INCIDENTE DE SEGURANÇA

• Corresponde a quaquer evento adverso relacionado á segurança;

• Por exemplo: Ataques de Negação de Serviços(Denial of Service - DoS);

• Roubo de informações;• Vazamento e obtenção de acesso não

autorizado a informaçào.

ATIVO

• Qualquer coisa que tenha valor para a organização e para seus negócios.

• Alguns exemplos: banco de dados, software, equipamentos(computadores e notebooks), servidores, elementos de redes(roteadores, switches, entre outros), pessoas, processos e serviços.

AMEAÇA

• Qualquer evento que explore vulnerabilidades.

• Causa pontencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.

VULNERABILIDADE• Qualquer fraqueza que possa ser explorada e comprometer a

segurança de sistemas ou informações.• Fragilidade de um ativo ou grupo de ativos que pode ser

explorada por uma ou mais ameaças. • Vulnerabilidades são falhas que permitem o surgimento de

deficiências na segurança geral do computador ou da rede.• Configurações incorretas no computador ou na segurança geral

do computador.• A partir dessa falha, as ameaças exploram as vulnerabilidades,

que, quando concretizadas, resultam e danos para o computador, para a organização ou para os dados pessoais.

RISCO

• Combinação da probabilidade(chance da ameaça se concretizar) de um evento ocorrer e de suas consequências para a organização.

ATAQUE

• Qualquer ação que comprometa a segurança de uma organizaçào;

IMPACTO

• Consequência avaliada de um evento em particular;

Modelos de Ataque

Fluxo Normal

A BFonte de

InformaçãoDestino daInformação

Modificação Fabricação

A B

Interrupção

A B

InterceptaçãoI

A B

M

A B

F

FORMAS DE ATAQUES

O ataque é um ato deliberado de tentar se desviar dos controles de segurança com o objetivo de explorar as vulnerabilidades.

ATAQUES PASSIVOS

• Ataques baseados em escutas e monitoramento de transmissões, com o intuito de obter informações que estão sendo transmitidas.

• A escuta de uma conversa telefônica é um exemplo dessa categoria.

• Ataques dessa categoria são dificies de detectar porque não envolver alterações de dados, todavia, são possíveis de prevenir com a utilização de criptografia.

ATAQUES ATIVOS

• Envolvem modificação de dados, criação de objetos falsificados ou negação de serviço;

• Possuem propriedades opostas ás dos ataques passivos.

• São ataques de difícil prevenção, por causa da necessidade de proteção completa de todas as facilidades de comunicação e processamento, durante o tempo todo.

Visão geral de gestão da segurança da informação:

• Preparando a organização;• Requisitos de segurança;• Análise/Avaliação de riscos;• Seleção de controles;• Itens relevantes Atividades Envolvidas;

Preparando a organização

É preciso ter em mente as respostas aos seguintes questionamentos:

• O que proteger?• Contra o quê ou quem?• Qual a importância de cada recurso?• Qual o grau de proteção desejado?• Quanto tempo, recursos financeiros e humanos se

pretende gastar para atingir os objetivos de segurança desejados?

• Quais as expectativas dos diretores, clientes e usuários em relação á segurança da Informação?

REQUISITOS DE SEGURANÇA

Análise/avaliação de riscos• Análise/avaliação de riscos da organição.

Considera os objetivos e estratégias de negócio da organização, resultando na identificação de vulnerabilidades e ameaças aos ativos.

• Legislação Vigente:

Estatutos, regulamentação e cláusulas contratuais a que devem atender a organização, seus parceiros, terceirizados e fornecedores.

• Conjunto de princípios:

Objetios e requisitos de negócio para o processamento de dados que a organização deve definir dar suporte ás suas operações.

ANÁLISE/AVALIAÇÃO DE RISCOS

ANÁLISE/AVALIAÇÃO DE RISCOS

• Gastos com controles precisam ser balanceados de acordo com os dados potenciais.

• Resultados direcionam e determinam ações gerenciais.

• Tarefa periódica, para contemplar mudanças.

Seleção de controles

Controles devem ser implementados para garantir a redução de riscos.Dependem das decisões da organização quanto aos riscos.

Alguns exemplos de controle:

• Barreira, portas cartazes de "Proibida a entrada" e catracas;

• Crachás, controle de visitantes e CFTV;• Senhas, fechaduras e controles biometricos;• Políticas de segurança, termos de

responsabilidade e treinamento;• Antivírus, backup e controle de acesso lógico.

Controles considerados essenciais, do ponto de vista legal:

• Proteção de dados e pricacidade.• Proteção de registro organizacionais.• Direitos de proproedade intelectual.

Sob o ponto de vista legal

• Proteção de dados e privacidade de informaçõe pessoais;

• Proteção de registros organizacionais;• Direitos de propriedade intelectual.

Controles considerados de boas práticas:

• Politica de segurança da informação;• Atribuição de responsabilidades;• Conscientização, educação e treinamento em

segurança da informação;• Processamento correto em aplicações;• Gestão da vulnerabilidades;• Gestão da continuidade do negócio;• Gestão de incidentes de segurança da

informação;

Controles de boas práticas para a segunça da informação compreendem:

• Documentos da política de segurança da informação;

• Atribuição de responsabilidades para a segurança da informação;

• Processamento corrreto nas aplicações;• Gestão das vulnerabilidades técnicas;• Gestão da continuidade do negocio;• Gestão de incidentes de Segurança da

informação.

Atividade envolvidas

• Gerência de segurança dos sistemas;• Gerência dos serviços de segurança;• Gerência dos mecanismos de segurança;• Gerência da autoria de segurança