Segurança da Informação

Prof. Guilherme Pires

Prof.
UAB-IFMT
 Conteúdo Programático
• Segurança da Informação
• A importância da Informação
• Sistema de Informação
• Informação Competitiva e Estratégica
• Classificação da Informação
• Ciclo de Vida da Informação
• Segurança da Informação e seus critérios
• Ameaças
• Ataques
• Vulnerabilidade
 Segurança da Informação

Segurança da Informação (SI) é a proteção de

sistemas de informação contra desastres,
erros e manipulação de modo a minimizar a
probabilidade e impacto de incidentes.
 A importância da Informação
A informação:
• tem um valor altamente significativo e pode
representar grande poder para quem a possui;
• contém valor, pois está integrada com os
processos, pessoas e tecnologias;
• é um ativo que, como qualquer outro ativo
importante para os negócios, tem um valor para a
organização;
• é o principal patrimônio da empresa
 A importância da Informação
• Ponto de vista estratégico
 A importância da Informação
• A informação representa a inteligência
competitiva dos negócios;
• A informação e o conhecimento são os
diferenciais das empresas e dos profissionais;
• O controle da informação é um fator de
sucesso crítico para os negócios;
• Dispor da informação correta, na hora
adequada, significa tomar uma decisão de
forma ágil e eficiente.
 Sistema de Informação
• Um sistema de informação pode ser definido
tecnicamente como um conjunto de
componentes inter-relacionados que:

• coleta (ou recupera),

• processa,
• armazena
• distribui informações

A informção vai apoiar a tomada de decisões, a

coordenação e o controle de uma organização.
Sistema de Informação
 Sistema de Informação
• Os sistemas de informação contêm informações sobre
pessoas, locais e coisas significativas
para a organização ou para o ambiente que a cerca.

• Três atividades em um sistema de informação produzem as

informações de que as organizações necessitam para tomar
decisões, controlar operações, analisar problemas e criar
novos produtos ou serviços.

• Entrada,
• Processamento
• Saída
 Sistema de Informação
• Os administradores de hoje devem saber
como estruturar e coordenar as diversas
tecnologias de informação e aplicações de
sistemas empresariais para atender às
necessidades de informação de cada nível da
organização e às necessidades da organização
como um todo.
 Informação Competitiva e Estratégica
• A informação desempenha papéis importantes tanto na
definição quanto na execução de uma estratégia.
• A informação funciona também como um recurso
essencial para a definição de estratégias alternativas.
• A informação é essencial para a criação de uma
organização flexível na qual existe um constante
aprendizado.
• Para que uma empresa possa adotar políticas estratégicas
eficazes, é necessário que estas sejam baseadas em
informação, que passa a ser a principal matéria-prima de
qualquer organização
 Classificação da Informação
• A informação pode ser tão vital que o custo de
sua integridade, qualquer que seja, ainda será
menor que o custo de não dispor dela
adequadamente.

• Nem toda informação é crucial ou essencial a

ponto de merecer cuidados especiais.
 Classificação da Informação
A informação pode ser classificada:

• Publica

• Interna

• Confidencial

• Secreta
 Ciclo de Vida da Informação
• O Ciclo de Vida é composto e identificado
pelos momentos vividos pela informação que
a colocam em risco.

• Momentos do Ciclo de Vida:

• Manuseio
• Armazenamento
• Transporte
• Descarte
Ciclo de Vida da Informação
 Segurança da Informação e seus
critérios
• Com a dependência do negócio aos sistemas de
informação e o surgimento de novas tecnologias e
formas de trabalho, como o comércio eletrônico,
as redes virtuais privadas e os funcionários
móveis, as empresas começaram a despertar para
a necessidade de segurança, uma vez que se
tornaram vulneráveis a um número maior de
ameaças.
• As redes de computadores, e consequentemente a
Internet mudaram as formas como se usam
sistemas de informação.
 Segurança da Informação e seus
critérios
Os princípios básicos para garantir a segurança
da informação :
• Confidencialidade
• Integridade
• Autenticidade
• Não repúdio
• Legalidade
• Privacidade
• Auditoria
• Disponibilidade
Princípios da Segurança

Confidencialidade

Segurança
Integridade Disponibilidade
(Availability)
 Terminologia (1 # 2)
• Risco
– Possibilidade de sofrer perda ou dano; perigo
• Ataque
– Acesso a dados ou uso de recursos sem autorização
– Execução de comandos como outro usuário
– Violação de uma política de segurança, etc
• Vulnerabilidade
– É uma falha que pode permitir a condução de um
ataque
 Terminologia (2 # 2)
• Incidente
– A ocorrência de um ataque; exploração de
vulnerabilidades
• Ameaça
– Qualquer evento que pode causar dano a um sistema ou
rede
– A existência de uma vulnerabilidade implica em uma
ameaça
• Exploit code
– Um código preparado para explorar uma vulnerabilidade
conhecida
 Ameaças
As ameaças podem ser classificadas quanto a sua
intencionalidade e ser divididas em grupos:
– Naturais – Ameaças decorrentes de fenômenos da natureza,
como incêndios naturais, enchentes, terremotos,
tempestades, poluição, etc

– Involuntárias – Ameaças inconscientes, quase sempre

causadas pelo desconhecimento. Podem ser causados por
acidentes, erros, falta de energia, etc.

– Voluntárias – Ameaças propositais causadas por agentes

humanos como hackers, invasores, espiões, ladrões,
criadores e disseminadores de vírus de computador,
incendiários.
 Ameaças
Algumas outras ameaças aos sistemas de informação:
• Falha de hardware ou software
• Ações pessoais
• Invasão pelo terminal de acesso
• Roubo de dados, serviços, equipamentos
• Incêndio
• Problemas elétricos
• Erros de usuários
• Mudanças no programa
• Problemas de telecomunicação
 Ataques

?
Ataques de 11 de setembro?
Ataques no metrô?
Hackers 'roubam mais de US$ 1 bilhão em ataques a
bancos !!!
 Ataques
• Para implementar mecanismos de segurança faz-se
necessário classificar as formas possíveis de ataques
em sistemas:

• Interceptação: considera-se interceptação o acesso a

informações por entidades não autorizadas (violação
da privacidade e confidencialidade das informações).
• Interrupção: pode ser definida como a interrupção do
fluxo normal das mensagens ao
destino.
 Ataques
Continuação:
• Modificação: consiste na modificação de
mensagens por entidades não autorizadas,
violação da integridade da mensagem.

• Personificação: considera-se personificação a

entidade que acessa as informações ou transmite
mensagem se passando por uma entidade
autêntica, violação da autenticidade.
 Vulnerabilidade
• Não existe sistema 100 % seguro. Existe
sistemas menos vulneráveis.
• A vulnerabilidade é o ponto onde qualquer
sistema é suscetível a um ataque, ou seja, é
uma condição encontrada em determinados
recursos, processos e configurações.
• As vulnerabilidades estão presentes no dia-a-
dia das empresas e se apresentam nas mais
diversas áreas de uma organização.
 O que é Análise de Vulnerabilidades?
• A Análise consiste em identificar e eliminar
sistematicamente vulnerabilidades do sistema.
• As etapas para detecção, remoção e controle
exigem acompanhamento de profissional
qualificado e ferramentas tecnológicas.
• A integração desses processos produz maior
segurança e proteção para os dados e sistema da
Organização.
• Todas as ações tomadas devem ser documentadas
não só para controlar futuras ações, como também
para consultas periódicas.
 O que é Análise de Vulnerabilidades?
• Qualquer sistema que manipule dados está sujeito a
alguma vulnerabilidade.
• A conexão com a Internet representa uma das principais
formas de desestabilização e roubo de informações para
qualquer Usuário dentro de uma Organização.
• A cada dia novas vulnerabilidades surgem em
decorrência de brechas em softwares, imperfeições na
configuração de aplicativos e falha humana.
• A Análise de Vulnerabilidades é responsável por garantir
a detecção, remoção e controle das mesmas.
 Qual a origem das Vulnerabilidades?
• Erros de programação – Grande parte das
vulnerabilidades surge do erro de tamanho do
buffer, uma região da memória reservada para
escrita e leitura dos dados.
• Má configuração – Aplicativos de segurança, como
o firewall, devem ser corretamente configurados,
ou podem ser brechas para ataques maliciosos.
• Falha humana – Execução de arquivos maliciosos
manualmente.
 Quais os principais objetivos da
Análise de Vulnerabilidades?
• Identificar e tratar falhas de softwares que possam comprometer seu
desempenho, funcionalidade e segurança;

• Providenciar uma nova solução de segurança como, por exemplo, o uso de

um bom antivírus, com possibilidade de update constante;

• Alterar as configurações de softwares a fim de torná-los mais eficientes e

menos suscetíveis a ataques;

• Utilizar mecanismos para bloquear ataques automatizados (worms, bots,

entre outros);

• Implementar a melhoria constante do controle de segurança; Documentar

os níveis de segurança atingidos para fins de auditoria e compliance com
leis, regulamentações e políticas.
 Análise de Vulnerabilidades
• A Análise de Vulnerabilidades torna a tomada de
decisão em relação à segurança mais fácil, pois
reúne informações essenciais que indicam a
melhor estratégia para se manter protegido de
falhas, ataques e invasões.
• Além disso, uma das facilidades obtidas através
da implementação de políticas de segurança é
descobrir e tratar vulnerabilidades com maior
rapidez, possibilitando o alinhamento às normas
de compliance.