Aula 01 N

Conceitos Básicos de
Segurança da Informação
– Aula 01
Profa Paulo Lopes da Silva Junior
Segurança e Auditoria de Sistemas

A IMPORTÂNCIA DA
INFORMAÇÃO
●
Possuir informação é ganhar agilidade,
competitividade, previsibilidade, dinamismo.
● In divíduo ● Empresa
● Aumento da gasolina ● Discurso do presidente
● Precipitação de chuva ● Valorização do Petróleo
● Promoção da passagem aérea ● Tendências tecnológicas
● Queda da Bovespa ● Oscilação da taxa de juros
● ... ●
...
2
SEGURANÇA DA
INFORMAÇÃO
“Segurança da Informação é adotar controles físicos, tecnológicos e

humanos personalizados, que viabilizem a redução e administração
dos riscos, levando a empresa a atingir o nível de segurança
adequado ao seu negócio.” Marcos Sêmola
3
SEGURANÇA DA
INFORMAÇÃO
●
Em segurança da informação três aspectos
importantes se destacam
●
Confidencialidade: capacidade de um sistema de permitir que
alguns usuários acessem determinadas informações ao mesmo tempo
em que impede que outros, não autorizados, a vejam.
●
Integridade: a informação deve estar correta, ser verdadeira e não
estar corrompida.
●
Disponibilidade: a informação deve estar disponível para todos que
precisarem dela para a realização dos objetivos empresariais.
4
SEGURANÇA DA
INFORMAÇÃO
● Outros aspectos
● Autenticação: garantir que um usuário é de fato quem alega ser.
● Não-repúdio: capacidade do sistema de provar que um usuário
executou uma determinada ação.
●
Legalidade: garantir que o sistema esteja aderente à legislação
pertinente.
● Privacidade: capacidade de um sistema de manter anônimo um
usuário, impossibilitando o relacionamento entre o usuário e suas
ações (exe.: sistema de voto)
● Auditoria: capacidade do sistema de auditar tudo o que foi realizado
pelos usuários, detectando fraudes ou tentativas de ataques.
5
SEGURANÇA DA
INFORMAÇÃO
 Quando falamos em segurança da informação, estamos nos

referindo a tomar ações para garantir os aspectos da
segurança das informações dentro das necessidades do clientes.
 Um incidente de segurança é a ocorrência de um evento que
possa causar interrupções nos processos de negócio em
consequência da violação de algum aspecto de segurança.
6
ATIVO DE
INFORMAÇÃO
●
A informação é um bem de grande valor para os
processos de negócios da organização.
●
O ativo da informação é composto pela informação e tudo aquilo que
a suporta ou se utiliza dela:
● A tecnologia.
● O meio que a suporta, que a mantém e que permite que ela exista.
● As pessoas que a manipulam.
● O ambiente onde ela está inserida.
7
A SEGURANÇA E O CICLO DE
VIDA DA INFORMAÇÃO
●
A identificação das necessidades e dos requisitos da
informação é a mola propulsora do ciclo.
Meio externo
Identificação das
necessidades e Obtenção Tratamento Armazenamento Distribuição Uso Descarte
requisitos
Meio Interno
Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.
8
●
Preocupar com a
integridade Meio externo
da informação
Identificação das
requisitos
Meio Interno
9
●
Garantir que depois de tratada
Meio externo
a informação continue íntegra,
e com a sua confidencialidade
garantida
Identificação das
requisitos
Meio Interno
10
●
Apreocupação com a integridade
e a disponibilidade será uma
Meio externo constante, e para informações
sigilosas a confidencialidade
não pode ser esquecida
Identificação das
requisitos
Meio Interno
11
●
Meio externo Quanto melhor for a rede de

distribuição, mais eficiente
será esta etapa
Identificação das
requisitos
Meio Interno
12
●
Os conceitos de disponibilidade,
Meio externo integridade e confiabilidade
devem ser aplicados em
sua plenitude.
Identificação das
requisitos
Meio Interno
13
●
O descarte da informação precisa
ser realizado dentro de condições
Meio externo de segurança, principalmente no
que tange ao aspecto da
confidencialidade.
Identificação das
requisitos
Meio Interno
14
CLASSIFICAÇÃO E CONTROLE DE ATIVOS
DE INFORMAÇÃO
●  A classificação da informação é o processo pelo

qual estabelecemos o grau de importância das
informações frente a seu impacto no negócio ou
processo que elas suportam.
Documento
Software Físico Serviços Pessoas em Informação
papel
Ativos da Informação
Figura: Ativos da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.
15
CLASSIFICAÇÃO E CONTROLE DE
ATIVOS DE INFORMAÇÃO
●
Quanto mais estratégica ou decisiva para o sucesso
do negócio, mais importante a informação será.
 Classificação: atividade de atribuir o grau de sigilo a um

ativo da informação
 Proprietário: responsável pelo ativo da informação,
auxilia na definição do meio de proteção.
 Custodiante: responsável pela guarda do ativo da
informação. Assegura que o ativo da informação está sendo
protegido conforme determinado pelo proprietário.
16
● Classificação da informação quanto à confidencialidade

●
Nível 1 - Pública: são informações que se forem divulgadas fora da organização
não trarão impactos para o negócio. Sua integridade não é vital e seu uso é
livre.
● Nível 2 – Interna: o acesso pelo público externo deve ser evitado,
entretanto, caso venham a se tornar públicos, as consequências não são
críticas.
● Nível 3 – Confidencial: a integridade é vital, o acesso deve ser restrito dentro
da organização e protegidos do acesso externo, o acesso não autorizado pode
trazer comprometimento às operações da organização e causar perdas
financeiras.
● Nível 4 – Secreta: o acesso interno e externo a essa informação é extremamente
crítico para a organização, a quantidade de pessoas deve ser muito controlada, a
integridade é vital e devem existir regras restritas para o seu uso.
17
● Classificação da informação quanto à disponibilidade

● Qual falta a informação faz?
● Nível 1: informações que devem ser recuperadas em minutos.
● Nível 2: informações que devem ser recuperadas em horas.
● Nível 3: informações que devem ser recuperadas em dias.
● Nível 4: informações que não são críticas.
18
● Classificação da informação quanto à integridade
● Identificar as informações que são fundamentais ao negócio ajuda a
apontar o local certo para direcionar os controles, para
prevenir, detectar e corrigir a produção de informações sem
integridade ou alteração indevida da mesma.
● Classificação da informação quanto à autenticidade
●
Pela recomendação ISO 17.799, dados e informações destinados ao
público externo devem apresentar requisitos de verificação da
autenticidade.
19
● Monitoramento contínuo
 Após a classificação dos ativos da informação, deve-se elaborar
e manter procedimentos de reavaliação periódica dos
mesmos.
 A área de segurança da informação deve, em conjunto com os

proprietários da informação, reavaliar a pertinência da
categoria atribuída a cada ativo.
20
ASPECTOS HUMANOS DA
SEGURANÇA DA INFORMAÇÃO
Pessoas são elementos centrais de um sistema de segurança da

informação. Os incidentes sempre envolvem pessoas, quer do lado
das vulnerabilidades exploradas, quer do lado das ameaças que
exploram essas vulnerabilidades.
21
ASPECTOS HUMANOS DA
●
Chief Security Officer (CSO) - o profissional da
segurança
● Coordenação da área de segurança e da infraestrutura organizacional.
● Planejamento dos investimentos de segurança
●
Definição dos índices e indicadores para a segurança corporativa
●
Definição, elaboração, divulgação, treinamento, implementação e
administração da política de segurança, plano de continuidade de
negócios e plano de contingência.
● Investigação sobre incidentes de segurança.
● Análise de riscos envolvendo segurança.
22
ASPECTOS HUMANOS DA
● A engenharia social é
●
“A engenharia social é arte de utilizar o comportamento humano
para quebrar a segurança sem que a vítima sequer perceba que foi
manipulada.” SANS Institute
●
“A engenharia social é um método de ataque onde alguém faz uso da
persuasão, muitas vezes abusando da ingenuidade ou confiança do
usuário, para obter informações que podem ser utilizadas para ter
acesso não autorizado aos ativos da informação” CERT.Br
● A engenharia social pode ser dividade em duas categorias: física e psicológica.
23
ASPECTOS HUMANOS DA
●
Segurança nos termos, condições e responsabilidades
de trabalho
 Garantir que a segurança dos ativos da informação seja

uma responsabilidade de todos e que as ações dos
colaboradores estejam aderentes à política de segurança é
fundamental para o sucesso da segurança corporativa.
 Os termos e condições de trabalho, o que está relacionado ao
cargo que determinado funcionário ocupa, as obrigações,
cuidados e condutas relativas à segurança da informação
devem estar registrados no contrato de trabalho.
24
ASPECTOS HUMANOS DA
● Segurança no processo de seleção de pessoal
●
O processo de seleção de pessoal é a porta de entrada para a
organização e deve ser alvo de muita atenção.
●
É preciso, checar, confirmar, entrar em contato com as pessoas
e empresas citadas nos currículos, confirmar os diplomas nas
instituições de ensino, verificar, junto às empresas onde o colaborador
trabalhou, sua conduta.
25
ASPECTOS HUMANOS DA
● Treinamento dos usuários

● Treinar, educar e conscientizar são ações essenciais para o
sucesso de qualquer política de segurança bem-sucedida.
● A política de segurança, bem como suas diretrizes devem ser
conhecidos por todos os colaboradores externos e internos.
● Todos os colaboradores devem entender os conceitos de
confidencialidade, integridade e disponibilidade, e ter uma conduta
compatível com as boas práticas da segurança da informação.
● O treinamento deve ser periódico e sistemático, promovendoo
desenvolvimento da cultura da segurança da informação.
26
POLÍTICA DE SEGURANÇA DE
INFORMAÇÃO
●
Antes de implementar o programa é aconselhável responder às
seguintes questões
● O que se quer proteger?
● Contra que ou quem?
● Quais são as ameaças mais prováveis?
● Qual a importância de cada recurso?
●
Qual o grau de proteção desejado?
●
Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os
objetivos de segurança desejados?
●
Quais as expectativas dos usuários e clientes em relação à segurança de
informações?
●
Quais as consequências para a instituição se seus sistemas de Informações forem
corrompidos ou roubados?
27
A INDÚSTRIA 4.0
A Ciber Segurança
tem que ser um elemento
à mais que vai auxiliar no
processo de proteção
da informação.
Indústria 4.0 Fonte:
28 http://www.primeaction.com/noticia_setorial/governo_prepara_estimulo_para_industria_40_no_brasil
INTERNET DAS COISAS (IOT) E OS
DESAFIOS DE SEGURANÇA
 Internet das Coisas (IoT) impactará o modo como interagimos com

o mundo à nossa volta.
 Bilhões de "coisas" conversando umas com as outras: de TVs,
geladeiras e carros a medidores inteligentes, monitores de saúde e
dispositivos vestíveis (wearables).
 Os dados transmitidos pela IoT formarão uma representação gráfica

de cada um de nós. O grande desafio será proteger essas
informações.
29
Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas
30
31
32
33
ESTUDO DE CASO: A SOLUÇÃO PARA SISTEMAS DE
TRANSPORTE MAIS ECOLÓGICOS E SEGUROS
1)Como a cidade Exeter utilizou a tecnologia para melhorar a

sustentabilidade e a segurança?
2) Como a Internet das Coisas foi utilizada nesse estudo de caso?
3) Como é feita a segurança da informação para o dispositivo utilizado?

4)Quais questões sobre os aspectos de confidencialidade, integridade e
 disponibilidade, ao seu ponto de vista, são importantes para garantir a
 segurança da informação para esses dispositivos?
5)Quais fatores do ambiente em que o dispositivo se encontra foram

levados em consideração para garantir a segurança da informação?
6)Identifique no estudo de caso alguns ativos de informação que

precisam ser controlados.
34
BIBLIOGRAFIA
BÁSICA
●
LYRA, Maurício Rocha. Segurança e auditoria em sistemas de
informação. Rio de Janeiro: Ciência Moderna, 2008.
●
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio
de Janeiro: Axcel Books, c2000.
●
SÊMOLA, Marcos. Gestão da segurança da informação: uma visão
executiva. 1.ed. Rio de Janeiro: Campus, 2003
●
https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas
35

Aula 01 N

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula 01 N

Enviado por

Direitos autorais:

Formatos disponíveis

Conceitos Básicos de

Profa Paulo Lopes da Silva Junior

Segurança e Auditoria de Sistemas

“Segurança da Informação é adotar controles físicos, tecnológicos e

 Quando falamos em segurança da informação, estamos nos

Meio externo Quanto melhor for a rede de

●  A classificação da informação é o processo pelo

 Classificação: atividade de atribuir o grau de sigilo a um

● Classificação da informação quanto à confidencialidade

● Classificação da informação quanto à disponibilidade

 A área de segurança da informação deve, em conjunto com os

Pessoas são elementos centrais de um sistema de segurança da

 Garantir que a segurança dos ativos da informação seja

● Treinamento dos usuários

Indústria 4.0 Fonte:

 Internet das Coisas (IoT) impactará o modo como interagimos com

 Os dados transmitidos pela IoT formarão uma representação gráfica

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

1)Como a cidade Exeter utilizou a tecnologia para melhorar a

3) Como é feita a segurança da informação para o dispositivo utilizado?

5)Quais fatores do ambiente em que o dispositivo se encontra foram

6)Identifique no estudo de caso alguns ativos de informação que

Você também pode gostar