Informação
Por André Campos
O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas,
desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos.
Este material não pode ser vendido. Seu uso é permitido sem qualquer custo.
Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram
utilizadas em seu estado original, com 72DPI.
Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção
de lucro.
Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas
de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books,
2007.
• Ativo de informação
• Ameaça
• Vulnerabilidade
• Incidente
• Probabilidade
• Impacto
• Risco
• Incidente
Conceitos básicos de SI
Ativo de informação
E D
IN
IDA
TEG
AL
R ID
CI
EN
AD
ID
E
NF
CO
DISPONIBILIDADE
Conceitos básicos de SI
Confidencialidade
O princípio da
confidencialidade é
respeitado quando
apenas as pessoas
explicitamente
autorizadas podem ter
acesso à informação.
O princípio da
integridade é
respeitado quando a
informação acessada
está completa, sem
alterações e, portanto,
confiável.
Conceitos básicos de SI
Disponibilidade
O princípio da
disponibilidade é
respeitado quando a
informação está
acessível, por pessoas
autorizadas, sempre
que necessário.
Conceitos básicos de SI
Vulnerabilidade
São as fraquezas
presentes nos ativos de
informação, que podem
causar, intencionalmente
ou não, a quebra de um
ou mais dos três
princípios de segurança
da informação:
confidencialidade,
integridade, e
disponibilidade.
Conceitos básicos de SI
Ameaça
A ameaça é um agente
externo ao ativo de
informação, que
aproveitando-se das
vulnerabilidades deste
ativo, poderá quebrar a
confidencialidade,
integridade ou
disponibilidade da
informação suportada ou
utilizada por este ativo.
Conceitos básicos de SI
Probabilidade
A probabilidade é a
chance de uma falha de
segurança ocorrer
levando-se em conta o
grau das
vulnerabilidades
presentes nos ativos que
sustentam o negócio e o
grau das ameaças que
possam explorar estas
vulnerabilidades.
Conceitos básicos de SI
Impacto
O impacto de um
incidente são as
potenciais
conseqüências que este
incidente possa causar
ao negócio da
organização.
Conceitos básicos de SI
Risco
RISCO=IMPACTO*PROBABILIDADE
Negócio da organização
Confidencialidade
Incidente de segurança
Informação Integridade
Ameaças Vulnerabilidades
Grau
Grau ameaça
vulnerabilidade
PROBABILIDADE IMPACTO
Como implementar um sistema de segurança
Conhecer os conceitos
sobre segurança da
informação não significa
necessariamente saber
garantir esta segurança.
Um gerente de segurança da
informação de verdade trabalha com
fatos, com resultados de análise e
exames da organização em questão.
Vendas Produção
Tecnologia da
Recursos Humanos
Informação
Escopo inicial.
Escopo ampliado.
Escopo final.
Como implementar um sistema de segurança
Análise de risco
Tecnologia da
informação
Bloqueio Invasor
Firewall portas TCP interno
io
éd
M
Controle
Invasor
Manter de acesso
Servidor de externo
serviços de Médio físico
arquivos
rede
Sistema
Vírus
antivírus
Al
Servidor de
to
correio Variação
Nobreak de
energia
Como implementar um sistema de segurança
Análise de risco
Como implementar um sistema de segurança
Análise de risco
Tecnologias
Pessoas
Processos Ambientes
Como implementar um sistema de segurança
O que fazer com o risco?
• Evitar
• Controlar
• Transferir
• Aceitar
Como implementar um sistema de segurança
Declaração de aplicabilidade
Como implementar um sistema de segurança
Implementando o sistema
Planejar a Encerrar a
Implementar
implementação implementação
Controlar a
implementação
Monitorando o sistema de segurança
Realizar
registros
Monitorar
controles
Reavaliar
sistema
Realizar
auditorias
Reavaliar
riscos
Controles de segurança da informação
Política
DIRETRIZES
D1
NORMAS
N1 N2 N3
PROCEDIMENTOS
P1 P2 P3 P4 P5 P6 P7
Controles de segurança da informação
Definições gerais
Política Objetivos e metas
Estabelecer o Diretrizes
método de
trabalho Responsabilidades
Regulamento interno
Contratos
Construir a
política
Aprovar a
política
Decreto 3.505 de 13 de
junho de 2000. Divulgar a
política
Controles de segurança da informação
Ser
Política simples
FATORES INTERNOS
Ser Ser
objetiva consistente
Definir Definir
penalidades metas
Definir
responsabilidades
ACESSÍVEL
FATORES EXTERNOS
CONHECIDA
APROVADA
DINÂMICA
EXEQUÍVEL
Controles de segurança da informação
Estrutura organizacional
ESCRITÓRIO DE
Security Officer SEGURANÇA DA
INFORMACÃO
COMITÊ AUDITORIA
IMPLEMENTAÇÃO
COORDENADOR INTERNA
Controles de segurança da informação
Estrutura organizacional
Representação executiva
Diretor de Logística
Controles de segurança da informação
Classificação
Classificar envolve
inventariar, definir o grau
de relevância, e
identificar estes ativos
de informação.
Decreto 4.553 de 12 de
dezembro de 2003.
Controles de segurança da informação
Pessoas
Os incidentes de segurança
da informação sempre
envolve pessoas, quer no
lado das vulnerabilidades
exploradas, quer no lado
das ameaças que exploram
estas vulnerabilidades.
Controles de segurança da informação
Segurança física
Porta, e 4
equipamento Sala dos computadores
para servidores
digitação de
senha e Porta, e
leitura de equipamento
impressão para
digital digitação de
3 senha
Suporte operacional
Porta
Recepção Atendimento
ao cliente
1 2
Porta e
recepcionista
Controles de segurança da informação
Gestão de operações de TI
O objetivo da equipe de
sistemas deve ser
garantir a
confidencialidade,
integridade e
disponibilidade das
informações recebidas,
processadas e
disponibilizadas através
dos sistemas de
informação.
Controles de segurança da informação
Gestão dos incidentes
Apesar de todos os
controles
implementados,
eventualmente ocorrerão
incidentes de segurança
da informação. Estes
incidentes podem ser
uma indicação de que
alguns dos controles não
estão sendo eficazes, e
este é um bom motivo
para reavaliar o referido
controle.
Controles de segurança da informação
Continuidade do negócio organizacional