Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prevenção de Perdas e Fraudes Tema 01 – Fundamentos de Segurança da Informação Bloco 01 Prof. Esp. Leandro Felipe Carvalho W B A 0 5 0 7 _ V 1 .0 Apresentação da disciplina Bem-vindos à disciplina de Prevenção de Perdas e Fraudes. Nela vamos discutir os princípios da Segurança da Informação, as Normas ISO que as regem e como as empresas se protegem por meio de tecnologias, processos e pessoas. (...) Diferenciando: Dados x Informação Vamos diferenciar dados de informação para começar nossas discussões. O dado não possui significado relevante e não conduz a nenhuma compreensão. Representa algo que não tem sentido a princípio. Logo, não tem valor algum para embasar conclusões, muito menos respaldar decisões. Diferenciando: Dados x Informação A informação é a ordenação e organização dos dados de forma a transmitir significado e compreensão dentro de um determinado contexto. Seria o conjunto ou consolidação dos dados de forma a fundamentar o conhecimento. Conhecimento (Síntese) Informação (Avaliação) Dados (Processamento) N ÍV E L D E A B S T R A Ç Ã O Pirâmide do conhecimento FONTE: Adaptado de Ackoff (1989) Informações e negócios As informações são fundamentais para a existência dos negócios. As empresas utilizam as informações para a obtenção de vantagens competitivas em relações aos seus concorrentes. Todo tipo de negócio possui informações vitais para sua existência. Ex: Cotações de Ações na Bolsa de Valores. Preço dos Combustíveis. Administrando as informações empresariais Discussões sobre os diversos sistemas ERPs Enterprise Resource Planning (Gestão de recursos empresariais) • SAP. • Totvs Protheus. • Gerenciam todo processo. Por que proteger as informações? Já vimos que as informações são importantes, então é fundamental que nos preocupemos com sua proteção. Alguns motivos que nos levam a proteger as informações: • Por seu valor direto. Por que proteger as informações? • Pelo impacto de sua ausência. • Pelo impacto resultante de seu uso por terceiros. • Pela relação de dependência com a sua atividade. Ciclo de vida da informação Criação Manuseio Armazenamento Transporte Descarte RECUPERAÇÃO DE DADOS Prevenção de Perdas e Fraudes Tema 01 – Fundamentos de Segurança da Informação Bloco 02 Prof. Esp. Leandro Felipe Carvalho Atributos da informação Agora que já diferenciamos dados de informação e conversamos sobre a importância das informações e quando elas devem ser protegidas. É importante falarmos sobre os atributos da informação que vão nortear os princípios de segurança da informação. Atributos da informação Confidencialidade: A informação deve ser protegida de acordo com o grau de sigilo de seu conteúdo, com o uso e acesso somente às pessoas a quem são destinadas. Ataques comuns: Engenharia Social e “Shouldersurfing”. Atributos da informação Integridade: A informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-la contra alterações acidentais e indevidas. Ataques comuns ao serviço: erros de usuários, backdoors e vírus. Atributos da informação Disponibilidade: A informação gerada ou adquirida por um indivíduo ou instituição estará disponível aos seus usuários no momento em que eles necessitem dela para qualquer finalidade. Ataques comuns: falhas de software, hardware e DoS (Denial of Service). Atributos da informação Autenticidade: O receptor da informação deve verificar corretamente a respectiva origem. Um intruso não pode se passar pelo remetente desta mensagem, sem que o destinatário seja capaz de identificar esta atividade ilícita. Ataques comuns: contas de e-mail e redes sociais. Atributos da informação Não repúdio ou irrevogabilidade: Evita que uma pessoa ou entidade possa negar a autoria daquela ação. Está associada também a processos de assinatura digital, pois ao assinar um documento digitalmente garantimos a integridade e autenticidade com validade jurídica. Ataques comuns: roubo de dados. Garantindo a segurança da informação Com base nestes atributos as empresas lançam mão de recursos para proteger essas informações. Esses recursos podem ser tecnológicos como Firewals, VPNs, Proxy, Anti-Virus, Controle de e-mail e LOGs. Podem ser relacionados a processos como: troca constante de senhas, tratamento de incidentes, auditoria. Garantindo a segurança da informação E por fim, o elo mais fraco mas não menos importante que são as pessoas. Elas devem ser envolvidas por políticas, procedimentos, normas, instruções de trabalho e treinamentos. Importância da segurança da informação Segundo Fontes (2008), a informação é o bem maior das empresas e deve ser protegida. Quando falamos em vazamento de informações já pensamos logo em envio de arquivos através da rede, mas muitas vezes essas informações podem vazar através de papeis. Definindo a segurança da informação A Segurança da Informação não é uma ciência exata, mas está contemplada dentro da área de gestão de riscos. Como citamos no material, a segurança é um processo e não um produto e envolve adequação de sistemas, criação e estabelecimento de procedimentos e padrões, treinamentos e políticas pessoais. Desafios relacionados a segurança da informação Limitação de Orçamento. Quantidade crescente de ameaças. Tecnologia empregada. Falta de conhecimento dos executivos. Imparcialidade da área de segurança. Falta de pessoal capacitado. Crescimento da companhia. Dificuldade de aplicação das normas. Algumas ameaças para estudar Ameaças dos mais variados tipos: • Vírus; • Spam; • Páginas Falsas; Algumas Ameaças para estudar • Ataques de Crackers; • Hackers (definir e explicar) – Diferenciar; • Exploração de Vulnerabilidades e Falhas. (no material você encontra outros termos utilizados na área para estudar um pouco mais) IMPORTANTE Lembre-se do que comentamos sobre Segurança da Informação. Ela é um processo e não um produto, por isso deve ser constantemente revisada e aperfeiçoada.
Compartilhar