Conceitos Básicos de Segurança da Informação – Aula 02

Profa Janniele Aparecida Soares Araujo

CSI463 – Segurança e Auditoria de Sistemas

2

A Importância da Informação

● Possuir informação é ganhar agilidade, competitividade, previsibilidade, dinamismo.

● Indivíduo● Aumento da gasolina● Precipitação de chuva● Promoção da passagem aérea● Queda da Bovespa● ...

● Empresa● Discurso do presidente● Valorização do Petróleo● Tendências tecnológicas● Oscilação da taxa de juros● ...

3

Segurança da Informação

“Segurança da Informação é adotar controles físicos, tecnológicos e humanos personalizados, que viabilizem a redução e administração

dos riscos, levando a empresa a atingir o nível de segurança adequado ao seu negócio.” Marcos Sêmola

4

Segurança da Informação

● Em segurança da informação três aspectos importantes se destacam● Confidencialidade: capacidade de um sistema de permitir que

alguns usuários acessem determinadas informações ao mesmo tempo em que impede que outros, não autorizados, a vejam.

● Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida.

● Disponibilidade: a informação deve estar disponível para todos que precisarem dela para a realização dos objetivos empresariais.

5

Segurança da Informação

● Outros aspectos● Autenticação: garantir que um usuário é de fato quem alega ser.● Não-repúdio: capacidade do sistema de provar que um usuário

executou uma determinada ação.● Legalidade: garantir que o sistema esteja aderente à legislação

pertinente.● Privacidade: capacidade de um sistema de manter anônimo um

usuário, impossibilitando o relacionamento entre o usuário e suas ações (exe.: sistema de voto)

● Auditoria: capacidade do sistema de auditar tudo o que foi realizado pelos usuários, detectando fraudes ou tentativas de ataques.

6

Segurança da Informação

● Quando falamos em segurança da informação, estamos nos referindo a tomar ações para garantir os aspectos da segurança das informações dentro das necessidades do clientes.

● Um incidente de segurança é a ocorrência de um evento que possa causar interrupções nos processos de negócio em consequência da violação de algum aspecto de segurança.

7

Ativo de Informação

● A informação é um bem de grande valor para os processos de negócios da organização.● O ativo da informação é composto pela informação e tudo aquilo que

a suporta ou se utiliza dela:● A tecnologia.● O meio que a suporta, que a mantém e que permite que ela exista.● As pessoas que a manipulam.● O ambiente onde ela está inserida.

8

A segurança e o ciclo de vida da informação

● A identificação das necessidades e dos requisitos da informação é a mola propulsora do ciclo.

ArmazenamentoTratamentoObtenção Distribuição Uso DescarteIdentificação das necessidades e

requisitos

Meio externo

Meio Interno

Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.

9

A segurança e o ciclo de vida da informação

● A identificação das necessidades e dos requisitos da informação é a mola propulsora do ciclo.

ArmazenamentoTratamentoObtenção Distribuição Uso DescarteIdentificação das necessidades e

requisitos

Meio externo

Meio Interno

Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.

Preocupar com a integridade

da informação

10

A segurança e o ciclo de vida da informação

● A identificação das necessidades e dos requisitos da informação é a mola propulsora do ciclo.

ArmazenamentoTratamentoObtenção Distribuição Uso DescarteIdentificação das necessidades e

requisitos

Meio externo

Meio Interno

Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.

Garantir que depois de tratadaa informação continue íntegra, e com a sua confidencialidade

garantida

11

A segurança e o ciclo de vida da informação

● A identificação das necessidades e dos requisitos da informação é a mola propulsora do ciclo.

ArmazenamentoTratamentoObtenção Distribuição Uso DescarteIdentificação das necessidades e

requisitos

Meio externo

Meio Interno

Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.

Apreocupação com a integridadee a disponibilidade será uma

constante, e para informações sigilosas a confidencialidade

não pode ser esquecida

12

A segurança e o ciclo de vida da informação

● A identificação das necessidades e dos requisitos da informação é a mola propulsora do ciclo.

ArmazenamentoTratamentoObtenção Distribuição Uso DescarteIdentificação das necessidades e

requisitos

Meio externo

Meio Interno

Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.

Quanto melhor for a rede de distribuição, mais eficiente

será esta etapa

13

A segurança e o ciclo de vida da informação

● A identificação das necessidades e dos requisitos da informação é a mola propulsora do ciclo.

ArmazenamentoTratamentoObtenção Distribuição Uso DescarteIdentificação das necessidades e

requisitos

Meio externo

Meio Interno

Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.

Os conceitos de disponibilidade, integridade e confiabilidade

devem ser aplicados em sua plenitude.

14

A segurança e o ciclo de vida da informação

● A identificação das necessidades e dos requisitos da informação é a mola propulsora do ciclo.

ArmazenamentoTratamentoObtenção Distribuição Uso DescarteIdentificação das necessidades e

requisitos

Meio externo

Meio Interno

Figura: Ciclo de vida da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.

O descarte da informação precisaser realizado dentro de condiçõesde segurança, principalmente no

que tange ao aspecto da confidencialidade.

15

Classificação e Controle de Ativos de Informação

● A classificação da informação é o processo pelo qual estabelecemos o grau de importância das informações frente a seu impacto no negócio ou processo que elas suportam.

Software Físico Serviços PessoasDocumento

em papel

Informação

Ativos da Informação

Figura: Ativos da informação. Fonte: Lyra, M. R. Segurança e auditoria em sistemas de informação.

16

Classificação e Controle de Ativos de Informação

● Quanto mais estratégica ou decisiva para o sucesso do negócio, mais importante a informação será.● Classificação: atividade de atribuir o grau de sigilo a um ativo da

informação● Proprietário: responsável pelo ativo da informação, auxilia na

definição do meio de proteção.● Custodiante: responsável pela guarda do ativo da informação.

Assegura que o ativo da informação está sendo protegido conforme determinado pelo proprietário.

17

Classificação e Controle de Ativos de Informação

● Classificação da informação quanto à confidencialidade● Nível 1 - Pública: são informações que se forem divulgadas fora da organização

não trarão impactos para o negócio. Sua integridade não é vital e seu uso é livre.

● Nível 2 – Interna: o acesso pelo público externo deve ser evitado, entretanto, caso venham a se tornar públicos, as consequências não são críticas.

● Nível 3 – Confidencial: a integridade é vital, o acesso deve ser restrito dentro da organização e protegidos do acesso externo, o acesso não autorizado pode trazer comprometimento às operações da organização e causar perdas financeiras.

● Nível 4 – Secreta: o acesso interno e externo a essa informação é extremamente crítico para a organização, a quantidade de pessoas deve ser muito controlada, a integridade é vital e devem existir regras restritas para o seu uso.

18

Classificação e Controle de Ativos de Informação

● Classificação da informação quanto à disponibilidade● Qual falta a informação faz?

● Nível 1: informações que devem ser recuperadas em minutos.● Nível 2: informações que devem ser recuperadas em horas.● Nível 3: informações que devem ser recuperadas em dias.● Nível 4: informações que não são críticas.

19

Classificação e Controle de Ativos de Informação

● Classificação da informação quanto à integridade● Identificar as informações que são fundamentais ao negócio ajuda a

apontar o local certo para direcionar os controles, para prevenir, detectar e corrigir a produção de informações sem integridade ou alteração indevida da mesma.

● Classificação da informação quanto à autenticidade● Pela recomendação ISO 17.799, dados e informações destinados ao

público externo devem apresentar requisitos de verificação da autenticidade.

20

Classificação e Controle de Ativos de Informação

● Monitoramento contínuo● Após a classificação dos ativos da informação, deve-se elaborar e

manter procedimentos de reavaliação periódica dos mesmos.● A área de segurança da informação deve, em conjunto com os

proprietários da informação, reavaliar a pertinência da categoria atribuída a cada ativo.

21

Aspectos Humanos da Segurança da Informação

Pessoas são elementos centrais de um sistema de segurança da informação. Os incidentes sempre envolvem pessoas, quer do lado das vulnerabilidades exploradas, quer do lado das ameaças que exploram essas vulnerabilidades.

22

Aspectos Humanos da Segurança da Informação

● Chief Security Officer (CSO) - o profissional da segurança● Coordenação da área de segurança e da infraestrutura organizacional.● Planejamento dos investimentos de segurança● Definição dos índices e indicadores para a segurança corporativa● Definição, elaboração, divulgação, treinamento, implementação e

administração da política de segurança, plano de continuidade de negócios e plano de contingência.

● Investigação sobre incidentes de segurança.● Análise de riscos envolvendo segurança.

23

Aspectos Humanos da Segurança da Informação

● A engenharia social é● “A engenharia social é arte de utilizar o comportamento humano

para quebrar a segurança sem que a vítima sequer perceba que foi manipulada.” SANS Institute

● “A engenharia social é um método de ataque onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado aos ativos da informação” CERT.Br

● A engenharia social pode ser dividade em duas categorias: física e psicológica.

24

Aspectos Humanos da Segurança da Informação

● Segurança nos termos, condições e responsabilidades de trabalho● Garantir que a segurança dos ativos da informação seja uma

responsabilidade de todos e que as ações dos colaboradores estejam aderentes à política de segurança é fundamental para o sucesso da segurança corporativa.

● Os termos e condições de trabalho, o que está relacionado ao cargo que determinado funcionário ocupa, as obrigações, cuidados e condutas relativas à segurança da informação devem estar registrados no contrato de trabalho.

25

Aspectos Humanos da Segurança da Informação

● Segurança no processo de seleção de pessoal● O processo de seleção de pessoal é a porta de entrada para a

organização e deve ser alvo de muita atenção.● É preciso, checar, confirmar, entrar em contato com as pessoas

e empresas citadas nos currículos, confirmar os diplomas nas instituições de ensino, verificar, junto às empresas onde o colaborador trabalhou, sua conduta.

26

Aspectos Humanos da Segurança da Informação

● Treinamento dos usuários● Treinar, educar e conscientizar são ações essenciais para o

sucesso de qualquer política de segurança bem-sucedida.● A política de segurança, bem como suas diretrizes devem ser

conhecidos por todos os colaboradores externos e internos.● Todos os colaboradores devem entender os conceitos de

confidencialidade, integridade e disponibilidade, e ter uma conduta compatível com as boas práticas da segurança da informação.

● O treinamento deve ser periódico e sistemático, promovendo o desenvolvimento da cultura da segurança da informação.

27

Política de segurança de Informação

● Antes de implementar o programa é aconselhável responder às seguintes questões● O que se quer proteger?● Contra que ou quem?● Quais são as ameaças mais prováveis?● Qual a importância de cada recurso?● Qual o grau de proteção desejado?● Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os

objetivos de segurança desejados?● Quais as expectativas dos usuários e clientes em relação à segurança de

informações?● Quais as consequências para a instituição se seus sistemas de Informações forem

corrompidos ou roubados?

28

A Indústria 4.0

Indústria 4.0 Fonte: http://www.primeaction.com/noticia_setorial/governo_prepara_estimulo_para_industria_40_no_brasil

29

A Indústria 4.0

Indústria 4.0 Fonte: http://www.primeaction.com/noticia_setorial/governo_prepara_estimulo_para_industria_40_no_brasil

A Ciber Segurança tem que ser um elemento à mais que vai auxiliar no

processo de proteção da informação.

30

Internet das Coisas (IoT) e os Desafios de Segurança

● Internet das Coisas (IoT) impactará o modo como interagimos com o mundo à nossa volta.

● Bilhões de "coisas" conversando umas com as outras: de TVs, geladeiras e carros a medidores inteligentes, monitores de saúde e dispositivos vestíveis (wearables).

● Os dados transmitidos pela IoT formarão uma representação gráfica de cada um de nós. O grande desafio será proteger essas informações.

31

Internet das Coisas (IoT) e os Desafios de Segurança

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

32

Internet das Coisas (IoT) e os Desafios de Segurança

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

33

Internet das Coisas (IoT) e os Desafios de Segurança

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

34

Internet das Coisas (IoT) e os Desafios de Segurança

Proteção para a Internet das coisas Fonte: https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas

35

Estudo de caso: A Solução para Sistemas de Transporte mais Ecológicos e Seguros

1)Como a cidade Exeter utilizou a tecnologia para melhorar a sustentabilidade e a segurança?

2)Como a Internet das Coisas foi utilizada nesse estudo de caso?

3)Como é feita a segurança da informação para o dispositivo utilizado?

4)Quais questões sobre os aspectos de confidencialidade, integridade e disponibilidade, ao seu ponto de vista, são importantes para garantir a segurança da informação para esses dispositivos?

5)Quais fatores do ambiente em que o dispositivo se encontra foram levados em consideração para garantir a segurança da informação?

6)Identifique no estudo de caso alguns ativos de informação que precisam ser controlados.

36

Bibliografia básica

● LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008.

● DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, c2000.

● SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. 1.ed. Rio de Janeiro: Campus, 2003

● https://www.gemalto.com/brasil/iot/protecao-para-a-internet-das-coisas