Conceitos, principios e politicas de segurança da informação

Prévia do material em texto

07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 1/6
Vivemos em uma sociedade que se baseia em informações e que exibe uma crescente
propensão para coletar e armazenar informações e o uso efetivo da informação permite
que uma organização aumente a eficiência de suas operações.
KATZAM, 1977
Conceitos, princípios e políticas de
segurança da informação
ENTENDER A IMPORTÂNCIA DA INFORMAÇÃO PARA AS EMPRESAS NOS DIAS ATUAIS E,
CONSEQUENTEMENTE, A IMPORTÂNCIA DE MANTÊ-LA PROTEGIDA E ÍNTEGRA.
A importância da informação
A informação é o dado com uma interpretação lógica ou natural dada a ele por seu usuário (REZENDE,
ABREU, 2000). A informação tem um valor altamente significativo e pode representar grande poder para
quem a possui, pois está integrada com os processos, pessoas e tecnologias.
A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a
organização e, consequentemente, necessita ser adequadamente protegida (NBR 17999, 2003). Na sociedade
da informação ela é o principal patrimônio da empresa e está sob constante risco (DIAS, 2000). Representa
a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional
e saúde da empresa (SÊMOLA, 2003). A informação e o conhecimento serão os diferenciais das empresas e
dos profissionais que pretendem destacar-se no mercado e manter a sua competitividade (REZENDE,
ABREU, 2000).
01 / 05
07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 2/6
Sistema de Informação
Um sistema de informação pode ser definido tecnicamente como um conjunto de componentes inter-
relacionados que coleta (ou recupera), processa, armazena e distribui informações destinadas a apoiar a
tomada de decisões, a coordenação e o controle de uma organização. Além disso, auxiliam os gerentes e
trabalhadores a analisar problemas, visualizar assuntos complexos e criar novos produtos.
Os sistemas de informação contêm dados sobre pessoas, locais e coisas significativas para a organização ou
para o ambiente que a cerca. Três atividades em um sistema de informação produzem aquelas de que as
organizações necessitam para tomar decisões, controlar operações, analisar problemas e criar novos
produtos ou serviços. Essas atividades são a entrada, o processamento e a saída.
Para conhecer um pouco mais sobre essas atividades, veja o infográfico abaixo. Este infográfico faz parte da
sequência desta aula e, portanto, é essencial para a aprendizagem.
INFOGRÁFICO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01if01_ausi80_100.htm)
02 / 05
07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 3/6
Conceitos e Definições de Segurança da Informação
Segundo Alves (2006, p. 1), o conceito segurança significa, no dicionário Houaiss, "conjunto de processos, de
dispositivos, de medidas de precaução que asseguram o sucesso de um empreendimento, do funcionamento
preciso de um objeto, do cumprimento de algum plano, etc."
No mundo informatizado, segurança significa, segundo a Norma ISO/IEC 17799 (código de melhores
práticas para implementação da segurança da informação) "a proteção que, como qualquer outro ativo
importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser
adequadamente salvaguardada".
A segurança tem estado presente em diversos cenários, desde a elaboração de um simples contrato para
assegurar um automóvel até a implementação de controles de segurança para colocar um sistema bancário
no ar.
Percebe-se que é uma preocupação comum no dia a dia de pessoas e empresas, passando de um simples
complemento a uma necessidade.
A segurança da informação visa proteger a informação de forma a garantir a continuidade dos negócios,
minimizando os danos e maximizando o retorno dos investimentos e as oportunidades.
Conforme descrição feita pela Norma ISSO/IEC 17799, a proteção da informação é fundamental, podendo
ser caracterizada pela preservação de alguns princípios considerados críticos para o estabelecimento de
padrões de segurança.
Confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas.
Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento.
Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos
correspondentes sempre que necessário.
Autenticidade: necessidade de verificar que uma comunicação, transação ou acesso a algum serviço é
legitimo.
Não repúdio: o remetente de uma mensagem não deve ser capaz de negar que enviou a mensagem.
Conformidade: cumprimento de Leis, Regulamentos e Cláusulas Contratuais ou de Políticas Internas.
Para existir um nível de segurança aceitável, não é necessário que todos esses fatores estejam presentes ao
mesmo tempo. Basta imaginar um site onde as informações são de cunho público. Nesse caso, é necessário
garantir a disponibilidade e integridade, porém, como a informação foi classificada pública, a
confidencialidade não precisa estar presente.
Para conhecer um pouco mais sobre essas atividades, veja o infográfico abaixo. 
Este infográfico faz parte da sequência desta aula e, portanto, é essencial para a aprendizagem.
INFOGRÁFICO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01if02_ausi80_100.htm)
03 / 05
07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 4/6
Definições
Como vimos, a segurança é constituída pela salvaguarda da informação. Dentro desse contexto, existem
diversos elementos e terminologias que compõem o cenário da segurança.
Alguns dos principais elementos são os seguintes:
Ativo: tudo o que representa valor para o negócio da instituição. 
Exemplos: humanos (pessoas), tecnológicos (software, hardware), físicos (escritório, CPD).
Ameaças: causas potenciais responsáveis por um incidente de segurança exploram falhas
(vulnerabilidades). 
Exemplos: hackers, crackres, agentes naturais, vândalos.
Vulnerabilidade: falha e/ou conjunto de falhas que podem ser exploradas por ameaças. 
Exemplos: contas sem senha, falhas em programas.
Impacto
Resultado de um incidente de segurança que poderá acarretar perdas ou danos pequenos, médios ou
grandes. Um exemplo claro seria o comprometimento de um site de comércio eletrônico na internet e a
posterior divulgação desse incidente pelos meios de comunicação. Provavelmente as compras com cartão de
crédito cairiam em grande escala, podendo inclusive comprometer a existência do negócio.
Risco
A avalição dos riscos permite identificar as ameaças dos ativos, as vulnerabilidades e a sua probabilidade de
ocorrência, além de seus impactos sobre a organização. Quanto maior for o conhecimento sobre os riscos,
mais fácil será decidir como tratá-los.
Basicamente, podemos conduzir o tratamento do risco de quatro formas: aceitá-lo, reduzi-lo, transferi-lo
ou mitigá-lo.
Através da análise de risco que teremos informação suficiente para identificar qual das formas melhor se
aplica ao cenário, sempre levando em consideração os objetivos do negócio.
Para garantir a continuidade da evolução da análise de risco, é necessário implementar uma gestão risco,
com processos otimizados e custo de operação adequados à realidade da empresa.
Bem, pessoal, terminamos esta aula na qual abordamos a importância da informação nos dias de hoje para
as empresas e, portanto, a necessidade de mantê-la protegida. Espero que vocês tenham gostado.
Agora faça os exercícios e pratique o que você aprendeu. Caso fique alguma dúvida, leve a questão ao Fórum
e divida-a com seus colegas e professor.
04 / 05
07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 5/6
Na próximaaula nos aprofundaremos mais nos conceitos de como classificar e controlar os ativos de
informação.
Depois de rever o conteúdo desta aula, solucione os exercícios de múltipla escolha propostos. 
Lembre-se de que você poderá postar suas dúvidas no Fórum e ter auxílio de seus colegas e professor.
EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01ex01_ausi80_100.htm)
Para memorizar os conhecimentos adquiridos nesta aula, clique no botão a seguir 
e faça o caça-palavras proposto.
EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01ex02_ausi80_100.htm)
Estimule seu raciocínio com o jogo da forca, clique no botão a seguir.
EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01ex03_ausi80_100.htm)
A seguir, preencha a(s) lacuna(s) com a(s) palavra(s) adequada(s) às afirmações.
EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01ex04_ausi80_100.htm)
REFERÊNCIA
ALVES, Gustavo Alberto. Uma Visão Inovadora da Gestão. Rio de Janeiro: Ciência Moderna, 2006.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel Books, 2000.
SÊMOLA, Marcos. Gestão da Segurança da Informação. Rio de Janeiro: Campus, 2003.
05 / 05
07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 6/6