 Informação

É todo o conhecimento que possa ser criado, usado,

armazenado, transportado, descartado, independente do meio
em que se encontre.

A informação é um dos patrimônios mais importantes das

organizações, vital para a continuidade dos negócios.
Ex: Senhas, Contratos, Planejamentos, Propostas, Fórmulas etc

Valor

dados dados dados

Informação $
 Ativos
Todo e qualquer recurso que manipule direta ou
indiretamente a
informação;
É tudo para o qual a organização determina um valor e
conseqüentemente exige proteção;
A proteção destes ativos é o objeto básico da segurança
da
informação;

Para a segurança da informação, o ativo é a própia

informação. dados dados dados
Informação

ATIVO
Exemplos de Ativos
 Exemplos de Ativos

Aplicações – Sistemas Internos ou Pacotes de Mercado etc;

Ambientes – Infra-estrutura predial, CPD, Escritórios, Salas,

Divisões
Funcionais, áreas de importância relevante
Processos
etc; – Planejamento Estratégico, Fluxo Financeiro etc;

Equipamentos – Hardware, Mídias, Impressoras, Servidores,

Equipamentos de Comunicação, ou quaisquer tipos
de equipamentos que Armazenam ou Manipulem as
informações vitais para o Negócio;

Usuários – Alta/Gerência e Diretoria, Administradores de Rede

Operadores de Sistemas Críticos, Prestadores de Serviços
Técnicos e Usuários de forma geral.
 Ameaças

dados dados dados

Informação

ATIVO

Ameaças
 Ativos

Ameaça
Internet

Vírus

Anti-Vírus Vulnerabilidade
(Desatualizado)
Ameaça
Agentes causadores dos incidentes contra as
informações e seus ativos.

As ameaças exploram vulnerabilidades, provocando

perdas de confidencialidade, integridade e
disponibilidade, causando impacto nos negócios.

Naturais e Físicas: Expõe as instalações físicas como

incêndios, enchentes, terremotos, tempestades
eletromagnéticas, falhas de energia.

Involuntárias: Ameaças inconscientes, quase sempre

causadas pelo desconhecimento, acidentes, erros etc.

Intencionais: Ameaças propositais como hackers, espiões,

invasores, ladrões e vírus de computador
Vulnerabilidades
São Fraquezas associadas as informações e seus ativos, e
onde os mesmos estão suscetíveis aos ataques.

As vulnerabilidades por si só não provocam incidentes,

necessitando para tanto de um agente causador que são as
ameaças.
• Vulnerabilidades
– Físicas
– Naturais
– Hardware
– Software
– Mídias
– Comunicação
– Humanas
– outras
Vulnerabilidades
• Físicas - Instalações prediais fora do padrão; salas de CPD mal planejadas;
falta de extintores; detetores de fumaça e outros recursos para combate a
incêndio em sala com armários e fichários estratégicos, risco de explosões,
vazamento ou incêndio.
• Naturais - Computadores são suscetíveis a desastres naturais e outros
como falta de energia, acúmulo de poeira, aumento de umidade,
temperatura etc.
• Hardware - Falha nos recursos tecnológicos (desgaste, obsolescência, mal
uso) ou erros durante a instalação.
• Software - Erros na instalação ou na configuração podem acarretar
acessos indevidos, vazamento de informações, perda de dados ou
indisponibilidade do recurso.
• Mídias - Discos, fitas, relatórios e impressos podem ser perdidos ou
danificados.
• Comunicação - Acessos não autorizados ou perda de comunicação
• Humanas - Falta de treinamento, compartilhamento de informações
confidenciais, não execução de rotinas de segurança, erros ou omissões,
ameaça de bomba, sabotagem, distúrbios civis, greves. Vandalismo, roubo,
Medidas de Segurança
• Práticas, procedimentos e mecanismos usados para a
proteção da informação e seus ativos, que podem
impedir que ameaças explorem vulnerabilidades,
reduzir vulnerabilidades, limitar o impacto e reduzir o risco.

Exemplos de medidas:

– Preventivas - Políticas de Segurança da Informação,

palestras de conscientização.
– Detectivas - Câmeras de vigilância, alarmes
– Corretivas - restauração de backups
Segurança da Informação
• Processo que visa minimizar os riscos e garantir a continuidade dos
negócios, através da prevenção, detecção e correção de incidentes
contra as informações e seus ativos, A Segurança da Informação
possui três princípios básicos;

– Confidencialidade - a informação só deve ser conhecida por

usuários ou processos que estejam autorizados a fazê-lo.
– Integridade - a informação só deve ser modificada por usuários
ou processos que estejam autorizados a fazê-lo, e a informação
recuperada deve ser exatamente a mesma que foi armazenada
pelo último usuário ou processo autorizado.
– Disponibilidade - a informação e processos de negócio vitais
devem estar disponíveis sempre que se necessitar deles.
Segurança da Informação
Perda de
Informação Integra ? Confiabilidade,
Decisões Erradas

Perda de Tempo,
Disponível ? Oportunidades,
Negócios.

Perda de Mercado,
Confidencial ? Negócios, Vazamentos
Desgaste da Imagem
Processo
de Negócio
sim não
Segurança da Informação
 QUE informações precisam de segurança?

 POR QUE proteger as informações?

 QUANDO proteger as informações?

 ONDE proteger as informações?

 O QUE proteger nas informações?

 DO QUE proteger as informações?

Segurança da Informação
 QUE informações precisam de segurança?

• Identidade, CPF, Endereço residencial

• Telefone celular, Senhas, Informações bancárias
• Senhas de acesso da empresa, Número do Cartão de Crédito
• Planilha de Vendas, Propostas, Fórmulas,
• Rotina e horários de trabalho, Planejamentos Estratégicos

 POR QUE proteger as informações?

• Por seu valor

• Pelo impacto de sua ausência
• Pelo impacto resultante de seu uso por terceiros
• Pela importância de sua existência
• Pela relação de dependência com a sua atividade
• ...
Segurança da Informação
 QUANDO proteger as informações?
Durante seu ciclo de vida
• Manuseio
• Armazenamento
• Transporte
• Descarte

 ONDE proteger as informações?

Nos ativos que as custodiam:

• Físicos
• Tecnológicos
• Humanos
Segurança da Informação
 O QUE proteger nas informações?

• Confidencialidade
• Integridade
• Disponibilidade

Que podem ser atingidos pela exploração de uma falha ou

vulnerabilidade presente em um ativo.
 DO QUE proteger as informações?

De ameaças:
• Físicas
• Tecnológicas
• Humanas
 Ameaças

dados dados dados

Informação

ATIVO
Vulnerabilidades
Medidas de Segurança
 Manuseio ArmazenamentoTransporte Descarte
INFORMAÇÕES
FÍSICOS HUMANOS
TECNOLÓGICAS
ATIVOS

• agenda • sistema• funcionário

• sala • e-mail • parceiro
• arquivo • servidor
• secretária
• cofre • notebook
• porteiro
VULNERABILIDADES
AMEAÇAS

FÍSICAS TECNOLÓGICAS HUMANAS

• incêndio • vírus • sabotagem
• inundação • bug software • fraude
• curto circuito • defeito técnico • erro humano
• apagão • invasão web • descuido
 AMEAÇAS exploram
VULNERABILIDADES
presentes nos ATIVOS que
mantém informações,
causando IMPACTOS no
Negócio
Ativos: Proposta em papel e disquete

Vulnerabilidade: Em cima
da mesa após o expediente

Ameaça: Acesso
Indevido

Impacto:
Financeiro
Imagem
 Ameaças
Agentes Falha

Controles Impacto
• Processos
Informação • Operacionais
• Mercado
ATIVO • Financeiro
• Administrativo
Vulnerabilidades • Imagem
• RH
• Legal
 Considerações:
• Para o Impacto do Negócios resultante de uma falha de
Segurança consideram-se as potenciais conseqüências
da perda de Confidencialidade, Integridade ou Disponibilidade
da Informação ou de outros ativos relacionados;
• A probabilidade de tal falha ocorrer, é decorrente das ameaças
que exploram as vulnerabilidades que não são minimizadas pelo
controles atualmente implementados nos ativos;

• Os Controles devem ser selecionados e implementados

Para garantir que p risco de um evento seja reduzido a um nível
Aceitável;

• Os Controles devem proteger o CICLO DA INFORMAÇÃO

 Controles Ameaça 1

Informação
Ameaça 2
ATIVO
Vulnerabilidades Ameaça 3

 Ameaça 1 – Probabilidade Alta – Impacto Alto

• Ameaça 2 - Probabilidade Média – Impacto Baixo
• Ameaça 3 - Probabilidade Baixa – Impacto Alto
Como Determinar o Possível Impacto ?
O Impacto no Ativo - Relevância do Ativo para a empresa;
Cada Processo de Negócio possui uma Relevância para a empres
Cada ativo possui uma Relevância para cada Processo;

Processos: Vendas – Entrega – Desenvolvimento - Planejamento

Telemarketing Secretária Projetos Logística

 • COMO proteger as informações?
• Aplicando controles que eliminem e administrem as
vulnerabilidades, reduzindo assim os riscos

•Definindo níveis de segurança compatíveis

• Avaliando o valor da informação e o custo da proteção
DESENCORAJAR
DIAGNOSTICAR

DISCRIMINAR
DIFICULTAR

DETECTAR

DETER