Escolar Documentos
Profissional Documentos
Cultura Documentos
Dados
● Número de
● Cartões de Crédito
● Planos de Marketing
● Códigos Fonte
● Informações de RH
Comunicação
Serviços ● Web sites Logins •
● Acesso a Internet Transação •
Controladores financeira
Correio Eletrônico •
●
● de Domínio
● ERP
2
Algumas definições
● Ameaça
○ Evento ou atitude indesejável que potencialmente remove, altera,
revela, desabilita, danifica ou destrói um recurso;
● Vulnerabilidade
○ Característica de fraqueza de um bem;
○ Suscetível a uma ameaça
○ Características de modificação e de captação de que podem ser alvos
os bens, ativos, ou recursos intangíveis de informática.
3
Algumas definições
● Risco
○ A probabilidade da ocorrência de uma ameaça em particular
■ explorar uma determinada vulnerabilidade de um recurso
4
Princípios da segurança - Conceitos Fundamentais
Segurança
da informação CONFIDENCIALIDADE
INTEGRIDADE DISPONIBILIDADE
5
Princípios da segurança - Conceitos Fundamentais
● Segurança
○ Integridade
○ Disponibilidade
○ Confidencialidade
6
Princípios da segurança - Conceitos Fundamentais
● Segurança
○ Integridade
■ Princípio de segurança da informação através do qual é garantida a
autenticidade da informação
■ Os dados devem ser íntegros!
■ Uma transação não deve ser alterada
7
Princípios da segurança - Conceitos Fundamentais
● Segurança
○ Disponibilidade
■ Propriedade de manter a informação disponível para os usuários,
quando estes dela necessitarem
■ Muito presente em negócios
■ Principalmente bancos!
8
Princípios da segurança - Conceitos Fundamentais
● Segurança
○ Confidencialidade
■ Propriedade de manter a informação a salvo de acesso e
divulgação não autorizados;
■ Os dados devem ser privados!
9
Outros princípios
● Controle de acesso
○ Auditoria Controle de Acesso
○ Autorização
○ Sigilo/Identificação
Identificação
○ Autenticação
Autenticação
Autorização
Auditoria
Sigilo
Segurança
11
Ciclo de vida da informação
12
Ciclo de vida da informação
13
Ciclo de vida da informação
● Manuseio:
○ Quando a informação é criada;
○ Criação física ou digital.
○ Identificação das necessidades e dos
requisitos
14
Ciclo de vida da informação
15
Ciclo de vida da informação
● Armazenamento:
○ Momento que a informação é
armazenada;
○ Pode ser em meios físicos ou digitais.
16
Ciclo de vida da informação
17
Ciclo de vida da informação
● Transporte:
○ Quando se distribui a informação;
○ Pode ser feita de várias formas,
digitalmente, por papel, ...
18
Ciclo de vida da informação
19
Ciclo de vida da informação
● Descarte:
○ Quando a informação perde a utilidade;
○ Esta é destruída, física ou digitalmente.
20
Ciclo de vida da informação
21
Segurança
22
Categorias dos Ativos da Informação
Software
Físicos
Serviços
Ativos Pessoas
Docs em
Papel
Informação
23
Categorias dos Ativos da Informação
Software
Físicos
Serviços
Ativos Pessoas
Docs em
Papel
Informação
24
Categorias dos Ativos da Informação
Software
Físicos
Serviços
Ativos Pessoas
Docs em
Papel
Informação
25
Categorias dos Ativos da Informação
Software
Físicos
Serviços
Ativos Pessoas
Docs em
Papel
Informação
26
Categorias dos Ativos da Informação
Software
Físicos
Serviços
Ativos Pessoas
Docs em
Papel
Informação
27
Categorias dos Ativos da Informação
Software
Físicos
Serviços
Ativos Pessoas
Docs em
Papel
Informação
28
Categorias dos Ativos da Informação
Software
Físicos
Serviços
Ativos Pessoas
Docs em
Papel
Informação
29
Conceitos para ativos da informação
● Classificação:
○ Atribuição de grau de sigilo;
● Proprietário:
○ Responsável pela guarda do ativo.
● Custodiante:
○ Responsável pelo ativo
■ auxilia na definição do meio de proteção;
30
Classificação de ativos
31
Confidencialidade
32
Confidencialidade
34
Confidencialidade
35
Confidencialidade
● Ultra-secretos
○ à soberania e à integridade territorial nacionais;
○ a projetos de pesquisa e desenvolvimento científico e tecnológico de
interesse da defesa nacional
○ a programas econômicos, cujo conhecimento não-autorizado possa
acarretar dano excepcionalmente grave à segurança da sociedade e
do Estado.
4 3 2 1
37
Integridade
38
Autenticidade
39
ISO 27002
● ISO 27002
○ Padronização
○ Empresas que melhor controlam seus ativos informacionais e,
consequentemente, conseguem utilizá-los para a competitividade de
seus negócios.
40
ISO 27002
● Informação é intangível
○ Porém, é contornável
○ Outros dados
○ Principalmente em ambientes empresariais
■ Informação → Vantagem → Dinheiro
41
ISO 27002
● ISO 27002
○ Uma coleção de diretrizes para ajudar uma empresa a implementar,
manter e melhorar seu gerenciamento de segurança de
informações.
○ Mais segurança com seus ativos
42
ISO 27002
● ISO 27002
○ os ativos da informação devem ser gerenciados estrategicamente,
○ Administrados com métodos, focalizando a segurança dos dados
todo o tempo.
43
ISO 27002
● ISO 27002
○ Objetivo:
■ fornecer um guia para o desenvolvimento de padrões de
segurança e práticas efetivas de gerenciamento de segurança
■ Certificar empresas
44
ISO 27002
● ISO 27002
○ estrutura;
○ políticas de segurança;
○ organização de segurança da informação;
○ gerenciamento de ativos de TI;
○ controle de acesso;
○ criptografia;
○ segurança
■ física e ambiental;
■ operacional;
■ comunicações;
■ recursos humanos
○ aquisição, desenvolvimento, manutenção de sistemas de informação;
○ relações com fornecedores;
○ gerenciamento de incidentes de segurança da informação;
○ aspectos de segurança da informação da continuidade do negócio;
○ conformidade. 45
ISO 27002
46
Dinâmica
Dinâmica (50m)