Segurança da Informação
Probabilidade de Impacto
IMPACTO
pode ser pode ser de curto ou longo prazo em função do tempo em que atinge significativamente os negócios
da instituição
PROBABILIDADE
é a possibilidade de uma falha de segurança
acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as ameaças que porventura venham a influencia-lo
Incidente de Seurança
“um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação
Subtópico
Ameaça
INTENCIONAL
Voluntária
Ameaças propositais causadas por agentes
humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.
Involuntária
Ameaças inconsistentes, quase sempre
causadas pelo desconhecimento.
Natural
Ameaças decorrentes de fenômenos da natureza
PROPOSITAL
Passiva
Envolvem invasão e/ou monitoramento, mas sem alteração de informações
Ativa
Envolvem alteração de dados
ACIDENTAL
são falhas de hardware, desastres naturais, erros de programação, etc
Ativo de Informação
GESTÃO DE ATIVOS
Classificação da Informação
RÓTULOS E TRATAMENTO DA INFORMAÇÃO
Um conjunto de procedimentos apropriados para rotular e tratar a informação.
RECOMENDAÇÕES PARA CLASSIFICAÇÃO
A informação deve ser classificada pelo seu valor, requisitos legais, sensibilidade e criticidade para a organização.
Responsabilidade pelos Ativos
USO ACEITÁVEL DOS ATIVOS
Dever ser identificado, documentado e implementado regras para que seja permitido o uso de informações e de ativos.
PROPRIETÁRIO DOS ATIVOS
Toda informação e ativo devem ter um proprietário designado, por uma parte definida da organização.
INVENTÁRIO DOS ATIVOS
Todo Ativo deve ser identificado em um inventário.
Qualquer coisa qua tenha valor para a organização
INFORMAÇÃO
Contratos e acordos, documentações de
sistema, bases de dados, manuais de usuário, trilha
s de auditoria, planos de continuidade, etc
Sistemas, aplicativos, ferramentas, etc
SERVIÇOS
Iluminação, eletricidade, refrigeração, etc
INTANGÍVEIS
Reputação da organização.
FÍSICOS
Mídias removíveis, equipamentos computacionais, equipamentos de comunicação, etc
PESSOAS
Suas qualificações/experiências
Ataque
Ativos
Prejudicam diretamente o conteúdo do recurso
atacado, modificando e eliminando informações ou gerando informações falsas.
Passivos
São aqueles que não interferem no conteúdo
do recurso que foi atacado
Vulnerabilidade
HUMANA
alta de treinamento, compartilhamento de
informações confidenciais, não execução de rotinas
de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras."
COMUNICAÇÃO
Acessos não autorizados ou perda de
comunicação.
MÍDIA
Discos, fitas, relatórios e impressos podem ser
perdidos ou danificados. A radiação eletromagnética
pode afetar diversos tipos de mídias magnéticas.
SOFTWARE
Erros na instalação ou na configuração podem
acarretar acessos indevidos, vazamento de informações, perdas de dados ou indisponibilidade do recurso quando necessário.
HARDWARE
Falha nos recursos tecnológicos ou erros durante a instalação.
NATURAL
Computadores são suscetíveis a desastres naturais,como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura.
FÍSICA
Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores, detectores de fumaça e de
outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio.
ASPECTOS COMPLEMENTARES
AUDITORIA:
“Capacidade do sistema de auditar tudo o que foi
realizado pelos usuários, detectando fraudes ou tentativas de ataque”.
PRIVACIDADE:
“Capacidade de um sistema de manter anônimo
um usuário, impossibilitando o relacionamento entre o usuário e suas ações”.
LEGALIDADE:
“Garantir que o sistema esteja aderente à
legislação”.
NÃO REPÚDIO
“Capacidade do sistema de provar que um
usuário executou uma determinada ação”. Lyra (2008,
p.4)
AUTENTICAÇÃO:
“Garantir que um usuário é de fato quem alega
ser”.
CONCEITOS
DISPONIBILIDADE: “Garantia de que a informação e os ativos
associados estejam disponíveis para os usuários legítimos de forma oportuna
INTEGRIDADE: “Toda informação deve ser mantida na mesma
condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais”
CONFIDENCIALIDADE:
“Garantia de que o acesso à informação é
restrito aos seus usuários legítimos.”
