Resumo Gestão de Segurança da Informação

Prévia do material em texto

Gestão de Segurança da Informação
Aula 1
Introdução à Segurança da Informação
Dado é qualquer elemento identificado em sua forma bruta e que por sí só não conduz a uma 
compreensão de determinado fato ou situação.
Informação é o dado trabalhado, que permite ao executivo tomar decisões. É a matéria-prima para 
o processo administrativo da tomada de decisão.
O propósito da informação é o de habilitar a empresa a alcançar seus objetivos pelo uso eficiente 
dos recursos disponíveis (pessoas, materiais, equipamentos, tecnologia, dinheiro e informação).
Para decidir sobre qualquer coisa, precisamos de informações, preferencialmente claras e oportunas. 
 A informação é vital para o processo de tomada de decisão de qualquer corporação.
É fundamental proteger o conhecimento gerado, quando este contiver aspectos estratégicos para a 
Organização que o gerou.
O que é segurança?
É estar livre de perigos e incertezas, é um estado ou condição que se aplica a tudo aquilo que tem 
valor para a organização que é chamado de ativo. 
Ativo é qualquer coisa que tenha valor para a organização
Ativo tangível (aquilo que pode ser tocado)
Informações impressas ou digitais, Sistemas, Móveis, Pessoas, etc.
Ativo intangível
Marca de um produto, Imagem de uma empresa, Confiabilidade de um banco, etc.
Proteção são medidas que visam livrar o ativo de situações que possam trazer prejuízo.
A segurança da informação visa a proteção de ativos de uma empresa que contêm informação.
Ativos de Informação são aqueles que produzem, processam, transmitem ou armazenam 
informações.
Os três princípios fundamentais de segurança da informação é conhecido como CIA ou CID.
Confidencialidade, Integridade e Disponibilidade.
Um Problema de Segurança é a perda de qualquer aspecto de segurança importante para 
minha organização.
1.
São aqueles que produzem, processam, transmitem ou armazenam informações. 
2.
Confidencialidade, integridade e disponibilidade. 
3.
Proteção de ativos que contêm informações. 
4.
Vulnerabilidade 
 Qual é o conceito de "ativo de informação”?
 Quais são as três características consideradas os pilares da segurança da informação?
 O conceito de segurança é estar livre de perigos e incertezas. É correto afirmar que segurança da informação visa a ..
 A ausência de mecanismo de proteção ou a falha em um mecanismo de proteção existente chamamos de:
Aula 2
O Ciclo de Vida da Informação
Dado é a coleta de matéria-prima bruta, dispersa em documentos.
Informação é o tratamento do dado, transformado em Informação. Pressupões uma estrutura de 
dados organizada e formal. As bases e bancos de dados, bem como as redes são sustentadas pela 
informação.
Conhecimento é o conteúdo informacional contido nos documentos, nas várias fontes de 
informação e na bagagem pessoal de cada indivíduo.
Inteligência é a combinação desses três elementos resultantes do processo de análise e validação 
por especialista. É a informação com valor agregado.
Ciclo de vida da informação
Desde o momento em que é gerada, a informação tem um ciclo de vida dentro das corporações, 
passando por diversas etapas de interação até retornar ao seu ponto inicial.
A informação deve ser protegida pelo seu valor estratégico e financeiro. Como qualquer bem ou 
recurso organizacional, a informação também possui seu conceito de valor. Apresentamos a seguir 
quatro tipos possíveis de valor da informação:
Valor de Uso – Baseia-se na utilização final que se fará com a informação.
Valor de Troca – É o quanto o usuário está disposto a pagar, conforme as leis de mercado (oferta e 
demanda).
Valor de Propriedade – Reflete o custo subjetivo de um bem.
Valor de Restrição – Surge no caso da informação secreta ou de interesse comercial, quando o uso 
fica restrito a apenas algumas pessoas.
O Ciclo de Vida de uma informação é composto e identificado pelos movimentos vividos pela 
informação que a colocam em risco.
Manuseio, Armazenamento, Transporte e Descarte.
Classificação da Informação: O processo de classificação da informação consiste em identificar 
quais são os níveis de proteção que as informações demandam e estabelecer classes e formas de 
identificá-las, além de determinar os controles de proteção a cada uma delas.
Confidencialidade: A informação só é acessada pelos indivíduos autorizados.
Integridade: A informação é atual, completa e mantida por pessoas autorizadas.
Disponibilidade: A informação está sempre disponível quando necessária as pessoas autorizadas.
Valor: A informação tem um alto valor para a organização.
Com base na análise dos parâmetros anteriores, podemos chegar ao nível de segurança da 
informação. Um nivelamento de segurança pode seguir, por exemplo, a seguinte classificação:
Irrestrito – Esta informação é pública, podendo ser utilizada por todos sem causar danos à 
organização.
Interna – Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso 
por parte dos indivíduos externos a ela deve ser evitado. Entretanto, caso esta informação seja 
disponibilizada ela não causa danos sérios à organização.
Confidencial – Informação interna da organização cuja divulgação pode causar danos financeiros 
ou à imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentes e 
perda de clientes.
Secreta – Informação interna, restrita a um grupo seleto dentro da organização. Sua integridade 
deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta é a informação 
considerada vital para a companhia.
1.
Manuseio, Armazenamento, Transporte e descarte; 
2.
Classificação da informação; 
3.
Confidencialidade, valor, integridade e disponibilidade; 
 Quais as etapas do ciclo de vida da informação?
 O processo que consiste em identificar quais são os níveis de proteção que as informações demandam e estabelecer classes e 
formas de identificá-las, além de determinar os controles de proteção a cada uma delas. Estamos nos referindo ao conceito de:
 Quais são os quatro aspectos importantes que norteiam as ações de segurança em uma informação?
Aula 6
Gestão de Risco em Segurança da Informação
Segundo o Guia de orientação para Gerenciamento de Riscos Corporativos do IBGC, o risco é 
inerente a qualquer atividade, na vida pessoal, profissional ou nas organizações e pode envolver 
perdas e oportunidades.
Segundo a norma ABNT NBR ISO 31000:2009- Gestão de Risco, Princípios e Diretrizes, as 
organizações de todos os tipos e tamanhos enfrentam influências e fatores internos e externos que 
tomam incerto se e quando elas atingirão seus objetivos. O efeito que essa incerteza tem sobre os 
objetivos da organização é chamado de “risco”.
Gestão de risco
Entender os riscos associados com o negócio e a gestão da informação.
Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas 
interações.
Melhorar a eficácia no controle de riscos.
Manter a reputação e imagem da organização.
Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios.
Minimizar as possibilidades de furto de informação e maximizar a proteção de dados.
É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele 
afeta o processo em geral e a definição do contexto em particular. Esse propósito pode ser: 
Suporte a um Sistema de Gestão de Segurança da Informação (SGSI);
Conformidade legal e a evidência da realização dos procedimentos corretos;
Preparação de um plano de continuidade de negócios;
Preparação de um plano de resposta a incidentes;
Descrição dos requisitos de segurança da informação para um produto, um serviço ou um 
mecanismo.
Segundo a norma AS/NZS 4360, podemos definir a gestão de risco como: 
“Cultura, estruturas e processos voltados ao reconhecimento de oportunidades potenciais 
concomitantemente ao gerenciamento de seus efeitos adversos.” 
E segundo a norma NBR ISO 27002: 
“Conjunto de práticas, procedimentos e elementos de suporte que utilizamos para gerenciar o 
risco”. 
Primeiranorma do mundo sobre Gestão de Riscos: AS/NZS 4360:2004
Etapas da Gestão de Risco
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização 
lida com o risco e utiliza o ciclo do PDCA, que nos permite entender a gestão do Risco como um 
processo contínuo: 
Identificar e avaliar os riscos, Selecionar, implementar e operar controles para tratar os riscos, 
Verificar e analisar criticamente os riscos e manter e melhorar os controles.
Riscos, medidas de segurança e o ciclo de segurança.
Barreira1: Desencorajar
Esta é a primeira das cinco barreiras de segurança e cumpre o papel importante de desencorajar as 
ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela 
tentativa de quebra de segurança por efeito de mecanismos físicos, tecnológicos ou humanos. A 
simples presença de uma câmara de vídeo, mesmo falsa, de um aviso de existência de alarmes, já 
são efetivos nesta fase.
Barreira 02: Dificultar
O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão 
dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por 
exemplo. (autenticação digital, roleta, etc)
Barreira 03: Discriminar
Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo 
perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e 
estabelecer limites de acesso aos serviços de telefonia, perímetros físicos, aplicações de computador 
e banco de dados. (níveis de acesso)
Barreira 04: Detectar
Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e 
instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de 
invasão ou por uma possível contaminação por vírus, por exemplo.
Barreira 05: Deter
Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o 
negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as 
barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas 
de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons 
exemplos.
Barreira 06: Diagnosticar
Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de 
representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação 
com a primeira barreira, criando um movimento cíclico e contínuo. Devido a estes fatores é a 
barreira de maior importância. Deve ser conduzida por atividades de análise de risco que 
consideram tanto os aspectos tecnológicos quanto os físicos e humanos. 
1.
Pessoas, processos, tecnologia e ambiente; 
2.
Risco residual 
3.
Avaliação do Risco, Tratamento do Risco, Aceitação do Risco, Comunicação do Risco; 
O que é analise de risco?
Os riscos não podem ser completamente eliminados e a porção do risco existente 
após todas as medidas de tratamento terem sido tomadas, chama-se?
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma 
organização lida com o risco. Baseado no ciclo de vida da gestão de risco, quais são as 
quatros atividades principais:
Aula 7
Segurança da Informação segundo a NBR ISO/IEC 27002 (Antiga ISO 17799)
ISO é uma instituição cujo objetivo é propor e monitorar normas que representem e traduzam o 
consenso de diferentes países para a normalização de procedimentos, medidas e materiais em todos 
os domínios da atividade produtiva.
27000 – Descrição e Vocabulário
Proporciona terminologia e correspondência entre as normas 27000, que é a família de normas que 
tratam de um Sistema de Gestão de Segurança da Informação (SGSI)
27001 – Requisitos SGSI
Proporciona os fundamentos de um SGSI
27002 – Código de Práticas
Proporciona as melhores práticas de controle para a implantação do SGSI
27003 – Guia para Implantação
Proporciona diretrizes detalhadas para a implantação de um SGSI utilizando exemplos e estudos de 
caso.
27004 – Mediação
Proporciona a metodologia para a mediação da efetividade do SGSI e dos controles.
27005 – Gestão de Risco
Proporciona uma metodologia para uso do SGSI
27006 – Requisitos para Acreditação
Proporciona os requisitos para acreditação de organismos de certificação e de auditores para fins de 
certificação de SGSI.
27007 – Orientações para Gestão de Auditoria de Sistemas de Segurança da Informação
27008 – Orientações para Auditores de Sistema de Segurança da Informação
1.
Apresenta os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação; 
2.
Tem como objetivo tratar a gestão de risco da informação; 
3.
É um código de melhores práticas de segurança da informação; 
 Sobre a Norma ISO/IEC 27001 podemos afirma que:
 Sobre a Norma ISO/IEC 27005 podemos afirma que:
 Sobre a Norma ISO/IEC 27002 podemos afirma que:
	Gestão de Segurança da Informação
	Aula 1
	Aula 2
	Aula 6
	Aula 7