PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

VULNERABILIDADE

Físicas - Instalações prediais fora do padrão; salas de CPD
mal planejadas; falta de extintores, detectores de fumaça e de
outros recursos para combate a incêndio em sala com armários
e fichários estratégicos; risco de explosões, vazamento ou
incêndio.

Naturais - Computadores são suscetíveis a desastres naturais,
como incêndios, enchentes, terremotos, tempestades, e outros,
como falta de energia, acúmulo de poeira, aumento umidade e
de temperatura etc.

Hardware - Falha nos recursos tecnológicos (desgaste,
obsolescência, má utilização) ou erros durante a instalação.

Software - Erros na instalação ou na configuração podem
acarretar acessos indevidos, vazamento de informações, perda
de dados ou indisponibilidade do recurso quando necessário.

Mídias - Discos, fitas, relatórios e impressos podem ser
perdidos ou danificados. A radiação eletromagnética pode
afetar diversos tipos de mídias magnéticas.

Comunicação - Acessos não autorizados ou perda de
comunicação.

Humanas - Falta de treinamento, compartilhamento de
informações confidenciais, não execução de rotinas de
segurança, erros ou omissões; ameaça de bomba, sabotagens,
distúrbios civis, greves, vandalismo, roubo, destruição da
propriedade ou dados, invasões ou guerras."

PROBABILIDADE E IMPACTO

0. Impacto irrelevante
1. Efeito pouco significativo, sem afetar a maioria dos processos de
negócios da instituição.
2. Sistemas não disponíveis por um determinado período de tempo,
podendo causar perda de credibilidade junto aos clientes e pequenas
perdas financeiras.
3. Perdas financeiras de maior vulto e perda de clientes para a
concorrência.
4. Efeitos desastrosos, porém sem comprometer a sobrevivência da
instituição.
5. Efeitos desastrosos, comprometendo a sobrevivência da instituição.

A Probabilidade é a possibilidade de uma falha de segurança
acontecer

incidente de segurança da informação pode ou não causar um impacto nos
processos/negócios da organização. E ele se localiza depois do incidente

o impacto pode ser de curto a longo prazo em função do tempo em que atinge significativamente os negócios da instituição

AMEAÇA

acidentais

falhas de hardware, desastres
naturais, erros de programação, etc

propositais

Ativas: “Envolvem alteração de dados”.

Passivas: “Envolvem invasão e/ou monitoramento, mas sem
alteração de informações”.

intecionalidade

“Naturais: Ameaças decorrentes de fenômenos da natureza”

“Involuntárias: Ameaças inconsistentes, quase sempre
causadas pelo desconhecimento.”

“Voluntárias: Ameaças propositais causadas por agentes
humanos como hackers, invasores, espiões, ladrões, criadores e
disseminadores de vírus de computador, incendiários."

INCIDENTE DE SEGURANÇA

Detectar, relatar e avaliar os incidentes de segurança da informação;
Responder e gerenciar incidentes de segurança da informação;
Melhorar continuamente a segurança da informação e o gerenciamento
de incidentes;

SEGURANÇA DA INFORMAÇÃO

Confidencialidade: “Garantia de que o acesso à informação é
restrito aos seus usuários legítimos.”. Ou seja,
seu acesso é permitido apenas a determinados usuários.

Integridade: “Toda informação deve ser mantida na mesma
condição em que foi disponibilizada pelo seu proprietário,
visando protegê-las contra alterações indevidas, intencionais ou
acidentais”. Ou seja, informação não
adulterada.

Disponibilidade: “Garantia de que a informação e os ativos
associados estejam disponíveis para os usuários legítimos de
forma oportuna” (Beal, 2008, p. 1). Ou seja, independente da
finalidade, a informação deve estar disponível.

ATIVO DE INFORMAÇÃO

informação: (contratos e acordos, documentações de
sistema, bases de dados, manuais de usuário, etc)

software : (sistemas , aplicativos, ferramentas, etc)

físicos :(mídias removíveis , equipamentos computacionais , equipamentos de comunicação, etc)

serviço :(iluminação, eletricidade, refrigeração, etc)

intangíveis: (ABNT NBR ISO/IEC
27002:2005)

ATAQUE

Passivos: São aqueles que não interferem no conteúdo
do recurso que foi atacado, como por exemplo, observação e
conhecimento de informações armazenadas nos sistemas
institucionais ou análise de tráfego de uma rede.

Ativos: Prejudicam diretamente o conteúdo do recurso
atacado, modificando e eliminando informações ou gerando
informações falsas.

qualquer coisa que tenha
valor para a organização.

ponto fraco do ativo

“a expectativa de
acontecimento acidental ou proposital, causado por um agente, que pode afetar
um ambiente, sistema ou ativo de informação”.

“evento decorrente da exploração de uma vulnerabilidade por uma
ameaça”, em outras palavras um ataque representa a concretização de uma
ameaça.

eventos de segurança indesejados que violem alguns dos aspectos principais da segurança da informação