Segurana da Informao

Gleiser Rodrigues de Melo

Informao
A informao o dado com uma interpretao lgica ou natural dada a ele por seu usurio (Rezende e Abreu, 2000). A Informao ao mesmo tempo composta de dados e componente do conhecimento. Na sociedade da informao, qual a importncia da informao? O conhecimento liberta..!

Informao
A informao e o conhecimento sero os diferenciais das empresas e dos profissionais que pretendem destacar-se no mercado e manter a sua competitividade (Rezende e Abreu, 2000). ... Mas afinal o que a segurana da informao?

Classificao das informaes

Determinada informao to crucial para uma empresa que o custo de sua integridade, qualquer que seja, ser menor do que o custo de no dispor dela adequadamente.
Pblica: informao que pode vir a pblico sem maiores conseqncias danosas ao funcionamento normal da empresa, e cuja integridade no vital;

Classificao das informaes

Interna: o acesso a esse tipo de informao deve ser evitado, embora as conseqncias do uso no autorizado no sejam por demais srias. Sua integridade importante, mesmo que no seja vital; Confidencial: informao restrita aos limites da empresa, cuja divulgao ou perda pode levar a desequilbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, alm de permitir vantagem expressiva ao concorrente;

Classificao das informaes

Secreta: informao crtica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um nmero bastante reduzido de pessoas. A manipulao desse tipo de informao vital para a companhia.

Segurana da informao
Um sistema de segurana da informao baseia-se em trs princpios bsicos:
Confidencialidade Integridade Disponibilidade
Informao Confidencialidade Disponibilidade

Integridade

Confidencialidade
O princpio de confidencialidade garantido quando apenas as pessoas explicitamente autorizadas podem ter acesso informao. No caso de uma informao ser acessada por uma pessoa no autorizada, intencionalmente ou no, ou de qualquer outro modo, ento isto um incidente de segurana da informao por quebra de confidencialidade.

Confidencialidade
Quebra de confidencialidade podem tambm ocorrer quando pessoas conversam assuntos trabalho fora da empresa, sendo estes assuntos confidenciais. Engenharia social como forma de obteno de informaes confidenciais.

Integridade
O principio da integridade garantido quando a informao acessada esta completa, sem alteraes e, portanto, confivel. Uma falsificao de um documento, a alterao de registros em um BD, qual alterao na informao original de maneira indevida caracteriza incidente de segurana da informao por quebra de integridade.

Integridade
Cofres que no so trancados rigorosamente, transferncia de dados e a no validao posteriormente, deixar cair caf sobre papis importantes. (Exemplos de incidentes por quebra de integridade)

Disponibilidade
O principio da disponibilidade garantido quando a informao est acessvel por pessoas autorizadas, sempre que necessrio. Se uma informao no est acessvel mesmo por algum que de direito considerado um incidente de segurana da informao por quebra de disponibilidade. Ex: Servidor fora do ar (seja por falta de energia, ou inoperabilidade por ataques e invases), incndios, terremotos.

Ativos da informao
Entender melhor o que um incidente de segurana da informao, faz-se necessrio entender o que um ativo de informao, as vulnerabilidades e as ameaas, sempre do ponto de vista da S.I. Ativo de informao
Meio que suporta a informao, permitindo assim ela existir. (deixando de ser abstrata) Ex: As tecnologias que suportam a informao, as pessoas que geram e utilizam a informao

A informao e tudo aquilo que a suporta ou utiliza pode ser considerado um ativo de informao.

Vulnerabilidade
A vulnerabilidade est presente nos prprios ativos (inerentes a eles), e no de origem externa. So fraquezas presentes nos ativos de informao que poderiam ser exploradas, intencionalmente ou no (resultando em quebra de um ou mais princpios da S.I.)

Vulnerabilidade
Excetuando a prpria informao (abstrato), pode-se dizer que os ativos podem ser classificados em:
Tecnologias, Pessoas, Processos e Ambientes.

Exemplos
Tecnologias: Computadores, Cabos de rede. Pessoas. Processos: Muitas vezes as organizaes no constroem norma e regras explcitas para as relaes dos colaboradores com a informao Ambientes.

Vulnerabilidade
Vulnerabilidades so inerentes ao ativo e no podem simplesmente serem eliminadas. Pode haver uma reduo da vulnerabilidade, mas ela ainda continuar l. Ou pode ser o caso de um ativo possuir uma vulnerabilidade que nunca ser efetivamente explorada.

Ameaa
um agente externo ao ativo de informao, que se aproveitando de suas vulnerabilidades poder quebrar a confidencialidade, integridade ou disponibilidade da informao suportada ou utilizada por esse ativo.

Incidente de Segurana da informao

a ocorrncia de um evento que possa causar interrupes ou prejuzos aos processos do negcio, em conseqncia da violao de um dos princpios da S.I

Incidente de Segurana da informao

Negcio da Organizao Incidente de segurana Informao Ativos da Informao Vulnerabilidades
Confidencialidade Integridade Disponibilidade

Ameaa

Grau de Ameaa

Grau de Vulnerabilidades

IMPCTO PROBABILIDADE

Organizando as ideias.
Crie uma situao do dia-a-dia em que voc consiga descrev-la e ao mesmo tempo utilizar os conceitos de segurana da informao, identificando no seu texto as frases que representam os conceitos de CONFIDENCIALIDADE, INTEGRIDADE, ATIVO DA INFORMAO, VULNERABILIDADE e pelo menos UM INCIDENTE DE SEGURANA.

Controle
Vimos o que um incidente de segurana da informao, mas a questo : COMO EVITAR A OCORRENCIA DEUM INCIDENTE? ...Nos slides anteriores:
Os fatores que constitui a probabilidade so:
O grau da ameaa O grau da vulnerabilidade

Devemos trabalhar para diminuir as ameaas ou Ameaas so agentes as vulnerabilidades?

externos, fora do nosso raio de ao

Controle
Como reduzir as vulnerabilidades dos ativos?
Pela implementao de controles de segurana da informao.
Controle todo e qualquer mecanismo utilizado para diminuir a fraqueza ou a vulnerabilidade de um ativo, seja:
Uma Tecnologia, uma pessoa, um processo ou um ambiente.

Onde investir?
Foi liberada a verba para realizar investimentos em segurana da informao, por onde comear?
Comprar uma verso mais robusta de um antivrus? Instalar um firewall? Que tal leitores biomtricos?

Lembrem-se o melhor caminho investir na reduo de vulnerabilidades e, ainda, que esses mecanismos no deixem de funcionar adequadamente com o passar do tempo.

A soluo precisa ser algo mais do que a implantao isolada de algumas tecnologias ou mesmo procedimentos

Onde investir?
Um gerente de segurana da informao de verdade tambm trabalha com fatos, resultados de anlise e exames da organizao em questo. Elaborao de um conjunto de coordenadas no sentido de garantir a segurana da informao. (mecanismos integrados entre si)

Sistema de Gesto de Segurana da Informao (SGSI)

A implementao de um SGSI pode ser comparada realizao de uma viagem:
Planeje a rota; Faa a viagem; Verifique de tempos em tempos se est na rota; Se houve um desvio por qualquer motivo, identifique esse motivo e o corrija, evitando que ele se repita.

Sistema de Gesto de Segurana da Informao (SGSI)

Planejar (PLAIN)

Melhorar (ACT)

Implementar (DO)

Monitorar (CHECK)

Por onde comear

H situaes que iniciar uma ao de controle com base nas necessidades mais adequado. H outras situaes que realizar um estudo mais detalhado vai garantir a SI. Dos seguintes ativos, qual o que possui o grau de vulnerabilidade mais significativo?
Ambiente, pessoas, processos e tecnologias
Pessoas (e est diretamente envolvido na maior parte dos incidentes de segurana do trabalho)

Por onde comear

Algumas organizaes comeam a implementar o SGSI remediando as vulnerabilidades das pessoas. Esse remdio a Poltica de Segurana da Informao (PSI). PSI um conjunto de normas e procedimentos que de algum modo regulam o comportamento dos colaboradores.