Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão de Segurança da Informação Aula 1 Introdução à Segurança da Informação Dado é qualquer elemento identificado em sua forma bruta e que por sí só não conduz a uma compreensão de determinado fato ou situação. Informação é o dado trabalhado, que permite ao executivo tomar decisões. É a matéria-prima para o processo administrativo da tomada de decisão. O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação). Para decidir sobre qualquer coisa, precisamos de informações, preferencialmente claras e oportunas. A informação é vital para o processo de tomada de decisão de qualquer corporação. É fundamental proteger o conhecimento gerado, quando este contiver aspectos estratégicos para a Organização que o gerou. O que é segurança? É estar livre de perigos e incertezas, é um estado ou condição que se aplica a tudo aquilo que tem valor para a organização que é chamado de ativo. Ativo é qualquer coisa que tenha valor para a organização Ativo tangível (aquilo que pode ser tocado) Informações impressas ou digitais, Sistemas, Móveis, Pessoas, etc. Ativo intangível Marca de um produto, Imagem de uma empresa, Confiabilidade de um banco, etc. Proteção são medidas que visam livrar o ativo de situações que possam trazer prejuízo. A segurança da informação visa a proteção de ativos de uma empresa que contêm informação. Ativos de Informação são aqueles que produzem, processam, transmitem ou armazenam informações. Os três princípios fundamentais de segurança da informação é conhecido como CIA ou CID. Confidencialidade, Integridade e Disponibilidade. Um Problema de Segurança é a perda de qualquer aspecto de segurança importante para minha organização. 1. São aqueles que produzem, processam, transmitem ou armazenam informações. 2. Confidencialidade, integridade e disponibilidade. 3. Proteção de ativos que contêm informações. 4. Vulnerabilidade Qual é o conceito de "ativo de informação”? Quais são as três características consideradas os pilares da segurança da informação? O conceito de segurança é estar livre de perigos e incertezas. É correto afirmar que segurança da informação visa a .. A ausência de mecanismo de proteção ou a falha em um mecanismo de proteção existente chamamos de: Aula 2 O Ciclo de Vida da Informação Dado é a coleta de matéria-prima bruta, dispersa em documentos. Informação é o tratamento do dado, transformado em Informação. Pressupões uma estrutura de dados organizada e formal. As bases e bancos de dados, bem como as redes são sustentadas pela informação. Conhecimento é o conteúdo informacional contido nos documentos, nas várias fontes de informação e na bagagem pessoal de cada indivíduo. Inteligência é a combinação desses três elementos resultantes do processo de análise e validação por especialista. É a informação com valor agregado. Ciclo de vida da informação Desde o momento em que é gerada, a informação tem um ciclo de vida dentro das corporações, passando por diversas etapas de interação até retornar ao seu ponto inicial. A informação deve ser protegida pelo seu valor estratégico e financeiro. Como qualquer bem ou recurso organizacional, a informação também possui seu conceito de valor. Apresentamos a seguir quatro tipos possíveis de valor da informação: Valor de Uso – Baseia-se na utilização final que se fará com a informação. Valor de Troca – É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e demanda). Valor de Propriedade – Reflete o custo subjetivo de um bem. Valor de Restrição – Surge no caso da informação secreta ou de interesse comercial, quando o uso fica restrito a apenas algumas pessoas. O Ciclo de Vida de uma informação é composto e identificado pelos movimentos vividos pela informação que a colocam em risco. Manuseio, Armazenamento, Transporte e Descarte. Classificação da Informação: O processo de classificação da informação consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas. Confidencialidade: A informação só é acessada pelos indivíduos autorizados. Integridade: A informação é atual, completa e mantida por pessoas autorizadas. Disponibilidade: A informação está sempre disponível quando necessária as pessoas autorizadas. Valor: A informação tem um alto valor para a organização. Com base na análise dos parâmetros anteriores, podemos chegar ao nível de segurança da informação. Um nivelamento de segurança pode seguir, por exemplo, a seguinte classificação: Irrestrito – Esta informação é pública, podendo ser utilizada por todos sem causar danos à organização. Interna – Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso por parte dos indivíduos externos a ela deve ser evitado. Entretanto, caso esta informação seja disponibilizada ela não causa danos sérios à organização. Confidencial – Informação interna da organização cuja divulgação pode causar danos financeiros ou à imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentes e perda de clientes. Secreta – Informação interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta é a informação considerada vital para a companhia. 1. Manuseio, Armazenamento, Transporte e descarte; 2. Classificação da informação; 3. Confidencialidade, valor, integridade e disponibilidade; Quais as etapas do ciclo de vida da informação? O processo que consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de identificá-las, além de determinar os controles de proteção a cada uma delas. Estamos nos referindo ao conceito de: Quais são os quatro aspectos importantes que norteiam as ações de segurança em uma informação? Aula 6 Gestão de Risco em Segurança da Informação Segundo o Guia de orientação para Gerenciamento de Riscos Corporativos do IBGC, o risco é inerente a qualquer atividade, na vida pessoal, profissional ou nas organizações e pode envolver perdas e oportunidades. Segundo a norma ABNT NBR ISO 31000:2009- Gestão de Risco, Princípios e Diretrizes, as organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que tomam incerto se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os objetivos da organização é chamado de “risco”. Gestão de risco Entender os riscos associados com o negócio e a gestão da informação. Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações. Melhorar a eficácia no controle de riscos. Manter a reputação e imagem da organização. Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios. Minimizar as possibilidades de furto de informação e maximizar a proteção de dados. É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Esse propósito pode ser: Suporte a um Sistema de Gestão de Segurança da Informação (SGSI); Conformidade legal e a evidência da realização dos procedimentos corretos; Preparação de um plano de continuidade de negócios; Preparação de um plano de resposta a incidentes; Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo. Segundo a norma AS/NZS 4360, podemos definir a gestão de risco como: “Cultura, estruturas e processos voltados ao reconhecimento de oportunidades potenciais concomitantemente ao gerenciamento de seus efeitos adversos.” E segundo a norma NBR ISO 27002: “Conjunto de práticas, procedimentos e elementos de suporte que utilizamos para gerenciar o risco”. Primeiranorma do mundo sobre Gestão de Riscos: AS/NZS 4360:2004 Etapas da Gestão de Risco A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco e utiliza o ciclo do PDCA, que nos permite entender a gestão do Risco como um processo contínuo: Identificar e avaliar os riscos, Selecionar, implementar e operar controles para tratar os riscos, Verificar e analisar criticamente os riscos e manter e melhorar os controles. Riscos, medidas de segurança e o ciclo de segurança. Barreira1: Desencorajar Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de alarmes, já são efetivos nesta fase. Barreira 02: Dificultar O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo. (autenticação digital, roleta, etc) Barreira 03: Discriminar Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computador e banco de dados. (níveis de acesso) Barreira 04: Detectar Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo. Barreira 05: Deter Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos. Barreira 06: Diagnosticar Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo. Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos. 1. Pessoas, processos, tecnologia e ambiente; 2. Risco residual 3. Avaliação do Risco, Tratamento do Risco, Aceitação do Risco, Comunicação do Risco; O que é analise de risco? Os riscos não podem ser completamente eliminados e a porção do risco existente após todas as medidas de tratamento terem sido tomadas, chama-se? A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco. Baseado no ciclo de vida da gestão de risco, quais são as quatros atividades principais: Aula 7 Segurança da Informação segundo a NBR ISO/IEC 27002 (Antiga ISO 17799) ISO é uma instituição cujo objetivo é propor e monitorar normas que representem e traduzam o consenso de diferentes países para a normalização de procedimentos, medidas e materiais em todos os domínios da atividade produtiva. 27000 – Descrição e Vocabulário Proporciona terminologia e correspondência entre as normas 27000, que é a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI) 27001 – Requisitos SGSI Proporciona os fundamentos de um SGSI 27002 – Código de Práticas Proporciona as melhores práticas de controle para a implantação do SGSI 27003 – Guia para Implantação Proporciona diretrizes detalhadas para a implantação de um SGSI utilizando exemplos e estudos de caso. 27004 – Mediação Proporciona a metodologia para a mediação da efetividade do SGSI e dos controles. 27005 – Gestão de Risco Proporciona uma metodologia para uso do SGSI 27006 – Requisitos para Acreditação Proporciona os requisitos para acreditação de organismos de certificação e de auditores para fins de certificação de SGSI. 27007 – Orientações para Gestão de Auditoria de Sistemas de Segurança da Informação 27008 – Orientações para Auditores de Sistema de Segurança da Informação 1. Apresenta os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação; 2. Tem como objetivo tratar a gestão de risco da informação; 3. É um código de melhores práticas de segurança da informação; Sobre a Norma ISO/IEC 27001 podemos afirma que: Sobre a Norma ISO/IEC 27005 podemos afirma que: Sobre a Norma ISO/IEC 27002 podemos afirma que: Gestão de Segurança da Informação Aula 1 Aula 2 Aula 6 Aula 7
Compartilhar