pois segurana coisa sria e por sua

complexidade, no se deve regatear. Vale o velho ditado que diz que sempre mais custoso remediar do que prevenir. A partir da, comeamos a escrever as polticas de segurana que sero as regras que, devidamente implementadas (e somente se sarem do papel), iro proporcionar a sua empresa, as bases de um sistema de gesto da segurana eficaz e que fornecer as definies que garantiro um ambiente de trabalho confivel a todos os usurios. Estes documentos devem deixar claro O QUE necessrio para alcanarmos um nvel de segurana adequado. A primeira e fundamental poltica a ser implementada a de classificao da informao. Ela determinar critrios para classificar e manipular cada informao dentro do ambiente corporativo. No prximo artigo iremos falar mais detalhadamente sobre ela...at l.

http://www.reddrummer.com/home/ativos.html

O que so Ativos de Informao?

So informaes potencialmente valiosas se disponibilizadas como ferramental nos momentos certos sendo somente tangveis atravs de compartilhamentos dinmicos. Os Ativos de Informao so tangveis nos chamados itens compartilhveis ou objetos digitais e constituem-se de todos os contedos que so produzidos, contextualizados e compartilhados via computao local ou mvel, por indivduos e empresas, entre si ou com o mercado e a sociedade. No caso especfico das pessoas jurdicas e da aplicao individual no trabalho:
Tornam-se ativos imobilizados quando consolidam parte da histria e da cultura de

uma corporao ou da experincia acumulada no curriculum de um indivduo.

Funcionam como meio de troca quando fazem parte do fluxo de trabalho, do

capital intelectual aplicado operao, da inteligncia de negcios, do branding e do marketing de produtos e servios