Gestão de Segurança da Informação

Prévia do material em texto

*
*
GESTÃO DE SEGURANÇA DA INFORMAÇÃO
PROF. RENATO GUIMARÃES
DEFINIÇÃO
Segurança de Informações:
	
	 Trata-se da proteção, dispensada aos dados e informações, contra ações não autorizadas relativas à divulgação, transferência, modificação ou destruição destes, sejam estas ações intencionais ou acidentais.
ATIVOS
Um ativo é qualquer coisa que tenha valor para a organização.
Classificação:
-Tangíveis: Aplicativos, Equipamentos, Usuários
-Intangíveis: Marca, Imagem, Confiabilidade
	
	
PRINCÍPIOS
Confidencialidade
- Trata-se da manutenção do segredo, do sigilo ou da privacidade das informações;
- Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
	
PRINCÍPIOS
Integridade
- Trata-se da manutenção das informações tal e qual tenham sido geradas;
- Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada.
	
PRINCÍPIOS
Disponibilidade
- Trata-se da possibilidade de acesso contínuo, ininterrupto, constante e atemporal às informações;
- Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado.	
FATORES QUE IMPACTAM NA SEGURANÇA
Exemplo – assalto a residência
Ativos: Objetos existentes na casa.
Vulnerabilidade: Porta com fechadura simples.
Ameaça: Pode haver um arrombamento e assalto.
Impactos: Perda de conforto, necessidade de comprar tudo de novo.
Contra-medidas: Fechadura quádrupla, portas e janelas blindadas, alarme, cachorro, vigia, seguro, etc.
	
QUANDO PROTEGER?
No Ciclo de vida da Informação
 Manuseio: Momento em que a informação é criada e manipulada, seja ao folhear um maço de papéis, ao digitar informações recém-geradas em uma aplicação internet, ou ainda, ao utilizar sua senha de acesso para autenticação.	
 Armazenamento: Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocado em um arquivo de metal, ou ainda, em um pendrive depositado em uma gaveta, por exemplo.
	
 Transporte: Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial, por exemplo.
 Descarte: Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD-ROm usado que apresentou falha na leitura.
ONDE PROTEGER?
Nos ativos: 
DO QUE PROTEGER?
Ameaças: 
O QUE SÃO VULNERABILIDADES?
Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos.
 
Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
CLASSIFICAÇÃO
Físicas:
- Instalações prediais fora dos padrões de engenharia;
- Salas de servidores mal planejadas;
- Falta de extintores, detectores de fumaça e de outros recursos para detecção e combate a incêndio.
CLASSIFICAÇÃO
Naturais:
- Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades, falta de energia);
- Problemas nos equipamentos de apoio (acúmulo de poeira, aumento de umidade e de temperatura).
CLASSIFICAÇÃO
Hardware:
-Falha nos recursos tecnológicos (desgaste, obsolescência, mau uso);
-Erros durante a instalação;
-A ausência de atualizações de acordo com as orientações dos fabricantes dos programas utilizados; 
-A conservação inadequada dos equipamentos.
CLASSIFICAÇÃO
 Software:
Erros de instalação ou de configuração possibilitando acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade de recursos quando necessários;
A configuração e a instalação indevidas dos programas de computador/sistemas operacionais, podem levar ao uso abusivo dos recursos por parte de usuários mal-intencionados.
CLASSIFICAÇÃO
Mídias de armazenamento:
- Discos, fitas, relatórios e impressos em geral podem ser perdidos ou danificados;
Radiação eletromagnética pode afetar diversos tipos de mídias magnéticas;
Erro de fabricação.
CLASSIFICAÇÃO
Comunicações:
-Acessos não autorizados ou perda de comunicação.
-A ausência de sistemas de criptografia nas comunicações ; 
-A má escolha dos sistemas de comunicação para envio de mensagens de alta prioridade da empresa; 
CLASSIFICAÇÃO
Humanas:
- Falta de treinamento;
- Compartilhamento de informações confidenciais;
- Falta de execução de rotinas de segurança;
- Erros ou omissões;
- Terrorismo ou vandalismo (ameaça de bomba, sabotagem, distúrbios civis, greves, roubo, furto, assalto, destruição de propriedades ou de dados, invasões, guerras, etc.).
O QUE SÃO AMEAÇAS?
Representam perigo para os ativos - fatores externos;
Oferecem riscos potenciais ao ambiente de TI e á continuidade dos negócios;
Podem afetar aspectos básicos da segurança.
CLASSIFICAÇÃO
 Naturais:
Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades eletromagnéticas, maremotos, aquecimento, poluiçaõ, etc.
CLASSIFICAÇÃO
Involuntárias:
Danos involuntários - quase sempre internos - são uma das maiores ameaças ao ambiente;
Podem ser ocasionados por falha no treinamento, acidentes, erros ou omissões.
CLASSIFICAÇÃO
Intencionais:
Ameaças propositais causadas dpor agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computadores, incendiários.
COMO REDUZIR OS RISCOS
- Não abra ou execute imediatamente os arquivos anexados às mensagens que você recebe. Verifique antes com um antivírus; 
- Os browsers, como qualquer software, possuem bugs. Utilize, sempre que possível, a última versão do browser com as devidas atualizações;
- Se usar um site provedor de e-mails, o cuidado também deve ser grande. Evite clicar em links que aparecerem no conteúdo das mensagens. Eles não são 100% seguros;
 
COMO REDUZIR OS RISCOS
• Desconfie de mensagens que mostrem muitas vantagens no campo “assunto”. Trata-se apenas de uma armadilha via e-mail;
• Quando estiver em sites de trocas de mensagens instantâneas (bate-papo ou sites de relacionamentos, tipo Orkut), evite divulgar informações pessoais. Quadrilhas de bandidos usam esses sites para fazer amizade com os internautas, saber mais de suas vidas e, depois, ameaçar ou cometer outros crimes;
 
COMO REDUZIR OS RISCOS
• Evite baixar programas de sites desconhecidos. Muitos sites de peer-to-peer (compartilhamentos de programas e arquivos de música, filmes etc, como Kazaa e o eMule) podem conter programas pirateados com vírus e outras ameaças digitais; 
• Evite navegar na Internet em uma estação desconhecida. Neste caso, nunca acesse sites que contenham informações confidenciais;
• Tenha backup de seus dados.
 
*