Fundamentos de Segurança da Informação

Prévia do material em texto

FUNDAMENTOS DE SEGURANÇA DA INFORMAÇÃO
Introdução à Segurança da Informação
SUMÁRIO
Introdução
Princípios fundamentais da Segurança da Informação
Fatores que impactam na segurança 
*
Informação e Segurança
“Em um mundo onde existe uma riqueza de informação, existe freqüentemente uma
pobreza de atenção.”
Ken Mehlman
*
O bem mais valioso de uma organização pode não ser o produzido pela sua linha de produção ou pelo serviço prestado, mas as informações relacionadas com esse bem de consumo ou serviço.
Exemplos:
nº de casos de dengue por município
Cadastro de servidores (agentes públicos)
Mapeamento e descrição dos processos de negócio
Censo escolar
Indicadores da segurança pública
Imagens de satélite
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
*
Uma informação pode ser armazenada sob diversos meios:
Papel (escrita)
Dispositivos digitais
Memória Humana (volátil)
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
*
Uma informação pode se transmitida por diversos meios:
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
*
É fato:
Uma organização pode ter prejuízos incalculáveis ou até mesmo ser descontinuada por um incidente envolvendo informações.
Não existe 100% de segurança.
É preciso cercar o ambiente de informações com medidas que garantam sua segurança efetiva a um custo aceitável.
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
*
Vazamento de informação prejudicou operação no Rio, diz delegado
Prejuízo com o vazamento da prova do
Enem pode chegar a R$ 34 milhões
MPF/AP denuncia servidor público por fraude ao sistema de Dívida Ativa da União - Os prejuízos aos cofres públicos foram estimados em R$ 11 milhões.
Polícia investiga fraude no sistema da Nota Fiscal Paulista
Autoescolas corrompem sistema digital e oferecem esquema para renovar CNH em SP
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
*
DEFINIÇÃO
Segurança da informação é a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.
SEGURANÇA DA INFORMAÇÃO
*
DEFINIÇÃO
Trata-se da proteção, dispensada aos dados e informações, contra ações não autorizadas relativas à divulgação, transferência, modificação ou destruição destes, sejam estas ações intencionais ou acidentais.
SEGURANÇA DA INFORMAÇÃO
*
DEFINIÇÃO
Condição em que pessoas, instalações, equipamentos, sistemas básicos, sistemas aplicativos, dados, informações e outros recursos significativos encontram-se a salvo de desastres ou ameaças naturais, bem como de desastres ou ameaças causados pelo homem.
SEGURANÇA DA INFORMAÇÃO
SOBRE O PRISMA ORGANIZACIONAL
Segurança de Informações está relacionada à proteção dos ativos.
	Todas as informações processadas por uma organização, bem como os equipamentos e sistemas utilizados para o processamento destas, representam ativos valiosos, no sentido em que a continuidade do funcionamento da organização pode depender da preservação destes ativos.
SEGURANÇA DA INFORMAÇÃO
SOBRE O PRISMA LEGAL
Garantir a exatidão, a integridade e a disponibilidade das informações da organização (ex: para o fisco);
Garantir a confidencialidade e a privacidade dos dados mantidos relativos a seus clientes, fornecedores e funcionários (ex: bancos)
SEGURANÇA DA INFORMAÇÃO
*
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
Segurança da
Informação
SEGURANÇA DA INFORMAÇÃO
Autenticidade
Não Repúdio
*
É uma característica da informação que diz respeito ao direito de acesso.
Medidas de segurança devem garantir que a informação esteja acessível apenas para quem tem permissão de acesso, evitando, assim, revelação não autorizada.
CONFIDENCIALIDADE
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
*
CONFIDENCIALIDADE
Balancete contábil Secretaria (pública – acesso a todos os interessados)
Informações táticas de operação policial a ser realizada (apenas os envolvidos no plano)
Senha da conta bancária (somente o correntista)
Gabarito de Prova não realizada (apenas os elaboradores da prova)
Lista dos aprovados em concurso público (pública - todos os interessados)
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
*
 É uma característica da informação que diz respeito à sua exatidão.
 Medidas de segurança devem garantir que a informação seja alterada somente por pessoas e/ou ativos associados autorizados e em situações que efetivamente demandem a alteração legítima.
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
INTEGRIDADE
*
Plano de Vôo
Dados preenchidos em cheque
Conteúdo de um Edital a ser publicado
Prescrição médica para paciente internado
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
INTEGRIDADE
*
Medidas de segurança devem garantir que a informação esteja disponível, sempre que necessário, aos usuários e/ou sistemas associados que tenham direito de acesso a ela.
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
DISPONIBILIDADE
*
Extrato bancário
Dados gerenciais para tomada de decisão
índice de mortalidade infantil por município
tamanho das áreas devastadas por queimadas
nº de aposentadorias previstas para 2015
Dados para operacionalização de procedimentos
ramal de telefones atualizado na recepção
declaração de rendimentos para IRPF
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
DISPONIBILIDADE
*
Diz respeito à certeza da origem da informação.
Medidas de segurança devem garantir que a informação provem da fonte anunciada e que não foi alvo de mutação ao longo de sua transmissão.
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
AUTENTICIDADE
*
Página web do banco para digitar nº da conta e senha
Certificado de Registro de Veículo para transferência de proprietário
Atestado médico para justificar falta de funcionário
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
AUTENTICIDADE
*
Ou	irretratabilidade,	diz	respeito	à	garantia	de que o autor de determinada ação não possa negar tal ação.
Medidas de segurança devem	garantir	meios	que identifique inequivocamente o autor de uma ação.
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
NÃO REPÚDIO
*
Notificação judicial (entrega em mãos por alguém de fé pública)
Notificação extrajudicial (registradas)
Posse de um processo (controle de assinatura do receptor, data e hora do recebimento).
Acesso a determinado ambiente crítico (sistema por biometria).
DIMENSÕES DE PROTEÇÃO DA INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO
NÃO REPÚDIO
PRÓXIMA AULA
Por que proteger a Informação
Quando proteger a Informação
O ciclo de vida da Informação
Classificação do nível de segurança 
*
*