SEGURANÇA DA INFORMAÇÃO (13)

Prévia do material em texto

Aula 01 
Introdução à Gestão da 
Segurança da Informação 
 
Prof. Leonardo Lemes Fagundes 
“Você vê algumas informações e a 
maneira como as coisas são 
formuladas, e então começa a ter 
alguma compreensão da empresa e 
das pessoas responsáveis pelo 
sistemas de TI. E havia essa idéia de 
que entendiam de segurança, mas 
talvez estivessem fazendo alguma 
coisa errada.” 
 
Capítulo 9 – No Continente 
A Arte de Invadir 
Kevin Mitnick e William Simon 
 
 Apresentação 
 Introdução 
 Conceitos Gerais Sobre Segurança da Informação 
 Leitura Recomendada 
 Considerações Finais 
 Referências Bibliográficas 
Agenda 
 
 Leonardo Lemes Fagundes 
 
 Mestre em Computação e Bacharel em Análise de Sistemas (UNISINOS) 
 Professor e Coordenador da Graduação em Segurança da Informação 
 Diretor e Consultor em Segurança da Informação (Defenda) 
 Instrutor de SegInfo e Riscos na Escola Superior de Redes (RNP) 
 Instrutor de Gestão Incidentes credenciado pelo LACNIC 
 Auditor Líder ISO 27001 – BSI 
 Certificado em Continuidade de Negócios – DRII 
 Certified in Risk and Information Systems Control (CRISC) - ISACA 
 
 
Apresentação 
 
 Objetivos da Aula 01 
 
 Apresentar e discutir os principais conceitos relacionados a 
Segurança da Informação; 
 Relacionar esses conceitos com a realidade do aluno e das 
organizações; 
 Propiciar uma visão integrada (ciclo da segurança da 
informação) entre os conceitos-chaves. 
 
Introdução 
 
 Segurança da Informação 
 “É a proteção da informação contra vários tipos de ameaças 
para garantir a continuidade do negócio, minimizar riscos, 
maximizar o retorno sobre os investimentos e as oportunidade 
de negócios” [ISO 27002]. 
 
 As informações podem existir em diversas formas; 
 O mesmo ocorre com as vulnerabilidades e ameaças; 
 A pergunta chave: O que e como devemos proteger? 
 
 
Conceitos Gerais sobre SegInfo 
 
 As Propriedades Básicas da Segurança da Informação 
 
 Confidencialidade 
 Certeza de que o que foi dito, escrito ou falado será 
acessado somente por pessoas autorizadas; 
 
 
Conceitos Gerais sobre SegInfo 
 
 As Propriedades Básicas da Segurança da Informação 
 
 Integridade 
 Garantia de que a informação não foi alterada (de forma 
indevida ou não-autorizada); 
 A quebra da integridade ocorre quando a informação é 
corrompida, falsificada ou roubada; 
 
 
Conceitos Gerais sobre SegInfo 
 
 As Propriedades Básicas da Segurança da Informação 
 
 Disponibilidade 
 Garantia de que a informação será acessada quando 
necessário; 
 Disponibilidade -> estratégias de contingência 
 
 
Conceitos Gerais sobre SegInfo 
 
 As Propriedades Básicas da Segurança da Informação 
 Para proteger os ativos, em determinados casos, pode ser 
necessário aspectos de segurança adicionais, por exemplo: 
 Não-repúdio (emissor autenticado como autor ...); 
 Legalidade (ativos com valor legal ...); 
 Autenticação (processo de identificação e reconhecimento das partes ...); 
 Autenticidade (garantia de que as partes envolvidas são quem afirmam 
ser ...); 
 Autorização (concessão de permissões ...); 
Conceitos Gerais sobre SegInfo 
 
 As Propriedades Básicas da Segurança da Informação 
 
 Atividade 01: 
 Tendo como base a empresa em que atua, descreva 
necessidades / requisitos gerias de segurança da informação. 
(30 minutos) 
 
Conceitos Gerais sobre SegInfo 
 
 Ativos 
 Qualquer elemento que tenha valor para a organização [ISO 
27002]; 
 Os ativos fornecem suporte aos processos de negócios, portanto 
devem ser protegidos. Todo elemento utilizado para armazenar, 
processar, transportar, armazenar, manusear e descartar a 
informação, inclusive a própria. 
 
Conceitos Gerais sobre SegInfo 
 
 Ativos 
 Categorias de Ativos 
 Os ativos podem ser classificados / agrupados de diversas 
formas: 
 Informações; Hardware; Software; Ambiente Físico; 
Pessoas; 
 Lógico; Físico Humano; 
 Equipamentos; aplicações, usuários, ambientes, 
informações e processos; 
 
Conceitos Gerais sobre SegInfo 
 
 Vulnerabilidades 
 Fragilidade de um ativo ou grupo de ativos que pode ser 
explorada por uma ou mais ameaças [ISO 27002]; 
 As vulnerabilidades devem ser gerenciadas (identificadas e 
corrigidas); 
 
 Tipos de Vulnerabilidades 
 Físicas; naturais; hardware e software e humanas; 
 
Conceitos Gerais sobre SegInfo 
 
 Ameaças 
 Causa potencial (agente) de um incidente indesejado, que pode 
resultar em dano para um sistema ou organização [ISO 27002]; 
 A segurança da informação precisa prover mecanismos para 
impedir que as ameaças explorem as vulnerabilidades; 
 
 Tipos de Ameaças 
 Ameaças Naturais; Intencionais e Involuntárias; 
 
Conceitos Gerais sobre SegInfo 
 
 Evento de Segurança da Informação 
 Uma ocorrência identificada de um estado de sistema, serviço 
ou rede, indicando uma possível violação da política de 
segurança da informação ou falha de controles que possa ser 
relevante para a segurança da informação [ISO 27000:2009]. 
 
Conceitos Gerais sobre SegInfo 
 
 Incidentes de Segurança 
 Um simples ou uma série de eventos de segurança da 
informação indesejados ou inesperados, que tenham uma 
grande probabilidade de comprometer as operações de 
negócios e ameaçar a segurança da informação [ISO 
27000:2009]. 
 
Conceitos Gerais sobre SegInfo 
 
 Controles 
 Medidas de segurança são práticas, procedimentos e 
mecanismos utilizados para a proteção de ativos; 
 Esses controles podem: (a) impedir que as ameaças explorem as 
vulnerabilidades, (b) reduzir o surgimento de vulnerabilidades e (c) 
minimizar o impacto dos incidentes de segurança da informação; 
 
 Tipos de controles: 
 Técnicos, administrativos e de gestão; 
 
Conceitos Gerais sobre SegInfo 
Conceitos Gerais sobre SegInfo 
 
 As Propriedades Básicas da Segurança da Informação 
 
 Atividade 02: 
 Considere um ativo de uma determinada categoria e indique 
(descreva) vulnerabilidades e ameaças as quais estes ativos 
estão expostos. ( 30 minutos) 
 
Conceitos Gerais sobre SegInfo 
 
 Descrição dos Textos de Apoio 
 
 Texto 01: “The Cybercrime 2.0 Evolution” (*) 
 Texto 02: “Cybercrime in the Middle East” (*) 
 Texto 03: Security Management Practices - Capítulo 3: 
Fundamental Principles of Security, Livro “All in One CISSP Exam 
Guide” (*) 
 
* Disponível no Xerox – pasta 137. 
 
Leitura Recomendada 
 
 Descrição dos Textos de Apoio 
 
 Texto 04 (resumo em slides): Ameaças e Mecanismos de 
Proteção; (disponível na página da disciplina, leitura obrigatória 
para alunos que não sejam do Curso de Segurança da 
Informação); 
 
Leitura Recomendada 
 
 Entender o negócio 
 Na etapa inicial de um projeto de segurança, deve-se entender o 
ambiente da organização. Normalmente a situação é a seguinte: 
 Desconhecimento do ambiente/processos; 
 Baixo (ou nenhum) nível de controle implementado; 
 Alto índice de riscos; 
 Falta de uma cultura de segurança; 
 Resistência (interna e externa); 
 
Considerações Finais 
 
 Requisitos de Segurança da Informação 
 Quais os requisitos de SI? Como obter esses requisitos? 
 
 Implementação 
 A Seg Info é obtida a partir da implementação de um conjunto de 
controles adequados as necessidades da organização; 
 Controles precisam ser estabelecidos, implementados, 
monitorados, analisadose melhorados para garantir que os 
objetivos do negócio e de segurança sejam atendidos; 
 
 
Considerações Finais 
 
 Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão 
Executiva. Rio de Janeiro, Ed. Campus, 2003. 
 
 ABNT NBR ISO/IEC 27002:2006. Código de Prática para a Gestão 
da Segurança da Informação. 
 
 Ramos, Anderson. Guia Oficial para Formação de Gestores em 
Segurança da Informação. 
 
Referências Bibliográficas