aula_2

Prévia do material em texto

SEGURANÇA DA 
INFORMAÇÃO 
Prof. Rêmulo Maia Aves 
Roteiro de Apresentação 
1. Conceitos básicos de Segurança da Informação 
2. Gestão de Riscos 
3. Política de Segurança da Informação 
4. Ciclo de Vida e Classificação da Informação 
5. Gestão da Continuidade do Negócio 
6. Tipos de Segurança da Informação (virtual) 
7. Aspectos Legais na Segurança da Informação 
(virtual) 
Contexto Organizacional 
 Papel crescente das informações nos negócios 
 Mercados globais 
 Avanço da Internet 
FALSA IMPRESSÃO DE SEGURANÇA 
É COMO SE FOSSE UM JOGO DE GATO E RATO 
Segurança - definição 
 
Estado, qualidade ou condição de uma pessoa ou 
coisa que está livre de perigos, de incertezas, 
assegurada de danos e riscos eventuais, afastada 
de todo mal (Dicionário Houaiss). 
 
 
Segurança da Informação - 
definição 
 
Área do conhecimento dedicada à proteção de ativos 
da informação contra acessos não autorizados, 
alterações indevidas ou sua indisponibilidade 
(SÊMOLA, 2003). 
Ativos: recursos, pessoas, bens e serviços que a empresa 
possui e que geram receitas. 
 
 Aplicação de controles que visam à proteção de 
ativos que contêm informação (RAMOS et al., 2006). 
 
Objetivos da Segurança da 
Informação 
 Confidencialidade 
 Sigilo das informações 
 Integridade 
 Proteção contra alterações indevidas 
 Disponibilidade 
 Pessoas ou aplicações certas no momento certo 
 
Autenticidade Não-repúdio Legalidade Autenticidade Não-repúdio 
Objetivos da Segurança da 
Informação 
Problemas de Segurança 
 Natural; 
 Fenômenos meteorológicos 
 Acidental; 
 Erros de usuários 
 Falhas de sistemas 
 Falta de energia elétrica 
 Intencional 
 Invasões 
 Espionagem 
 Extorsão 
 Terrorismo 
Fatores humanos 
Pecados praticados em relação à 
gestão da segurança da informação 
 Atribuir exclusivamente à área tecnológica a SI; 
 Posicionar hierarquicamente esta equipe abaixo da diretoria de 
TI; 
 Definir investimentos subestimados e limitados à abrangência 
desta diretoria; 
 Elaborar planos de ação orientados a reatividade; 
 Não perceber a interferência direta da segurança com o negócio; 
 Tratar as atividades como despesa e não como investimento; 
 Adotar ferramentas pontuais como medida paliativa; 
 Satisfazer-se com a sensação de segurança provocadas por ações 
isoladas; 
 Não cultivar corporativamente a mentalidade de segurança; 
 Tratar a segurança como um projeto e não como um processo. 
Fonte: Gestão da Segurança da Informação – uma visão executiva. Marcos Sêmola 
Componentes Básicos de 
Segurança 
 Valor 
 Importância da informação 
 Ameaça 
 Evento que pode comprometer os objetivos de uma 
organização 
 Vulnerabilidade 
 Consiste na ausência ou falha de mecanismo de 
proteção 
 Impacto 
 Prejuízo decorrente da concretização de uma ameaça 
 Risco 
 Probabilidade de uma ameaça se concretizar 
juntamente com o impacto que estas ameaças trarão 
Fonte: ISO/IEC 17799:2005 
Tipos de Controles Utilizados na 
SI 
 Administrativos 
 Políticas de segurança da 
informação 
 Conscientização; 
 Gestão de riscos; 
 Planos de contingência; 
 Gestão de pessoas 
 Lógicos 
 Autenticação; 
 Criptografia; 
 Scanners de vírus; 
 Controles de acesso 
 
 Físicos 
 Controle e prevenção de 
incêndio; 
 Controles de acesso 
físico; 
 Armazenamento off-side 
 
Abrangência dos Controles 
 Ativos de informação 
 Bases de dados; 
 Arquivos; 
 Documentação de sistemas; 
 Informações em geral 
 
 Ativos de software 
 Aplicativos; 
 Sistemas operacionais; 
 Ferramentas de 
desenvolvimento 
 Ativos físicos 
 Equipamentos 
computacionais; 
 Equipamentos de 
comunicação; 
 Mídias; 
 Acomodações; 
 Equipamentos técnicos 
 
 Serviços 
 Comunicação; 
 Processamento de 
informações; 
 Armazenamento de 
informações  Pessoas 
 Indivíduos que utilizam a infra-estrutura tecnológica 
CONTROLES NA NORMA NBR 27002:2005 
FORMATO DE APRESENTAÇÃO 
 A norma contém: 
11 seções de controles de segurança da 
informação; 
39 categorias principais de segurança 
 Cada categoria possui: 
Objetivo de Controle; 
Um ou mais Controles (que podem ser aplicados 
para se alcançar o objetivo de controle) 
 Estrutura básica 
 Objetivo 
 Controle(s) 
 Diretrizes para implementação 
 Informações adicionais. 
16 
17 
GESTÃO DE RISCOS 
GESTÃO DE RISCOS DE SEGURANÇA DA 
INFORMAÇÃO 
20 
Fonte: ABNT NBR ISSO/IEC 27005:2008 
D 
P 
Risco - conceito 
 
 Probabilidade de uma ameaça se concretizar, 
causando prejuízos e/ou impedindo o alcance de 
objetivos. 
 
 “Probabilidade de insucesso, de malogro de 
determinada coisa, em função de acontecimento 
eventual, incerto, cuja ocorrência não depende 
exclusivamente da vontade dos interessados” 
(Dicionário Houaiss). 
Riscos – Relacionamento com o 
negócio 
Adaptado de Moreira (2001, p. 21) 
Gestão de Riscos - Definição 
 Processo de identificação e tratamento de risco, de 
forma sistemática e contínua (CISSP, 2004). 
 Certified Information Systems Security Professional 
 
 Série de atividades que se relacionam à forma como 
a organização lida com os riscos, abrangendo todo o 
ciclo de vida do tratamento de riscos. 
 
Reconhecer as ameaças e saber que o risco pode ser 
minorado, contido ou controlado. 
Etapas da Gestão de Riscos 
 Análise e avaliação de riscos 
 Gerar listas detalhadas de vulnerabilidades, riscos e eventos 
que possam causar impacto aos objetivos da organização; 
 Tratamento de riscos 
 Identificação de controles, desenvolvimento do plano de ação e 
implantação do plano de ação. 
 Aceitação de riscos 
 Eliminar todos os riscos nem sempre é possível. Sendo assim, 
a aceitação de riscos implica em saber que este risco existe e 
que não foi resolvido. 
 Comunicação de riscos 
 Conscientização dos usuários a respeito dos riscos residuais 
envolvidos na execução de determinadas atividades. 
Equação do Risco 
Onde: 
 R: risco 
 V: vulnerabilidades 
 A: ameaças 
 I: impacto 
 M: medidas de segurança 
Fonte: Sêmola (2003). 
R = 
V x A x I 
M 
POLÍTICA DE SEGURANÇA DA 
INFORMAÇÃO 
Definição 
Conjunto de documentos que expressam 
uma generalização das necessidades de 
segurança da empresa. 
Resume os princípios de segurança que uma 
organização reconhece como sendo 
importante e que devem estar presentes no 
dia-a-dia de suas atividades (Ramos et al., 
2006). 
Princípios básicos 
A política de segurança deve 
estabelecer: 
 Objetivos e práticas de segurança; 
 Responsabilidades; 
 Processos; 
 Definição de níveis aceitáveis de risco 
 
 
Política de Segurança e as 
Organizações 
Tático 
Operacional 
Estratégico 
Nível em que as DIRETRIZES da 
organização são definidas. 
Nível em que as NORMAS da 
organização são descritas conforme as 
diretrizes definidas no nível superior. 
Nível em que os 
PROCEDIMENTOS são 
estabelecidos com base nas 
normas definidas no nível 
acima. 
P.S. = DIRETRIZES + NORMAS + PROCEDIMENTOS 
CLASSIFICAÇÃO DA 
INFORMAÇÃO 
Conceito 
 Identificar as informações por níveis de 
relevância para o negócio e aplicar os controles 
adequados a cada um desses níveis, garantindo a 
proteção necessária e somente a necessária. 
 
 
 
 Proteção da informação Analisa as demandas de segurança de acordo com as 
necessidades de cada ativo. 
 Economia 
 Quanto maior o nível de proteção, maiores são os 
custos. 
Objetivos 
Ciclo de Vida da Informação 
A Política de Segurança estabelece padrões, responsabilidades e critérios 
para o manuseio, armazenamento, transporte e descarte das informações 
dentro do nível de segurança estabelecido. 
Transporte 
Armazena- 
mento 
Manuseio 
Descarte INFORMAÇÃO 
Disponibilidade 
Autenticidade 
Legalidade 
Fonte: Sêmola (2003). 
GESTÃO DA CONTINUIDADE DO 
NEGÓCIO 
Conceito 
Avaliação de uma variedade de riscos e a criação de 
políticas, planos e procedimentos que minimizem os 
impactos provocados pela concretização de desastres ou 
falhas de segurança. 
 
 
A Gestão da Continuidade do negócio tem por objetivo 
não permitir a interrupção das atividades do negócio e 
proteger os processos críticos contra efeitos de falha ou 
desastres significativos e assegurar a sua retomada em 
tempo hábil, se for o caso. (ABNT NBR ISO/IEC 
27002:2005, item 14.1). 
Objetivo 
Plano de Continuidade de Negócios 
X Plano de Recuperação de 
Desastres 
 Plano de recuperação – foco na recuperação de 
ativos de TI; 
 Plano de continuidade – foco nos negócios 
(incluindo a TI) 
 
Plano de continuidade é uma evolução de Plano 
de recuperação 
Componentes Básicos do PCN 
 Planejamento; 
 Análise de impacto nos negócios; 
 Plano de contingência; 
 Treinamento e testes; 
 Manutenção e atualizações. 
TIPOS DE SEGURANÇA DA 
INFORMAÇÃO 
 
 
 
 
 
 
Segurança Física e de Ambientes 
Segurança Lógica 
Segurança Administrativa S
 E
 G
 U
 R
 A
 N
 Ç
 A
 
D
 A
 
I 
N
 F
 O
 R
 M
 A
 Ç
 Ã
 O
 
SEGURANÇA FÍSICA E DE 
AMBIENTES 
Conceito 
 Trata de todos os ativos que suportam o 
tratamento de informações em uma organização. 
 
 
 
 
 
 Prevenir acesso não autorizado, dano e 
interferência às informações e instalações físicas 
da organização (NBR 17.799). 
Objetivo 
Segurança Física 
 Exemplos de controles 
 Controle de acesso físico ao ambiente da empresa; 
 Controle de Incêndios; 
 Instalações elétricas; 
 Manutenção preventiva em equipamentos; 
 Etc. 
 Roubo 
 Incêndio 
 Sabotagem e 
 vandalismo 
 Água (chuva e enchentes) 
 Atividades sísmicas (terremotos, 
 vulcões) 
 Explosões 
 Materiais tóxicos 
 Ameaças: 
SEGURANÇA LÓGICA 
Conceito 
 Refere-se a todas as normas, procedimentos, 
ferramentas e técnicas que visam proteger um 
sistema contra ameaças que podem comprometer 
diretamente as informações da empresa, 
principalmente aquelas armazenadas e/ou 
transportadas eletronicamente. 
Abrangência 
 Segurança de Software 
 Controles de Acessos 
 Redes (parte lógica) 
Segurança de Softwares 
 Objetivos 
 Garantir o funcionamento dos diversos tipos de softwares e 
proteger a integridade e confidencialidade das informações 
armazenadas/processadas por eles. 
 
 Ameaças 
 Funcionários insatisfeitos 
 Falhas de software 
 Pragas virtuais 
Controle de Acesso 
 Objetivos 
Gerenciar o modo de interação entre sujeitos 
(entidades que requisitam informações) e objetos 
(entidades passivas, que fornecem informações a 
sujeitos), definindo: 
 Quais recursos estão disponíveis para acesso; 
 Quais operações podem ser executadas; 
 Quais os componentes autorizados a executar tais 
operações 
 
 Ameaças 
 Crackers 
 Funcionários 
Modelos de Controle de 
Acesso 
 DAC (Discretionary Access Control) 
 O proprietário do recurso é quem tem a 
responsabilidade de atribuir as permissões de acesso. 
 
 MAC (Mandatory Access Control) 
 Classificação de sujeitos e objetos em um sistema, a 
quem são atribuídos níveis de segurança. 
 
 RBAC (Role-based Access Control) 
 O controle de acesso é definido a partir dos papéis 
que os usuários cumprem dentro de uma organização. 
Outros controles de segurança 
lógica 
 Criptografia 
 
 Assinatura Digital 
 
 Certificados Digitais 
 
 Firewall 
 
 Intrusion Detection System (IDS) 
 
SEGURANÇA 
ADMINISTRATIVA 
Gestão de Pessoas em Segurança 
da Informação 
 
Ser humano = ponto mais crítico de ser 
gerenciado 
 
 
Iniciativas de segurança devem levar em 
conta o fator humano 
 
Objetivos 
 Reduzir o risco de erro humano, roubo, fraude ou 
uso indevido de informações; 
 Tornar usuários cientes de ameaças e questões 
envolvendo segurança; 
 Subsidiar pessoas para apoiar políticas de 
segurança 
 
Procedimentos de Pessoal em 
Segurança da Informação 
 Inclusão da segurança nas responsabilidades de 
trabalho; 
 Contratação de funcionários; 
 Acordos de confidencialidade; 
 Termos e condições de trabalho; 
 Treinamento e educação de pessoas; 
 Desligamento de funcionários. 
ASPECTOS LEGAIS E 
SEGURANÇA DA 
INFORMAÇÃO 
Histórico da Legislação sobre 
Segurança da Informação 
 1967 – Documento intitulado “Security Control 
for Computer System: Report of Defense 
Science Boad Task Force on computer 
Security" 
 início do processo oficial de criação de um conjunto de 
regras para segurança de computadores. 
 1972 – elaboração de vários relatórios que deram 
origem ao documento conhecido como “Doctrine”, 
que é a base de vários trabalhos na área de 
segurança. 
 1977 – o departamento de Defesa dos EUA criou o 
"DoD Computer Security Initiative“ que ficou 
conhecido como “Orange Book”. 
 2000 – norma internacional de segurança da 
informação ISO/IEC-17799:2000. 
Fonte: Coppe/UFRJ. 
Evolução das Normas 
BS7799-1 
ISO/IEC17799 
BS7799-2 
NBR27001 
NBR27005 
ISO/IEC17799 
1995 
2000 
2007 
2002 
2005 
2008 
NBR17799 2001 
2004 
NBR27002 
2006 
ISO/IEC 27002 
BS7799-3 
Requisitos Legais 
 Novo código civil 
 Lei 10.406/02 
 Lei 11.638/07 
 Altera a lei das SAs 
 Resolução 3380 do Banco Central 
 Gerenciamento de risco operacional nas Instituições 
Financeiras 
Agências regulatórias 
Basiléia II 
CVM 
Marcos regulatórios 
Sarbanes-Oxley 
Legislação no Brasil 
 Decreto no. 3505, de 13 de junho de 2000 
 Instituição da Política de Segurança da Informação em 
entidades públicas brasileiras. 
 
 PL 84/99 que se trasformou em PL 89/03 
 Projeto de lei sobre crimes tecnológicos. (me parece que ainda 
tramita) 
 
 ICP-Brasil 
 Regulamenta a utilização de certificação digital no Brasil. 
 
 Site com todos os projetos de lei referentes à segurança 
eletrônica 
 http://www.internetlegal.com.br/legis/ 
Considerações finais 
 Dificuldade da percepção da importância da 
Segurança pelos gestores das empresas. 
 Só se repara na segurança quando algum desastre 
acontece. 
 A implementação de segurança da informação 
deve ser um processo e não um projeto 
 As rápidas mudanças tecnológicas tornam alguns 
controles obsoletos. 
 A combinação de diversos controles deve ser 
usada para aumentar o nível de proteção. 
 A Segurança das Informações de uma empresa 
não deve ser responsabilidade apenas da equipe 
de TI, mas de todos os membros da empresa. 
 Resumindo, as normas podem ser aplicadas de 
forma conjunta na busca pela excelência nos 
serviços de TI. 
Dúvidas !?!