Tecnologia da Informação -

Capítulo 1

Informação

É todo o conhecimento que possa ser criado, usado, armazenado,

transportado, descartado, independente do meio em que se encontre.

A informação é um dos patrimônios mais importantes das

organizações, vital para a continuidade dos negócios.

Ex: Senhas, Contratos, Planejamentos, Propostas, Fórmulas etc

Valor

dados dados dados

Informação $

Ativos

Todo e qualquer recurso que manipule direta ou indiretamente a
informação;

É tudo para o qual a organização determina um valor e
conseqüentemente exige proteção;

A proteção destes ativos é o objeto básico da segurança da
informação;

Para a segurança da informação, o ativo é a própia informação.

dados dados dados

Informação

ATIVO

Exemplos de Ativos

Prof. Fernando Ramos 1

Tecnologia da Informação -
Capítulo 1

Exemplos de Ativos

Aplicações – Sistemas Internos ou Pacotes de Mercado etc;

Ambientes – Infra-estrutura predial, CPD, Escritórios, Salas, Divisões

Funcionais, áreas de importância relevante etc;

Processos – Planejamento Estratégico, Fluxo Financeiro etc;

Equipamentos – Hardware, Mídias, Impressoras, Servidores,

Equipamentos de Comunicação, ou quaisquer tipos
de equipamentos que Armazenam ou Manipulem as
informações vitais para o Negócio;

Usuários – Alta/Gerên cia e Diretoria, Administradores de Rede

Operadores de Sistemas Críticos, Prestadores de Serviços,
Técnicos e Usu ários de forma geral.

Ameaças

dados dados dados

Informação

ATIVO

Ameaças

Ativos

Ameaça
Internet

Vírus

Anti-Vírus Vulnerabilidade
(Desatualizado)

Prof. Fernando Ramos 2

Tecnologia da Informação -
Capítulo 1

Ameaça

Agentes causadores dos incidentes contra as informações e
seus ativos.

As ameaças exploram vulnerabilidades, provocando perdas de

confidencialidade, integridade e disponibilidade, causando
impacto nos negócios.

Naturais e Físicas: Expõe as instalações físicas como incêndios,

enchentes, terremotos, tempestades eletromagnéticas, falhas de energia.

Involuntárias: Ameaças inconscientes, quase sempre causadas pelo

desconhecimento, acidentes, erros etc.

Intencionais: Ameaças propositais como hackers, espiões, invasores,

ladrões e vírus de computador

Os sistemas operacionais e servidores Windows estão

presentes na maioria das residências e empresas no
mundo inteiro, devido a isso se torna alvo de inúmeros
tipos de ataques de vírus, hackers, crackers, worms,
scan´s, etc.

Segundo pesquisa realizada pelo “NIC BR Security Office

(NBSO)” divulgado pela IDG Now! os incidentes de
Segurança cresceram 71% no Brasil no primeiro
semestre de 2004.

Conforme poderemos ver no gráfico que segue a maioria

dos Incidentes ocorridos no período de Abril a Junho
2004 foram de Worms e Scans.

Incidentes Reportados ao NBSO

Abril a Junho de 2004

Prof. Fernando Ramos 3

Tecnologia da Informação -
Capítulo 1

Vulnerabilidades

São Fraquezas associadas as informações e seus ativos, e onde os
mesmos estão suscetíveis aos ataques.

As vulnerabilidades por si só não provocam incidentes, necessitando

para tanto de um agente causador que são as ameaças.

• Vulnerabilidades
– Físicas
– Naturais
– Hardware
– Software
– Mídias
– Comunicação
– Humanas
– outras

Vulnerabilidades
• Físicas - Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de
extintores; detetores de fumaça e outros recursos para combate a incêndio e m sala
com armários e fichários estratégicos, risco de explosões, vazamento ou incêndio.
• Naturais - Computadores são suscetíveis a desastres naturais e outros como falta de
energia, acúmulo de poeira, aumento de umidade, temperatura etc.
• Hardware - Falha nos recursos tecnológicos (desgaste, obsolescência, mal uso) ou
erros durante a instalação.
• Software - Erros na instalação ou na configuração podem acarretar acessos
indevidos, vazamento de informações, perda de dados ou indisponibilidade do
recurso.
• Mídias - Discos, fitas, relatórios e impressos podem ser perdidos ou danificados.
• Comunicação - Acessos não autorizados ou perda de comunicação
• Humanas - Falta de treinamento, compartilha mento de informações confidencia is,
não execução de rotinas de segurança, erros ou omissões, ameaça de bomba,
sabotagem, distúrbios civis, greves. Vandalismo, roubo, destruição de propriedade ou
dados, invasões ou guerras.

Medidas de Segurança

• Práticas, procedimentos e mecanismos usados para a proteção da

informação e seus ativos, que podem impedir que ameaças
explorem vulnerabilidades, reduzir vulnerabilidades, limitar o
impacto e reduzir o risco.

Exemplos de medidas:

– Preventivas - Políticas de Segurança da Informação, palestras

de conscientização.
– Detectivas - Câmeras de vigilância, alarmes
– Corretivas - restauração de backups

Prof. Fernando Ramos 4

Tecnologia da Informação -
Capítulo 1

Segurança da Informação
• Processo que visa min imizar os riscos e garantir a continuidade dos negócios,
através da prevenção, detecção e correção de incidentes contra as informações
e seus ativos, A Segurança da Informação possu i três princíp ios básicos;

– Confidencialidade - a informação só deve ser conhecida por usuários ou

processos que estejam autorizados a fazê-lo.
– Integridade - a informaç ão só deve ser modificada por usuários ou
processos que estejam autorizados a fazê-lo, e a informação recuperada
deve ser exatamente a mesma que foi armazenada pelo último usuário ou
processo autorizado.
– Disponibilidade - a informação e processos de negócio vitais devem estar
disponíve is sempre que se necessitar deles.

Segurança da Informação
Perda de Confiabilidade,
Informação Integra ? Decisões Erradas

Perda de Tempo,
Disponível ? Oportunidades, Negócios.

Perda de Mercado,
Confidencial ? Negócios, Vazamentos
Desgaste da Imagem
Processo
de Negócio
sim não

Segurança da Informação
 QUE informações precisam de segurança?

 POR QUE proteger as informações?

 QUANDO proteger as informações?

 ONDE proteger as informações?

 O QUE proteger nas informações?

 DO QUE proteger as informações?

Prof. Fernando Ramos 5

Tecnologia da Informação -
Capítulo 1

Segurança da Informação
 QUE informações precisam de segurança?

• Identidade, CPF, Endereço residencial

• Telefone celular, Senhas, Informações bancárias
• Senhas de acesso da empresa, Número do Cartão de Crédito
• Planilha de Vendas, Propostas, Fórmulas,
• Rotina e horários de trabalho, Planejamentos Estratégicos

 POR QUE proteger as informações?

• Por seu valor

• Pelo impacto de sua ausência
• Pelo impacto resultante de seu uso por terceiros
• Pela importância de sua existência
• Pela relação de dependência com a sua atividade
• ...

Segurança da Informação
 QUANDO proteger as informações?

Durante seu ciclo de vida

• Manuseio
• Armazenamento
• Transporte
• Descarte

 ONDE proteger as informações?

Nos ativos que as custodiam:

• Físicos
• Tecnológicos
• Humanos

Segurança da Informação
 O QUE proteger nas informações?
• Confidencialidade
• Integridade
• Disponibilidade

Que podem ser atingidos pela exploração de uma falha ou

vulnerabilidade presente em um ativo.

 DO QUE proteger as informações?

De ameaças:
• Físicas
• Tecnológicas
• Humanas

Prof. Fernando Ramos 6

Tecnologia da Informação -
Capítulo 1

Ameaças

dados dados dados

Informação

ATIVO
Vulnerabilidades
Medidas de Segurança

Manuseio Armazen amento Transporte Descarte

INFORMAÇÕES

FÍSICOS HUMANOS
TECNOLÓGICAS
ATIVOS

• agenda • sistema • funcionário

• sala • e-mail • parceiro
• arquivo • servidor• secretária
• cofre • notebook• porteiro
VULNERABILIDADES
FÍS ICAS TECNOLÓGICAS HUMA NAS
AMEAÇAS

• incêndio • vírus • sabotagem

• inundação • bug software • fraude
• curto circu ito • defeito técnico • erro humano
• apagão • invasão web • descuido

AMEAÇAS exploram
VULNERABILIDADES
presentes nos ATIVOS que
mantém informações, causando
IMPACTOS no Negócio

Prof. Fernando Ramos 7

Tecnologia da Informação -
Capítulo 1

Ativos: Proposta em papel e disquete

Vulnerabilidade: Em cima
da mesa após o expediente

Ameaça: Acesso
Indevido

Impacto:
Financeiro
Imagem

Ameaças
Agentes Falha

Controles Impacto
• Processos
Informação • Operacionais
• Mercado
ATIVO • Financeiro
• Administrativo
Vulnerabilidades • Imagem
• RH
• Legal

Considerações:
• Para o Impacto do Negócios resultante de uma falha de
Segurança consideram-se as potenciais conseqüências
da perda de Confidencialidade, Integridade ou Disponibilidade
da Informação ou de outros ativos relacionados;

• A probabilidade de tal falha ocorrer, é decorrente das ameaças

que exploram as vulnerabilidades que não são minimizadas pelos
controles atualmente implementados nos ativos;

• Os Controles devem ser selecionados e implementados

Para garantir que p risco de um evento seja reduzido a um nível
Aceitável;

• Os Controles devem proteger o CICLO DA INFORMAÇÃO

Prof. Fernando Ramos 8

Tecnologia da Informação -
Capítulo 1

Controles Ameaça 1

Informação Ameaça 2
ATIVO
Vulnerabilidades Ameaça 3

 Ameaça 1 – Probabilidade Alta – Impacto Alto

• Ameaça 2 - Probabilidade Média – Impacto Baixo
• Ameaça 3 - Probabilidade Baixa – Impacto Alto

Como Determinar o Possível Impacto ?

• O Impacto no Ativo -
 Relevância do Ativo para a empresa;
• Cada Processo de Negócio possui uma Relevância para a empresa;
• Cada ativo possui uma Relevância para cada Processo;

Processos: Vendas – Entrega – Desenvolvimento - Planejamento

Telemarketing Secretária Projetos Logística

• COMO proteger as informações?

• Aplicando controles que eliminem e administrem as
vulnerabilidades, reduzindo assim os riscos

•Definindo níveis de segurança compatíveis

• Avaliando o valor da informação e o custo da proteção
DESENCORAJAR
DIAGNOSTICAR

DISCRIMINAR
DIFICULTAR

DETECTAR

DETER

Prof. Fernando Ramos 9