CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Lisää tämän kaltaisia

Arquiteturas Distribuídas para Sistemas Colaborativos

luonut Lucas Silveira

Ideias

luonut Ricardo Cassiano dos Santos

Lotus Notes

luonut Everson Gleison Rodrigues

Normas regulamentadoras Brasil

luonut Carlos Fernandes

CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Probabilidade e Impacto

A Probabilidade é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as ameaças que porventura venham a influencia-lo (Lyra 2008, p. 06).Probabilidade, vulnerabilidade e ameaças estão fortemente ligadas.

Vulnerabilidade

Humanas

Falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras."

Comunicação

Acessos não autorizados ou perda de comunicação.

Mídias

Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas.

Software

Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário.

Hardware

Falha nos recursos tecnológicos (desgaste, obsolescência, má utilização) ou erros durante a instalação.

Naturais

Computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc.

Físicas

Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio.

Ativo de Informação

De acordo com a ISO/IEC 27001:2005, um ativo é “qualquer coisa que tenha valor para organização”. Portanto, podem existir diversos tipos de ativos incluindo a própria informação (contratos e acordos, documentações de sistema, bases de dados, manuais de usuário, trilhas de auditoria, planos de continuidade, etc), pessoas e suas qualificações/experiências, ativos de software (sistemas, aplicativos, ferramentas, etc), ativos físicos (mídias removíveis, equipamentos computacionais, equipamentos de comunicação, etc), serviços (iluminação, eletricidade, refrigeração, etc) e aqueles que são intangíveis como é o caso da reputação da organização. (ABNT NBR ISO/IEC 27002:2005)

Incidente de Segurança

Incidente:

Evento com consequências negativas resultante de um ataque bem-sucedido. Exemplos de incidentes: dados incorretos armazenados num sistema, inundação que danifica máquinas do CPD, pagamento indevido em decorrência da inclusão indevida de fatura de compra no sistema.

Ataque

Ativos:

Prejudicam diretamente o conteúdo do recurso atacado, modificando e eliminando informações ou gerando informações falsas.

Passivos:

São aqueles que não interferem no conteúdo do recurso que foi atacado, como por exemplo, observação e conhecimento de informações armazenadas nos sistemas institucionais ou análise de tráfego de uma rede.

Segurança da Informação

Auditoria:

“Capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque”.

Privacidade:

“Capacidade de um sistema de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações”.

Legalidade:

“Garantir que o sistema esteja aderente à legislação”.

Não repúdio:

“Capacidade do sistema de provar que um usuário executou uma determinada ação”. Lyra (2008, p.4)

Autenticação:

“Garantir que um usuário é de fato quem alega ser”.

Disponibilidade:

“Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna” (Beal, 2008,).

Confidencialidade:

“Garantia de que o acesso à informação é restrito aos seus usuários legítimos.”

Ameaça

Voluntárias:

"Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.”

Involuntárias:

"Ameaças inconsistentes, quase sempre causadas pelo desconhecimento.”

Naturais:

"Ameaças decorrentes de fenômenos da natureza”

Passivas:

“Envolvem invasão e/ou monitoramento, mas sem alteração de informações”.

Ativas:

“Envolvem alteração de dados”

CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Arquiteturas Distribuídas para Sistemas Colaborativos

Ideias

Lotus Notes

Normas regulamentadoras Brasil

CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Probabilidade e Impacto

A Probabilidade é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as ameaças que porventura venham a influencia-lo (Lyra 2008, p. 06).Probabilidade, vulnerabilidade e ameaças estão fortemente ligadas.

Vulnerabilidade

Humanas

Falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras."

Comunicação

Acessos não autorizados ou perda de comunicação.

Mídias

Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas.

Software

Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário.

Hardware

Falha nos recursos tecnológicos (desgaste, obsolescência, má utilização) ou erros durante a instalação.

Naturais

Computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc.

Físicas

Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio.

Ativo de Informação

Incidente de Segurança

Incidente:

Evento com consequências negativas resultante de um ataque bem-sucedido. Exemplos de incidentes: dados incorretos armazenados num sistema, inundação que danifica máquinas do CPD, pagamento indevido em decorrência da inclusão indevida de fatura de compra no sistema.

Ataque

Ativos:

Prejudicam diretamente o conteúdo do recurso atacado, modificando e eliminando informações ou gerando informações falsas.

Passivos:

São aqueles que não interferem no conteúdo do recurso que foi atacado, como por exemplo, observação e conhecimento de informações armazenadas nos sistemas institucionais ou análise de tráfego de uma rede.

Segurança da Informação

Auditoria:

“Capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque”.

Privacidade:

“Capacidade de um sistema de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações”.

Legalidade:

“Garantir que o sistema esteja aderente à legislação”.

Não repúdio:

“Capacidade do sistema de provar que um usuário executou uma determinada ação”. Lyra (2008, p.4)

Autenticação:

“Garantir que um usuário é de fato quem alega ser”.

Disponibilidade:

“Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna” (Beal, 2008,).

Confidencialidade:

“Garantia de que o acesso à informação é restrito aos seus usuários legítimos.”

Ameaça

Voluntárias:

"Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.”

Involuntárias:

"Ameaças inconsistentes, quase sempre causadas pelo desconhecimento.”

Naturais:

"Ameaças decorrentes de fenômenos da natureza”

Passivas:

“Envolvem invasão e/ou monitoramento, mas sem alteração de informações”.

Ativas:

“Envolvem alteração de dados”

Levitä sanaa Mindomosta

Mindomo

Lisää tietoja

Ukk