Baixe o app para aproveitar ainda mais
Prévia do material em texto
07/04/2018 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 1/6 Vivemos em uma sociedade que se baseia em informações e que exibe uma crescente propensão para coletar e armazenar informações e o uso efetivo da informação permite que uma organização aumente a eficiência de suas operações. KATZAM, 1977 Conceitos, princípios e políticas de segurança da informação ENTENDER A IMPORTÂNCIA DA INFORMAÇÃO PARA AS EMPRESAS NOS DIAS ATUAIS E, CONSEQUENTEMENTE, A IMPORTÂNCIA DE MANTÊ-LA PROTEGIDA E ÍNTEGRA. A importância da informação A informação é o dado com uma interpretação lógica ou natural dada a ele por seu usuário (REZENDE, ABREU, 2000). A informação tem um valor altamente significativo e pode representar grande poder para quem a possui, pois está integrada com os processos, pessoas e tecnologias. A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e, consequentemente, necessita ser adequadamente protegida (NBR 17999, 2003). Na sociedade da informação ela é o principal patrimônio da empresa e está sob constante risco (DIAS, 2000). Representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional e saúde da empresa (SÊMOLA, 2003). A informação e o conhecimento serão os diferenciais das empresas e dos profissionais que pretendem destacar-se no mercado e manter a sua competitividade (REZENDE, ABREU, 2000). 01 / 05 07/04/2018 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 2/6 Sistema de Informação Um sistema de informação pode ser definido tecnicamente como um conjunto de componentes inter- relacionados que coleta (ou recupera), processa, armazena e distribui informações destinadas a apoiar a tomada de decisões, a coordenação e o controle de uma organização. Além disso, auxiliam os gerentes e trabalhadores a analisar problemas, visualizar assuntos complexos e criar novos produtos. Os sistemas de informação contêm dados sobre pessoas, locais e coisas significativas para a organização ou para o ambiente que a cerca. Três atividades em um sistema de informação produzem aquelas de que as organizações necessitam para tomar decisões, controlar operações, analisar problemas e criar novos produtos ou serviços. Essas atividades são a entrada, o processamento e a saída. Para conhecer um pouco mais sobre essas atividades, veja o infográfico abaixo. Este infográfico faz parte da sequência desta aula e, portanto, é essencial para a aprendizagem. INFOGRÁFICO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01if01_ausi80_100.htm) 02 / 05 07/04/2018 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 3/6 Conceitos e Definições de Segurança da Informação Segundo Alves (2006, p. 1), o conceito segurança significa, no dicionário Houaiss, "conjunto de processos, de dispositivos, de medidas de precaução que asseguram o sucesso de um empreendimento, do funcionamento preciso de um objeto, do cumprimento de algum plano, etc." No mundo informatizado, segurança significa, segundo a Norma ISO/IEC 17799 (código de melhores práticas para implementação da segurança da informação) "a proteção que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente salvaguardada". A segurança tem estado presente em diversos cenários, desde a elaboração de um simples contrato para assegurar um automóvel até a implementação de controles de segurança para colocar um sistema bancário no ar. Percebe-se que é uma preocupação comum no dia a dia de pessoas e empresas, passando de um simples complemento a uma necessidade. A segurança da informação visa proteger a informação de forma a garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades. Conforme descrição feita pela Norma ISSO/IEC 17799, a proteção da informação é fundamental, podendo ser caracterizada pela preservação de alguns princípios considerados críticos para o estabelecimento de padrões de segurança. Confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas. Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento. Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. Autenticidade: necessidade de verificar que uma comunicação, transação ou acesso a algum serviço é legitimo. Não repúdio: o remetente de uma mensagem não deve ser capaz de negar que enviou a mensagem. Conformidade: cumprimento de Leis, Regulamentos e Cláusulas Contratuais ou de Políticas Internas. Para existir um nível de segurança aceitável, não é necessário que todos esses fatores estejam presentes ao mesmo tempo. Basta imaginar um site onde as informações são de cunho público. Nesse caso, é necessário garantir a disponibilidade e integridade, porém, como a informação foi classificada pública, a confidencialidade não precisa estar presente. Para conhecer um pouco mais sobre essas atividades, veja o infográfico abaixo. Este infográfico faz parte da sequência desta aula e, portanto, é essencial para a aprendizagem. INFOGRÁFICO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01if02_ausi80_100.htm) 03 / 05 07/04/2018 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 4/6 Definições Como vimos, a segurança é constituída pela salvaguarda da informação. Dentro desse contexto, existem diversos elementos e terminologias que compõem o cenário da segurança. Alguns dos principais elementos são os seguintes: Ativo: tudo o que representa valor para o negócio da instituição. Exemplos: humanos (pessoas), tecnológicos (software, hardware), físicos (escritório, CPD). Ameaças: causas potenciais responsáveis por um incidente de segurança exploram falhas (vulnerabilidades). Exemplos: hackers, crackres, agentes naturais, vândalos. Vulnerabilidade: falha e/ou conjunto de falhas que podem ser exploradas por ameaças. Exemplos: contas sem senha, falhas em programas. Impacto Resultado de um incidente de segurança que poderá acarretar perdas ou danos pequenos, médios ou grandes. Um exemplo claro seria o comprometimento de um site de comércio eletrônico na internet e a posterior divulgação desse incidente pelos meios de comunicação. Provavelmente as compras com cartão de crédito cairiam em grande escala, podendo inclusive comprometer a existência do negócio. Risco A avalição dos riscos permite identificar as ameaças dos ativos, as vulnerabilidades e a sua probabilidade de ocorrência, além de seus impactos sobre a organização. Quanto maior for o conhecimento sobre os riscos, mais fácil será decidir como tratá-los. Basicamente, podemos conduzir o tratamento do risco de quatro formas: aceitá-lo, reduzi-lo, transferi-lo ou mitigá-lo. Através da análise de risco que teremos informação suficiente para identificar qual das formas melhor se aplica ao cenário, sempre levando em consideração os objetivos do negócio. Para garantir a continuidade da evolução da análise de risco, é necessário implementar uma gestão risco, com processos otimizados e custo de operação adequados à realidade da empresa. Bem, pessoal, terminamos esta aula na qual abordamos a importância da informação nos dias de hoje para as empresas e, portanto, a necessidade de mantê-la protegida. Espero que vocês tenham gostado. Agora faça os exercícios e pratique o que você aprendeu. Caso fique alguma dúvida, leve a questão ao Fórum e divida-a com seus colegas e professor. 04 / 05 07/04/2018 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 5/6 Na próximaaula nos aprofundaremos mais nos conceitos de como classificar e controlar os ativos de informação. Depois de rever o conteúdo desta aula, solucione os exercícios de múltipla escolha propostos. Lembre-se de que você poderá postar suas dúvidas no Fórum e ter auxílio de seus colegas e professor. EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01ex01_ausi80_100.htm) Para memorizar os conhecimentos adquiridos nesta aula, clique no botão a seguir e faça o caça-palavras proposto. EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01ex02_ausi80_100.htm) Estimule seu raciocínio com o jogo da forca, clique no botão a seguir. EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01ex03_ausi80_100.htm) A seguir, preencha a(s) lacuna(s) com a(s) palavra(s) adequada(s) às afirmações. EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a01ex04_ausi80_100.htm) REFERÊNCIA ALVES, Gustavo Alberto. Uma Visão Inovadora da Gestão. Rio de Janeiro: Ciência Moderna, 2006. DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel Books, 2000. SÊMOLA, Marcos. Gestão da Segurança da Informação. Rio de Janeiro: Campus, 2003. 05 / 05 07/04/2018 AVA UNINOVE https://ava.uninove.br/seu/AVA/topico/container_impressao.php 6/6
Compartilhar