aula 01 introdução à gestão da segurança da informação

Aula 01

Introdução à Gestão da

Segurança da Informação

Prof. Leonardo Lemes Fagundes

“Você vê algumas informações e a

maneira como as coisas são

formuladas, e então começa a ter

alguma compreensão da empresa e

das pessoas responsáveis pelo sistemas de TI. E havia essa idéia de

que entendiam de segurança, mas

talvez estivessem fazendo alguma

coisa errada.”

Capítulo 9 – No Continente

A Arte de Invadir

Kevin Mitnick e William Simon

Apresentação

Introdução

Conceitos Gerais Sobre Segurança da Informação

Leitura Recomendada

Considerações Finais

Referências Bibliográficas

Agenda

Leonardo Lemes Fagundes

Mestre em Computação e Bacharel em Análise de Sistemas (UNISINOS)

Professor e Coordenador da Graduação em Segurança da Informação

Diretor e Consultor em Segurança da Informação (Defenda)

Instrutor de SegInfo e Riscos na Escola Superior de Redes (RNP)

Instrutor de Gestão Incidentes credenciado pelo LACNIC

Auditor Líder ISO 27001 – BSI

Certificado em Continuidade de Negócios – DRII

Certified in Risk and Information Systems Control (CRISC) - ISACA

Apresentação

Objetivos da Aula 01

Apresentar e discutir os principais conceitos relacionados a

Segurança da Informação;

Relacionar esses conceitos com a realidade do aluno e das

organizações;

Propiciar uma visão integrada (ciclo da segurança da

informação) entre os conceitos-chaves.

Introdução

Segurança da Informação

“É a proteção da informação contra vários tipos de ameaças

para garantir a continuidade do negócio, minimizar riscos,

maximizar o retorno sobre os investimentos e as oportunidade

de negócios” [ISO 27002].

As informações podem existir em diversas formas;

O mesmo ocorre com as vulnerabilidades e ameaças;

A pergunta chave: O que e como devemos proteger?

Conceitos Gerais sobre SegInfo

As Propriedades Básicas da Segurança da Informação

Confidencialidade

Certeza de que o que foi dito, escrito ou falado será

acessado somente por pessoas autorizadas;

Conceitos Gerais sobre SegInfo

As Propriedades Básicas da Segurança da Informação

Integridade

Garantia de que a informação não foi alterada (de forma

indevida ou não-autorizada);

A quebra da integridade ocorre quando a informação é

corrompida, falsificada ou roubada;

Conceitos Gerais sobre SegInfo

As Propriedades Básicas da Segurança da Informação

Disponibilidade

Garantia de que a informação será acessada quando

necessário;

Disponibilidade -> estratégias de contingência

Conceitos Gerais sobre SegInfo

As Propriedades Básicas da Segurança da Informação

Para proteger os ativos, em determinados casos, pode ser

necessário aspectos de segurança adicionais, por exemplo:

Não-repúdio (emissor autenticado como autor ...);

Legalidade (ativos com valor legal ...);

Autenticação (processo de identificação e reconhecimento das partes ...);

Autenticidade (garantia de que as partes envolvidas são quem afirmam

ser ...);

Autorização (concessão de permissões ...);

Conceitos Gerais sobre SegInfo

As Propriedades Básicas da Segurança da Informação

Atividade 01:

Tendo como base a empresa em que atua, descreva

necessidades / requisitos gerias de segurança da informação.

(30 minutos)

Conceitos Gerais sobre SegInfo

Ativos

Qualquer elemento que tenha valor para a organização [ISO

27002];

Os ativos fornecem suporte aos processos de negócios, portanto

devem ser protegidos. Todo elemento utilizado para armazenar,

processar, transportar, armazenar, manusear e descartar a

informação, inclusive a própria.

Conceitos Gerais sobre SegInfo

Ativos

Categorias de Ativos

Os ativos podem ser classificados / agrupados de diversas

formas:

Informações; Hardware; Software; Ambiente Físico;

Pessoas;

Lógico; Físico Humano;

Equipamentos; aplicações, usuários, ambientes,

informações e processos;

Conceitos Gerais sobre SegInfo

Vulnerabilidades

Fragilidade de um ativo ou grupo de ativos que pode ser

explorada por uma ou mais ameaças [ISO 27002];

As vulnerabilidades devem ser gerenciadas (identificadas e

corrigidas);

Tipos de Vulnerabilidades

Físicas; naturais; hardware e software e humanas;

Conceitos Gerais sobre SegInfo

Ameaças

Causa potencial (agente) de um incidente indesejado, que pode

resultar em dano para um sistema ou organização [ISO 27002];

A segurança da informação precisa prover mecanismos para

impedir que as ameaças explorem as vulnerabilidades;

Tipos de Ameaças

Ameaças Naturais; Intencionais e Involuntárias;

Conceitos Gerais sobre SegInfo

Evento de Segurança da Informação

Uma ocorrência identificada de um estado de sistema, serviço

ou rede, indicando uma possível violação da política de

segurança da informação ou falha de controles que possa ser

relevante para a segurança da informação [ISO 27000:2009].

Conceitos Gerais sobre SegInfo

Incidentes de Segurança

Um simples ou uma série de eventos de segurança da

informação indesejados ou inesperados, que tenham uma

grande probabilidade de comprometer as operações de

negócios e ameaçar a segurança da informação [ISO

27000:2009].

Conceitos Gerais sobre SegInfo

Controles

Medidas de segurança são práticas, procedimentos e

mecanismos utilizados para a proteção de ativos;

Esses controles podem: (a) impedir que as ameaças explorem as

vulnerabilidades, (b) reduzir o surgimento de vulnerabilidades e (c)

minimizar o impacto dos incidentes de segurança da informação;

Tipos de controles:

Técnicos, administrativos e de gestão;

Conceitos Gerais sobre SegInfo

Conceitos Gerais sobre SegInfo

As Propriedades Básicas da Segurança da Informação

Atividade 02:

Considere um ativo de uma determinada categoria e indique

(descreva) vulnerabilidades e ameaças as quais estes ativos

estão expostos. ( 30 minutos)

Conceitos Gerais sobre SegInfo

Descrição dos Textos de Apoio

Texto 01: “The Cybercrime 2.0 Evolution” (*)

Texto 02: “Cybercrime in the Middle East” (*)

Texto 03: Security Management Practices - Capítulo 3:

Fundamental Principles of Security, Livro “All in One CISSP Exam

Guide” (*)

* Disponível no Xerox – pasta 137.

Leitura Recomendada

Descrição dos Textos de Apoio

Texto 04 (resumo em slides): Ameaças e Mecanismos de

Proteção; (disponível na página da disciplina, leitura obrigatória

para alunos que não sejam do Curso de Segurança da

Informação);

Leitura Recomendada

Entender o negócio

Na etapa inicial de um projeto de segurança, deve-se entender o

ambiente da organização. Normalmente a situação é a seguinte:

Desconhecimento do ambiente/processos;

Baixo (ou nenhum) nível de controle implementado;

Alto índice de riscos;

Falta de uma cultura de segurança;

Resistência (interna e externa);

Considerações Finais

Requisitos de Segurança da Informação

Quais os requisitos de SI? Como obter esses requisitos?

Implementação

A Seg Info é obtida a partir da implementação de um conjunto de

controles adequados as necessidades da organização;

Controles precisam ser estabelecidos, implementados,

monitorados, analisados e melhorados para garantir que os

objetivos do negócio e de segurança sejam atendidos;

Considerações Finais

Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão

Executiva. Rio de Janeiro, Ed. Campus, 2003.

ABNT NBR ISO/IEC 27002:2006. Código de Prática para a Gestão

da Segurança da Informação.

Ramos, Anderson. Guia Oficial para Formação de Gestores em

Segurança da Informação.

Referências Bibliográficas