aula_02

Prévia do material em texto

ARA0076 - SEGURANÇA CIBERNÉTICA
Tema 1. PRINCÍPIOS E CONCEITOS DE SEGURANÇA CIBERNÉTICA
AULA 02
Situação problema
2
• A área de tecnologia deduz a necessidade de investimentos, muitas
vezes, grandiosos para obtenção, processamento e gestão das
informações, o que inclui investimentos para protegê-las. Quando a
palavra proteção entra em cena, muitos pensam em hackers e
ataques, quando, na verdade, a palavra "proteção" submete à tarefas
como manter a informação sempre disponível e confiável, o que não
tem relação direta ou frequente com acesso indevido, roubo ou
sequestro de dados, mas, sim, com backups, redundância,
treinamento de pessoal e outras atividades. Voce teria noção do que
precisa ser feito e os equipamentos necessários para garantir o
sucesso de tantas atividades? Saberia mensurar, em valores, o
montante necessário para proteção adequada dos dados?
✓ Segurança da Informação
✓ “É a proteção da informação contra vários tipos de ameaças para
garantir a continuidade do negócio, minimizar riscos, maximizar
o retorno sobre os investimentos e as oportunidade de negócios”
[ISO 27002].
✓ As informações podem existir em diversas formas;
✓ O mesmo ocorre com as vulnerabilidades e ameaças;
✓ A pergunta chave: O que e como devemosproteger?
Segurança da Informação
✓ Ativos
✓ Qualquer elemento que tenha valor para a organização [ISO
27002];
✓ Os ativos fornecem suporte aos processos de negócios, portanto
devem ser protegidos. Todo elemento utilizado para armazenar,
processar, transportar, armazenar, manusear e descartar a
informação, inclusive a própria.
Segurança da Informação
✓ Ativos
✓ Categorias de Ativos
✓ Os ativos podem ser classificados / agrupados de diversas formas:
✓ Informações; Hardware; Software; Ambiente Físico; Pessoas;
✓ Lógico; Físico Humano;
✓ Equipamentos; aplicações, informações e processos;
✓ Um ativo é todo elemento que agregue valor ao negócio, podendo ser uma informação digital ou física, 
hardware, software, pessoa ou ambiente físico, cuja a quebra da confidencialidade, integridade ou 
disponibilidade trará prejuízo. E justamente por ser fundamental ao negócio, deve ser adequadamente 
protegido.
Segurança da Informação
PRINCIPAIS DESAFIOS GESTÃO DE 
RISCOS
• Implementar e gerir controles que tenham como foco 
principal os objetivos do negócio;
• Promover ações corretivas e preventivas de forma eficiente;
• Garantir o cumprimento de regulamentações;
• Ter visão das vulnerabilidades associadas a cada ativo e seu 
histórico;
• Atribuir responsáveis e datas limite para correções;
• Definir e automatizar os processos de gestão da Segurança 
da Informação.
1: Introdução 6
✓ Vulnerabilidades
✓ Fragilidade de um ativo ou grupo de ativos que explorada por uma 
ou mais ameaças[ISO 27002];
“Efeito da incerteza no alcance dos objetivos da organização”
✓ As vulnerabilidades devem ser gerenciadas (identificadas e 
corrigidas);
✓ Tipos deVulnerabilidades
✓ Físicas; naturais; hardware e software e humanas;
✓ Para identificar quais são os riscos aos quais o seu negócio está exposto, é
preciso construir o bom hábito de se executar uma análise de riscos de
segurança da informação, que consiste em identificar vulnerabilidades,
ameaças e os riscos, avaliando assim os possíveis impactos aos ativos da
organização. Facilitando, portanto, a adoção dos melhores controles para
protegê-los.
Segurança da Informação
✓ Ameaças
✓ Causa potencial (agente) de um incidente indesejado, que pode resultar em dano para um sistema ou
organização [ISO 27002];
✓ A segurança da informação precisa prover mecanismos para impedir que as ameaças explorem as
vulnerabilidades;
✓ Tipos deAmeaças
✓ Ameaças Naturais; Intencionais e Involuntárias;
✓ Perda acidental de dados
✓ Congestionamento da internet ocasionada por ataques DDoS
✓ Extorsão por ataque ou ameaça de DDoS
✓ Interrupção de serviço acidental
✓ Insider malicioso
✓ Espionagem industrial ou extração de dados
✓ Exposição de dados sujeitos à regulamentação
✓ IoTs comprometidos
Segurança da Informação
✓ Evento de Segurança da Informação
✓ Uma ocorrência identificada de um estado de sistema, serviço
ou rede, indicando uma possível violação da política de
segurança da informação ou falha de controles que possa ser
relevante para a segurança da informação [ISO 27000:2009].
Segurança da Informação
✓ Incidentes de Segurança
✓ Um simples ou uma série
informação indesejados ou
grande probabilidade de
de eventos
inesperados,
comprometer
de segurança da
negócios e ameaçar a segurança da
27000:2009].
informação
que tenham uma 
as operações de
[ISO
Segurança da Informação
✓ Controles
✓ Medidas de segurança são práticas, procedimentos e mecanismos
utilizados para a proteção de ativos;
✓ Esses controles podem: (a) impedir que as ameaças explorem as
vulnerabilidades, (b) reduzir o surgimento de vulnerabilidades e (c)
minimizar o impacto dos incidentes de segurança da informação;
✓ Tipos decontroles:
✓ Técnicos, administrativos e de gestão;
Segurança da Informação
Quais são as principais intervenções maliciosas à sua empresa?
Sistemas conectados à internet possuem diversos riscos, que podem vir de atacantes 
criminosos, espiões, vândalos, entre outros. Confira como a informação da sua empresa pode 
ser acessada por indivíduos externos:
• Ataque
Esforço de entrada ou uso não autorizado de um serviço, rede ou computador.
• Exploit
Programa malicioso feito para encontrar vulnerabilidades existentes em um programa de 
computador.
• Código Malicioso
Programas criados para executar ações perigosas em um computador como vírus, bot, 
spyware, entre outros.
Segurança da Informação
• Invasão
Violação efetiva que proporciona o acesso às informações em 
um computador.
• Escuta de tráfego
Inspeção de dados por meio de programas maliciosos 
específicos.
• Defacement ou ataque ao site
Modificação da página de um site na internet.
• Varredura de rede
Efetivação de buscas minuciosas na rede, em busca de 
vulnerabilidades em serviços ou programas.
Segurança da Informação
Saiba quais são os tipos de ataques mais comuns
É vital que haja uma conscientização dentro da empresa para que os colaboradores possam identificar as 
diversas investidas externas. Crie uma cartilha educativa, exemplificando cada espécie de risco:
• Engenharia social
Indução para que o usuário possa realizar alguma ação, como 
a instalação de aplicativo ou clique em um link.
• Busca exaustiva de chave
Verificação automática de todas as possíveis chaves e senhas 
de um dado criptografado.
• DDoS (Distributed Denial of Service)
Invalidação por sobrecarga, quando um computador mestre 
deixa sob seu comando outros computadores, que são 
chamados de zumbis. O objetivo é tornar o sistema atacado 
indisponível.
Segurança da Informação
✓ Entender o negócio
✓ Na etapa inicial de um projeto de segurança, deve-se entender o 
ambiente da organização. Normalmente a situação é a seguinte:
✓ Desconhecimento do ambiente/processos;
✓ Baixo (ou nenhum) nível de controle implementado;
✓ Alto índice de riscos;
✓ Falta de uma cultura de segurança;
✓ Resistência (interna e externa);
Considerações Finais
✓ Requisitos de Segurança da Informação
✓ Quais os requisitos de SI? Como obter esses requisitos?
✓ Implementação
✓ A Seg Info é obtida a partir da implementação de um conjunto de 
controles adequados as necessidades da organização;
✓ Controles 
monitorados,
precisam 
analisados
ser estabelecidos, implementados, 
e melhorados para garantir que os
objetivos do negócio e de segurança sejam atendidos;
Considerações Finais
	Slide 1
	Slide 2:  Situação problema
	Slide 3: Segurança da Informação
	Slide 4
	Slide 5: Segurança da Informação
	Slide 6: PRINCIPAIS DESAFIOS GESTÃO DE RISCOS 
	Slide 7: Segurança da Informação
	Slide 8: Segurança da Informação
	Slide 9: Segurança da Informação
	Slide 10
	Slide 11: Segurança da Informação
	Slide 12: Segurança da InformaçãoSlide 13: Segurança da Informação
	Slide 14: Segurança da Informação
	Slide 15: Considerações Finais
	Slide 16: Considerações Finais