Vous êtes sur la page 1sur 25

Aula 01

Introduo Gesto da
Segurana da Informao

Prof. Leonardo Lemes Fagundes
Voc v algumas informaes e a
maneira como as coisas so
formuladas, e ento comea a ter
alguma compreenso da empresa e
das pessoas responsveis pelo
sistemas de TI. E havia essa idia de
que entendiam de segurana, mas
talvez estivessem fazendo alguma
coisa errada.

Captulo 9 No Continente
A Arte de Invadir
Kevin Mitnick e William Simon

Apresentao
Introduo
Conceitos Gerais Sobre Segurana da Informao
Leitura Recomendada
Consideraes Finais
Referncias Bibliogrficas
Agenda

Leonardo Lemes Fagundes

Mestre em Computao e Bacharel em Anlise de Sistemas (UNISINOS)
Professor e Coordenador da Graduao em Segurana da Informao
Diretor e Consultor em Segurana da Informao (Defenda)
Instrutor de SegInfo e Riscos na Escola Superior de Redes (RNP)
Instrutor de Gesto Incidentes credenciado pelo LACNIC
Auditor Lder ISO 27001 BSI
Certificado em Continuidade de Negcios DRII
Certified in Risk and Information Systems Control (CRISC) - ISACA


Apresentao

Objetivos da Aula 01

Apresentar e discutir os principais conceitos relacionados a
Segurana da Informao;
Relacionar esses conceitos com a realidade do aluno e das
organizaes;
Propiciar uma viso integrada (ciclo da segurana da
informao) entre os conceitos-chaves.

Introduo

Segurana da Informao
a proteo da informao contra vrios tipos de ameaas
para garantir a continuidade do negcio, minimizar riscos,
maximizar o retorno sobre os investimentos e as oportunidade
de negcios [ISO 27002].

As informaes podem existir em diversas formas;
O mesmo ocorre com as vulnerabilidades e ameaas;
A pergunta chave: O que e como devemos proteger?


Conceitos Gerais sobre SegInfo

As Propriedades Bsicas da Segurana da Informao

Confidencialidade
Certeza de que o que foi dito, escrito ou falado ser
acessado somente por pessoas autorizadas;


Conceitos Gerais sobre SegInfo

As Propriedades Bsicas da Segurana da Informao

Integridade
Garantia de que a informao no foi alterada (de forma
indevida ou no-autorizada);
A quebra da integridade ocorre quando a informao
corrompida, falsificada ou roubada;


Conceitos Gerais sobre SegInfo

As Propriedades Bsicas da Segurana da Informao

Disponibilidade
Garantia de que a informao ser acessada quando
necessrio;
Disponibilidade -> estratgias de contingncia


Conceitos Gerais sobre SegInfo

As Propriedades Bsicas da Segurana da Informao
Para proteger os ativos, em determinados casos, pode ser
necessrio aspectos de segurana adicionais, por exemplo:
No-repdio (emissor autenticado como autor ...);
Legalidade (ativos com valor legal ...);
Autenticao (processo de identificao e reconhecimento das partes ...);
Autenticidade (garantia de que as partes envolvidas so quem afirmam
ser ...);
Autorizao (concesso de permisses ...);
Conceitos Gerais sobre SegInfo

As Propriedades Bsicas da Segurana da Informao

Atividade 01:
Tendo como base a empresa em que atua, descreva
necessidades / requisitos gerias de segurana da informao.
(30 minutos)

Conceitos Gerais sobre SegInfo

Ativos
Qualquer elemento que tenha valor para a organizao [ISO
27002];
Os ativos fornecem suporte aos processos de negcios, portanto
devem ser protegidos. Todo elemento utilizado para armazenar,
processar, transportar, armazenar, manusear e descartar a
informao, inclusive a prpria.

Conceitos Gerais sobre SegInfo

Ativos
Categorias de Ativos
Os ativos podem ser classificados / agrupados de diversas
formas:
Informaes; Hardware; Software; Ambiente Fsico;
Pessoas;
Lgico; Fsico Humano;
Equipamentos; aplicaes, usurios, ambientes,
informaes e processos;

Conceitos Gerais sobre SegInfo

Vulnerabilidades
Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaas [ISO 27002];
As vulnerabilidades devem ser gerenciadas (identificadas e
corrigidas);

Tipos de Vulnerabilidades
Fsicas; naturais; hardware e software e humanas;

Conceitos Gerais sobre SegInfo

Ameaas
Causa potencial (agente) de um incidente indesejado, que pode
resultar em dano para um sistema ou organizao [ISO 27002];
A segurana da informao precisa prover mecanismos para
impedir que as ameaas explorem as vulnerabilidades;

Tipos de Ameaas
Ameaas Naturais; Intencionais e Involuntrias;

Conceitos Gerais sobre SegInfo

Evento de Segurana da Informao
Uma ocorrncia identificada de um estado de sistema, servio
ou rede, indicando uma possvel violao da poltica de
segurana da informao ou falha de controles que possa ser
relevante para a segurana da informao [ISO 27000:2009].

Conceitos Gerais sobre SegInfo

Incidentes de Segurana
Um simples ou uma srie de eventos de segurana da
informao indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as operaes de
negcios e ameaar a segurana da informao [ISO
27000:2009].

Conceitos Gerais sobre SegInfo

Controles
Medidas de segurana so prticas, procedimentos e
mecanismos utilizados para a proteo de ativos;
Esses controles podem: (a) impedir que as ameaas explorem as
vulnerabilidades, (b) reduzir o surgimento de vulnerabilidades e (c)
minimizar o impacto dos incidentes de segurana da informao;

Tipos de controles:
Tcnicos, administrativos e de gesto;

Conceitos Gerais sobre SegInfo
Conceitos Gerais sobre SegInfo

As Propriedades Bsicas da Segurana da Informao

Atividade 02:
Considere um ativo de uma determinada categoria e indique
(descreva) vulnerabilidades e ameaas as quais estes ativos
esto expostos. ( 30 minutos)

Conceitos Gerais sobre SegInfo

Descrio dos Textos de Apoio

Texto 01: The Cybercrime 2.0 Evolution (*)
Texto 02: Cybercrime in the Middle East (*)
Texto 03: Security Management Practices - Captulo 3:
Fundamental Principles of Security, Livro All in One CISSP Exam
Guide (*)

* Disponvel no Xerox pasta 137.

Leitura Recomendada

Descrio dos Textos de Apoio

Texto 04 (resumo em slides): Ameaas e Mecanismos de
Proteo; (disponvel na pgina da disciplina, leitura obrigatria
para alunos que no sejam do Curso de Segurana da
Informao);

Leitura Recomendada

Entender o negcio
Na etapa inicial de um projeto de segurana, deve-se entender o
ambiente da organizao. Normalmente a situao a seguinte:
Desconhecimento do ambiente/processos;
Baixo (ou nenhum) nvel de controle implementado;
Alto ndice de riscos;
Falta de uma cultura de segurana;
Resistncia (interna e externa);

Consideraes Finais

Requisitos de Segurana da Informao
Quais os requisitos de SI? Como obter esses requisitos?

Implementao
A Seg Info obtida a partir da implementao de um conjunto de
controles adequados as necessidades da organizao;
Controles precisam ser estabelecidos, implementados,
monitorados, analisados e melhorados para garantir que os
objetivos do negcio e de segurana sejam atendidos;


Consideraes Finais

Smola, Marcos. Gesto da Segurana da Informao: Uma Viso
Executiva. Rio de Janeiro, Ed. Campus, 2003.

ABNT NBR ISO/IEC 27002:2006. Cdigo de Prtica para a Gesto
da Segurana da Informao.

Ramos, Anderson. Guia Oficial para Formao de Gestores em
Segurana da Informao.

Referncias Bibliogrficas