Scribd
Carregar
72 visualizações29 páginas

Aula1 Introdução A Segurança Da Informação

O documento discute conceitos fundamentais de segurança da informação, incluindo ativos de informação, vulnerabilidades, ameaças, incidentes, probabilidade de impacto, análise de riscos e análise de impacto ao negócio. O objetivo é fornecer uma introdução abrangente aos principais tópicos da segurança da informação.

Enviado por

vanusa barbosa honorio
Direitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato PDF, TXT ou leia on-line no Scribd
72 visualizações29 páginas

Aula1 Introdução A Segurança Da Informação

O documento discute conceitos fundamentais de segurança da informação, incluindo ativos de informação, vulnerabilidades, ameaças, incidentes, probabilidade de impacto, análise de riscos e análise de impacto ao negócio. O objetivo é fornecer uma introdução abrangente aos principais tópicos da segurança da informação.

Enviado por

vanusa barbosa honorio
Direitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato PDF, TXT ou leia on-line no Scribd
Você está na página 1/ 29

Segurana da

Informao
(SI)
Carlos Henrique M. da Silva
[email protected]
OBJETIVOS
Conceitos bsicos que fundamentam os estudos sobre SI;
Diferentes categorias de ativos existentes em uma empresa;
Conceito de vulnerabilidades e ameaas dos ativos;
Conceitos de integridade, confidencialidade e disponibilidade;
Conceitos de anlise de riscos (AR);
Conceitos de poltica de segurana da informao (PSI);
Conceito de anlise de impacto ao negcio (BIA);
Medidas de segurana;
Normas de SI;
Ferramentas;
ETC.
SI - INTRODUO

DADOS INFORMAO CONHECIMENTO

A informao algo que contm um significado e causa impacto em


diferentes graus, tornando-a o elemento chave da extrao e criao
do conhecimento. O conhecimento s poder ser formado quando o
indivduo for exposto informao, deste modo possvel afirmar
que poder at haver informao sem conhecimento, mas no
conhecimento sem informao.
SI - INTRODUO
No mundo atual a posse e o uso do conhecimento passou a ser um
fator estratgico decisivo para muitas empresas. Estamos vivendo a
poca batizada como "Era da Informao". Mas a informao voltil,
frgil. Hoje, ela pode desaparecer na velocidade de um pulso
eltrico.

Atualmente, as informaes constituem o objeto de maior valor para


as empresas. Por esse e outros motivos a segurana da informao
um assunto to importante para todos, pois afeta diretamente todos
os negcios de uma empresa ou de um indivduo.

Importncia da Informao para o Negcio - A informao um


elemento essencial para a gerao do conhecimento, para a tomada
de decises, e que representa efetivamente valor para o negcio.
SI CONCEITOS
Ativo de Informao: Qualquer elemento que tenha valor para
uma organizao.
Valor do Ativo: Quantificao de perda de determinado ativo
quando esse tem sua confidencialidade, integridade ou
disponibilidade (Princpios Bsicos da SI) afetadas.
Vulnerabilidade: Falha no ambiente que ameace algum ativo.
Ameaa: Possibilidade de explorao de uma vulnerabilidade.
Impacto: Resultado da concretizao de uma ameaa contra a
vulnerabilidade de um ativo.
SI ATIVOS DE INFORMAO
A segurana da informao tem como propsito proteger as
INFORMAES, sem importar onde estejam situadas.

Um sistema de segurana da informao tem por objetivo


proteger e controlar os ATIVOS DE INFORMAO, garantindo os
trs princpios bsicos da segurana da informao.
SI ATIVOS DE INFORMAO
CLASSIFICAO DE ATIVOS

INFORMAES

SOFTWARE
EQUIPAMENTOS E SISTEMAS HARDWARE
ORGANIZAO

PESSOAS
SI ATIVOS DE INFORMAO
SI ATIVOS DE INFORMAO
SI ATIVOS DE INFORMAO
SI ATIVOS DE INFORMAO
SI PRINCPIOS BSICOS
Existem trs* princpios bsicos da segurana da informao, so
eles:

Disponibilidade

Confidencialidade

Integridade

* Existem autores que destacam mais de trs, so eles:


Autenticidade, No repdio, Legalidade, Privacidade e Auditoria
SI - DISPONIBILIDADE
A informao est acessvel pessoas autorizadas sempre que
necessrio.

QUEBRA DE DISPONIBILIDADE

Sistemas fora do ar
Ataques de Negao de Servio
Perdas de Documentos
Perda de Acesso informao
SI CONFIDENCIALIDADE
Somente Pessoas explicitamente autorizadas podem ter acesso
informao.

QUEBRA DE CONFIDENCIALIDADE

Conversas no elevador, restaurantes, etc. sobre assuntos


confidenciais de trabalho, disponibilizando assim a informao para
todos sua volta.

Engenharia Social
SI - INTEGRIDADE
A informao acessada completa, sem alteraes ou distores, e
portanto, confivel. Mesmo estando errada.

QUEBRA DE INTEGRIDADE

Falsificao de documentos

Alterao de registro no BD
SI - VULNERABILIDADES
So fraquezas inerentes aos ativos de informao que podem ser
exploradas por ameaas ocasionando um incidente de segurana da
informao. possvel que um ativo de informao possua uma
vulnerabilidade que, de fato, nunca ser efetivamente explorada por
uma ameaa.

SISTEMA IMUNOLGICO FRACO


SI - AMEAAS
So agentes externos ao ativo de informao que, exploram as
vulnerabilidades pra gerar a quebra de um ou mais dos trs
princpios bsicos da segurana da informao (confidencialidade,
integridade e disponibilidade), ou seja, um incidente de segurana
da
informao.

VRUS
SI INCIDENTES
Um incidente de segurana da informao a ocorrncia de um
evento que possa interromper os processos do negcio de um ou
mais dos trs princpios bsicos de segurana da informao
(confidencialidade, integridade e disponibilidade).

INCIDENTE
VULNERABILIDADE AMEAA

INCIDENTE
SI - PROBABILIDADE
Probabilidade a chance que um incidente de segurana da
informao tem de acontecer, considerando o grau das
vulnerabilidades presentes nos ativos de informao e o grau das
ameaas que possam explorar essas vulnerabilidades. Mas esses
graus so relativos, ou seja, mesmo as mais baixas vulnerabilidades
podero representar probabilidades considerveis, se o grau da
ameaa for muito grande.
SI - IMPACTO
Resultado da ao bem sucedida de uma ameaa ao explorar as
vulnerabilidades de um ativo, atingindo assim um ou mais conceitos
da segurana da informao. O impacto se denomina pelos
danos/prejuzos causados por um incidente de segurana da
informao ocorrido no negcio organizao.

O tamanho ou grau de um impacto no negcio da organizao


depende do grau da relevncia dos ativos de informao para os
processos da organizao, ou seja, quanto maior for a relevncia do
ativo para a organizao, maior ser o impacto de um incidente de
segurana da informao caso ele venha acontecer.

preciso definir um grau de impacto para cada incidente de


segurana da informao que possa vir ocorrer. Este grau de
impacto ser de extrema importncia para o clculo do risco, que
veremos mais frente.
SI - INTRODUO
SI ANLISE DE IMPACTO AO NEGCIO (BIA)

feita buscando identificar os processos crticos que apoiam o


negcio da organizao, e qual impacto para o negcio caso as
ameaas mapeadas venham a se concretizar.

Calculo do Impacto

Impacto = (Relevncia do Processo + Relevncia do Ativo)


2
Relevncia do Processo: Importncia do processo ao negcio.
Relevncia do Ativo: Importncia do ativo no processo de
negcio.
SI ANLISE DE RISCOS (AR)
realizada para identificar os riscos aos quais esto
submetidos os ativos, ou seja, para saber qual a
probabilidade de que as ameaas se concretizem e o
impacto que elas causaro ao negcio.

A anlise de risco possibilita identificar o grau de proteo


que os ativos de informao precisam, podendo assim, no
s proporcionar o grau adequado de proteo a esse ativo,
mas principalmente utilizar de forma inteligente os recursos
da organizao.
SI ANLISE DE RISCOS (AR)
Calculo de Risco de um Incidente a um Ativo?

Risco = (Probabilidade + Impacto + ndice ocorrncias anteriores)


3

Onde:

Probabilidade = (Grau de Ameaa + Grau de Vulnerabilidade)


2

ndice de Ocorrncias = (Total de dias no ano* em que houve


incidentes)

* Ano = 365 dias SEMPRE.


SI ANLISE DE RISCOS (AR)

Exemplo de Anlise de Risco

Conclumos que, a partir do momento em que so conhecidos os


RISCOS, possvel tomar decises a respeito dos ativos mais
crticos.
SI - CONCLUSO
A Segurana da Informao um processo que envolve todas as
reas de negcio de uma organizao e deve ser entendida como
mais uma disciplina orientada a atingir a misso estabelecida.
RESPOSTAS
OBRIGADO!
Carlos Henrique M. da Silva
[email protected]
Formado em Anlise de Sistemas
Ps-Graduado em Auditoria em T.I.
Gerente de TI da CLIOC Coleo de Leishmania do
Instituto Oswaldo Cruz Fiocruz
Certificado em Gesto de Segurana da Informao e
Gerenciamento de T.I. pela Academia Latino-Americana
(Microsoft TechNet / Mdulo Security)

Você também pode gostar