Segurança e Auditoria de Sistemas

Ciclo de vida da informação

Prof. Jhonatta Pietro

jhonatta.pietro@fapce.edu.br
Material do Professor Caetano Segundo 1
 Ativos(bens) da informação

Dados
● Número de
● Cartões de Crédito
● Planos de Marketing
● Códigos Fonte
● Informações de RH

Comunicação
Serviços ● Web sites Logins •
● Acesso a Internet Transação •
Controladores financeira
Correio Eletrônico •
●
● de Domínio
● ERP

2
 Algumas definições
● Ameaça
○ Evento ou atitude indesejável que potencialmente remove, altera,
revela, desabilita, danifica ou destrói um recurso;

● Vulnerabilidade
○ Característica de fraqueza de um bem;
○ Suscetível a uma ameaça
○ Características de modificação e de captação de que podem ser alvos
os bens, ativos, ou recursos intangíveis de informática.

3
 Algumas definições
● Risco
○ A probabilidade da ocorrência de uma ameaça em particular
■ explorar uma determinada vulnerabilidade de um recurso

4
 Princípios da segurança - Conceitos Fundamentais

Segurança
da informação CONFIDENCIALIDADE

INTEGRIDADE DISPONIBILIDADE

5
 Princípios da segurança - Conceitos Fundamentais

● Segurança
○ Integridade
○ Disponibilidade
○ Confidencialidade

● O que vocês entendem por cada uma?

6
 Princípios da segurança - Conceitos Fundamentais

● Segurança
○ Integridade
■ Princípio de segurança da informação através do qual é garantida a
autenticidade da informação
■ Os dados devem ser íntegros!
■ Uma transação não deve ser alterada

7
 Princípios da segurança - Conceitos Fundamentais

● Segurança
○ Disponibilidade
■ Propriedade de manter a informação disponível para os usuários,
quando estes dela necessitarem
■ Muito presente em negócios
■ Principalmente bancos!

8
 Princípios da segurança - Conceitos Fundamentais

● Segurança
○ Confidencialidade
■ Propriedade de manter a informação a salvo de acesso e
divulgação não autorizados;
■ Os dados devem ser privados!

9
 Outros princípios

● Controle de acesso
○ Auditoria Controle de Acesso
○ Autorização
○ Sigilo/Identificação

Identificação
○ Autenticação

Autenticação
Autorização
Auditoria

Sigilo
Segurança

CICLO DE VIDA DE INFORMAÇÃO

11
 Ciclo de vida da informação

● Formado basicamente por 4 etapas:

○ Manuseio;
○ Armazenamento;
○ Transporte;
○ Descarte

12
 Ciclo de vida da informação

● Formado basicamente por 4 etapas:

○ Manuseio;
■ Identificação
■ Obtenção
■ Tratamento
○ Armazenamento;
○ Transporte;
■ Distribuição
■ Uso
○ Descarte

13
 Ciclo de vida da informação

● Manuseio:
○ Quando a informação é criada;
○ Criação física ou digital.
○ Identificação das necessidades e dos
requisitos

14
Ciclo de vida da informação

15
 Ciclo de vida da informação

● Armazenamento:
○ Momento que a informação é
armazenada;
○ Pode ser em meios físicos ou digitais.

16
Ciclo de vida da informação

17
 Ciclo de vida da informação

● Transporte:
○ Quando se distribui a informação;
○ Pode ser feita de várias formas,
digitalmente, por papel, ...

18
Ciclo de vida da informação

19
 Ciclo de vida da informação

● Descarte:
○ Quando a informação perde a utilidade;
○ Esta é destruída, física ou digitalmente.

20
Ciclo de vida da informação

21
Segurança

Classificações dos ativos

22
Categorias dos Ativos da Informação

Software

Físicos

Serviços

Ativos Pessoas

Docs em
Papel

Informação
23
Categorias dos Ativos da Informação

Software

Físicos

Serviços

Ativos Pessoas

Docs em
Papel

Informação
24
Categorias dos Ativos da Informação

Software

Físicos

Serviços

Ativos Pessoas

Docs em
Papel

Informação
25
Categorias dos Ativos da Informação

Software

Físicos

Serviços

Ativos Pessoas

Docs em
Papel

Informação
26
Categorias dos Ativos da Informação

Software

Físicos

Serviços

Ativos Pessoas

Docs em
Papel

Informação
27
Categorias dos Ativos da Informação

Software

Físicos

Serviços

Ativos Pessoas

Docs em
Papel

Informação
28
Categorias dos Ativos da Informação

Software

Físicos

Serviços

Ativos Pessoas

Docs em
Papel

Informação
29
 Conceitos para ativos da informação

● Classificação:
○ Atribuição de grau de sigilo;

● Proprietário:
○ Responsável pela guarda do ativo.
● Custodiante:
○ Responsável pelo ativo
■ auxilia na definição do meio de proteção;

30
 Classificação de ativos

● A classificação dos ativos da informação é feita quanto à:

○ Confidencialidade;
○ Disponibilidade;
○ Integridade;
○ Autenticidade.

31
 Confidencialidade

● Nível 1: Informação Pública

○ Ativos públicos ou não classificados;
○ Sua integridade não é vital e seu uso é livre;
○ Ex: Sites indexados pelo google

32
 Confidencialidade

● Nível 1: Informação Pública

○ Ativos públicos ou não classificados;
○ Sua integridade não é vital e seu uso é livre;
○ Ex: Sites indexados pelo google

● Nível 2: Informação Interna

○ Ativos cujo acesso ao público externo deve ser evitado;
○ Caso exposto ao público não gera conseqüências críticas;
○ Ex: Conteúdo de cursos...
33
 Confidencialidade

● Nível 3: Informação Confidencial

○ Ativos devem ter acesso restrito dentro da organização e protegidos
do acesso externo;
○ Podem causar perdas financeiras;
○ Ex: Contratos, senhas ou fórmulas.

34
 Confidencialidade

● Nível 3: Informação Confidencial

○ Ativos devem ter acesso restrito dentro da organização e protegidos
do acesso externo;
○ Podem causar perdas financeiras;
○ Ex: Contratos, senhas ou fórmulas.

● Nível 4: Informação Secreta

○ Acesso interno e externo é crítico para a organização;
○ Deve conter controle de quantidade de pessoas com acesso;
○ Integridade vital;
○ Ex: Senhas muito importantes

35
 Confidencialidade

● Ultra-secretos
○ à soberania e à integridade territorial nacionais;
○ a projetos de pesquisa e desenvolvimento científico e tecnológico de
interesse da defesa nacional
○ a programas econômicos, cujo conhecimento não-autorizado possa
acarretar dano excepcionalmente grave à segurança da sociedade e
do Estado.

● Quem classifica e reclassifica:

○ Presidente e Vice-Presidente da República, Ministros de Estado,
Comandantes da Marinha, Exército e Aeronáutica; Chefes
Diplomáticas e Consulares permanentes no exterior.
36
 Disponibilidade

● Qual a falta que esta informação faz?

○ Nível 1:
■ Informações que devem ser recuperadas em minutos
○ Nível 2:
■ Informações que devem ser recuperadas em horas
○ Nível 3:
■ Informações que devem ser recuperadas em dias
○ Nível 4:
■ Informações que não são críticas

4 3 2 1
37
 Integridade

● É feita uma identificação das informações fundamentais;

● Objetivo:
○ Apontar o local onde deverão ser aplicados controles de integridade,
detecção e correção de informações.
○ Lembrem do conceito de integridade

38
 Autenticidade

● Usuários de um sistema possuem permissões diferentes, baseadas no

seu cargo na empresa/negócio
○ Acesso a funcionalidade depende do seu cargo
● É necessário logar-se para obter acesso a informações da empresa;
● Facilita a definição de quem tem poder de acesso.

39
 ISO 27002

● ISO 27002
○ Padronização
○ Empresas que melhor controlam seus ativos informacionais e,
consequentemente, conseguem utilizá-los para a competitividade de
seus negócios.

40
 ISO 27002

● Ativos na segurança da informação → Algo que tem valor

○ Geralmente a própria informação

● Informação é intangível
○ Porém, é contornável
○ Outros dados
○ Principalmente em ambientes empresariais
■ Informação → Vantagem → Dinheiro

41
 ISO 27002

● ISO 27002
○ Uma coleção de diretrizes para ajudar uma empresa a implementar,
manter e melhorar seu gerenciamento de segurança de
informações.
○ Mais segurança com seus ativos

42
 ISO 27002

● ISO 27002
○ os ativos da informação devem ser gerenciados estrategicamente,
○ Administrados com métodos, focalizando a segurança dos dados
todo o tempo.

○ Fornece centenas de controles potenciais e mecanismos de

controle projetados para serem implementados
■ abordam questões específicas identificadas durante uma
avaliação formal de risco.

43
 ISO 27002

● ISO 27002
○ Objetivo:
■ fornecer um guia para o desenvolvimento de padrões de
segurança e práticas efetivas de gerenciamento de segurança
■ Certificar empresas

44
 ISO 27002
● ISO 27002
○ estrutura;
○ políticas de segurança;
○ organização de segurança da informação;
○ gerenciamento de ativos de TI;
○ controle de acesso;
○ criptografia;
○ segurança
■ física e ambiental;
■ operacional;
■ comunicações;
■ recursos humanos
○ aquisição, desenvolvimento, manutenção de sistemas de informação;
○ relações com fornecedores;
○ gerenciamento de incidentes de segurança da informação;
○ aspectos de segurança da informação da continuidade do negócio;
○ conformidade. 45
 ISO 27002

● Vantagens para empresas em ter certificado da ISO 27002:

○ Melhor conscientização sobre a segurança da informação;
○ Maior controle de ativos e informações sensíveis;
○ Oportunidade de identificar e corrigir pontos fracos;
○ Redução do risco de responsabilidade pela não implementação de um SGSI ou
determinação de políticas e procedimentos;
○ Torna-se um diferencial competitivo para a conquista de clientes que
valorizam a certificação;
○ Melhor organização com processos e mecanismos bem desenhados e geridos;
○ Promove redução de custos com a prevenção de incidentes de segurança da
informação;
○ Conformidade com a legislação e outras regulamentações.

46
Dinâmica
 Dinâmica (50m)

● Procurem sobre a ISO 27002

○ Especificamente sobre as recomendações e seções que compõem a
ISO.

○ Anotem com suas palavras uma seção específica

■ Discuta por que essa recomendação é importante
■ Como ela traz vantagem comercial?
■ Tente conseguir exemplos
 FIM
Obrigado!