SEGURANÇA DA INFORMAÇÃO
Segurança da Informação - Preservação da confidencialidade, integridade e disponibilidade.
Confidencialidade - acesso à informação é
restrito aos seus usuários legítimos
Integridade - informação deve ser mantida na mesma
condição em que foi disponibilizada pelo seu proprietário
Disponibilidade - informação e os ativos
associados estejam disponíveis para os usuários legítimos
Autenticação - Garantir que um usuário é de fato quem alega ser
Não repúdio - Capacidade do sistema de provar que um
usuário executou uma determinada ação
Legalidade - Garantir que o sistema esteja aderente à
legislação
Privacidade - Capacidade de um sistema de manter anônimo
um usuário, impossibilitando o relacionamento entre o usuário e suas ações
Auditoria - Capacidade do sistema de auditar tudo o que foi
realizado pelos usuários
Informação - conjunto de dados tratados e organizados de tal maneira que tragam algum significado ou sentido dentro de um dado contexto.
falada
escrita
guardada eletronicamente
impressa
ATAQUE
evento decorrente da exploração de uma vulnerabilidade por uma ameaça
categorias
Passivos - São aqueles que não interferem no conteúdo
do recurso que foi atacado
Ativos - Prejudicam diretamente o conteúdo do recurso
atacado, modificando e eliminando informações ou gerando
informações falsas
INCIDENTE DE SEGURANÇA
eventos de segurança indesejados que violem algum dos
principais aspectos da segurança da informação
Gerenciamento de incidentes
Detectar, relatar e avaliar os incidentes de segurança da informação
Responder e gerenciar incidentes de segurança da informação
Melhorar continuamente a segurança da informação e o gerenciamento
de incidentes
ATIVOS DA INFORMAÇÃO
Informação
Pessoas
Software
Fisico
Serviços
Inagitáveis
GESTÃO DE ATIVOS
Inventario dos ativos
Controle - todos os ativos devem ser identificados
Proprietariados dos ativos
Controle - todas as informações
Uso aceitáveis ativos
Controle - regras para o uso permitido das informações
Responsabilidade pelos Ativos
Recomendações para classificação
Controle - Informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade.
Rótulos e tratamento da informação
Controle - conjunto apropriado de procedimentos para rotular e tratar informação.
Classificação da Informação
VULNERABILIDADE
Fragilidade do ativo
“rompimento” de um ou mais princípios da segurança da informação
Físicas - Instalações prediais fora do padrão
Naturais - Computadores são suscetíveis a desastres naturais
Hardware - Falha nos recursos tecnológicos
Software -Erros na instalação ou na configuração
Mídias - Discos, fitas, relatórios e impressos podem ser
perdidos ou danificados
Comunicação - Acessos não autorizados ou perda de
comunicação
Humanas - falha humana
AMEAÇA
a expectativa de acontecimento acidental ou proposital, causado por um agente um ambiente, sistema ou ativo de informação
Pessoas
Ambiente
Eventos
Sistema
Ameaças propositais
Ativas - Envolvem alteração de dados
Passivas - Envolvem invasão e/ou monitoramento, mas sem
alteração de informações
Intencionalidade
Naturais - Ameaças decorrentes de fenômenos da natureza
Involuntárias - Ameaças inconsistentes
Voluntárias - Ameaças propositais causadas por agentes
humanos
PROBABILIDADE E IMPACTO
probabilidade trata-se das
“chances” de uma vulnerabilidade se tornar uma ameaça
impacto -efeito ou consequência de um
ataque ou incidente para a organização
Categorias
0. Impacto irrelevante
1. Efeito pouco significativo, sem afetar a maioria dos processos de negócios da instituição
2. Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e pequenas perdas financeiras
3. Perdas financeiras de maior vulto e perda de clientes para a concorrência
4. Efeitos desastrosos, porém sem comprometer a sobrevivência da instituição
5. Efeitos desastrosos, comprometendo a sobrevivência da instituição