Segurança da Informação

Prévia do material em texto

Segurança da Informação
Profa. Suzi Lara Werner
Introdução à Segurança da 
Informação
A Informação
� Sociedade do conhecimento: A informação é um ativo cada vez mais
valorizado;
� Empresas usufruem da informação para melhoria da produtividade, redução
de custos, ganho de mercado, aumento da agilidade e competitividade, além
do apoio à tomada de decisão;do apoio à tomada de decisão;
� A informação e o conhecimento são os diferenciais das empresas que
pretendem destacar-se no mercado e manter a sua competitividade.
A informação nas organizações
� A informação é utilizada e 
afeta todos os níveis das 
organizações;organizações;
� Precisamos entender o 
quão dependente a 
organização é dos sistemas 
de informação
Breve histórico do uso da informação
� Inicialmente as informações eram tratadas de forma
centralizada e pouco automatizada;
� Com a evolução dos sistemas computacionais o uso das
informações de forma manuscrita foi sendo reduzida;informações de forma manuscrita foi sendo reduzida;
� As informações passaram então a ser tratada por elementos
computacionais.
Breve histórico do uso da informação
� Os sistemas distribuídos e as redes de computadores
passaram a ser aplicadas em alta escala nas organizações;
� A informação perde portando o seu acesso centralizado
passando a estar disponível a partir de qualquer ponto.passando a estar disponível a partir de qualquer ponto.
Breve histórico do uso da informação
� Integração de toda a cadeia produtiva:
� B2B;
� B2C;
� E-Commerce;
� ERP(s)... etc
Aumento dos Riscos e Vulnerabilidades
� O uso da tecnologia da informação ao mesmo tempo que
automatizou processos, facilitou a distribuição da informação,
ela inseriu riscos e vulnerabilidades no controle da
informação;informação;
� Como as empresas gerenciam os riscos e garantem a
segurança dos recursos deTI dos quais é tão dependente?
Gestão da Segurança da Informação
Conceitos
Conceitos e Princípios básicos da Segurança 
da Informação
� Informação: é o resultado do processamento, manipulação e
organização de dados, de tal forma que represente uma modificação
(quantitativa ou qualitativa) no conhecimento do sistema (pessoa,
animal ou máquina) que a recebe.
� O conceito de informação está intimamente ligado às noções de
restrição, comunicação, controle, dados, forma, instrução,
conhecimento, significado, estímulo, padrão, percepção e
representação de conhecimento.
Conceitos e Princípios básicos da Segurança 
da Informação
� Ativos: Todo elemento que compõe os processos que
manipulam e processam a informação;
� A informação, meios de armazenamento, equipamentos onde
a informação é manuseada, transportada e descartada.a informação é manuseada, transportada e descartada.
Aspectos da Segurança da Informação
� A Segurança da Informação é o processo de
proteger a informação das ameaças para sua:
� Integridade;
� Confidencialidade e
� Disponibilidade.
Objetivos fundamentais da Segurança 
da Informação
� Confidencialidade: Garantir que o acesso à informação é restrito
aos seus usuários legítimos;
� Integridade: Garantir a consistência da informação durante todo o
seu ciclo de vida. (Impedindo criação, alteração ou destruição não
autorizada de dados e informações);
� Disponibilidade: Garantir que a informação e os ativos associados
estejam disponíveis para os usuários legítimos de forma oportuna;
Outros objetivos
� Alguns autores defendem outros objetivos:
� Autenticidade – Garante que a informação ou o usuário da
mesma é autêntico; Atesta com exatidão, a origem do dado ou
informação;
� Não repúdio – Não é possível negar uma operação ou serviço� Não repúdio – Não é possível negar uma operação ou serviço
que modificou ou criou uma informação;
� Não é possível negar o envio ou recepção de uma informação ou
dado;
� Legalidade – Garante a legalidade (jurídica) da informação;
Aderência de um sistema à legislação.
Outros objetivos
◦ Privacidade – Foge do aspecto de confidencialidade, pois
uma informação pode ser considerada confidencial, mas não
privada.
� Uma informação privada deve ser vista / lida / alterada somente
pelo seu dono.pelo seu dono.
◦ Auditoria – Rastreabilidade dos diversos passos que um
negócio ou processo realizou ou que uma informação foi
submetida, identificando os participantes, os locais e
horários de cada etapa.
Conceitos relacionados
� Severidade: Gravidade do dano que um determinado ativo
pode sofrer;
� Criticidade: Gravidade referente ao impacto causado pela
ausência de um ativo ou pela perda ou redução de suas
finalidades;
� Incidente: um ou uma série de eventos de segurança
inesperados ou não–autorizados que tem uma probabilidade
significante de comprometer as informações ou operações da
organização.
Classificação das Informações
� Nem toda informação é crucial ou essencial a ponto de merecer
cuidados especiais.
� Porém, determinada informação pode ser tão vital que o custo de
sua integridade, qualquer que seja, ainda será menor que o custo
de não dispor dela adequadamente.
� Portanto é necessária a classificação da informação em níveis de
prioridade, respeitando a necessidade de cada empresa assim
como a importância da classe de informação para a manutenção
das atividades da empresa;
Classificação das Informações
� Pública – informação que pode vir a público sem maiores consequências danosas ao
funcionamento normal da empresa, e cuja integridade não é vital;
� Interna – o acesso a esse tipo de informação deve ser evitado, embora as
consequências do uso não autorizado não sejam por demais sérias. Sua integridade é
importante, mesmo que não seja vital;
� Confidencial – informação restrita aos limites da empresa, cuja divulgação ou perda
pode levar a desequilíbrio operacional, e eventualmente, perdas financeiras, ou de
confiabilidade perante o cliente externo, além de permitir vantagem expressiva ao
concorrente;
� Secreta – informação crítica para as atividades da empresa, cuja integridade deve
ser preservada a qualquer custo e cujo acesso deve ser restrito a um número
bastante reduzido de pessoas.
Ciclo de Vida da Informação
� A informação deve ser protegida durante todo seu ciclo de vida.
� Requisitos de segurança podem variar, devendo, portanto, ser investido esforço
adequado à proteção que se fizer necessário em cada fase da vida da informação.
� Por exemplo, as informações de um determinado produto, durante sua fase de
desenvolvimento devem ser tratadas como confidenciais, devido sua natureza e dos
investimentos que estão sendo feitos para o desenvolvimento do produto.investimentos que estão sendo feitos para o desenvolvimento do produto.
◦ Após o término do desenvolvimento, realiza-se o registro da patente, momento em
que boa parte das informações do produto passam a ser públicas.
◦ Então, não faria mais sentido continuar a tratar todas as informações do produto
como confidencial, podendo reduzir o investimento a partir da reclassificação dos
mesmos.
Fases do 
Ciclo de Vida da Informação
� Manipulação: Refere-se a todo ato de manuseio da
informação durante os processos de criação, alteração e
processamento.processamento.
� Nesta fase do ciclo de vida da informação é onde há maior interação
entre esta e as entidades, e, consequentemente, é onde ocorre a maioria
das falhas de segurança.
Fases do 
Ciclo de Vida da Informação
� Armazenamento: Refere-se ao armazenamento e arquivamento da informação em
meios digitais, magnéticos ou qualquer outro que a suporte.
◦ A segurança física é muito importante, não que as outras não o sejam, pois
estarão sujeitas aos riscos ambientais, naturais ou não, mais do que os da fase de
manuseio.
Deve-se dividir ‘armazenamento’ de ‘arquivamento’, sendo entendido como:◦ Deve-se dividir ‘armazenamento’ de ‘arquivamento’, sendo entendido como:
� Armazenada a informação que está à disposição das entidades que a utiliza,
que está em área de produção, quando muito em backupde segurança.
� Arquivamento deve ser entendido como o processo de guarda das
informações que não estão mais em produção.
Fases do 
Ciclo de Vida da Informação
� Transporte: Refere-se a todos os atos de movimentação e transferência da
informação, seja entre processos,mídias ou entidades internas ou externas.
◦ Atenção especial: quando as informações estão em transporte,estão fora do
perímetro de segurança do ambiente que a suporta: Cartas, e-mails, caixas de
arquivos,pastas, notebooks e PDAs, comunicação telefônica e transmissõesarquivos,pastas, notebooks e PDAs, comunicação telefônica e transmissões
eletrônicas via rede;
◦ Todos os tipos de comunicação fazem parte do ambiente de transporte,
inclusive o diálogo falado, pois ao falar, transporta-se a informação pelo
ambiente (ar), e pode-se deixar vazar informações valiosas neste momento.
Fases do 
Ciclo de Vida da Informação
� Descarte: Refere-se às ações de descarte e destruição das
informações no meio em que se encontram.
� A informação que vai ser descartada tem valor.
� Cuidado com qualquer meio que suporte a informação: papel, discos
magnéticos, cartuchos, fitas de backup, CDs, micro-filmes, dentre tantos
outros;
� Cada meio requer um cuidado especial no descarte;
Exercícios
� O uso da tecnologia da informação aumentou o risco e as vulnerabilidades no
controle da informação? O que podemos fazer para reduzir este problema?
� Fale um pouco sobre informação: dado, informação, informação X
conhecimento.
� O que são Ativos?
Quais são os objetivos fundamentais da Segurança da Informação? E os demais� Quais são os objetivos fundamentais da Segurança da Informação? E os demais
definidos?
� Defina: severidade, criticidade, incidente.
� Por que é necessário classificar as informações? Cite as classificações das
Informações.
� Quais são as fases do ciclo de vida da informação?