Escolar Documentos
Profissional Documentos
Cultura Documentos
Aula 02
Aula 02
AULA 02
SEGURANÇA DA INFORMAÇÃO:
DEFINIÇÕES E PRINCÍPIOS
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Atividade
Para a próxima aula, tragam casos reais onde os princípios de
segurança apresentados foram violados para discussão e validação do
aprendizado.
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Situação-problema
Existe punição?
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Informação
Vídeo: 'Suspeitos do roubo das fotos de Carolina
Dieckmann são descobertos'
Disponível em:
G1 - Suspeitos do roubo das fotos de Carolina
Dieckmann são descobertos - notícias em Rio de
Janeiro (globo.com)
Histórico
•Histórico
• A norma NBR ISO/IEC 17799 foi alterada para NBR ISO/IEC 27002.
Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002
• Organismos Normalizadores
• Organismos Normalizadores
• Objetivos,
• Diretrizes,
• Políticas,
• Procedimentos,
• Modelos e
• Outras medidas administrativas
Norma: ISO/IEC NBR 27001
• Considera basicamente:
– Os ativos que estão sendo protegidos;
– O gerenciamento de riscos;
• Objetivo
• Objetivo
• Termos e definições
• Análise de Riscos
•Deva existir uma estrutura organizacional que seja responsável pelo processo de
segurança da informação na organização garantindo a sua implementação e
existência ao longo do tempo.
•A saída desse recurso humano da organização também deve ser feita e forma
organizada, possibilitando que as informações da organização continuem
protegidas.
Norma: ISO/IEC NBR 27002
• Segurança Física e do Ambiente
•Os ambientes físicos onde estão os recursos(ativos) de informação devem ser
protegidos contra ameaças que podem danificar esses recursos e prejudicar a
utilização da informação para o negócio.
• Áreas de segurança:
•Segurança de escritórios, salas e instalações de processamento devem ser
considerados os seguintes pontos: fogo, inundação,explosão,
•manifestações civis, regulamentações de saúde e segurança, etc.;
•cuidados com máquinas de fax e copiadoras; portas e janelas fechadas
•quando não utilizadas e proteção externa; sistemas de detecção de
•intrusos testado regularmente; backups guardados fora da instalação;
•áreas de expedição e carga controladas.
Norma: ISO/IEC NBR 27002
• Gerenciamento de Operações e
Comunicações
–A utilização correta dos recursos de informação é fundamental para que a informação esteja sempre
protegida e disponível para a realização do
–negócio:
• Documentação dos processos operacionais;
• Segregação de funções;
• Separação dos ambiente de produção com os outros ambientes, gestão dos serviços de terceiros;
• Garantia da qualidade dos serviços entregues;
• Monitoramento dos recursos;
• Registros para a auditoria;
• Troca de informações com parceiros e planejamento dos recursos de
–informação;
–São ações, que devem ser realizadas para o funcionamento do negócio da organização no que depende
de operação e comunicação da tecnologia.
Norma: ISO/IEC NBR 27002
• Controle de Acesso
• Exista uma busca pela efetiva causa do mesmo com o objetivo de corrigir;
–A construção desse plano, deve ser considerado uma análise de impacto no negócio em
relação aos processos de forma a permitir identificar o tempo aceitável, para a recuperação
e o custo compatível que deve ser considerado.
–Este plano deve ser eficiente e eficaz e para tanto exigirá a realização de teste e a
existência de um processo para a sua atualização e manutenção.
Norma: ISO/IEC NBR 27002
• Conformidade
Site CERT.br
CERT.br - Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Site CERT.br
CERT.br - Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurança no Brasil
Lei Marco Civil da Internet - Lei
12.965/14
L12965 (planalto.gov.br)
MARCO CIVIL - o que é…
➢ é uma declaração de princípios
➢ é um corte transversal na rede, deste infraestrutura de
telecomunicações até aplicações e conteúdo, no que tange a
neutralidade
➢ é uma contextualização na aplicação de direitos, como
responsabilização adequada e proteção à privacidade
➢ é um orientador sobre a forma de aplicação na Internet da
legislação existente
➢ é um balizador para eventual legislação futura
➢ é uma garantia de preservação das características originais,
valores e conceitos da rede
MARCO CIVIL - o que não é, ou nele não cabe…
➢não é uma forma de impedir ilícitos na Internet, mas qualifica
diversos ilícitos;
➢ não trata de “modelos de negócio” na Internet
➢ não objetiva temas estritamente técnicos na rede, dados o
dinamismo e a obsolescência rápida de tecnologias
➢ não se sobrepõe à ação dos diversos órgãos da sociedade:
Anatel, CGI, Procon, Idec etc, mas reconhece sua
complementaridade e colaboração
➢ não deve tratar da Internet do Brasil e sim da Internet no
Brasil
Lei Geral de Proteção de
Dados Pessoais (LGPD)
• L13709compilado (planalto.gov.br)
O QUE SÃO DADOS PESSOAIS?
❑ Nome
❑ CPF
❑ Endereço
❑ E-mail
❑ Protocolo de IP
O QUE SÃO DADOS PESSOAIS SENSÍVEIS?
Revolução digital
Mercado
Proteção de dados Segurança Nacional
Transparência
Liberdade de expressão
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Atividade Avaliativa
Essa atividade tem o valor de 3 ponto na AV1 e deverá ser entregue
como trabalho no Teams.
Leitura do Artigo:
https://sol.sbc.org.br/index.php/sbsi/article/view/5694/5591