IFCE Campus Canind

Curso de Tecnologia em Redes de Computadores

Gesto de Segurana da Informao
Prof. D.Sc. Rodrigo Costa

Aula 2:
Introduo segurana

rodrigo.costa@ifce.edu.br

Objetivo da Aula

Apresentar e discutir os principais conceitos

relacionados a Segurana da Informao;
Relacionar esses conceitos com a realidade do aluno e
das organizaes;
Propiciar uma viso integrada (ciclo da segurana da
informao) entre os conceitos-chaves.

prof.

Rodrigo Costa

07/11/2014

Conceitos

2/37

CONCEITOS GERAIS

prof.

Rodrigo Costa

07/11/2014

Conceitos

3/37

Dados
um conjunto de letras, nmeros ou dgitos que
colocado
isoladamente,
no
agrega
nenhum
conhecimento, no contem significado claro.
Por si s no transmite nenhuma mensagem que
possibilite o entendimento sobre determinada situao.

0 1 1 0 1 1 0 0 1 0 0 1 0 1 1 0

Binrio
Octal
Decimal
Hexadecimal

A C A B A D A

Caracteres
Hexadecimal

prof.

Rodrigo Costa

07/11/2014

Conceitos

Informao
um conjunto de dados organizados que fazem referencia
a um acontecimento, um fato ou um fenmeno, que no seu
contexto tem um determinado significado.

Dado trabalhado ou tratado agregado com sentido natural e

lgico para quem usa a informao.
Ou seja, os dados foram analisados e interpretados sob
determinada tica, e a partir dessa anlise se torna possvel
qualificar esses dados.

2,4,6,8,10 So Mltiplos de dois.

x,y,z
- So coordenadas cartesianas.
Maria
- Nome de uma pessoa.
ACABADA - O mesmo que finalizada, encerrada,
terminada.
prof.

Rodrigo Costa

07/11/2014

Conceitos

Exemplo prtico

Dados:

Os custos fixos e operacionais (contas e funcionrios) da

empresa em um determinado perodo foi de R$800.000,00
O faturamento no mesmo perodo foi de R$ 500.000,00
A meta da empresa ter um faturamento superior aos
custos fixos e operacionais da empresa

Aps processar os dados gera-se informaes

A empresa est tendo prejuzos pois est faturando

menos que gasta;
A meta no perodo no foi atingida.

prof.

Rodrigo Costa

07/11/2014

Conceitos

Ativo de Informao

A informao elemento essencial para todos os

processos de negcio da organizao, sendo, portanto, um
bem ou ativo de grande valor

prof.

Rodrigo Costa

07/11/2014

Conceitos

Classificao

PBLICAS

INTERNAS

devem ser mantidas fora do alcance do acesso externo, mas se

forem acessadas de forma indevida, no causaro grandes
impactos

CONFIDENCIAIS

informaes de menor importncia ou para conhecimento do

pblico em geral

devem ser protegidas de acesso externo, caso ocorra

vazamento podero causar prejuzos financeiros ou perda de
competitividade

SECRETAS

informaes crticas para atividades da empresa, seu acesso

deve ser de uso restrito e sua manipulao vital para a
organizao.

prof.

Rodrigo Costa

07/11/2014

Conceitos

Sistemas de Informao

Sistema

vindo do grego o termo "sistema" significa "combinar",

"ajustar", "formar um conjunto".
Componentes interagem com o seu meio atravs de
entradas e sadas.

Sistema de Informao

Todo sistema que manipula dados e gera informao.

Pode usar ou no recursos de tecnologia da informao.
Exemplos:

Arquivamento e recuperao de informaes de grandes

arquivos.
Anlise de investimentos da bolsa de valores.

prof.

Rodrigo Costa

07/11/2014

Conceitos

Porque as informaes so importantes

A informao um ativo que, como qualquer outro ativo

importante para os negcios, tem um valor para a
organizao
e
consequentemente
necessita
ser
adequadamente protegida (NBR 17999)

Tipos de Informao

Impressa e escrita em papel;

Armazenada eletronicamente;
Transmitida pelo correio;
Apresentada em filmes;
Falada em conversas.

prof.

Rodrigo Costa

07/11/2014

Conceitos

10

Definio de Segurana da Informao

a proteo da informao contra vrios tipos de
ameaas para garantir a continuidade do negcio,
minimizar riscos, maximizar o retorno sobre os
investimentos e as oportunidade de negcios [ISO 27002].
A segurana garantida pela preservao dos trs
aspectos:

Informao no foi alterada de

forma
indevida,
noautorizada ou acidentalmente

A informao s pode
ser
acessada
por
pessoas que tenham
permisso (autorizadas)

A informao deve estar

disponvel no momento em
que a mesma for acessada
prof.

Rodrigo Costa

07/11/2014

Conceitos

11

Propriedades Bsicas

Confidencialidade

Integridade

Certeza de que o que foi dito, escrito ou falado ser acessado

somente por pessoas autorizadas;
necessrio prover mecanismos para garantir a identificao e
autenticao das partes envolvidas

Garantia de que a informao no foi alterada (de forma

indevida ou no-autorizada);
A quebra da integridade ocorre quando a informao
corrompida, falsificada ou roubada;

Disponibilidade

Estar a informao ou o meio informtico (sistema, servidor, etc)

disponvel 24 x 7 (24 horas por dia, 7 dias por semana)
Disponibilidade passa pelas estratgias (planos) de contingncia

prof.

Rodrigo Costa

07/11/2014

Conceitos

12

Exemplos de Violao

Confidencialidade:

Integridade:

algum obtm acesso no autorizado ao seu computador

e l todas as informaes contidas na sua declarao de
Imposto de Renda;
algum obtm acesso no autorizado ao seu computador
e altera informaes da sua declarao de Imposto de
Renda, momentos antes de voc envi-la Receita
Federal;

Disponibilidade:

o seu provedor sofre uma grande sobrecarga de dados ou

um ataque de negao de servio e por este motivo voc
fica impossibilitado de enviar sua declarao de Imposto
de Renda Receita Federal.

prof.

Rodrigo Costa

07/11/2014

Conceitos

13

Conceitos bsicos

Vulnerabilidade

So as fraquezas presentes
nos ativos de informao
Podem causar a quebra de
um ou mais dos princpios da
segurana da informao
As vulnerabilidades devem ser
gerenciadas

Ameaas

Agente externo ao ativo que

aproveitando-se
das
vulnerabilidades
poder
causar um de um incidente
indesejado, que pode resultar
em dano para um sistema ou
organizao [ISO 27002];

prof.

Rodrigo Costa

07/11/2014

Conceitos

14

ATIVIDADES

prof.

Rodrigo Costa

07/11/2014

Conceitos

15/37

Atividades
Tendo como base a empresa em que atua, descreva
necessidades / requisitos gerias de segurana da
informao. (30 minutos)
Considere um ativo de uma determinada categoria e
indique (descreva) vulnerabilidades e ameaas as quais
estes ativos esto expostos. ( 30 minutos)

prof.

Rodrigo Costa

07/11/2014

Conceitos

16

DETALHAMENTO

prof.

Rodrigo Costa

07/11/2014

Conceitos

17/37

Ativos
Qualquer elemento que tenha valor para a organizao [ISO
27002];
Os ativos fornecem suporte aos processos de negcios,
portanto devem ser protegidos. Todo elemento utilizado para
armazenar, processar, transportar, armazenar, manusear e
descartar a informao, inclusive a prpria.
Categorias

Tangveis e intangveis

Tipos de Ativos

Informaes; Hardware; Software; Ambiente Fsico; Pessoas;

Lgico; Fsico Humano;
Equipamentos; aplicaes, usurios, ambientes, informaes e
processos;

prof.

Rodrigo Costa

07/11/2014

Conceitos

18

Segurana de Informao

prof.

Rodrigo Costa

07/11/2014

Conceitos

19

Ameaas
Conhecido tambm pelo termo threat
Caracaterizado como qualquer ao, acontecimento ou
entidade que possa agir sobre:

um ativo, pessoa ou processo

atravs de uma vulnerabilidade e consequentemente
gerando determinado impacto

Tipos de Ameaas

Naturais: Decorrentes de fenmenos da natureza

Involuntrias:
Inconscientes,
causadas
pelo
desconhecimento
Voluntrias:Propositais, causadas por agentes humanos
como crackers, invasores, espies, ladres, etc...

prof.

Rodrigo Costa

07/11/2014

Conceitos

20

Exemplos de Ameaas

Pessoas chaves para uma organizao

Servidores de arquivos

Ataques DoS

Dados dos alunos

Ferimento, morte

Acesso interno no autorizado

Equipamentos de produo

Desastre natural

prof.

Rodrigo Costa

07/11/2014

Conceitos

21

Vulnerabilidades

Fsica

Naturais

So inerentes s condies da natureza, que podem colocar em

risco as informaes

Humana

inerentes ao ambiente em que a informao ser manipulada

e/ou armazenada
Ex: ausncia de proteo contra incndios ou de proteo ao
sistema de cabeamento da rede

Referem-se aos danos que as pessoas podem causar s

informaes e/ou ao ambiente tecnolgico que as suporta

Tecnolgica

Hardware, software, sistemas de comunicao ou midias que

podem causar risco as informaes

prof.

Rodrigo Costa

07/11/2014

Conceitos

22

Exemplos
Classifique as seguintes vulnerabilidades como Fsicas,
Naturais, Hardware, Software, Mdias, Comunicao e
Humanas.

Instalaes prediais fora

do padro
Desgaste
dos recursos
tecnolgicos
Incndios ou enchentes
Desconeco de um cabo
de rede

Falta de treinamento
Erros de configurao
DVD antigo
Deadlocks
Acmulo de umidade

prof.

Rodrigo Costa

07/11/2014

Conceitos

23

Incidentes
Quando uma ameaa explora vulnerabilidades de um
ativo
Viola
um ou mais
caractersticas
de
segurana
Tem uma chance de
acontecer (Probabilidade)
Se acontecer causa um
prejuizo (impacto).

prof.

Rodrigo Costa

07/11/2014

Conceitos

24

Riscos

a probabilidade das ameaas explorarem as

vulnerabilidades, causando perdas e danos aos
ativos e/ou impactos no negcio.

Podem comprometer
as trs metas de segurana

prof.

Rodrigo Costa

07/11/2014

Conceitos

25

Eventos de Segurana vs Incidente de Segurana

Eventos

Uma
ocorrncia
identificada de um estado
de sistema, servio ou rede
indica
uma
possvel
violao da poltica de
segurana ou falha de
controles

Incidente

Um simples ou uma srie

de eventos de segurana
da informao indesejados
ou inesperados,
Tem
uma
grande
probabilidade
de
comprometer
as
operaes de negcios e
ameaar a segurana da
informao

prof.

Rodrigo Costa

07/11/2014

Conceitos

26

Segurana
A segurana da informao o processo que tem a
responsabilidade de manter a informao ntegra, confivel
e disponvel, porm disponvel apenas a quem tenha
direito.
Para isso requer controles

prof.

Rodrigo Costa

07/11/2014

Conceitos

27

Controles
So prticas, procedimentos e mecanismos utilizados
para a proteo de ativos
Permitem:

impedir que as ameaas explorem as vulnerabilidades

reduzir o surgimento de vulnerabilidades
minimizar o impacto dos incidentes de segurana da
informao

Tipos:

Tcnicos, administrativos e de gesto;

prof.

Rodrigo Costa

07/11/2014

Conceitos

28

Conceitos que devem ser analisados

AUTENTICAO:

NO REPDIO

Capacidade de atravs do sistema de se provar que um usurio

executou determinada ao no sistema

LEGALIDADE

Capacidade de garantir que um usurio, sistema ou informao

mesmo quem alega ser.

a aderncia de um sistema ou procedimento de segurana

uma determinada legislao nacional ou internacional.
Inmeras legislaes so descumpridas por desconhecimento
dos gestores da existncia das mesmas;

PRIVACIDADE:

informao privada pode ser lida, alterada, entre outros,

somente pelo seu dono

prof.

Rodrigo Costa

07/11/2014

Conceitos

29

QUANDO SE PREOCUPAR COM

SEGURANA DA INFORMAO?

prof.

Rodrigo Costa

07/11/2014

Conceitos

30/37

Ciclo de vida da informao

Manuseio

Momento em que a
informao armazenada

Transporte

a
e

Armazenamento

Momento em que
informao criada
manipulada

Momento em que a
informao transportada

Descarte

Momento em que a
informao descartada

prof.

Rodrigo Costa

07/11/2014

Conceitos

31

Leis Imutveis da Segurana

Ningum acredita que nada de mal possa acontecer at que
acontece;
Segurana s funciona se a forma de se manter seguro for uma
forma simples;
Se voc no realiza as correes de segurana, sua rede no ser
sua por muito tempo;
Vigilncia eterna o preo da segurana;
Segurana por Obscuridade, no segurana;
LOGs, se no audit-los, melhor no t-los.
Existe realmente algum tentando quebrar (adivinhar) sua senha;
A rede mais segura uma rede bem administrada;
A dificuldade de defender uma rede diretamente proporcional a
sua complexidade;
Segurana no se prope a evitar os riscos, e sim gerenci-los;
Tecnologia no tudo.

prof.

Rodrigo Costa

07/11/2014

Conceitos

32

Todo cuidado pouco

prof.

Rodrigo Costa

07/11/2014

Conceitos

33

Principais Equvocos da segurana

1.
2.
3.
4.
5.

No fazer atualizaes
No descartar dados corretamente
No usar criptografia
No usar servios de segurana
No informar os funcionrios

prof.

Rodrigo Costa

07/11/2014

Conceitos

34

Segurana nas Organizaes

Segurana um processo que tenta manter protegido
um sistema complexo composto de muitas entidades:

Tecnologia (hardware, software, redes)

Processos (procedimentos, manuais)
Pessoas (cultura, conhecimento)

Estas entidades interagem das formas mais variadas e

imprevisveis
A Segurana falhar se focar apenas em parte do
problema
Tecnologia no nem o problema inteiro, nem a
soluo inteira

prof.

Rodrigo Costa

07/11/2014

Conceitos

35

Aplicao da Segurana da Inf. em Nveis

ESTRATGICO: GOVERNANA,
NORMAS, (COBIT, ITIL, GRC)
TTICO: POLTICAS DE SEGURANA,
MAPEAMENTO DE RISCOS, PLANOS
DE CONTINGNCIAS
OPERACIONAL: FERRAMENTAS,
CERTIFICADOS, CRIPTOGRAFIA

prof.

Rodrigo Costa

07/11/2014

Conceitos

36

3.5 Dvidas

Dvidas?

prof.

Rodrigo Costa

07/11/2014

Conceitos

37/37

Obrigado!

prof.

Rodrigo Costa

07/11/2014

Conceitos

38