AULA 1 Introdução a Gestão de Segurança da Informação

Prévia do material em texto

Free Powerpoint Templates 
Page 1 
Segurança da Informação 
Aula 1: Introdução a Gestão de Segurança da Informação 
 
 
 
Free Powerpoint Templates 
Page 2 
Introdução a Gestão de 
Segurança da Informação 
• O que é Segurança da Informação? 
 
Free Powerpoint Templates 
Page 3 
O que é segurança da informação ? 
 
• Para entender o que é segurança da informação 
preciso saber o que é Informação, correto? 
 
• Existência de informação: 
 
• impressa, escrita em papel, armazenada 
eletronicamente, transmitida pelo correio, 
apresentada em filmes, falada em conversas. 
 
 
 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 4 
O que é segurança da informação ? 
 
• Como proteger diferentes formas de informação? 
 
• Conhecendo o inimigo e se protegendo sob diferentes aspectos, 
para que se tenha: 
 
• a continuidade do negócio 
• minimizar o risco ao negócio 
• maximizar o retorno sobre o investimento 
• e as oportunidades de negócio 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 5 
O que é segurança da informação ? 
 
• Definições 
 
• A informação é um ativo que, como qualquer outro ativo 
importante para os negócios, tem um valor para a 
organização e consequentemente necessita ser 
adequadamente protegida 
 
 (NBR 17999) 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 6 
O que é segurança da informação ? 
 
• Definições 
 
• “É a proteção da informação contra vários tipos de 
ameaças para garantir a continuidade do negócio, 
minimizar riscos, maximizar o retorno sobre os 
investimentos e as oportunidade de negócios” 
 
 (ISO 27.002) 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 7 
O que é segurança da informação ? 
 
• Importante 
 
• As informações que manipulamos podem existir de 
diferentes formas... 
 
• Vulnerabilidades e ameaças da mesma forma 
 
• Vamos proteger o que? Como? De quem? 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 8 
Contexto da 
segurança 
da informação 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 9 
Ciclo de vida da informação 
 
• Manuseio 
 
• Momento em que a informação é criada e manipulada 
 
• manusear e catalogar papéis 
• digitar informações em um sistema 
• inserir informações em uma planilha 
 
 
 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 10 
Ciclo de vida da informação 
 
• Armazenamento 
 
• Momento em que uma informação é armazenada 
 
• Banco de Dados 
• Em um papel 
• Impressa 
• CD, DVD, Pen Drive, Nuvem... 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 11 
Ciclo de vida da informação 
 
• Transporte 
 
• Momento em que a informação é transportada 
 
• enviar um e-mail 
• falar por telefone uma informação confidencial 
• postar um arquivo em um FTP 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 12 
Ciclo de vida da informação 
 
• Descarte 
 
• Fase em que a informação é descartada 
 
• Jogar no lixo um material impresso 
• Excluir um arquivo do computador 
• Descartar um CD, DVD 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 13 
Propriedades Principais da segurança da informação 
 
• Confidencialidade 
 
• A informação só pode ser acessada por pessoas que 
tenham permissão (autorizadas) 
 
• Informação escrita, falada, armazenada 
 
• Prover mecanismos para garantir a identificação e 
autenticação das partes envolvidas 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 14 
Propriedades Principais da segurança da informação 
 
• Disponibilidade 
 
• Estar a informação ou o meio informático (sistema, 
servidor, etc) disponível 24 x 7 (24 horas por dia, 7 dias 
por semana) 
 
• Estar disponível no momento em que a mesma for 
acessada 
 
• Disponibilidade passa pelas estratégias (planos) de 
contingência 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 15 
Propriedades Principais da segurança da informação 
 
• Integridade 
 
• Informação não foi alterada de forma indevida, não-
autorizada ou acidentalmente 
 
• Quebra de integridade 
 
• Informação é corrompida, roubada, falsificada... 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 16 
Propriedades Principais da segurança da informação 
 
• Outros fatores importantes... 
 
• Auditoria: exame de eventos históricos dentro de um 
computador ou sistema 
 
• Autenticidade: a pessoa realmente é quem ela diz ser 
 
• Legalidade: legalidade jurídica da informação ou de ativos 
 
• Não-repúdio: não é possível dizer que não foi feito (não é 
pessível negar) 
 
• Privacidade: informação privada pode ser lida, alterada, entre 
outros, somente pelo seu dono 
 
 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 17 
Conceitos relacionados a segurança da informação 
 
• Ativos 
 
• Qualquer elemento que tenha valor para a empresa ou 
organização (ISO 27.002) 
 
• Ativos fornecem suporte aos processos de negócios, 
portanto necessitam de segurança 
 
• Neste quesito enquadram-se todos os elementos 
utilizados para: armazenar, processar, transportar, 
manusear e descartar a informação 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 18 
Conceitos relacionados a segurança da informação 
 
• Categorias de Ativos 
 
• Informações 
• Hardware 
• Software 
• Ambiente Físico 
• Pessoas 
• Aplicações 
• Usuários 
• Processos 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 19 
Conceitos relacionados a segurança da informação 
 
• Ameaças 
 
• Conhecido também pelo termo «threat» 
 
• Caracaterizado como qualquer ação, acontecimento ou 
entidade que possa agir sobre: 
 
• um ativo, pessoa ou processo 
 
• através de uma vulnerabilidade e 
consequentemente gerando determinado impacto 
 
Obs.: ameaças só existem se houverem vulnerabilidades 
 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 20 
Conceitos relacionados a segurança da informação 
 
• Classificação das Ameaças 
 
• Naturais 
 
• Decorrentes de fenômenos da natureza 
 
• Involuntárias 
 
• Inconscientes, causadas pelo desconhecimento 
 
• Voluntárias 
 
• Propositais, causadas por agentes humanos 
 
• crackers, invasores, espiões, ladrões, etc... 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 21 
Conceitos relacionados a segurança da informação 
 
• Outras ameaças aos sistemas de informação 
 
• Falha de software/hardware 
• Invasão pelo terminal de acesso 
• Roubo de dados e equipamentos 
• Incêndio 
• Problemas elétricos 
• Erros de usuário 
• Erros de Programação 
 
• podem originar-se de fatores técnicos, 
organizacionais e ambientais 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 22 
Conceitos relacionados a segurança da informação 
 
• Vulnerabilidade 
 
• Fragilidade de um ou mais ativos, que pode ser 
explorada por uma ou mais ameaças (ISO 27.002) 
 
• As vulnerabilidades devem ser gerencidadas, ou seja 
 
• identificadas e corrigidasIntrodução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 23 
Conceitos relacionados a segurança da informação 
 
• Controles (técnicos, administrativos e de gestão) 
 
• Referem-se as medidas de segurança: 
 
• práticas, procedimentos e mecanismos utilizados 
para a proteção de ativos 
 
• os controles permitem: 
 
• impedir que as ameaças explorem as 
vulnerabilidades 
 
• reduzir o surgimento de vulnerabilidades 
 
• minimizar o impacto dos incidentes de segurança 
da informação 
 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 24 
Introdução a Gestão de 
Segurança da Informação 
Proprietários 
Riscos 
Vulnerabilidades Ativos 
Controles 
colocam valores aos impõem 
para minimizar 
que podem afetar diretamente os 
que podem 
afetar 
diretamente 
os 
podem ser reduzidas 
com 
produzem 
aumentam 
Ameaças 
exploram 
as 
Free Powerpoint Templates 
Page 25 
Conceitos relacionados a segurança da informação 
 
• Entender o Negócio 
 
• Ao iniciar um projeto de segurança, preciso conhecer o 
ambiente da organização (pessoas, processos, práticas) 
 
• Geralmente a situação é a seguinte: 
 
• Desconhecimento dos processos (ambiente) 
 
• Nenhum tipo de controle implementado 
 
• Elevado índice de riscos 
 
• Falta de uma cultura de segurança 
 
• Resistência (interna e externa) 
 
• Visão limitada da importância/ganho/perda 
 
Introdução a Gestão de 
Segurança da Informação 
Free Powerpoint Templates 
Page 26 
Referências 
 
• Laureano, Marcos Aurélio. 
Gestão de Segurança da Informação 
 
• ABNT NBR ISO/IEC 27002:2006. 
Código de Prática para a Gestão da Segurança da Informação. 
 
• Sêmola, Marcos. 
Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, 
Ed. Campus, 2003. 
 
• Ramos, Anderson. 
Guia Oficial para Formação de Gestores em Segurança da Informação. 
 
 
 
 
Introdução a Gestão de 
Segurança da Informação