Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança da Informação
– Aula 01
● In divíduo ● Empresa
● Aumento da gasolina ● Discurso do presidente
● Precipitação de chuva ● Valorização do Petróleo
● Promoção da passagem aérea ● Tendências tecnológicas
● Queda da Bovespa ● Oscilação da taxa de juros
● ... ●
...
2
SEGURANÇA DA
INFORMAÇÃO
3
SEGURANÇA DA
INFORMAÇÃO
●
Em segurança da informação três aspectos
importantes se destacam
●
Confidencialidade: capacidade de um sistema de permitir que
alguns usuários acessem determinadas informações ao mesmo tempo
em que impede que outros, não autorizados, a vejam.
●
Integridade: a informação deve estar correta, ser verdadeira e não
estar corrompida.
●
Disponibilidade: a informação deve estar disponível para todos que
precisarem dela para a realização dos objetivos empresariais.
4
SEGURANÇA DA
INFORMAÇÃO
● Outros aspectos
● Autenticação: garantir que um usuário é de fato quem alega ser.
● Não-repúdio: capacidade do sistema de provar que um usuário
executou uma determinada ação.
●
Legalidade: garantir que o sistema esteja aderente à legislação
pertinente.
● Privacidade: capacidade de um sistema de manter anônimo um
usuário, impossibilitando o relacionamento entre o usuário e suas
ações (exe.: sistema de voto)
● Auditoria: capacidade do sistema de auditar tudo o que foi realizado
pelos usuários, detectando fraudes ou tentativas de ataques.
5
SEGURANÇA DA
INFORMAÇÃO
6
ATIVO DE
INFORMAÇÃO
●
A informação é um bem de grande valor para os
processos de negócios da organização.
●
O ativo da informação é composto pela informação e tudo aquilo que
a suporta ou se utiliza dela:
● A tecnologia.
● O meio que a suporta, que a mantém e que permite que ela exista.
● As pessoas que a manipulam.
● O ambiente onde ela está inserida.
7
A SEGURANÇA E O CICLO DE
VIDA DA INFORMAÇÃO
●
A identificação das necessidades e dos requisitos da
informação é a mola propulsora do ciclo.
Meio externo
Identificação das
necessidades e Obtenção Tratamento Armazenamento Distribuição Uso Descarte
requisitos
Meio Interno
Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.
8
A SEGURANÇA E O CICLO DE
VIDA DA INFORMAÇÃO
●
A identificação das necessidades e dos requisitos da
informação é a mola propulsora do ciclo.
Preocupar com a
integridade Meio externo
da informação
Identificação das
necessidades e Obtenção Tratamento Armazenamento Distribuição Uso Descarte
requisitos
Meio Interno
Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.
9
A SEGURANÇA E O CICLO DE
VIDA DA INFORMAÇÃO
●
A identificação das necessidades e dos requisitos da
informação é a mola propulsora do ciclo.
Garantir que depois de tratada
Meio externo
a informação continue íntegra,
e com a sua confidencialidade
garantida
Identificação das
necessidades e Obtenção Tratamento Armazenamento Distribuição Uso Descarte
requisitos
Meio Interno
Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.
10
A SEGURANÇA E O CICLO DE
VIDA DA INFORMAÇÃO
●
A identificação das necessidades e dos requisitos da
informação é a mola propulsora do ciclo.
Apreocupação com a integridade
e a disponibilidade será uma
Meio externo constante, e para informações
sigilosas a confidencialidade
não pode ser esquecida
Identificação das
necessidades e Obtenção Tratamento Armazenamento Distribuição Uso Descarte
requisitos
Meio Interno
Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.
11
A SEGURANÇA E O CICLO DE
VIDA DA INFORMAÇÃO
●
A identificação das necessidades e dos requisitos da
informação é a mola propulsora do ciclo.
Identificação das
necessidades e Obtenção Tratamento Armazenamento Distribuição Uso Descarte
requisitos
Meio Interno
Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.
12
A SEGURANÇA E O CICLO DE
VIDA DA INFORMAÇÃO
●
A identificação das necessidades e dos requisitos da
informação é a mola propulsora do ciclo.
Os conceitos de disponibilidade,
Meio externo integridade e confiabilidade
devem ser aplicados em
sua plenitude.
Identificação das
necessidades e Obtenção Tratamento Armazenamento Distribuição Uso Descarte
requisitos
Meio Interno
Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.
13
A SEGURANÇA E O CICLO DE
VIDA DA INFORMAÇÃO
●
A identificação das necessidades e dos requisitos da
informação é a mola propulsora do ciclo.
O descarte da informação precisa
ser realizado dentro de condições
Meio externo de segurança, principalmente no
que tange ao aspecto da
confidencialidade.
Identificação das
necessidades e Obtenção Tratamento Armazenamento Distribuição Uso Descarte
requisitos
Meio Interno
Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.
14
CLASSIFICAÇÃO E CONTROLE DE ATIVOS
DE INFORMAÇÃO
Documento
Software Físico Serviços Pessoas em Informação
papel
Ativos da Informação
Figura: Ativos da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.
15
CLASSIFICAÇÃO E CONTROLE DE
ATIVOS DE INFORMAÇÃO
●
Quanto mais estratégica ou decisiva para o sucesso
do negócio, mais importante a informação será.
16
CLASSIFICAÇÃO E CONTROLE DE
ATIVOS DE INFORMAÇÃO
17
CLASSIFICAÇÃO E CONTROLE DE
ATIVOS DE INFORMAÇÃO
18
CLASSIFICAÇÃO E CONTROLE DE
ATIVOS DE INFORMAÇÃO
● Classificação da informação quanto à integridade
● Identificar as informações que são fundamentais ao negócio ajuda a
apontar o local certo para direcionar os controles, para
prevenir, detectar e corrigir a produção de informações sem
integridade ou alteração indevida da mesma.
● Classificação da informação quanto à autenticidade
●
Pela recomendação ISO 17.799, dados e informações destinados ao
público externo devem apresentar requisitos de verificação da
autenticidade.
19
CLASSIFICAÇÃO E CONTROLE DE
ATIVOS DE INFORMAÇÃO
● Monitoramento contínuo
Após a classificação dos ativos da informação, deve-se elaborar
e manter procedimentos de reavaliação periódica dos
mesmos.
20
ASPECTOS HUMANOS DA
SEGURANÇA DA INFORMAÇÃO
21
ASPECTOS HUMANOS DA
SEGURANÇA DA INFORMAÇÃO
●
Chief Security Officer (CSO) - o profissional da
segurança
● Coordenação da área de segurança e da infraestrutura organizacional.
● Planejamento dos investimentos de segurança
●
Definição dos índices e indicadores para a segurança corporativa
●
Definição, elaboração, divulgação, treinamento, implementação e
administração da política de segurança, plano de continuidade de
negócios e plano de contingência.
● Investigação sobre incidentes de segurança.
● Análise de riscos envolvendo segurança.
22
ASPECTOS HUMANOS DA
SEGURANÇA DA INFORMAÇÃO
● A engenharia social é
●
“A engenharia social é arte de utilizar o comportamento humano
para quebrar a segurança sem que a vítima sequer perceba que foi
manipulada.” SANS Institute
●
“A engenharia social é um método de ataque onde alguém faz uso da
persuasão, muitas vezes abusando da ingenuidade ou confiança do
usuário, para obter informações que podem ser utilizadas para ter
acesso não autorizado aos ativos da informação” CERT.Br
● A engenharia social pode ser dividade em duas categorias: física e psicológica.
23
ASPECTOS HUMANOS DA
SEGURANÇA DA INFORMAÇÃO
●
Segurança nos termos, condições e responsabilidades
de trabalho
24
ASPECTOS HUMANOS DA
SEGURANÇA DA INFORMAÇÃO
● Segurança no processo de seleção de pessoal
●
O processo de seleção de pessoal é a porta de entrada para a
organização e deve ser alvo de muita atenção.
●
É preciso, checar, confirmar, entrar em contato com as pessoas
e empresas citadas nos currículos, confirmar os diplomas nas
instituições de ensino, verificar, junto às empresas onde o colaborador
trabalhou, sua conduta.
25
ASPECTOS HUMANOS DA
SEGURANÇA DA INFORMAÇÃO
26
POLÍTICA DE SEGURANÇA DE
INFORMAÇÃO
●
Antes de implementar o programa é aconselhável responder às
seguintes questões
● O que se quer proteger?
● Contra que ou quem?
● Quais são as ameaças mais prováveis?
● Qual a importância de cada recurso?
●
Qual o grau de proteção desejado?
●
Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os
objetivos de segurança desejados?
●
Quais as expectativas dos usuários e clientes em relação à segurança de
informações?
●
Quais as consequências para a instituição se seus sistemas de Informações forem
corrompidos ou roubados?
27
A INDÚSTRIA 4.0
A Ciber Segurança
tem que ser um elemento
à mais que vai auxiliar no
processo de proteção
da informação.
28 http://www.primeaction.com/noticia_setorial/governo_prepara_estimulo_para_industria_40_no_brasil
INTERNET DAS COISAS (IOT) E OS
DESAFIOS DE SEGURANÇA
29
INTERNET DAS COISAS (IOT) E OS
DESAFIOS DE SEGURANÇA
30
INTERNET DAS COISAS (IOT) E OS
DESAFIOS DE SEGURANÇA
31
INTERNET DAS COISAS (IOT) E OS
DESAFIOS DE SEGURANÇA
32
INTERNET DAS COISAS (IOT) E OS
DESAFIOS DE SEGURANÇA
33
ESTUDO DE CASO: A SOLUÇÃO PARA SISTEMAS DE
TRANSPORTE MAIS ECOLÓGICOS E SEGUROS
34
BIBLIOGRAFIA
BÁSICA
●
LYRA, Maurício Rocha. Segurança e auditoria em sistemas de
informação. Rio de Janeiro: Ciência Moderna, 2008.
●
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio
de Janeiro: Axcel Books, c2000.
●
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão
executiva. 1.ed. Rio de Janeiro: Campus, 2003
●
https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas
35