Resumo Mapa Mental 1 Informao e Segurana Dados Informao que no tem significado.

do. Informao algo que tem significado, um conjunto de dados estruturados, o conhecimento que algum adquiriu, o fator de produo, assim como matria prima, mo de obra e capital. Valor da Informao determinado primariamente pelo destinatrio da informao (quem recebe). Aspectos de confiabilidade / 3 requisitos de qualidade Disponibilidade Conceito o grau no qual a informao est disponvel para o usurio e para o sistema de informao que est em operao no momento que a organizao precisa dele. Caractersticas Disponvel em tempo oportuno (os sistemas de informao precisam estar disponveis quando necessrios); Continuidade (o pessoal pode continuar o trabalho ainda que ocorra um evento de falha); Robustez (deve haver capacidade suficiente para permitir a todo o pessoal usar sistema para trabalhar). Exemplos de Medidas Dados devem ser armazenados em um disco na rede e no no HD do PC, deve haver procedimentos de backup, deve haver procedimentos de emergncia para interrupes. Integridade Conceito o grau no qual a informao est atualizada e sem erros. Caractersticas Exatido (a informao est correta, exata!); Completude (a informao est inteira, completa. Deve haver validao de entrada de dados nos sistemas). Exemplos de Medidas Mudanas nos sistemas e dados precisam passar por autorizao (reduzir riscos). As aes dos usurios precisam ser registradas (gerar logs) para determinar quem fez alteraes nos dados. Instalaes e alteraes no devem ser feitas apenas por uma pessoa usar segregao de funes. Confidencialidade Conceito o grau no qual o acesso informao restrito a um grupo definido de pessoas autorizadas a terem este acesso. Caractersticas Privacidade (a informao no pblica). Exemplos de Medidas preciso ter controles de acesso informao. A informao no pode cair nas mos de pessoas erradas. Gerenciamento de acesso lgico estabelecendo direitos de acesso para cada usurio. Segregao de funes para determinar o que cada carga/funo pode acessar nos sistemas. Algumas informaes do RH no devem ser acessadas por outros departamentos. Uso de senha para acessar os computadores na rede. 2 Ameaas e Riscos Ameaa Fatores/situaes que podem levar a um dano ou perda de informao Risco a chance de que uma ameaa ir de fato ocorrer e suas consequncias Incidentes de Segurana Conceito Quando uma ameaa se manifesta Alguns Exemplos Hacker conseguiu invadir a rede; Informaes confidenciais vazaram no mercado; Um documento importante foi perdido; Usurio esqueceu um documento na impressora; A porta de acesso sala de servidores foi esquecida aberta; O monitor est apresentando mensagens estranhas. Anlise de riscos Conceito Metodologia empregada para ajudar a identificar riscos e medidas; uma etapa do gerenciamento de riscos. Meta Principal Assegurar que medidas de segurana so implementadas a um custo efetivo e em tempo hbil, e consequentemente agir efetivamente contra ameaas. Objetivos Identificar os ativos de informao e seus valores; Determinar vulnerabilidades e ameaas; Determinar o risco de ameaas se tornarem uma realidade e impactar os processos operacionais da empresa; Determinar um equilbrio entre custos de um incidente os custos de uma medida de segurana. Tipos Anlise quantitativa (Calcula, com base no impacto do risco, o nvel de perda financeira e a probabilidade que uma ameaa pode se tornar incidente; Serve para determinar os custos de medida de segurana e os custos do objeto a ser protegido). Anlise qualitativa ( baseada em cenrios e situaes; As chances de uma ameaa se tornar real so examinadas com base em julgamentos subjetivos (experincia das pessoas)). Gerenciamento de Riscos Conceito o processo contnuo que identifica, examina e reduz os riscos a um nvel aceitvel. Responsveis ISO (Information Security Officer), CISO (Chief Information Security Officer). Medidas para reduzir os risco Redutiva Reduz a ameaa antes de ela se manifestar.

Preventiva Torna a ameaa impossvel antes de ela se manifestar. Ex: Evitar acessar os sistemas internos via internet. Detectiva Garante que cada incidente possa ser detectado o mais rpido possvel e que todo mundo seja informado do que est acontecendo. Ex: Vigilncia por vdeo. Repressiva Para minimizar as consequncias de um incidente aps ele ocorrer. Ex: Usar extintor de incndio. Corretiva Recuperar algo aps um incidente ter ocorrido. Ex: Restaurar o banco de dados usando o backup. Tipos de Ameaas Humana Intencional Danos informao causados por pessoas de forma proposital. Ex: Hackers, empregados revoltados, engenharia social. Humana no Intencional Danos causados por pessoas de forma involuntria. Ex: Pressionar boto delete sem querer, pen-drive com vrus, uso inadequado de extintor de incndio. No humana So normalmente influncias externas. Ex: Raios, incndios, inundao, tempestade. Tipos de Danos Conceito Dano resultante da manifestao de ameaas. Dano Direto Danos diretos provocados pela manifestao de uma ameaa; a primeira perda provocada pelo incidente de segurana. Ex: Roubo de laptops, dados perdidos devido a ataque de hackers, servidor danificado aps uso do extintor de incndio. Dano Indireto o dano consequente que pode ocorrer aps uma ameaa se manifestar. Ex: O incndio destri a infraestrutura de TI e com isto a empresa perde o contrato com um cliente importante; Perda de reputao no mercado devido a um incidente de segurana que deixou o site da empresa indisponvel por horas; Perda de vendas no site devido ao este ter ficado fora do ar aps um ataque hacker. Expectativa de perda anual a quantia da perda/prejuzo expressa em valores monetrios que pode resultar de um incidente em um ano. Ex: Se a empresa tem uma mdia de 10 laptops roubados a cada ano, a expectativa de perda anual o valor dos 10 laptops, incluindo os dados e softwares instalados neles. Expectativa de perda nica Prejuzo causado por um nico incidente de segurana; diferente da expectativa de perda anual, que considera a perda durante um ano. Tipos de estratgias para riscos Suportar/Aceitar (Risk bearing) Quando a empresa aceita os riscos e no adota medidas preventivas; usada quando os custos das medidas de segurana excedem o dano possvel; Neste tipo de estratgia, a organizao pode adotar medidas repressivas somente quando a ameaa de fato se manifestar. Neutralizar/Reduzir (Risk neutral) Medidas de segurana so tomadas de forma que as ameaas no se manifestem mais, caso se manifestem, o dano resultante ser minimizado; A maioria das medidas tomadas so uma combinao de medidas preventivas, detectivas e repressivas; Tambm conhecido como mitigao de riscos. Evitar (Risk avoiding) Medidas so tomadas para que a ameaa seja eliminada de forma que no conduza a um incidente (no se manifeste). Ex: Para evitar ferrugem, em vez de usar material de ferro usa-se material plstico. A maioria das medidas tomadas so preventivas. 3 Abordagem e Organizao Ativos do Negcio Qualquer coisa que custa dinheiro ou tem certo valor para o negcio. Ex: Informao, computadores, mdias, pessoas e seus conhecimentos. Classificao da Informao Propsito Ativos do negcio, incluindo informaes, precisam ser classificados para determinar os nveis de segurana para eles. Pode ser necessrio para contratar seguros, contabilidade financeira e requisitos regulatrios (legislao para proteo de dados pessoais). Classificaes Nveis de sensibilidade colocados na marca ou etiqueta de um documento: secreto, confidencial ou pblico. As etiquetas de classificao podem ser colocadas fisicamente e de forma visvel. Proprietrio O dono da informao/documento responsvel pela sua classificao. Determina quem tem acesso a determinados ativos do negcio. Incidentes de Segurana Conceito Ocorre quando uma ameaa se torna real. Relato de Incidente Os funcionrios devem reportar os incidentes o mais rpido possvel; Normalmente reportados ao helpdesk. Gerenciamento de Incidente Processo para resolver incidentes o mais rpido possvel. Tipos de Escalao Funcional (horizontal) Incidente repassado para algum que tem mais conhecimento tcnico para resolver. Ex: Repassar uma falha no firewall para o administrador da rede. Hierrquica (vertical) Incidente pode ser reportado para algum que tem mais autoridade e pode precisar tomar alguma deciso. Ex: Notificar o gerente do funcionrio sobre o seu comportamento suspeito. Ciclo de Incidente Estgios (Ameaa Incidente Dano Recuperao). Medidas para cada estgio Redutivas Reduz impacto ou probabilidade de uma ameaa antes dela gerar um incidente. Preventivas Aplicadas antes da ameaa levar a um incidente. Detectivas Detectar a ocorrncia de um incidente.

Repressiva Para responder a um incidente a fim de conter o estrago da ameaa (usar extintor de incndio, por exemplo). Corretiva Reparar o que foi danificado (restaurar backup, por exemplo). Papis na Organizao Chief Information Security Officer (CISO) Desenvolve a estratgia geral de segurana para a empresa inteira. Information Security Officer (ISO) Desenvolve uma poltica para uma unidade de negcio com base na poltica da empresa. Information Security Manager (ISM) Desenvolve uma poltica de segurana da informao para a rea de TI. 4 Medidas Medidas para equipamentos Inclui a proteo de equipamento por meio de controle de clima. Ex: Ar condicionado, Umidificador, Filtros de energia (estabilizador). Fsicas Conceito Protegem fisicamente os ativos do negcio. Medidas para cabeamento Inclui cuidados para no haver interferncias. Ex: Separa cabos de energia, telefone e dados, proteger dutos de cabos, usar cabos separados para sala de servidores. Medidas para anis de proteo Anel externo Proteo em torno do prdio da empresa. Ex: Muro, cerca, arame farpado, guardas de segurana, cmera de vigilncia. Edifcio/Prdio Proteo para impedir acesso dentro da empresa. Ex: Janelas com grade, portas reforadas, vidros resistentes, controle de acesso com senha, sistemas biomtricos, deteco de invasores. Salas Especiais (sala de servidores) Precisam de medidas extras, o ar precisa ser resfriado, desumidificado e filtrado. Uso de nobreaks (UPS), filtros de energia. Espao de trabalho Algumas reas da empresa podem no estar acessveis a todos, como RH. Objeto Refere-se a parte mais sensvel que precisa ser protegida. Ex: Armrios, cofre. Alarmes Uso de sensores Deteco por infravermelho, cmeras que detectam movimento, deteco de vibrao, sensores de quebra de vidros. Estes precisam ser monitorados. Medidas para mdias de armazenamento

Inclui cuidados com manuseio de pen-drives, smartphones, cartes de memria, laptops que armazenem informaes sensveis.
Tcnicas Conceito Inclui medidas para sistemas computadorizados e infraestrutura de TI associada. Gerenciamento de acesso lgico Controle de acesso discricionrio A poltica de controle de acesso determinada pelo proprietrio (owner) do recurso (O usurio diz quem pode acessar o compartilhamento no seu computador). Controle de acesso mandatrio A poltica de acesso determinada pelo sistema e no pelo proprietrio do recurso. Passos para conceder o acesso - Identificao (pessoa ou sistema apresenta o token (pode ser uma chave, usurio ou senha)). Autenticao (Sistema determina se o token autntico e quais recursos o usurio pode acessar). Autorizao (aloca o direito de acesso). Requisitos de segurana para os sistemas Sistemas devem funcionar conforme o pretendido, validao de dados de entrada e sada. Criptografia Conceito um meio de manter a informao secreta, a informao codificada para no ser lida por pessoas no autorizadas. Tipos de criptografia Simtrica Existe um algoritmo e uma chave secreta que o remetente e destinatrio compartilham, mais vulnervel. Assimtrica Diferentes chaves so usadas para criptografar e descriptografar, assinaturas digitais so criadas usando este tipo. Infraestrutura de Chave Pblica Atravs de acordos, procedimentos e estrutura de organizao, ela garante quais pessoas ou sistemas pertencem a uma chave pblica. frequentemente gerenciada por uma autoridade independente. Criptografia de mo nica A mensagem convertida em um valor numrico e no pode ser descriptografada. Usando um algoritmo conhecido, o destinatrio pode checar se a mensagem tem o valor correto. Neste caso, verificado se dois valores hash combinam. Organizacionais Conceito Diz respeito ao trabalho dos funcionrios na organizao, polticas, plano de continuidade, sistema de gesto da segurana da informao. Sistema de Gesto da Segurana da Informao (SGSI) uma medida organizacional, a ISO 27001 ajuda a definir uma estrutura para SGSI, serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurana da informao, baseado no ciclo PDCA, inclui estrutura organizacional, polticas, atividade de planejamento, responsabilidades, prticas, procedimentos e recursos, existe para preservar a confidencialidade, integridade e disponibilidade. Poltica de segurana da informao Documento importante do SGSI, serve para a gerncia fornecer direo e suporte organizao, deve ser divulgada para todos na organizao, pode-se usar o ciclo PDCA para verificar se a poltica est sendo seguida ou pode ser melhorada, precisa ser escrita de acordo com as necessidades do negcio, legislao e regulamentos.

Pessoal Pessoas e seus conhecimentos so ativos importantes e precisam ser protegidos, pessoal precisa seguir o cdigo de conduta, novos funcionrios precisam passar por uma checagem de ficha limpa, dependendo do cargo necessrio assinar um Non Disclosure Agreement (NDA Acordo de confidencialidade), visitantes precisam passar por um controle de acesso. Gerenciamento de continuidade do negcio Meta Visa garantir a continuidade das operaes aps um desastre. Continuidade Envolve manter disponibilidade dos sistemas de informao no momento em que eles so requeridos aps um desastre. Desastre Incidente de grande impacto. Plano de Continuidade de Negcios (PCN) Estabelece qual a continuidade dos processos de negcio que ser garantida. Plano de Recuperao de Desastre (PRD) Como se recuperar do desastre. Ex: Espaos de trabalhos alternativos, data-center redundante, hot-site sob demanda. Gerenciamento de comunicaes e processos operacionais Documentar procedimentos de operao dos equipamentos e quem so os responsveis. As mudanas nos sistemas precisam ser gerenciadas A segregao de funes ajuda a estabelecer quem faz o que, testes e aceites antes de entrar em produo. Segregao de funes Conceito Separar as funes e responsabilidades de cada um. Benefcios Evita mudanas sendo realizadas por pessoas no autorizadas, diminui os riscos quando uma atividade critica tem mais de uma pessoa envolvida, com base na funo se estabelece que informaes podem ser acessadas. Terceirizao Documentar requisitos que precisam ser atendidos, estabelecer contratos/acordos SLA. Manuseio de Mdias Estabelecer orientaes para como manusear mdias a fim de evitar que informaes valiosas caiam nas mos de pessoas erradas, poltica mesa limpa deve sempre ser empregada. 5 Legislao e Regulamentao ISO 27002:2005 No uma lei, um cdigo de boas prticas para a segurana da informao. H prticas que ajudam a atender a leis e regulamentos. Conformidade Refere-se tratabilidade, obrigatoriedade, tolerncia e dedicao. Legislao, regulamentos e obrigaes contratuais devem sempre ser observados antes dos regulamentos internos da empresa. A anlise de riscos ajuda a identificar os nveis de segurana adequados para atender aos regulamentos. As medidas de segurana para atender a leis e regulamentos so obrigatrias, no opcional! Procedimentos precisam ser desenvolvidos para que os usurios apliquem estes regulamentos na prtica. Propriedade Intelectual Precisam ser considerados quando a empresa usa software ou material sujeito tal. Deve haver orientaes internas para proteger estes direitos. Proteo de Dados Pessoais A empresa precisa observar a legislao local para isto. Independente de obrigao regulatria, as empresas precisam se preocupar. Preveno de abuso das facilidades de TI Refere-se ao uso de recursos de TI da empresa para propsitos particulares e no autorizados, isto deve ser tratado tambm na poltica de segurana. Medidas disciplinares podem ser adotadas. Estabelecer cdigo de conduta Estipula direitos e deveres do empregador e do funcionrio. O empregador tem o direito de monitorar o uso dos seus sistemas. O funcionrio precisa estar ciente do monitoramento. A legislao local deve ser observada. Responsabilidade A alta gerncia a responsvel final pelo cumprimento de leis e regulamentos. Cada gerente deve observar as leis e regulamentos na sua rea. Pode ser elegido algum que seja responsvel por observar as leis em determinadas reas. Lei Sarbanes-Oxley Aplica-se a todas empresas que negociam aes nas bolsas de valores americanas. H controles especficos para garantir a confiabilidade dos relatrios financeiros fornecidos.