Categories: All - informação - classificação - segurança - probabilidade

by Superchristian Santos 5 years ago

127

Governaça de Segurança da Informação

A segurança da informação é crucial para qualquer organização, exigindo a classificação dos dados com base em seu valor, requisitos legais, sensibilidade e criticidade. É essencial adotar procedimentos apropriados para rotular e tratar a informação, assegurando que cada ativo tenha um proprietário designado e que as regras de uso aceitável sejam claramente documentadas e implementadas.

Governaça de Segurança da Informação

Segurança da Informação

Probabilidade de Impacto

IMPACTO
pode ser pode ser de curto ou longo prazo em função do tempo em que atinge significativamente os negócios da instituição
PROBABILIDADE
é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as ameaças que porventura venham a influencia-lo

Incidente de Seurança

“um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação
Subtópico

Ameaça

INTENCIONAL
Voluntária

Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.

Involuntária

Ameaças inconsistentes, quase sempre causadas pelo desconhecimento.

Natural

Ameaças decorrentes de fenômenos da natureza

PROPOSITAL
Passiva

Envolvem invasão e/ou monitoramento, mas sem alteração de informações

Ativa

Envolvem alteração de dados

ACIDENTAL
são falhas de hardware, desastres naturais, erros de programação, etc

Ativo de Informação

GESTÃO DE ATIVOS
Classificação da Informação

RÓTULOS E TRATAMENTO DA INFORMAÇÃO

Um conjunto de procedimentos apropriados para rotular e tratar a informação.

RECOMENDAÇÕES PARA CLASSIFICAÇÃO

A informação deve ser classificada pelo seu valor, requisitos legais, sensibilidade e criticidade para a organização.

Responsabilidade pelos Ativos

USO ACEITÁVEL DOS ATIVOS

Dever ser identificado, documentado e implementado regras para que seja permitido o uso de informações e de ativos.

PROPRIETÁRIO DOS ATIVOS

Toda informação e ativo devem ter um proprietário designado, por uma parte definida da organização.

INVENTÁRIO DOS ATIVOS

Todo Ativo deve ser identificado em um inventário.

Qualquer coisa qua tenha valor para a organização
INFORMAÇÃO

Contratos e acordos, documentações de sistema, bases de dados, manuais de usuário, trilha s de auditoria, planos de continuidade, etc

Sistemas, aplicativos, ferramentas, etc

SERVIÇOS

Iluminação, eletricidade, refrigeração, etc

INTANGÍVEIS

Reputação da organização.

FÍSICOS

Mídias removíveis, equipamentos computacionais, equipamentos de comunicação, etc

PESSOAS

Suas qualificações/experiências

Ataque

Ativos
Prejudicam diretamente o conteúdo do recurso atacado, modificando e eliminando informações ou gerando informações falsas.
Passivos
São aqueles que não interferem no conteúdo do recurso que foi atacado

Vulnerabilidade

HUMANA
alta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras."
COMUNICAÇÃO
Acessos não autorizados ou perda de comunicação.
MÍDIA
Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas.
SOFTWARE
Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perdas de dados ou indisponibilidade do recurso quando necessário.
HARDWARE
Falha nos recursos tecnológicos ou erros durante a instalação.
NATURAL
Computadores são suscetíveis a desastres naturais,como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura.
FÍSICA
Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio.
ASPECTOS COMPLEMENTARES
AUDITORIA: “Capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque”.
PRIVACIDADE: “Capacidade de um sistema de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações”.
LEGALIDADE: “Garantir que o sistema esteja aderente à legislação”.
NÃO REPÚDIO “Capacidade do sistema de provar que um usuário executou uma determinada ação”. Lyra (2008, p.4)
AUTENTICAÇÃO: “Garantir que um usuário é de fato quem alega ser”.
CONCEITOS
DISPONIBILIDADE: “Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna
INTEGRIDADE: “Toda informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas, intencionais ou acidentais”
CONFIDENCIALIDADE: “Garantia de que o acesso à informação é restrito aos seus usuários legítimos.”