SEGURANÇA DA INFORMAÇÃO
PROBABILIDADE E IMPACTO
impacto -efeito ou consequência de um
ataque ou incidente para a organização
Categorias
5. Efeitos desastrosos, comprometendo a sobrevivência da instituição
4. Efeitos desastrosos, porém sem comprometer a sobrevivência da instituição
3. Perdas financeiras de maior vulto e perda de clientes para a concorrência
2. Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras
1. Efeito pouco significativo, sem afetar a maioria dos processos de negócios da instituição
0. Impacto irrelevante
probabilidade trata-se das
“chances” de uma vulnerabilidade se tornar uma ameaça
AMEAÇA
Intencionalidade
Voluntárias - Ameaças propositais causadas por agentes
humanos
Involuntárias - Ameaças inconsistentes
Naturais - Ameaças decorrentes de fenômenos da natureza
Ameaças propositais
Passivas - Envolvem invasão e/ou monitoramento, mas sem
alteração de informações
Ativas - Envolvem alteração de dados
a expectativa de acontecimento acidental ou proposital, causado por um agente um ambiente, sistema ou ativo de informação
Sistema
Eventos
Ambiente
VULNERABILIDADE
Humanas - falha humana
Comunicação - Acessos não autorizados ou perda de
comunicação
Mídias - Discos, fitas, relatórios e impressos podem ser
perdidos ou danificados
Software -Erros na instalação ou na configuração
Hardware - Falha nos recursos tecnológicos
Naturais - Computadores são suscetíveis a desastres naturais
Físicas - Instalações prediais fora do padrão
Fragilidade do ativo
“rompimento” de um ou mais princípios da segurança da informação
ATIVOS DA INFORMAÇÃO
GESTÃO DE ATIVOS
Classificação da Informação
Rótulos e tratamento da informação
Controle - conjunto apropriado de procedimentos para rotular e tratar informação.
Recomendações para classificação
Controle - Informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade.
Responsabilidade pelos Ativos
Uso aceitáveis ativos
Controle - regras para o uso permitido das informações
Proprietariados dos ativos
Controle - todas as informações
Inventario dos ativos
Controle - todos os ativos devem ser identificados
Inagitáveis
Serviços
Fisico
Software
Pessoas
Informação
INCIDENTE DE SEGURANÇA
um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação
Gerenciamento de incidentes
Melhorar continuamente a segurança da informação e o gerenciamento
de incidentes
Responder e gerenciar incidentes de segurança da informação
Detectar, relatar e avaliar os incidentes de segurança da informação
eventos de segurança indesejados que violem algum dos
principais aspectos da segurança da informação
ATAQUE
categorias
Ativos - Prejudicam diretamente o conteúdo do recurso
atacado, modificando e eliminando informações ou gerando
informações falsas
Passivos - São aqueles que não interferem no conteúdo
do recurso que foi atacado
evento decorrente da exploração de uma vulnerabilidade por uma ameaça
Informação - conjunto de dados tratados e organizados de tal maneira que tragam algum significado ou sentido dentro de um dado contexto.
impressa
guardada eletronicamente
escrita
falada
Segurança da Informação - Preservação da confidencialidade, integridade e disponibilidade.
Auditoria - Capacidade do sistema de auditar tudo o que foi
realizado pelos usuários
Privacidade - Capacidade de um sistema de manter anônimo
um usuário, impossibilitando o relacionamento entre o usuário e suas ações
Legalidade - Garantir que o sistema esteja aderente à
legislação
Não repúdio - Capacidade do sistema de provar que um
usuário executou uma determinada ação
Autenticação - Garantir que um usuário é de fato quem alega ser
Disponibilidade - informação e os ativos
associados estejam disponíveis para os usuários legítimos
Integridade - informação deve ser mantida na mesma
condição em que foi disponibilizada pelo seu proprietário
Confidencialidade - acesso à informação é
restrito aos seus usuários legítimos
