aula 01 introdução à gestão da segurança da...

25
Aula 01 Introdução à Gestão da Segurança da Informação Prof. Leonardo Lemes Fagundes

Upload: lynhi

Post on 04-Feb-2018

217 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Aula 01

Introdução à Gestão da

Segurança da Informação

Prof. Leonardo Lemes Fagundes

Page 2: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

“Você vê algumas informações e a

maneira como as coisas são

formuladas, e então começa a ter

alguma compreensão da empresa e

das pessoas responsáveis pelo sistemas de TI. E havia essa idéia de

que entendiam de segurança, mas

talvez estivessem fazendo alguma

coisa errada.”

Capítulo 9 – No Continente

A Arte de Invadir

Kevin Mitnick e William Simon

Page 3: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Apresentação

Introdução

Conceitos Gerais Sobre Segurança da Informação

Leitura Recomendada

Considerações Finais

Referências Bibliográficas

Agenda

Page 4: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Leonardo Lemes Fagundes

Mestre em Computação e Bacharel em Análise de Sistemas (UNISINOS)

Professor e Coordenador da Graduação em Segurança da Informação

Diretor e Consultor em Segurança da Informação (Defenda)

Instrutor de SegInfo e Riscos na Escola Superior de Redes (RNP)

Instrutor de Gestão Incidentes credenciado pelo LACNIC

Auditor Líder ISO 27001 – BSI

Certificado em Continuidade de Negócios – DRII

Certified in Risk and Information Systems Control (CRISC) - ISACA

Apresentação

Page 5: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Objetivos da Aula 01

Apresentar e discutir os principais conceitos relacionados a

Segurança da Informação;

Relacionar esses conceitos com a realidade do aluno e das

organizações;

Propiciar uma visão integrada (ciclo da segurança da

informação) entre os conceitos-chaves.

Introdução

Page 6: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Segurança da Informação

“É a proteção da informação contra vários tipos de ameaças

para garantir a continuidade do negócio, minimizar riscos,

maximizar o retorno sobre os investimentos e as oportunidade

de negócios” [ISO 27002].

As informações podem existir em diversas formas;

O mesmo ocorre com as vulnerabilidades e ameaças;

A pergunta chave: O que e como devemos proteger?

Conceitos Gerais sobre SegInfo

Page 7: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

As Propriedades Básicas da Segurança da Informação

Confidencialidade

Certeza de que o que foi dito, escrito ou falado será

acessado somente por pessoas autorizadas;

Conceitos Gerais sobre SegInfo

Page 8: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

As Propriedades Básicas da Segurança da Informação

Integridade

Garantia de que a informação não foi alterada (de forma

indevida ou não-autorizada);

A quebra da integridade ocorre quando a informação é

corrompida, falsificada ou roubada;

Conceitos Gerais sobre SegInfo

Page 9: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

As Propriedades Básicas da Segurança da Informação

Disponibilidade

Garantia de que a informação será acessada quando

necessário;

Disponibilidade -> estratégias de contingência

Conceitos Gerais sobre SegInfo

Page 10: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

As Propriedades Básicas da Segurança da Informação

Para proteger os ativos, em determinados casos, pode ser

necessário aspectos de segurança adicionais, por exemplo:

Não-repúdio (emissor autenticado como autor ...);

Legalidade (ativos com valor legal ...);

Autenticação (processo de identificação e reconhecimento das partes ...);

Autenticidade (garantia de que as partes envolvidas são quem afirmam

ser ...);

Autorização (concessão de permissões ...);

Conceitos Gerais sobre SegInfo

Page 11: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

As Propriedades Básicas da Segurança da Informação

Atividade 01:

Tendo como base a empresa em que atua, descreva

necessidades / requisitos gerias de segurança da informação.

(30 minutos)

Conceitos Gerais sobre SegInfo

Page 12: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Ativos

Qualquer elemento que tenha valor para a organização [ISO

27002];

Os ativos fornecem suporte aos processos de negócios, portanto

devem ser protegidos. Todo elemento utilizado para armazenar,

processar, transportar, armazenar, manusear e descartar a

informação, inclusive a própria.

Conceitos Gerais sobre SegInfo

Page 13: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Ativos

Categorias de Ativos

Os ativos podem ser classificados / agrupados de diversas

formas:

Informações; Hardware; Software; Ambiente Físico;

Pessoas;

Lógico; Físico Humano;

Equipamentos; aplicações, usuários, ambientes,

informações e processos;

Conceitos Gerais sobre SegInfo

Page 14: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Vulnerabilidades

Fragilidade de um ativo ou grupo de ativos que pode ser

explorada por uma ou mais ameaças [ISO 27002];

As vulnerabilidades devem ser gerenciadas (identificadas e

corrigidas);

Tipos de Vulnerabilidades

Físicas; naturais; hardware e software e humanas;

Conceitos Gerais sobre SegInfo

Page 15: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Ameaças

Causa potencial (agente) de um incidente indesejado, que pode

resultar em dano para um sistema ou organização [ISO 27002];

A segurança da informação precisa prover mecanismos para

impedir que as ameaças explorem as vulnerabilidades;

Tipos de Ameaças

Ameaças Naturais; Intencionais e Involuntárias;

Conceitos Gerais sobre SegInfo

Page 16: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Evento de Segurança da Informação

Uma ocorrência identificada de um estado de sistema, serviço

ou rede, indicando uma possível violação da política de

segurança da informação ou falha de controles que possa ser

relevante para a segurança da informação [ISO 27000:2009].

Conceitos Gerais sobre SegInfo

Page 17: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Incidentes de Segurança

Um simples ou uma série de eventos de segurança da

informação indesejados ou inesperados, que tenham uma

grande probabilidade de comprometer as operações de

negócios e ameaçar a segurança da informação [ISO

27000:2009].

Conceitos Gerais sobre SegInfo

Page 18: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Controles

Medidas de segurança são práticas, procedimentos e

mecanismos utilizados para a proteção de ativos;

Esses controles podem: (a) impedir que as ameaças explorem as

vulnerabilidades, (b) reduzir o surgimento de vulnerabilidades e (c)

minimizar o impacto dos incidentes de segurança da informação;

Tipos de controles:

Técnicos, administrativos e de gestão;

Conceitos Gerais sobre SegInfo

Page 19: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Conceitos Gerais sobre SegInfo

Page 20: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

As Propriedades Básicas da Segurança da Informação

Atividade 02:

Considere um ativo de uma determinada categoria e indique

(descreva) vulnerabilidades e ameaças as quais estes ativos

estão expostos. ( 30 minutos)

Conceitos Gerais sobre SegInfo

Page 21: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Descrição dos Textos de Apoio

Texto 01: “The Cybercrime 2.0 Evolution” (*)

Texto 02: “Cybercrime in the Middle East” (*)

Texto 03: Security Management Practices - Capítulo 3:

Fundamental Principles of Security, Livro “All in One CISSP Exam

Guide” (*)

* Disponível no Xerox – pasta 137.

Leitura Recomendada

Page 22: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Descrição dos Textos de Apoio

Texto 04 (resumo em slides): Ameaças e Mecanismos de

Proteção; (disponível na página da disciplina, leitura obrigatória

para alunos que não sejam do Curso de Segurança da

Informação);

Leitura Recomendada

Page 23: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Entender o negócio

Na etapa inicial de um projeto de segurança, deve-se entender o

ambiente da organização. Normalmente a situação é a seguinte:

Desconhecimento do ambiente/processos;

Baixo (ou nenhum) nível de controle implementado;

Alto índice de riscos;

Falta de uma cultura de segurança;

Resistência (interna e externa);

Considerações Finais

Page 24: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Requisitos de Segurança da Informação

Quais os requisitos de SI? Como obter esses requisitos?

Implementação

A Seg Info é obtida a partir da implementação de um conjunto de

controles adequados as necessidades da organização;

Controles precisam ser estabelecidos, implementados,

monitorados, analisados e melhorados para garantir que os

objetivos do negócio e de segurança sejam atendidos;

Considerações Finais

Page 25: Aula 01 Introdução à Gestão da Segurança da Informaçãoprofessor.unisinos.br/llemes/Aula01/Aula01.pdf · para garantir a continuidade do negócio, ... [ISO 27002]; A segurança

Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão

Executiva. Rio de Janeiro, Ed. Campus, 2003.

ABNT NBR ISO/IEC 27002:2006. Código de Prática para a Gestão

da Segurança da Informação.

Ramos, Anderson. Guia Oficial para Formação de Gestores em

Segurança da Informação.

Referências Bibliográficas