Categorias: Todos - disponibilidade - privacidade - segurança - vulnerabilidade

por Célio Pacheco 6 anos atrás

117

CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

O conceito de segurança da informação abrange uma série de princípios essenciais para garantir a proteção de dados e sistemas. Confidencialidade visa assegurar que apenas usuários autorizados tenham acesso às informações, enquanto a disponibilidade garante que esses dados estejam acessíveis de forma oportuna aos seus legítimos usuários.

CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

CONCEITOS E PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

Probabilidade e Impacto

A Probabilidade é a possibilidade de uma falha de segurança acontecer, observando-se o grau de vulnerabilidade encontrada nos ativo e as ameaças que porventura venham a influencia-lo (Lyra 2008, p. 06).Probabilidade, vulnerabilidade e ameaças estão fortemente ligadas.

Vulnerabilidade

Humanas
Falta de treinamento, compartilhamento de informações confidenciais, não execução de rotinas de segurança, erros ou omissões; ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismo, roubo, destruição da propriedade ou dados, invasões ou guerras."
Comunicação
Acessos não autorizados ou perda de comunicação.
Mídias
Discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnética pode afetar diversos tipos de mídias magnéticas.
Software
Erros na instalação ou na configuração podem acarretar acessos indevidos, vazamento de informações, perda de dados ou indisponibilidade do recurso quando necessário.
Hardware
Falha nos recursos tecnológicos (desgaste, obsolescência, má utilização) ou erros durante a instalação.
Naturais
Computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos, tempestades, e outros, como falta de energia, acúmulo de poeira, aumento umidade e de temperatura etc.
Físicas
Instalações prediais fora do padrão; salas de CPD mal planejadas; falta de extintores, detectores de fumaça e de outros recursos para combate a incêndio em sala com armários e fichários estratégicos; risco de explosões, vazamento ou incêndio.

Ativo de Informação

De acordo com a ISO/IEC 27001:2005, um ativo é “qualquer coisa que tenha valor para organização”. Portanto, podem existir diversos tipos de ativos incluindo a própria informação (contratos e acordos, documentações de sistema, bases de dados, manuais de usuário, trilhas de auditoria, planos de continuidade, etc), pessoas e suas qualificações/experiências, ativos de software (sistemas, aplicativos, ferramentas, etc), ativos físicos (mídias removíveis, equipamentos computacionais, equipamentos de comunicação, etc), serviços (iluminação, eletricidade, refrigeração, etc) e aqueles que são intangíveis como é o caso da reputação da organização. (ABNT NBR ISO/IEC 27002:2005)

Incidente de Segurança

Incidente:
Evento com consequências negativas resultante de um ataque bem-sucedido. Exemplos de incidentes: dados incorretos armazenados num sistema, inundação que danifica máquinas do CPD, pagamento indevido em decorrência da inclusão indevida de fatura de compra no sistema.

Ataque

Ativos:
Prejudicam diretamente o conteúdo do recurso atacado, modificando e eliminando informações ou gerando informações falsas.
Passivos:
São aqueles que não interferem no conteúdo do recurso que foi atacado, como por exemplo, observação e conhecimento de informações armazenadas nos sistemas institucionais ou análise de tráfego de uma rede.

Segurança da Informação

Auditoria:
“Capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataque”.
Privacidade:
“Capacidade de um sistema de manter anônimo um usuário, impossibilitando o relacionamento entre o usuário e suas ações”.
Legalidade:
“Garantir que o sistema esteja aderente à legislação”.
Não repúdio:
“Capacidade do sistema de provar que um usuário executou uma determinada ação”. Lyra (2008, p.4)
Autenticação:
“Garantir que um usuário é de fato quem alega ser”.
Disponibilidade:
“Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna” (Beal, 2008,).
Confidencialidade:
“Garantia de que o acesso à informação é restrito aos seus usuários legítimos.”

Ameaça

Voluntárias:
"Ameaças propositais causadas por agentes humanos como hackers, invasores, espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.”
Involuntárias:
"Ameaças inconsistentes, quase sempre causadas pelo desconhecimento.”
Naturais:
"Ameaças decorrentes de fenômenos da natureza”
Passivas:
“Envolvem invasão e/ou monitoramento, mas sem alteração de informações”.
Ativas:
“Envolvem alteração de dados”