Às

20
ho
ra
s
 Dados e
informações
 Dados e
informações
Armazenamento
de dados
Armazenamento
de dados
Armazenamento
de dados
Armazenamento
de dados
Armazenamento
de dados
Armazenamento
de dados
DIKW: Data, Information, Knowledge, Wisdom
De acordo com a ITIL®
Contexto BEST
PRACTICE

Wisdom

Sabedoria

Knowledge

Conhecimento

Information

Informação

Data
Who, what,
How? Why?
when, where?
Dados
Compreensão
 A TAM oferece
Passagens
Super oferta Promocionais
de passagens Para voos
TAM Aéreas entre às 23 h
Passagem Para você e 6 h para
R$79,00 Madrugrada Voar na lotar as
Contexto

Brasil madrugada aeronaves

Dados Informação Conhecimento Sabedoria

Who, what,
How? Why?
when, where?
Dados
Compreensão
O que trafega
nessa rede?
Onde os dados são
armazenados?
Como você sabe o que é
informação?

- Quem?
- O que?
- Quando?
- Aonde?
O que é segurança da
informação?
É a preservação da CID
- Confidencialidade
- Integridade
- Disponibilidade
 Além da CID | CIA

- Autenticidade
- Responsabilidade
- Não-repúdio
- Confiabilidade
 O que é a
segurança da
informação?
Se o telefone for
removido?
Se as páginas do livro
forem rasgadas?
Se o notebook não
tiver senha?
- Quem escreveu o livro?
- Quem deve guardar o
livro?
- O autor confirma?
- Qual a foi a pesquisa?
O que é segurança da informação?
 O que é segurança da Informação?

1. A Segurança da Informação envolve a:

 Definição,
 Implementação,
 Manutenção
 Avaliação

2. De um sistema coerente de medidas que garantam a:

 Disponibilidade,
 Integridade
 Confidencialidade

3. Do fornecimento de informações:
 Manuais
 Informatizadas
 Código parte 3/5

pZ
 Sistema de
informação

Tecnologia da
informação
BEST
PRACTICE De acordo com os fundamentos da segurança da informação e as boas práticas da ITIL®
Sistema de Informação

A transferência e o
processamento de informações
ocorrem por meio de um
Sistema de Informações
Sistema de Informação

Todo sistema cuja finalidade é

transferir informações é um
sistema de informação
Sistema de Informação

No contexto da Segurança da
Informação, um Sistema de
Informação é toda a
combinação de meios,
procedimentos, regras e
pessoas que asseguram o
fornecimento de informações
para um processo operacional.
 Tecnologia da
Informação

A tecnologia normalmente
inclui :
 Tecnologia da
Informação

A tecnologia normalmente
inclui :
 Tecnologia da
Informação

A tecnologia normalmente
inclui :
 Tecnologia da
Informação

A tecnologia normalmente
inclui :
 Tecnologia da
Informação

As informações podem incluir:

 Tecnologia da
Informação

As informações podem incluir:

 Tecnologia da
Informação

As informações podem incluir:

 Tecnologia da
Informação

As informações podem incluir:

 Tecnologia da
Informação

A Tecnologia da Informação é
frequentemente usada para
suportar Processos de
Negócios por meio de Serviços
de TI.
Valor da informação
 Valor da informação

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• O valor da informação é determinado pelo valor que o destinatário atribui a ele

• Contexto: O valor da informação vai além das palavras escritas, números e imagens:
• conhecimento,
• conceitos,
• Ideias
• Marcas

• Considerações sobre o ciclo de vida: O valor e os riscos dos ativos podem variar durante sua vida útil, a
segurança das informações continua sendo importante até certo ponto em todos os estágios

• A identificação dos riscos relacionados ao acesso de terceiros deve levar em consideração os seguintes
aspectos:
• o valor e a sensibilidade das informações envolvidas
• sua criticidade para as operações de negócios.
 Valor da informação

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• As informações devem ser classificadas em termos de:

• Seu valor
• Requisitos legais
• Sensibilidade
• criticidade para a organização

• Os requisitos e controles de segurança devem refletir o valor comercial dos ativos de informação envolvidos
e os possíveis danos ao negócio, que podem resultar de uma falha ou ausência de segurança

• Classificação das informações: As informações devem ser classificadas em termos de:

• Requisitos legais
• Valor
• Criticidade
• Sensibilidade à divulgação ou modificação não autorizada.
 Informação como um fator de produção

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• Os fatores típicos de produção de uma empresa ou organização são:

• Capital
• Trabalho (manual) e
• Matéria prima

• Em Tecnologia da Informação, é comum considerar também a Informação como um fator de produção:

• As empresas não podem existir sem informações
• Um armazém que perde seu cliente e as informações de estoque normalmente não poderiam operar sem
ele
• Algumas empresas, como escritórios de contadores, bancos, empresas de seguros, têm até mesmo
informações como seu único Produto/Serviço
 Valor para o negócio

BEST De acordo com a ITIL®

PRACTICE

• A Segurança da Informação fornece garantia de processos de negócios aplicando os controles de segurança

apropriados em todas as áreas de TI e gerenciando os riscos de TI de acordo com os processos e diretrizes de
gerenciamento de riscos empresariais e corporativos.
 Confiabilidade da informação

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• A confiabilidade da informação é determinada por três aspectos:

• Confidencialidade
• Integridade
• Disponibilidade
 Confidencialidade

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• Confidencialidade é o grau em que o acesso à informação é restrito para um grupo definido autorizado a ter
este acesso. Isso também inclui medidas para proteger a privacidade.
 Medidas de Confidencialidade

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• O acesso à informação é concedido em uma necessidade de saber. Não é necessário, por exemplo, que um
empregador financeiro possa ver relatórios de discussões com o cliente;

• Os funcionários tomam medidas para garantir que a informação não encontre o caminho para as pessoas que
não precisam dela. Eles garantem, por exemplo, que nenhum documento confidencial esteja em sua mesa
enquanto estiverem fora (política clara de recepção).

• O gerenciamento de acesso lógico garante que pessoas ou processos não autorizados não tenham acesso a
sistemas, bancos de dados e programas automatizados. Um usuário, por exemplo, não tem o direito de alterar
as configurações do PC;

• Uma segregação de tarefas é criada entre a organização de desenvolvimento do sistema, a organização de

processamento e a organização do usuário. Um desenvolvedor de sistema não pode, por exemplo, fazer
alterações nos salários;
 Medidas de Confidencialidade

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• Segregações rigorosas são criadas entre o ambiente de desenvolvimento, o ambiente de teste e aceitação e o
ambiente de produção

• No processamento e uso de dados, são tomadas medidas para garantir a privacidade do pessoal e de terceiros.
O departamento de Recursos Humanos (RH) tem, por exemplo, sua própria unidade de rede que não é
acessível a outros departamentos;

• O uso de computadores pelos usuários finais é cercado por medidas para que a confidencialidade das
informações seja garantida. Um exemplo é uma senha que dá acesso ao computador e à rede
 Integridade

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Integridade é o grau em que as informações estão atualizadas e sem erros,

• As características da integridade são:

• A exatidão das informações
• A perfeição da informação
 Medidas de integridade

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• Alterações nos sistemas e dados são autorizadas. Por exemplo, um membro da equipe entra em um novo
preço para um artigo no site, e outro verifica a exatidão desse preço antes de ser publicado.

• Sempre que possível, mecanismos são construídos para forçar as pessoas a usar o termo correto. Por
exemplo, um cliente é sempre chamado de "cliente", o termo "cliente" não pode ser inserido no banco de
dados.

• As ações dos usuários são registradas para que seja possível determinar quem fez as alterações nas
informações.

• Ações de sistemas vitais, por exemplo, instalar novos softwares, não podem ser executadas por apenas uma
pessoa. Ao segregar funções, cargos e autoridades, pelo menos duas pessoas serão necessárias para realizar
uma mudança que tenha grandes consequências.

• A integridade dos dados pode ser garantida em grande parte por meio de técnicas de criptografia, que
protegem as informações contra acesso ou alteração não autorizados. Os princípios de política e
gerenciamento para criptografia podem ser definidos em um documento de política separado
 Disponibilidade

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Disponibilidade é o grau em que as informações estão disponíveis para o usuário e para o sistema de informações
que está em operação no momento em que a organização exige.

• As características da disponibilidade são:

• Prazos: os sistemas de informação estão disponíveis quando necessário
• Continuidade: a equipe pode continuar trabalhando em caso de falha;
• Robustez: Existe capacidade suficiente para permitir que todos os funcionários do sistema trabalhem
 Medidas de disponibilidade

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• O gerenciamento e armazenamento de dados é tal que a chance de perder informações é mínima. Os dados
são, por exemplo, armazenados em um disco na rede, não no disco rígido do PC.

• Os procedimentos de backup estão configurados. Os requisitos regulamentares de quanto tempo os dados

devem ser armazenados são levados em conta. A localização do backup é separada fisicamente do negócio
para garantir a disponibilidade em casos de emergência.

• Procedimentos de emergência são estabelecidos para garantir que as atividades possam ser retomadas o mais
rápido possível após uma interrupção de grande escala.
 OBRIGADO
George Menezes

www.centraldesk.com.br
Facebook/centraldesk linkedin.com/centraldesk twitter.com/centraldesk