CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Ativas:

“Envolvem alteração de dados”

Passivas:

“Envolvem invasão e/ou monitoramento, mas sem
alteração de informações”.

Naturais:

"Ameaças decorrentes de fenômenos da natureza”

Involuntárias:

"Ameaças inconsistentes, quase sempre
causadas pelo desconhecimento.”

Voluntárias:

"Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.”

Confidencialidade:

“Garantia de que o acesso à informação é
restrito aos seus usuários legítimos.”

Disponibilidade:

“Garantia de que a informação e os ativos
associados estejam disponíveis para os usuários legítimos de
forma oportuna” (Beal, 2008,).

Autenticação:

“Garantir que um usuário é de fato quem alega
ser”.

Não repúdio:

“Capacidade do sistema de provar que um
usuário executou uma determinada ação”. Lyra (2008, p.4)

Legalidade:

“Garantir que o sistema esteja aderente à
legislação”.

Privacidade:

“Capacidade de um sistema de manter anônimo
um usuário, impossibilitando o relacionamento entre o usuário e
suas ações”.

Auditoria:

“Capacidade do sistema de auditar tudo o que foi
realizado pelos usuários, detectando fraudes ou tentativas de
ataque”.

Passivos:

São aqueles que não interferem no conteúdo do recurso que foi atacado, como por exemplo, observação e conhecimento de informações armazenadas nos sistemas institucionais ou análise de tráfego de uma rede.

Ativos:

Prejudicam diretamente o conteúdo do recurso atacado, modificando e eliminando informações ou gerando informações falsas.

Incidente:

Evento com consequências negativas resultante
de um ataque bem-sucedido. Exemplos de incidentes:
dados incorretos armazenados num sistema, inundação que
danifica máquinas do CPD, pagamento indevido em
decorrência da inclusão indevida de fatura de compra no
sistema.

De acordo com a ISO/IEC 27001:2005, um ativo é “qualquer coisa que tenha valor para organização”. Portanto, podem existir diversos tipos de ativos incluindo a própria informação (contratos e acordos, documentações de sistema, bases de dados, manuais de usuário, trilhas de auditoria, planos de
continuidade, etc), pessoas e suas qualificações/experiências, ativos de software (sistemas, aplicativos, ferramentas, etc), ativos físicos (mídias removíveis, equipamentos computacionais, equipamentos de comunicação, etc), serviços (iluminação, eletricidade, refrigeração, etc) e aqueles que são
intangíveis como é o caso da reputação da organização. (ABNT NBR ISO/IEC
27002:2005)

Físicas

Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores, detectores de fumaça e de
outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio.

Naturais

Computadores são suscetíveis a desastres naturais,
como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc.

Hardware

Falha nos recursos tecnológicos (desgaste, obsolescência, má utilização) ou erros durante a instalação.

Software

Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário.

Mídias

Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas.

Comunicação

Acessos não autorizados ou perda de
comunicação.

Humanas

Falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras."

A Probabilidade é a possibilidade de uma falha de segurança
acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as ameaças que porventura venham a influencia-lo (Lyra 2008, p. 06).Probabilidade, vulnerabilidade e ameaças estão fortemente ligadas.