Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação Profa. Suzi Lara Werner Introdução à Segurança da Informação A Informação � Sociedade do conhecimento: A informação é um ativo cada vez mais valorizado; � Empresas usufruem da informação para melhoria da produtividade, redução de custos, ganho de mercado, aumento da agilidade e competitividade, além do apoio à tomada de decisão;do apoio à tomada de decisão; � A informação e o conhecimento são os diferenciais das empresas que pretendem destacar-se no mercado e manter a sua competitividade. A informação nas organizações � A informação é utilizada e afeta todos os níveis das organizações;organizações; � Precisamos entender o quão dependente a organização é dos sistemas de informação Breve histórico do uso da informação � Inicialmente as informações eram tratadas de forma centralizada e pouco automatizada; � Com a evolução dos sistemas computacionais o uso das informações de forma manuscrita foi sendo reduzida;informações de forma manuscrita foi sendo reduzida; � As informações passaram então a ser tratada por elementos computacionais. Breve histórico do uso da informação � Os sistemas distribuídos e as redes de computadores passaram a ser aplicadas em alta escala nas organizações; � A informação perde portando o seu acesso centralizado passando a estar disponível a partir de qualquer ponto.passando a estar disponível a partir de qualquer ponto. Breve histórico do uso da informação � Integração de toda a cadeia produtiva: � B2B; � B2C; � E-Commerce; � ERP(s)... etc Aumento dos Riscos e Vulnerabilidades � O uso da tecnologia da informação ao mesmo tempo que automatizou processos, facilitou a distribuição da informação, ela inseriu riscos e vulnerabilidades no controle da informação;informação; � Como as empresas gerenciam os riscos e garantem a segurança dos recursos deTI dos quais é tão dependente? Gestão da Segurança da Informação Conceitos Conceitos e Princípios básicos da Segurança da Informação � Informação: é o resultado do processamento, manipulação e organização de dados, de tal forma que represente uma modificação (quantitativa ou qualitativa) no conhecimento do sistema (pessoa, animal ou máquina) que a recebe. � O conceito de informação está intimamente ligado às noções de restrição, comunicação, controle, dados, forma, instrução, conhecimento, significado, estímulo, padrão, percepção e representação de conhecimento. Conceitos e Princípios básicos da Segurança da Informação � Ativos: Todo elemento que compõe os processos que manipulam e processam a informação; � A informação, meios de armazenamento, equipamentos onde a informação é manuseada, transportada e descartada.a informação é manuseada, transportada e descartada. Aspectos da Segurança da Informação � A Segurança da Informação é o processo de proteger a informação das ameaças para sua: � Integridade; � Confidencialidade e � Disponibilidade. Objetivos fundamentais da Segurança da Informação � Confidencialidade: Garantir que o acesso à informação é restrito aos seus usuários legítimos; � Integridade: Garantir a consistência da informação durante todo o seu ciclo de vida. (Impedindo criação, alteração ou destruição não autorizada de dados e informações); � Disponibilidade: Garantir que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna; Outros objetivos � Alguns autores defendem outros objetivos: � Autenticidade – Garante que a informação ou o usuário da mesma é autêntico; Atesta com exatidão, a origem do dado ou informação; � Não repúdio – Não é possível negar uma operação ou serviço� Não repúdio – Não é possível negar uma operação ou serviço que modificou ou criou uma informação; � Não é possível negar o envio ou recepção de uma informação ou dado; � Legalidade – Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação. Outros objetivos ◦ Privacidade – Foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. � Uma informação privada deve ser vista / lida / alterada somente pelo seu dono.pelo seu dono. ◦ Auditoria – Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Conceitos relacionados � Severidade: Gravidade do dano que um determinado ativo pode sofrer; � Criticidade: Gravidade referente ao impacto causado pela ausência de um ativo ou pela perda ou redução de suas finalidades; � Incidente: um ou uma série de eventos de segurança inesperados ou não–autorizados que tem uma probabilidade significante de comprometer as informações ou operações da organização. Classificação das Informações � Nem toda informação é crucial ou essencial a ponto de merecer cuidados especiais. � Porém, determinada informação pode ser tão vital que o custo de sua integridade, qualquer que seja, ainda será menor que o custo de não dispor dela adequadamente. � Portanto é necessária a classificação da informação em níveis de prioridade, respeitando a necessidade de cada empresa assim como a importância da classe de informação para a manutenção das atividades da empresa; Classificação das Informações � Pública – informação que pode vir a público sem maiores consequências danosas ao funcionamento normal da empresa, e cuja integridade não é vital; � Interna – o acesso a esse tipo de informação deve ser evitado, embora as consequências do uso não autorizado não sejam por demais sérias. Sua integridade é importante, mesmo que não seja vital; � Confidencial – informação restrita aos limites da empresa, cuja divulgação ou perda pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras, ou de confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao concorrente; � Secreta – informação crítica para as atividades da empresa, cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas. Ciclo de Vida da Informação � A informação deve ser protegida durante todo seu ciclo de vida. � Requisitos de segurança podem variar, devendo, portanto, ser investido esforço adequado à proteção que se fizer necessário em cada fase da vida da informação. � Por exemplo, as informações de um determinado produto, durante sua fase de desenvolvimento devem ser tratadas como confidenciais, devido sua natureza e dos investimentos que estão sendo feitos para o desenvolvimento do produto.investimentos que estão sendo feitos para o desenvolvimento do produto. ◦ Após o término do desenvolvimento, realiza-se o registro da patente, momento em que boa parte das informações do produto passam a ser públicas. ◦ Então, não faria mais sentido continuar a tratar todas as informações do produto como confidencial, podendo reduzir o investimento a partir da reclassificação dos mesmos. Fases do Ciclo de Vida da Informação � Manipulação: Refere-se a todo ato de manuseio da informação durante os processos de criação, alteração e processamento.processamento. � Nesta fase do ciclo de vida da informação é onde há maior interação entre esta e as entidades, e, consequentemente, é onde ocorre a maioria das falhas de segurança. Fases do Ciclo de Vida da Informação � Armazenamento: Refere-se ao armazenamento e arquivamento da informação em meios digitais, magnéticos ou qualquer outro que a suporte. ◦ A segurança física é muito importante, não que as outras não o sejam, pois estarão sujeitas aos riscos ambientais, naturais ou não, mais do que os da fase de manuseio. Deve-se dividir ‘armazenamento’ de ‘arquivamento’, sendo entendido como:◦ Deve-se dividir ‘armazenamento’ de ‘arquivamento’, sendo entendido como: � Armazenada a informação que está à disposição das entidades que a utiliza, que está em área de produção, quando muito em backupde segurança. � Arquivamento deve ser entendido como o processo de guarda das informações que não estão mais em produção. Fases do Ciclo de Vida da Informação � Transporte: Refere-se a todos os atos de movimentação e transferência da informação, seja entre processos,mídias ou entidades internas ou externas. ◦ Atenção especial: quando as informações estão em transporte,estão fora do perímetro de segurança do ambiente que a suporta: Cartas, e-mails, caixas de arquivos,pastas, notebooks e PDAs, comunicação telefônica e transmissõesarquivos,pastas, notebooks e PDAs, comunicação telefônica e transmissões eletrônicas via rede; ◦ Todos os tipos de comunicação fazem parte do ambiente de transporte, inclusive o diálogo falado, pois ao falar, transporta-se a informação pelo ambiente (ar), e pode-se deixar vazar informações valiosas neste momento. Fases do Ciclo de Vida da Informação � Descarte: Refere-se às ações de descarte e destruição das informações no meio em que se encontram. � A informação que vai ser descartada tem valor. � Cuidado com qualquer meio que suporte a informação: papel, discos magnéticos, cartuchos, fitas de backup, CDs, micro-filmes, dentre tantos outros; � Cada meio requer um cuidado especial no descarte; Exercícios � O uso da tecnologia da informação aumentou o risco e as vulnerabilidades no controle da informação? O que podemos fazer para reduzir este problema? � Fale um pouco sobre informação: dado, informação, informação X conhecimento. � O que são Ativos? Quais são os objetivos fundamentais da Segurança da Informação? E os demais� Quais são os objetivos fundamentais da Segurança da Informação? E os demais definidos? � Defina: severidade, criticidade, incidente. � Por que é necessário classificar as informações? Cite as classificações das Informações. � Quais são as fases do ciclo de vida da informação?
Compartilhar