SlideShare una empresa de Scribd logo

Aula.revisao av2 gsi

Descargar como PPT, PDF
Thais Oliveira
Thais Oliveira

Revisao AV2 da matéria Segurança da Informação

Educación
1 de 44
GESTÃO DE SEGURANÇA DA INFORMAÇÃO PROF. RENATO GUIMARÃES
PRINCÍPIOS Confidencialidade - Trata-se da manutenção do segredo, do sigilo ou da privacidade das informações; - Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
PRINCÍPIOS Integridade - Trata-se da manutenção das informações tal e qual tenham sido geradas; - Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada.
PRINCÍPIOS Disponibilidade - Trata-se da possibilidade de acesso contínuo, ininterrupto, constante e atemporal às informações; - Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado.
FATORES QUE IMPACTAM NA SEGURANÇA  Exemplo – assalto a residência Ativos: Objetos existentes na casa. Vulnerabilidade: Porta com fechadura simples. Ameaça: Pode haver um arrombamento e assalto. Impactos: Perda de conforto, necessidade de comprar tudo de novo. Contra-medidas: Fechadura quádrupla, portas e janelas blindadas, alarme, cachorro, vigia, seguro, etc.
QUANDO PROTEGER? No Ciclo de vida da Informação
Manuseio: Momento em que a informação é criada e manipulada, seja ao folhear um maço de papéis, ao digitar informações recém- geradas em uma aplicação internet, ou ainda, ao utilizar sua senha de acesso para autenticação.
Armazenamento: Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocado em um arquivo de metal, ou ainda, em um pendrive depositado em uma gaveta, por exemplo.
Transporte: Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial, por exemplo.
Descarte: Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD-ROm usado que apresentou falha na leitura.
O QUE SÃO VULNERABILIDADES? Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
O QUE SÃO AMEAÇAS? Representam perigo para os ativos - fatores externos; Oferecem riscos potenciais ao ambiente de TI e á continuidade dos negócios; Podem afetar aspectos básicos da segurança.
RECEITA DE UM ATAQUE
RECEITA DE UM ATAQUE Levantamento das informações A fase de reconhecimento é uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o “alvo em avaliação” antes do lançamento do ataque.
RECEITA DE UM ATAQUE Existem duas formas de realizar o reconhecimento: ativo e passivo. - O reconhecimento passivo envolve a aquisição de informação sem interação direta com o “alvo”. - O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo, contato telefônico por meio do help desk ou departamento técnico.
RECEITA DE UM ATAQUE Exploração das informações (scanning) Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase apresenta um alto risco para os negócios de uma empresas, pois além de ser considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping.
RECEITA DE UM ATAQUE Obtenção do acesso Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, fraude ou roubo. Os fatores que irão influenciar nos métodos utilizados pelo atacante serão: a arquitetura e configuração do “alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso obtido. Nesta fase o atacante poderá obter acesso a nível de: sistema operacional, aplicação e rede.
RECEITA DE UM ATAQUE Manutenção do acesso Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de “acessos exclusivos” obtidos através de rootkits, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina atacada. Nesta fase o sistema atacado poderá ficar comprometido.
RECEITA DE UM ATAQUE Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais.
EQUAÇÃO DA SEGURANÇA NO DESENVOLVIMENTO Segurança Prazo Custo = = Produtividade Funcionalidade
O QUE É RISCO? Probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. Sua escala é dada por dois fatores: Probabilidade de ocorrência da ameaça medida através da combinação da sua freqüência com a avaliação das vulnerabilidades; Conseqüências trazidas pela ocorrência do incidente (impacto);
IMPACTO NOS NEGÓCIOS • Impactos financeiros: - Perdas de receitas / vendas / juros / descontos; - Pagamento de multas contratuais; - Cancelamento de ordens de vendas por atraso; - Indisponibilidade de fundos; - Despesas extraordinárias com serviços externos, funcionários temporários, compras de emergência, etc.
IMPACTO NOS NEGÓCIOS • Impactos operacionais: - Interrupção dos negócios; - Perda da capacidade de atendimento a clientes externos e internos (i.e. alta gerência); - Problemas de imagem; - Problemas de perda de confiança (de clientes, de entidades reguladoras, etc.).
ETAPAS DA GESTÃO DE RISCO
BARREIRAS DE SEGURANÇA Barreira1: desencorajar Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnlógicos ou humanos. A simples presença de uma camâra de vídeo, mesmo falsa, de um aviso de existência de alarmes, já são efetivos nesta fase.
BARREIRAS DE SEGURANÇA Barreira2: Dificultar O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo.
BARREIRAS DE SEGURANÇA Barreira 3: Discriminar Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros fisicos, aplicações de computador e banco de dados.
BARREIRAS DE SEGURANÇA Barreira 4: Detectar Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo.
BARREIRAS DE SEGURANÇA Barreira 5: Deter Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos.
BARREIRAS DE SEGURANÇA Barreira 6: Diagnosticar Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo. Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos.
ISO 27002 • Esta norma estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
ISO 27002 - Política de Segurança da Informação; - Organizando a Segurança da Informação; - Gestão de Ativos; - Segurança em Recursos Humanos; - Segurança Física e do Ambiente; - Gestão das Operações e Comunicações; - Controle de Acesso; - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; - Gestão de Incidentes de Segurança da Informação; - Gestão da Continuidade do Negócio; - Conformidade;
ISO 27002 É essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
ISO 27002 • Análise de Risco: A partir da análise/avaliação de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. È realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio.
ISO 27002 • Requisito de Negócio: Uma outra fonte é o conjunto de princípios, objetivos e os requisitos de negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
ISO 27002 • Requisitos legais: Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.
ISO 27001 • Esta norma define os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização, permitindo que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes.
GESTÃO DO SGSI
PDCA • Plan (estabelecer o SGSI): Para estabelecer o SGSI a organização deve definir: - O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia; - A política do SGSI; - A abordagem de análise/avaliação de risco da organização; - Identificar os riscos; - Analisar e avaliar os riscos; - Identificar e avaliar as opções para o tratamento de riscos; - Selecionar objetivos de controle e controles para o tratamento de riscos;
PDCA - Obter aprovação da direção dos riscos residuais propostos; - Obter autorização da direção para implementar e operar o SGSI; - Preparar uma declaração de Aplicabilidade; (Declaração de Aplicabilidade): Documento exigido pela NBR ISO 27001 no qual a empresa tem que relacionar quais controles são aplicáveis e justificar os que não são aplicáveis ao seu SGSI. (Controles): São pontos específicos que definem o que deve ser feito para assegurar aquele item.
PDCA • Do(Implementar e operar o SGSI): - Nesta fase a organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas . Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
PDCA • Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. - Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados.
PDCA • Act (Manter e melhorar o SGSI): - A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
ISO 15999 • Objetivo e escopo: A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e implementação da continuidade de negócio. Foi elaborada para fornecer um sistema baseado nas boas práticas de gestão da continuidade de negócios. Serve como referência única para a maior parte das situações que envolve a continuidade de negócio, podendo ser usada por organizações de grande, médio e pequeno portes, nos setores industriais, comerciais, públicos e de caráter voluntário.

Recomendados

Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 

Recomendados

Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Ameaças e riscos da internet -Segurança da informação
Ameaças e riscos da internet -Segurança da informaçãoAmeaças e riscos da internet -Segurança da informação
Ameaças e riscos da internet -Segurança da informaçãoSthefanie Vieira
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 segurancaMarco Guimarães
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação danilopv
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurançaCarlos Veiga
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Robson Silva Espig
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Robson Silva Espig
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAron Sporkens
 
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaTcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaAndré bogas
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Robson Silva Espig
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1Robson Silva Espig
 
Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Robson Silva Espig
 
Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Paulo Sousa
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TISthefanie Vieira
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfpolisolventepolisolv
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 

Más contenido relacionado

La actualidad más candente

Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Ameaças e riscos da internet -Segurança da informação
Ameaças e riscos da internet -Segurança da informaçãoAmeaças e riscos da internet -Segurança da informação
Ameaças e riscos da internet -Segurança da informaçãoSthefanie Vieira
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação danilopv
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurançaCarlos Veiga
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAron Sporkens
 
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaTcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaAndré bogas
 
Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Paulo Sousa
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 

La actualidad más candente (20)

Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Ameaças e riscos da internet -Segurança da informação
Ameaças e riscos da internet -Segurança da informaçãoAmeaças e riscos da internet -Segurança da informação
Ameaças e riscos da internet -Segurança da informação
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurança
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Modulo 01 Capitulo 02
Modulo 01 Capitulo 02Modulo 01 Capitulo 02
Modulo 01 Capitulo 02
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaTcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1
 
Modulo 01 Capitulo 01
Modulo 01 Capitulo 01Modulo 01 Capitulo 01
Modulo 01 Capitulo 01
 
Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança Tecnologias da Informação: Mecanismos de Segurança
Tecnologias da Informação: Mecanismos de Segurança
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informação
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 

Similar a Aula.revisao av2 gsi

Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfpolisolventepolisolv
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Vulnerabilidades, ameaças e riscos;.pptx
Vulnerabilidades, ameaças e riscos;.pptxVulnerabilidades, ameaças e riscos;.pptx
Vulnerabilidades, ameaças e riscos;.pptxMontagemeManutenodeM
 
segurança em redes.pptx
segurança em redes.pptxsegurança em redes.pptx
segurança em redes.pptxcasa46
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3Fabrício Basto
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Diogénia john.pptx
Diogénia john.pptxDiogénia john.pptx
Diogénia john.pptxDiogeniaJoo
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Diego BBahia
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Slide trabalho de Informatica 3o ano.pptx
Slide trabalho de Informatica 3o ano.pptxSlide trabalho de Informatica 3o ano.pptx
Slide trabalho de Informatica 3o ano.pptxDiogeniaJoo
 
Livro cap01
Livro cap01Livro cap01
Livro cap01higson
 
Tech o inimigo interno
Tech o inimigo internoTech o inimigo interno
Tech o inimigo internoGoldani
 

Similar a Aula.revisao av2 gsi (20)

Aula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdfAula 04 - Seguranca da Informacao.pdf
Aula 04 - Seguranca da Informacao.pdf
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Seg redes 1
Seg redes 1Seg redes 1
Seg redes 1
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Vulnerabilidades, ameaças e riscos;.pptx
Vulnerabilidades, ameaças e riscos;.pptxVulnerabilidades, ameaças e riscos;.pptx
Vulnerabilidades, ameaças e riscos;.pptx
 
segurança em redes.pptx
segurança em redes.pptxsegurança em redes.pptx
segurança em redes.pptx
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Diogénia john.pptx
Diogénia john.pptxDiogénia john.pptx
Diogénia john.pptx
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)Segurança física e lógica e análise de vunerabilidade (abnt)
Segurança física e lógica e análise de vunerabilidade (abnt)
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
 
Slide trabalho de Informatica 3o ano.pptx
Slide trabalho de Informatica 3o ano.pptxSlide trabalho de Informatica 3o ano.pptx
Slide trabalho de Informatica 3o ano.pptx
 
Livro cap01
Livro cap01Livro cap01
Livro cap01
 
Tech o inimigo interno
Tech o inimigo internoTech o inimigo interno
Tech o inimigo interno
 

Último

Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...ArianeLima50
 
Manual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManuais Formação
 
UFCD_10392_Intervenção em populações de risco_índice .pdf
UFCD_10392_Intervenção em populações de risco_índice .pdfUFCD_10392_Intervenção em populações de risco_índice .pdf
UFCD_10392_Intervenção em populações de risco_índice .pdfManuais Formação
 
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaJúlio Sandes
 
Orações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxOrações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxKtiaOliveira68
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxOsnilReis1
 
E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?Rosalina Simão Nunes
 
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEMCOMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEMVanessaCavalcante37
 
02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdfJorge Andrade
 
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicas
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicasCenários de Aprendizagem - Estratégia para implementação de práticas pedagógicas
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicasRosalina Simão Nunes
 
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxSlides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxLuizHenriquedeAlmeid6
 
Recurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de PartículasRecurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de PartículasCasa Ciências
 
ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024Jeanoliveira597523
 
Bullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasBullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasMary Alvarenga
 
Gerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem OrganizacionalGerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem OrganizacionalJacqueline Cerqueira
 
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)Mary Alvarenga
 
Simulado 2 Etapa - 2024 Proximo Passo.pdf
Simulado 2 Etapa - 2024 Proximo Passo.pdfSimulado 2 Etapa - 2024 Proximo Passo.pdf
Simulado 2 Etapa - 2024 Proximo Passo.pdfEditoraEnovus
 
A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesMary Alvarenga
 

Último (20)

Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
Cultura e Literatura indígenas: uma análise do poema “O silêncio”, de Kent Ne...
 
Manual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envioManual da CPSA_1_Agir com Autonomia para envio
Manual da CPSA_1_Agir com Autonomia para envio
 
UFCD_10392_Intervenção em populações de risco_índice .pdf
UFCD_10392_Intervenção em populações de risco_índice .pdfUFCD_10392_Intervenção em populações de risco_índice .pdf
UFCD_10392_Intervenção em populações de risco_índice .pdf
 
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma AntigaANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
ANTIGUIDADE CLÁSSICA - Grécia e Roma Antiga
 
Orações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptxOrações subordinadas substantivas (andamento).pptx
Orações subordinadas substantivas (andamento).pptx
 
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptxATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
ATIVIDADE AVALIATIVA VOZES VERBAIS 7º ano.pptx
 
E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?E agora?! Já não avalio as atitudes e valores?
E agora?! Já não avalio as atitudes e valores?
 
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEMCOMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
COMPETÊNCIA 1 DA REDAÇÃO DO ENEM - REDAÇÃO ENEM
 
02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf02. Informática - Windows 10 apostila completa.pdf
02. Informática - Windows 10 apostila completa.pdf
 
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicas
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicasCenários de Aprendizagem - Estratégia para implementação de práticas pedagógicas
Cenários de Aprendizagem - Estratégia para implementação de práticas pedagógicas
 
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptxSlides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
Slides Lição 5, CPAD, Os Inimigos do Cristão, 2Tr24, Pr Henrique.pptx
 
Recurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de PartículasRecurso Casa das Ciências: Sistemas de Partículas
Recurso Casa das Ciências: Sistemas de Partículas
 
ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024ABRIL VERDE.pptx Slide sobre abril ver 2024
ABRIL VERDE.pptx Slide sobre abril ver 2024
 
Bullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavrasBullying - Atividade com caça- palavras
Bullying - Atividade com caça- palavras
 
Em tempo de Quaresma .
Em tempo de Quaresma .Em tempo de Quaresma .
Em tempo de Quaresma .
 
Gerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem OrganizacionalGerenciando a Aprendizagem Organizacional
Gerenciando a Aprendizagem Organizacional
 
CINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULACINEMATICA DE LOS MATERIALES Y PARTICULA
CINEMATICA DE LOS MATERIALES Y PARTICULA
 
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)
Grupo Tribalhista - Música Velha Infância (cruzadinha e caça palavras)
 
Simulado 2 Etapa - 2024 Proximo Passo.pdf
Simulado 2 Etapa - 2024 Proximo Passo.pdfSimulado 2 Etapa - 2024 Proximo Passo.pdf
Simulado 2 Etapa - 2024 Proximo Passo.pdf
 
A Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das MãesA Arte de Escrever Poemas - Dia das Mães
A Arte de Escrever Poemas - Dia das Mães
 

Aula.revisao av2 gsi

  • 1. GESTÃO DE SEGURANÇA DA INFORMAÇÃO PROF. RENATO GUIMARÃES
  • 2. PRINCÍPIOS Confidencialidade - Trata-se da manutenção do segredo, do sigilo ou da privacidade das informações; - Esta propriedade indica que os dados e informações não deveriam ser acessíveis a, ficar disponíveis para ou ser divulgados a usuários, entidades, sistemas ou processos não autorizados e aprovados.
  • 3. PRINCÍPIOS Integridade - Trata-se da manutenção das informações tal e qual tenham sido geradas; - Esta propriedade indica que os dados e informações não deveriam ser alterados ou destruídos de maneira não autorizada e aprovada.
  • 4. PRINCÍPIOS Disponibilidade - Trata-se da possibilidade de acesso contínuo, ininterrupto, constante e atemporal às informações; - Esta propriedade indica que o acesso aos serviços oferecidos pelo sistema deveria ser sempre possível para um usuário, entidade, sistema ou processo autorizado e aprovado.
  • 5. FATORES QUE IMPACTAM NA SEGURANÇA  Exemplo – assalto a residência Ativos: Objetos existentes na casa. Vulnerabilidade: Porta com fechadura simples. Ameaça: Pode haver um arrombamento e assalto. Impactos: Perda de conforto, necessidade de comprar tudo de novo. Contra-medidas: Fechadura quádrupla, portas e janelas blindadas, alarme, cachorro, vigia, seguro, etc.
  • 6. QUANDO PROTEGER? No Ciclo de vida da Informação
  • 7. Manuseio: Momento em que a informação é criada e manipulada, seja ao folhear um maço de papéis, ao digitar informações recém- geradas em uma aplicação internet, ou ainda, ao utilizar sua senha de acesso para autenticação.
  • 8. Armazenamento: Momento em que a informação é armazenada, seja em um banco de dados compartilhado, em uma anotação de papel posteriormente colocado em um arquivo de metal, ou ainda, em um pendrive depositado em uma gaveta, por exemplo.
  • 9. Transporte: Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico (e-mail), ao postar um documento via aparelho de fax, ou ainda, ao falar ao telefone uma informação confidencial, por exemplo.
  • 10. Descarte: Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico em seu computador de mesa, ou ainda, ao descartar um CD-ROm usado que apresentou falha na leitura.
  • 11. O QUE SÃO VULNERABILIDADES? Pontos fracos em que os ativos estão suscetíveis a ataques - fatores negativos internos. Permitem o aparecimento de ameaças potenciais à continuidade dos negócios das organizações.
  • 12. O QUE SÃO AMEAÇAS? Representam perigo para os ativos - fatores externos; Oferecem riscos potenciais ao ambiente de TI e á continuidade dos negócios; Podem afetar aspectos básicos da segurança.
  • 13. RECEITA DE UM ATAQUE
  • 14. RECEITA DE UM ATAQUE Levantamento das informações A fase de reconhecimento é uma fase preparatória onde o atacante procura coletar o maior número possível de informações sobre o “alvo em avaliação” antes do lançamento do ataque.
  • 15. RECEITA DE UM ATAQUE Existem duas formas de realizar o reconhecimento: ativo e passivo. - O reconhecimento passivo envolve a aquisição de informação sem interação direta com o “alvo”. - O reconhecimento ativo envolve interação direta com o alvo através de algum meio, como por exemplo, contato telefônico por meio do help desk ou departamento técnico.
  • 16. RECEITA DE UM ATAQUE Exploração das informações (scanning) Fase onde o atacante explora a rede baseado nas informações obtidas na fase de reconhecimento. Esta fase apresenta um alto risco para os negócios de uma empresas, pois além de ser considerado uma fase de pré-ataque envolve a utilização de diferentes técnicas e softwares, como por exemplo, a utilização de port scan, scanner de vulnerabilidade e network mapping.
  • 17. RECEITA DE UM ATAQUE Obtenção do acesso Esta fase consiste na penetração do sistema propriamente dita. Nesta fase são exploradas as vulnerabilidades encontradas no sistema. Isto pode ocorrer através da internet, da rede local, fraude ou roubo. Os fatores que irão influenciar nos métodos utilizados pelo atacante serão: a arquitetura e configuração do “alvo” escolhido, o grau de conhecimento do atacante e o nível de acesso obtido. Nesta fase o atacante poderá obter acesso a nível de: sistema operacional, aplicação e rede.
  • 18. RECEITA DE UM ATAQUE Manutenção do acesso Nesta fase o atacante tenta manter seu próprio domínio sobre o sistema. Poderá também protege-lo de outros atacantes através da utilização de “acessos exclusivos” obtidos através de rootkits, backdoors ou trojans. Poderá ainda fazer upload, download e manipulação dos dados, aplicações e configurações da máquina atacada. Nesta fase o sistema atacado poderá ficar comprometido.
  • 19. RECEITA DE UM ATAQUE Camuflagem das evidências Esta fase consiste na atividade realizada pelo atacante de tentar camuflar seus atos não autorizados com o objetivo de prolongar sua permanência na máquina hospedeira, na utilização indevida dos recursos computacionais.
  • 20. EQUAÇÃO DA SEGURANÇA NO DESENVOLVIMENTO Segurança Prazo Custo = = Produtividade Funcionalidade
  • 21. O QUE É RISCO? Probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente. Sua escala é dada por dois fatores: Probabilidade de ocorrência da ameaça medida através da combinação da sua freqüência com a avaliação das vulnerabilidades; Conseqüências trazidas pela ocorrência do incidente (impacto);
  • 22. IMPACTO NOS NEGÓCIOS • Impactos financeiros: - Perdas de receitas / vendas / juros / descontos; - Pagamento de multas contratuais; - Cancelamento de ordens de vendas por atraso; - Indisponibilidade de fundos; - Despesas extraordinárias com serviços externos, funcionários temporários, compras de emergência, etc.
  • 23. IMPACTO NOS NEGÓCIOS • Impactos operacionais: - Interrupção dos negócios; - Perda da capacidade de atendimento a clientes externos e internos (i.e. alta gerência); - Problemas de imagem; - Problemas de perda de confiança (de clientes, de entidades reguladoras, etc.).
  • 24. ETAPAS DA GESTÃO DE RISCO
  • 25. BARREIRAS DE SEGURANÇA Barreira1: desencorajar Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Estas, por sua vez, podem ser desmotivadas ou podem perder o interesse e o estímulo pela tentativa de quebra de segurança por efeito de mecanismos físicos, tecnlógicos ou humanos. A simples presença de uma camâra de vídeo, mesmo falsa, de um aviso de existência de alarmes, já são efetivos nesta fase.
  • 26. BARREIRAS DE SEGURANÇA Barreira2: Dificultar O papel desta barreira é complementar à anterior através da adoção efetiva dos controles que irão dificultar o acesso indevido. Podemos citar os dispositivos de autenticação para acesso físico, por exemplo.
  • 27. BARREIRAS DE SEGURANÇA Barreira 3: Discriminar Aqui o importante é se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Os sistemas são largamente empregados para monitorar e estabelecer limites de acesso aos serviços de telefonia, perímetros fisicos, aplicações de computador e banco de dados.
  • 28. BARREIRAS DE SEGURANÇA Barreira 4: Detectar Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Seja uma tentativa de invasão ou por uma possível contaminação por vírus, por exemplo.
  • 29. BARREIRAS DE SEGURANÇA Barreira 5: Deter Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. O acionamento desta barreira, ativando seus mecanismos de controle, é um sinal de que as barreiras anteriores não foram suficientes para conter a ação da ameaça. Neste momento, medidas de detenção, como ações administrativas, punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos.
  • 30. BARREIRAS DE SEGURANÇA Barreira 6: Diagnosticar Apesar de representar a última barreira no diagrama, esta fase tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Cria o elo de ligação com a primeira barreira, criando um movimento cíclico e contínuo. Devido a estes fatores é a barreira de maior importância. Deve ser conduzida por atividades de análise de risco que consideram tanto os aspectos tecnológicos quanto os físicos e humanos.
  • 31. ISO 27002 • Esta norma estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
  • 32. ISO 27002 - Política de Segurança da Informação; - Organizando a Segurança da Informação; - Gestão de Ativos; - Segurança em Recursos Humanos; - Segurança Física e do Ambiente; - Gestão das Operações e Comunicações; - Controle de Acesso; - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; - Gestão de Incidentes de Segurança da Informação; - Gestão da Continuidade do Negócio; - Conformidade;
  • 33. ISO 27002 É essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
  • 34. ISO 27002 • Análise de Risco: A partir da análise/avaliação de riscos levando-se em conta os objetivos e estratégias globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. È realizada ainda uma estimativa de ocorrência das ameaças e do impacto potencial ao negócio.
  • 35. ISO 27002 • Requisito de Negócio: Uma outra fonte é o conjunto de princípios, objetivos e os requisitos de negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
  • 36. ISO 27002 • Requisitos legais: Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender.
  • 37. ISO 27001 • Esta norma define os requisitos para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização, permitindo que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes.
  • 39. PDCA • Plan (estabelecer o SGSI): Para estabelecer o SGSI a organização deve definir: - O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia; - A política do SGSI; - A abordagem de análise/avaliação de risco da organização; - Identificar os riscos; - Analisar e avaliar os riscos; - Identificar e avaliar as opções para o tratamento de riscos; - Selecionar objetivos de controle e controles para o tratamento de riscos;
  • 40. PDCA - Obter aprovação da direção dos riscos residuais propostos; - Obter autorização da direção para implementar e operar o SGSI; - Preparar uma declaração de Aplicabilidade; (Declaração de Aplicabilidade): Documento exigido pela NBR ISO 27001 no qual a empresa tem que relacionar quais controles são aplicáveis e justificar os que não são aplicáveis ao seu SGSI. (Controles): São pontos específicos que definem o que deve ser feito para assegurar aquele item.
  • 41. PDCA • Do(Implementar e operar o SGSI): - Nesta fase a organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas . Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
  • 42. PDCA • Check (monitorar e analisar criticamente o SGSI): - A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. - Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve ser realizado também a análise crítica das análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados.
  • 43. PDCA • Act (Manter e melhorar o SGSI): - A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
  • 44. ISO 15999 • Objetivo e escopo: A norma NBR ISSO/IEC 15999:1 orienta as organizações na estruturação e implementação da continuidade de negócio. Foi elaborada para fornecer um sistema baseado nas boas práticas de gestão da continuidade de negócios. Serve como referência única para a maior parte das situações que envolve a continuidade de negócio, podendo ser usada por organizações de grande, médio e pequeno portes, nos setores industriais, comerciais, públicos e de caráter voluntário.