Kategorier: Alle - classificação - autenticação - segurança - vulnerabilidade

av Leticia Macedo 6 år siden

122

SEGURANÇA DA INFORMAÇÃO

A segurança da informação é essencial para proteger ativos valiosos, como dados e sistemas, contra ameaças e vulnerabilidades. Envolve a implementação de controles rigorosos para garantir a confidencialidade, integridade e disponibilidade das informações.

SEGURANÇA DA INFORMAÇÃO

SEGURANÇA DA INFORMAÇÃO

PROBABILIDADE E IMPACTO

impacto -efeito ou consequência de um ataque ou incidente para a organização
Categorias

5. Efeitos desastrosos, comprometendo a sobrevivência da instituição

4. Efeitos desastrosos, porém sem comprometer a sobrevivência da instituição

3. Perdas financeiras de maior vulto e perda de clientes para a concorrência

2. Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras

1. Efeito pouco significativo, sem afetar a maioria dos processos de negócios da instituição

0. Impacto irrelevante

probabilidade trata-se das “chances” de uma vulnerabilidade se tornar uma ameaça

AMEAÇA

Intencionalidade
Voluntárias - Ameaças propositais causadas por agentes humanos
Involuntárias - Ameaças inconsistentes
Naturais - Ameaças decorrentes de fenômenos da natureza
Ameaças propositais
Passivas - Envolvem invasão e/ou monitoramento, mas sem alteração de informações
Ativas - Envolvem alteração de dados
a expectativa de acontecimento acidental ou proposital, causado por um agente um ambiente, sistema ou ativo de informação
Sistema
Eventos
Ambiente

VULNERABILIDADE

Humanas - falha humana
Comunicação - Acessos não autorizados ou perda de comunicação
Mídias - Discos, fitas, relatórios e impressos podem ser perdidos ou danificados
Software -Erros na instalação ou na configuração
Hardware - Falha nos recursos tecnológicos
Naturais - Computadores são suscetíveis a desastres naturais
Físicas - Instalações prediais fora do padrão
Fragilidade do ativo
“rompimento” de um ou mais princípios da segurança da informação

ATIVOS DA INFORMAÇÃO

GESTÃO DE ATIVOS
Classificação da Informação
Rótulos e tratamento da informação

Controle - conjunto apropriado de procedimentos para rotular e tratar informação.

Recomendações para classificação

Controle - Informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade.

Responsabilidade pelos Ativos
Uso aceitáveis ativos

Controle - regras para o uso permitido das informações

Proprietariados dos ativos

Controle - todas as informações

Inventario dos ativos

Controle - todos os ativos devem ser identificados

Inagitáveis
Serviços
Fisico
Software
Pessoas
Informação

INCIDENTE DE SEGURANÇA

um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

Gerenciamento de incidentes
Melhorar continuamente a segurança da informação e o gerenciamento de incidentes
Responder e gerenciar incidentes de segurança da informação
Detectar, relatar e avaliar os incidentes de segurança da informação
eventos de segurança indesejados que violem algum dos principais aspectos da segurança da informação

ATAQUE

categorias
Ativos - Prejudicam diretamente o conteúdo do recurso atacado, modificando e eliminando informações ou gerando informações falsas
Passivos - São aqueles que não interferem no conteúdo do recurso que foi atacado
evento decorrente da exploração de uma vulnerabilidade por uma ameaça

Informação - conjunto de dados tratados e organizados de tal maneira que tragam algum significado ou sentido dentro de um dado contexto.

impressa
guardada eletronicamente
escrita
falada

Segurança da Informação - Preservação da confidencialidade, integridade e disponibilidade.

Auditoria - Capacidade do sistema de auditar tudo o que foi realizado pelos usuários
Privacidade - Capacidade de um sistema de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações
Legalidade - Garantir que o sistema esteja aderente à legislação
Não repúdio - Capacidade do sistema de provar que um usuário executou uma determinada ação
Autenticação - Garantir que um usuário é de fato quem alega ser
Disponibilidade - informação e os ativos associados estejam disponíveis para os usuários legítimos
Integridade - informação deve ser mantida na mesma condição em que foi disponibilizada pelo seu proprietário
Confidencialidade - acesso à informação é restrito aos seus usuários legítimos