Escolar Documentos
Profissional Documentos
Cultura Documentos
RISCO
Michel Bernardo Fernandes da Silva
E-book 4
Neste E-Book:
INTRODUÇÃO���������������������������������������������� 3
PRINCÍPIOS DA SEGURANÇA DA
INFORMAÇÃO���������������������������������������������� 4
CLASSIFICAÇÃO DAS INFORMAÇÕES10
Benefícios da Classificação de Informação������� 13
Exemplos de Classificação���������������������������������� 14
Rotulação�������������������������������������������������������������� 17
POLÍTICA DE SEGURANÇA DE
INFORMAÇÃO��������������������������������������������26
CONSIDERAÇÕES FINAIS�����������������������31
SÍNTESE������������������������������������������������������� 32
2
INTRODUÇÃO
Neste módulo discutiremos sobre as características
fundamentais da segurança de informação, como:
Disponibilidade, Confiabilidade e Integridade. Você
também irá aprender sobre a forma de classificação
das informações e seus impactos.
3
PRINCÍPIOS DA
SEGURANÇA DA
INFORMAÇÃO
A integridade é a garantia da exatidão e completeza
da informação e dos métodos de processamento
(NBR ISO/IEC 27002:2005). Ao garantir a integridade,
a informação não pode ser modificada, alterada ou
destruída sem autorização; ela deve ser legítima e
permanecer consistente. Dessa forma, garante-se
que somente os usuários autorizados terão capa-
cidade de alterar a informação.
4
Dados tem
integridade se:
Firewall
1� Dados não
são alterados
Banco de
dados 2� Dados são
Grande porte Servidores válidos
(Mainframe) de aplicativo
e Web 3� Dados são
precisos
Usuário
Domínio de
sistema/aplicativo
5
Quanto mais crítico um componente ou serviço, mais
alto é o nível de disponibilidade exigido. O tempo
médio para falha, ou Mean Time to Failure (MTTF),
representa a quantidade média de tempo entre as
falhas para um determinado sistema. São exemplos
de falhas: quebra de conectores, queima de fonte de
alimentação, desgastes físicos nos componentes,
entre outros.
6
Atualmente, o comércio eletrônico está bem de-
senvolvido e milhões de pessoas inserem dados
pessoais em sites de e-commerce, como dados
de identificação e números de cartões de crédito.
É fundamental proteger os dados de identificação
pessoal e dados particulares desses consumidores.
• Dados particulares de
indivíduos:
– Nome, endereço, data de
nascimento;
– Número de identidade;
– Nome de banco, número de
conta;
– Número de cartão de
crédito;
– Número de conta de
serviços utilitários;
– Número hipoteca;
– Número de apólice de
seguro;
– Números de conta de
Firewall investimento�
• Propriedade intelecutal
corporativa:
– Segredos comerciais;
Grande porte – Desenvolvimento de
Servidores
produtos;
(Mainframe) de aplicativo – Estratégias de vendas e
e Web marketing;
– Registros financeiros;
– Direitos autorais, patentes
etc�
• Propriedade intelectual de
governo:
– Segurança nacional;
– Estratégias militares e do
Departamento de Defesa�
7
Caso ocorra uma perda de confidencialidade, haverá
revelação não autorizada de informações.
Int
ida
eg
ial
ri
da
nc
de
de
nfi
Dados e
Co
serviços
Disponibilidade
8
dade de ser genuína e de poder ser verificada e confiável.
Trata-se da confiança na validade de uma transmissão,
de uma mensagem ou do originador de uma mensagem.
Com isso, é possível garantir que os usuários são quem
dizem ser e que cada dado que chega ao sistema foi
originado de uma fonte confiável.
9
CLASSIFICAÇÃO DAS
INFORMAÇÕES
Atualmente, as empresas lidam com um ambiente
bastante complexo, no que se relaciona a leis, a re-
gulamentações, a competidores e a parceiros, sendo
que é necessário classificar as informações, prin-
cipalmente para atendimento das regulamentações
específicas que são aplicadas a um tipo de dado.
FIQUE ATENTO
O proprietário dos dados não é, necessariamen-
te, o proprietário do sistema. Proprietários do
sistema controlam as mudanças e as configura-
ções do sistema, mas não têm autoridade sobre
a classificação de informações.
10
Classificar a informação é criar níveis, critérios e
categorias adequados para as informações – que
deem a elas a devida importância, prioridade e o
nível de proteção adequados. Segundo Kovacich,
1998, apesar de não existir uma forma padroniza-
da de classificar a informação de uma organização,
pode-se enumerar três categorias básicas: informa-
ções pessoais, informações de segurança nacional
e informações de negócio, conforme apresentado
na seguinte tabela:
11
essa razão, é necessário avaliar cada ativo para
identificar em que fase ele está e qual o nível de pro-
teção será aplicado. Assim, atinge-se o máximo de
eficácia possível no uso do mecanismo da proteção.
• Economia: Quanto maior a necessidade de pro-
teção para o ativo, maior será o investimento fi-
nanceiro em mecanismos de proteção. Na prática,
isso significa que, quanto maior for a classificação
das informações, isso representará economia para
organização, uma vez, que aplicará seu dinheiro
em mecanismos que protegerão seus ativos mais
importantes.
12
Criticidade é a medida da importância da informa-
ção para a missão da organização. Por exemplo, o
que aconteceria se segredos industriais da empresa
fossem descobertos pelos concorrentes?
Benefícios da Classificação de
Informação
As empresas podem usufruir de diversos benefícios
baseados em classificação, tais como proteção de
dados classificados como sensíveis e/ou informa-
ções críticas. As marcações apropriadas possibili-
tam que os funcionários reconheçam a necessidade
de proteção de dados classificados e a empresa irá
aplicar melhor seus custos de segurança, onde são
estritamente necessários.
13
Exemplos de Classificação
Não existe uma padronização das classificações
adotadas por empresas comerciais, já que elas de-
vem ser adequadas aos negócios e ao ambiente de
cada empresa.
REFLITA
Na sua opinião, ter muitas classificações de in-
formação traz muitos benefícios adicionais para
a empresa?
14
SAIBA MAIS
O decreto federal nº 7.845/2012 está disponí-
vel em http://www.planalto.gov.br/ccivil_03/_
Ato2011-2014/2012/Decreto/D7845.htm. Aces-
so em: 17 abr. 2020.
15
de uma informação que pode ser classificada como
restrita: o cadastro de cliente.
16
utilizados para classificar a informação e o processo
de classificação determina quais ações serão toma-
das com os dados classificados. Todos os recursos
de informação devem ser rotulados e marcados.
Rotulação
A rotulação visa a inibir a ação de algum fraudador,
mas, principalmente, salvaguardar juridicamente a
organização, no caso de violação da segurança da
informação naquele nível de classificação. Além dos
documentos impressos, também é aplicável aos
documentos eletrônicos e mensagens de e-mail.
17
dados de sistemas e aplicativos, devem mostrar
visualmente o nível da classificação de um registro
quando esse é acessado. As mídias podem ser ro-
tuladas visualmente com etiquetas, assim como os
documentos impressos.
18
ANÁLISE DAS AMEAÇAS
De acordo com as RFCs 2828 e 4949, Glossários
de Segurança na Internet, uma ameaça representa
um potencial para a segurança ser violada, no caso
da ocorrência de um evento, ação ou circunstância,
gerando danos. (RFC 2828)
SAIBA MAIS
As Request for Comments – RFCs (ou pedido por
comentários) são documentos técnicos criados
por organizações que lidam com tecnologia. A
RFC 2828, Internet Security Glossary, está dispo-
nível em https://tools.ietf.org/html/rfc2828.
19
A CVE possui uma definição própria de vulnerabilida-
de, que é uma fraqueza de uma lógica computacional,
por exemplo, o código encontrado nos componentes
de software e hardware que, quando explorado, pode
resultar em um impacto negativo contra a confiden-
cialidade, integridade ou disponibilidade.
Podcast 1
Hackers
Os invasores são indivíduos ou grupos que tentam
explorar vulnerabilidades para ganho pessoal ou fi-
nanceiro. Os invasores estão interessados em in-
formações como: números de cartões de crédito,
projetos de produtos, e qualquer coisa com valor.
20
cação profissional e que, frequentemente, utilizam
ferramentas ou instruções encontradas na internet
para lançar ataques. Apesar de utilizarem ferramen-
tas básicas, os resultados dos ataques ainda podem
ser devastadores.
21
cimento técnico, que tem satisfação em explorar e
aprender sistemas computacionais (KIM, SOLOMON,
2014, p. 68).
22
Criminosos virtuais
Insiders
Outsiders • Funcionarios e
ex-funcionários;
• Equipe contratada;
• Parceiros confiáveis�
Invasores
organizados Hackers
Interceptação de tráfego
Na técnica de interceptação de tráfego, ou sniffing,
são inspecionados os dados trafegados em redes
de computadores, por meio de softwares específi-
cos, denominadod sniffers, ou farejadores. Existem
sniffers de pacotes Wi-Fi, redes e IP. Assim, o sniffer
pode ser implementado via hardware, software ou
combinação de ambos.
Podcast 2
23
Programas para varredura de
vulnerabilidade
Os programas de varredura em redes, ou scanners,
efetuam buscas detalhadas em redes, visando a
identificar os computadores ativos e colher infor-
mações, tais como softwares instalados e serviços
disponibilizados. Com posse dessas informações,
associa-se potenciais vulnerabilidades aos progra-
mas instalados nos computadores identificados e
aos serviços disponíveis.
24
dos computadores. A maneira como o computador
responde indica a existência de um ponto fraco que
pode ser explorado. Com base nesse resultado,
os atacantes verificam qual o tipo de ataque a ser
utilizado.
Espionagem telefônica
(wiretapping)
Existem formas diferentes para realizar um grampo
telefônico em linhas de telefonia fixa e linhas de
comunicação de dados. A espionagem telefônica
pode ser classificada como ativa, quando o atacante
realiza modificação no sinal da linha; ou passiva,
quando ele simplesmente tem acesso ao conteúdo,
mas não pode alterá-lo.
Na espionagem ativa, há a espionagem telefônica
com entrada em piggyback, quando a espionagem
telefônica interceptar e modificar a mensagem origi-
nal de forma a interromper a linha de comunicações
para rotear a mensagem para outro computador, que
aturará como hospedeiro.
Tradicionalmente, o termo wiretapping está asso-
ciado a comunicações por voz. Para interceptação
de dados, é mais frequente o termo sniffing, como
estudado anteriormente, que também é aplicado a
interceptações de transmissão sem fio.
25
POLÍTICA DE
SEGURANÇA DE
INFORMAÇÃO
Segundo a NBR ISO/IEC 27002:2005, o objetivo da
Política de Segurança da Informação é prover orien-
tação e apoio da diretoria para a segurança de in-
formação, conforme os requisitos do negócio e as
leis e regulamentações aplicáveis.
26
des gerais e específicas na gestão da segurança da
informação. Por fim, são anexadas referências à do-
cumentação, com o objetivo de sustentar a política.
27
• Por que os colaboradores devem se preocupar
com segurança?
• Quais são os objetivos estratégicos de SI?
• Como é realizada a gestão da Segurança da
Informação?
• O que pensa a alta administração?
• Q u a i s s ã o o s principais papéis e
responsabilidades?
• Quais as penalidades previstas?
• Uma política de segurança precisa ser sustentada
por:
• Diretrizes
• Normas
• Procedimentos e Instruções
28
acesso físico, instruções sobre senhas e realização
de backups, entre outros. Devem ser elaboradas de
forma mais genérica possível.
29
• Concisa, pois não deve conter informações des-
necessárias ou redundantes;
• Adequada em relação à realidade da empresa;
• Atualizada periodicamente, posto que ocorrem
mudanças nos negócios, novas ameaças, entre
outros.
30
CONSIDERAÇÕES FINAIS
Apresentamos aqui as principais dimensões
da segurança: Confidencialidade, Integridade e
Disponibilidade da informação. A Disponibilidade
significa que a informação é acessível por usu-
ários autorizados, sempre que for solicitada. A
Confidencialidade é a garantia de que somente usu-
ários autorizados poderão acessar a informação. A
Integridade implica na modificação de informação
somente por usuários autorizados.
31
SÍNTESE
GESTÃO DE
RISCOS
ETAPAS DE AVALIAÇÃO, TRATAMENTO,
ACEITAÇÃO, COMUNICAÇÃO E
MONITORAMENTO DE RISCOS
Diretrizes D1 D2 D3 Dn Estratégico
Normas Tático
Procedimentos Operacional
P1 P2 P4 P5 P6 P7 P8 P9
Instruções
I I I I I I I I