Ti_capitulo_01 - Seguranca Da Informacao Prof

Tecnologia da Informação Capítulo 1


Informação


É todo o conhecimento que possa ser criado, usado, armazenado,

transportado, descartado, independente do meio em que se encontre.


A informação é um dos patrimônios mais importantes das

organizações, vital para a continuidade dos negócios.

Ex: Senhas, Contratos, Planejamentos, Propostas, Fórmulas etc

Valor dados

dados

dados

Informação

$


Ativos


Todo e qualquer recurso que manipule direta ou indiretamente a informação;




É tudo para o qual a organização determina um valor e conseqüentemente exige proteção;




A proteção destes ativos é o objeto básico da segurança da informação;




Para a segurança da informação, o ativo é a própia informação.

dados dados dados Informação

ATIVO

Exemplos de Ativos

Prof. Fernando Ramos

1

Tecnologia da Informação Capítulo 1

Exemplos de Ativos Aplicações – Sistemas Internos ou Pacotes de Mercado etc; Ambientes – Infra-estrutura predial, CPD, Escritórios, Salas, Divisões Funcionais, áreas de importância relevante etc;

Processos – Planejamento Estratégico, Fluxo Financeiro etc; Equipamentos – Hardware, Mídias, Impressoras, Servidores, Equipamentos de Comunicação, ou quaisquer tipos de equipamentos que Armazenam ou Manipulem as informações vitais para o Negócio;

Usuários – Alta/Gerên cia e Diretoria, Administradores de Rede Operadores de Sistemas Críticos, Prestadores de Serviços, Técnicos e Usu ários de forma geral.

Ameaças

dados

dados

dados

Informação

ATIVO

Ameaças

Ativos Ameaça Internet

Vírus

Anti-Vírus

Vulnerabilidade

(Desatualizado)

Prof. Fernando Ramos

2

Tecnologia da Informação Capítulo 1

Ameaça Agentes causadores dos incidentes contra as informações e seus ativos.




As ameaças exploram vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando impacto nos negócios.




Naturais e Físicas: Expõe as instalações físicas como incêndios, enchentes, terremotos, tempestades eletromagnéticas, falhas de energia.


Involuntárias: Ameaças inconscientes, quase sempre causadas pelo desconhecimento, acidentes, erros etc.


Intencionais: Ameaças propositais como hackers, espiões, invasores, ladrões e vírus de computador




Os sistemas operacionais e servidores Windows estão presentes na maioria das residências e empresas no mundo inteiro, devido a isso se torna alvo de inúmeros tipos de ataques de vírus, hackers, crackers, worms, scan´s, etc. Segundo pesquisa realizada pelo “NIC BR Security Office (NBSO)” divulgado pela IDG Now! os incidentes de Segurança cresceram 71% no Brasil no primeiro semestre de 2004. Conforme poderemos ver no gráfico que segue a maioria dos Incidentes ocorridos no período de Abril a Junho 2004 foram de Worms e Scans.

Incidentes Reportados ao NBSO Abril a Junho de 2004

Prof. Fernando Ramos

3

Tecnologia da Informação Capítulo 1

Vulnerabilidades São Fraquezas associadas as informações e seus ativos, e onde os mesmos estão suscetíveis aos ataques.


As vulnerabilidades por si só não provocam incidentes, necessitando para tanto de um agente causador que são as ameaças.




• Vulnerabilidades – Físicas – Naturais – Hardware – Software – Mídias – Comunicação – Humanas – outras

Vulnerabilidades • Físicas - Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores; detetores de fumaça e outros recursos para combate a incêndio e m sala com armários e fichários estratégicos, risco de explosões, vazamento ou incêndio. • Naturais - Computadores são suscetíveis a desastres naturais e outros como falta de energia, acúmulo de poeira, aumento de umidade, temperatura etc. • Hardware - Falha nos recursos tecnológicos (desgaste, obsolescência, mal uso) ou erros durante a instalação. • Software - Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso. • Mídias - Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. • Comunicação - Acessos não autorizados ou perda de comunicação • Humanas - Falta de treinamento, compartilha mento de informações confidencia is, não execução de rotinas de segurança, erros ou omissões, ameaça de bomba, sabotagem, distúrbios civis, greves. Vandalismo, roubo, destruição de propriedade ou dados, invasões ou guerras.

Medidas de Segurança • Práticas, procedimentos e mecanismos usados para a proteção da informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades, reduzir vulnerabilidades, limitar o impacto e reduzir o risco. Exemplos de medidas: – Preventivas - Políticas de Segurança da Informação, palestras de conscientização. – Detectivas - Câmeras de vigilância, alarmes – Corretivas - restauração de backups

Prof. Fernando Ramos

4

Tecnologia da Informação Capítulo 1

Segurança da Informação • Processo que visa min imizar os riscos e garantir a continuidade dos negócios, através da prevenção, detecção e correção de incidentes contra as informações e seus ativos, A Segurança da Informação possu i três princíp ios básicos; – Confidencialidade - a informação só deve ser conhecida por usuários ou processos que estejam autorizados a fazê-lo. – Integridade - a informaç ão só deve ser modificada por usuários ou processos que estejam autorizados a fazê-lo, e a informação recuperada deve ser exatamente a mesma que foi armazenada pelo último usuário ou processo autorizado. – Disponibilidade - a informação e processos de negócio vitais devem estar disponíve is sempre que se necessitar deles.

Segurança da Informação Informação

Perda de Confiabilidade, Decisões Erradas

Integra ?

Perda de Tempo, Oportunidades, Negócios.

Disponível ?

Perda de Mercado, Negócios, Vazamentos Desgaste da Imagem

Confidencial ? Processo de Negócio

sim

não

Segurança da Informação 

QUE informações precisam de segurança?



POR QUE proteger as informações?



QUANDO proteger as informações?



ONDE proteger as informações?



O QUE proteger nas informações?



DO QUE proteger as informações?

Prof. Fernando Ramos

5

Tecnologia da Informação Capítulo 1

Segurança da Informação 

QUE informações precisam de segurança?

• • • • •

Identidade, CPF, Endereço residencial Telefone celular, Senhas, Informações bancárias Senhas de acesso da empresa, Número do Cartão de Crédito Planilha de Vendas, Propostas, Fórmulas, Rotina e horários de trabalho, Planejamentos Estratégicos



POR QUE proteger as informações?

• • • • • •

Por seu valor Pelo impacto de sua ausência Pelo impacto resultante de seu uso por terceiros Pela importância de sua existência Pela relação de dependência com a sua atividade ...

Segurança da Informação 

QUANDO proteger as informações?

Durante seu ciclo de vida • • • • 

Manuseio Armazenamento Transporte Descarte

ONDE proteger as informações?

Nos ativos que as custodiam: • Físicos • Tecnológicos • Humanos

Segurança da Informação 

O QUE proteger nas informações?

• Confidencialidade • Integridade • Disponibilidade Que podem ser atingidos pela exploração de uma falha ou vulnerabilidade presente em um ativo. 

DO QUE proteger as informações?

De ameaças: • Físicas • Tecnológicas • Humanas

Prof. Fernando Ramos

6

Tecnologia da Informação Capítulo 1

Ameaças

dados dados dados Informação

ATIVO Vulnerabilidades Medidas de Segurança

Manuseio

Armazen amento Transporte Descarte

ATIVOS AMEAÇAS

INFORMAÇÕES

FÍSICOS • agenda • sala • arquivo • cofre

HUMANOS • funcionário • parceiro • secretária • porteiro VULNERABILIDADES

FÍS ICAS • incêndio • inundação • curto circu ito • apagão

TECNOLÓGICAS • sistema • e-mail • servidor • notebook

TECNOLÓGICAS • vírus • bug software • defeito técnico • invasão web

HUMA NAS • sabotagem • fraude • erro humano • descuido

AMEAÇAS exploram VULNERABILIDADES presentes nos ATIVOS que mantém informações, causando IMPACTOS no Negócio

Prof. Fernando Ramos

7

Tecnologia da Informação Capítulo 1

Ativos: Proposta em papel e disquete Vulnerabilidade: Em cima da mesa após o expediente Ameaça: Acesso Indevido

Impacto: Financeiro Imagem

Ameaças Agentes Controles Informação

ATIVO Vulnerabilidades

Falha Impacto • Processos • Operacionais • Mercado • Financeiro • Administrativo • Imagem • RH • Legal

Considerações: • Para o Impacto do Negócios resultante de uma falha de Segurança consideram-se as potenciais conseqüências da perda de Confidencialidade, Integridade ou Disponibilidade da Informação ou de outros ativos relacionados; • A probabilidade de tal falha ocorrer, é decorrente das ameaças que exploram as vulnerabilidades que não são minimizadas pelos controles atualmente implementados nos ativos; • Os Controles devem ser selecionados e implementados Para garantir que p risco de um evento seja reduzido a um nível Aceitável; • Os Controles devem proteger o CICLO DA INFORMAÇÃO

Prof. Fernando Ramos

8

Tecnologia da Informação Capítulo 1

Controles

Ameaça 1

Informação

Ameaça 2

ATIVO Vulnerabilidades

Ameaça 3

 Ameaça 1 – Probabilidade Alta – Impacto Alto • Ameaça 2 - Probabilidade Média – Impacto Baixo • Ameaça 3 - Probabilidade Baixa – Impacto Alto

Como Determinar o Possível Impacto ? • O Impacto no Ativo -  Relevância do Ativo para a empresa; • Cada Processo de Negócio possui uma Relevância para a empresa; • Cada ativo possui uma Relevância para cada Processo; Processos: Vendas – Entrega – Desenvolvimento - Planejamento

Telemarketing

Secretária

Projetos

Logística

• COMO proteger as informações? • Aplicando controles que eliminem e administrem as vulnerabilidades, reduzindo assim os riscos

Prof. Fernando Ramos

DETER

DETECTAR

DISCRIMINAR

DIFICULTAR

DESENCORAJAR

DIAGNOSTICAR

•Definindo níveis de segurança compatíveis • Avaliando o valor da informação e o custo da proteção

9