Baixe o app para aproveitar ainda mais
Prévia do material em texto
Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes “Você vê algumas informações e a maneira como as coisas são formuladas, e então começa a ter alguma compreensão da empresa e das pessoas responsáveis pelo sistemas de TI. E havia essa idéia de que entendiam de segurança, mas talvez estivessem fazendo alguma coisa errada.” Capítulo 9 – No Continente A Arte de Invadir Kevin Mitnick e William Simon Apresentação Introdução Conceitos Gerais Sobre Segurança da Informação Leitura Recomendada Considerações Finais Referências Bibliográficas Agenda Leonardo Lemes Fagundes Mestre em Computação e Bacharel em Análise de Sistemas (UNISINOS) Professor e Coordenador da Graduação em Segurança da Informação Diretor e Consultor em Segurança da Informação (Defenda) Instrutor de SegInfo e Riscos na Escola Superior de Redes (RNP) Instrutor de Gestão Incidentes credenciado pelo LACNIC Auditor Líder ISO 27001 – BSI Certificado em Continuidade de Negócios – DRII Certified in Risk and Information Systems Control (CRISC) - ISACA Apresentação Objetivos da Aula 01 Apresentar e discutir os principais conceitos relacionados a Segurança da Informação; Relacionar esses conceitos com a realidade do aluno e das organizações; Propiciar uma visão integrada (ciclo da segurança da informação) entre os conceitos-chaves. Introdução Segurança da Informação “É a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidade de negócios” [ISO 27002]. As informações podem existir em diversas formas; O mesmo ocorre com as vulnerabilidades e ameaças; A pergunta chave: O que e como devemos proteger? Conceitos Gerais sobre SegInfo As Propriedades Básicas da Segurança da Informação Confidencialidade Certeza de que o que foi dito, escrito ou falado será acessado somente por pessoas autorizadas; Conceitos Gerais sobre SegInfo As Propriedades Básicas da Segurança da Informação Integridade Garantia de que a informação não foi alterada (de forma indevida ou não-autorizada); A quebra da integridade ocorre quando a informação é corrompida, falsificada ou roubada; Conceitos Gerais sobre SegInfo As Propriedades Básicas da Segurança da Informação Disponibilidade Garantia de que a informação será acessada quando necessário; Disponibilidade -> estratégias de contingência Conceitos Gerais sobre SegInfo As Propriedades Básicas da Segurança da Informação Para proteger os ativos, em determinados casos, pode ser necessário aspectos de segurança adicionais, por exemplo: Não-repúdio (emissor autenticado como autor ...); Legalidade (ativos com valor legal ...); Autenticação (processo de identificação e reconhecimento das partes ...); Autenticidade (garantia de que as partes envolvidas são quem afirmam ser ...); Autorização (concessão de permissões ...); Conceitos Gerais sobre SegInfo As Propriedades Básicas da Segurança da Informação Atividade 01: Tendo como base a empresa em que atua, descreva necessidades / requisitos gerias de segurança da informação. (30 minutos) Conceitos Gerais sobre SegInfo Ativos Qualquer elemento que tenha valor para a organização [ISO 27002]; Os ativos fornecem suporte aos processos de negócios, portanto devem ser protegidos. Todo elemento utilizado para armazenar, processar, transportar, armazenar, manusear e descartar a informação, inclusive a própria. Conceitos Gerais sobre SegInfo Ativos Categorias de Ativos Os ativos podem ser classificados / agrupados de diversas formas: Informações; Hardware; Software; Ambiente Físico; Pessoas; Lógico; Físico Humano; Equipamentos; aplicações, usuários, ambientes, informações e processos; Conceitos Gerais sobre SegInfo Vulnerabilidades Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças [ISO 27002]; As vulnerabilidades devem ser gerenciadas (identificadas e corrigidas); Tipos de Vulnerabilidades Físicas; naturais; hardware e software e humanas; Conceitos Gerais sobre SegInfo Ameaças Causa potencial (agente) de um incidente indesejado, que pode resultar em dano para um sistema ou organização [ISO 27002]; A segurança da informação precisa prover mecanismos para impedir que as ameaças explorem as vulnerabilidades; Tipos de Ameaças Ameaças Naturais; Intencionais e Involuntárias; Conceitos Gerais sobre SegInfo Evento de Segurança da Informação Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles que possa ser relevante para a segurança da informação [ISO 27000:2009]. Conceitos Gerais sobre SegInfo Incidentes de Segurança Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações de negócios e ameaçar a segurança da informação [ISO 27000:2009]. Conceitos Gerais sobre SegInfo Controles Medidas de segurança são práticas, procedimentos e mecanismos utilizados para a proteção de ativos; Esses controles podem: (a) impedir que as ameaças explorem as vulnerabilidades, (b) reduzir o surgimento de vulnerabilidades e (c) minimizar o impacto dos incidentes de segurança da informação; Tipos de controles: Técnicos, administrativos e de gestão; Conceitos Gerais sobre SegInfo Conceitos Gerais sobre SegInfo As Propriedades Básicas da Segurança da Informação Atividade 02: Considere um ativo de uma determinada categoria e indique (descreva) vulnerabilidades e ameaças as quais estes ativos estão expostos. ( 30 minutos) Conceitos Gerais sobre SegInfo Descrição dos Textos de Apoio Texto 01: “The Cybercrime 2.0 Evolution” (*) Texto 02: “Cybercrime in the Middle East” (*) Texto 03: Security Management Practices - Capítulo 3: Fundamental Principles of Security, Livro “All in One CISSP Exam Guide” (*) * Disponível no Xerox – pasta 137. Leitura Recomendada Descrição dos Textos de Apoio Texto 04 (resumo em slides): Ameaças e Mecanismos de Proteção; (disponível na página da disciplina, leitura obrigatória para alunos que não sejam do Curso de Segurança da Informação); Leitura Recomendada Entender o negócio Na etapa inicial de um projeto de segurança, deve-se entender o ambiente da organização. Normalmente a situação é a seguinte: Desconhecimento do ambiente/processos; Baixo (ou nenhum) nível de controle implementado; Alto índice de riscos; Falta de uma cultura de segurança; Resistência (interna e externa); Considerações Finais Requisitos de Segurança da Informação Quais os requisitos de SI? Como obter esses requisitos? Implementação A Seg Info é obtida a partir da implementação de um conjunto de controles adequados as necessidades da organização; Controles precisam ser estabelecidos, implementados, monitorados, analisadose melhorados para garantir que os objetivos do negócio e de segurança sejam atendidos; Considerações Finais Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003. ABNT NBR ISO/IEC 27002:2006. Código de Prática para a Gestão da Segurança da Informação. Ramos, Anderson. Guia Oficial para Formação de Gestores em Segurança da Informação. Referências Bibliográficas
Compartilhar