Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Segurança da Informação e
Proteção ao Conhecimento
Douglas Farias Cordeiro
Riscos
O que são vulnerabilidades, ameças e riscos?
É fundamental que a equipe de segurança da informação
realize uma boa gestão de riscos!
O ambiente e as atividades de negócios
Compreender o ambiente e as atividades de negócios é um
ponto chave no estudo de vulnerabilidades, ameaças e
riscos;
Para se compreender o ambiente de negócios é importante
se conhecer o planejamento estratégico da organização.
Planejamento estratégico
Trata-se da formulação de objetivos voltados à seleção de
programas de ação:
– O que dever ser executado;
– Como deve ser executado.
É a aplicação dos recursos disponíveis
para explorar condições favoráveis
visando determinados objetivos.
Planejamento estratégico
O planejamento estratégico busca prever o futuro da
organização a longo prazo!
Neste processo é necessário levar em conta condições
internas e externas, e quais os impactos esperados.
Planejamento estratégico
O que ocorre quando não existem informações sobre o
planejamento estratégico de uma organização?
SWOT
Quando não se possui um planejamento estratégico
disponível, é necessário explorar modelos de construção de
cenários.
– Exemplo: SWOT.
SWOT
SWOT:
– S: Strenghts – pontos fortes;
– W: Weaknesses – pontos fracos;
– O: Opportunities – oportunidades;
– T: Threats – ameaças.
Avaliação dos pontos fortes e fracos em relação às
oportunidades e ameaças existentes.
SWOT
Pontos fortes:
– Situações positivas dentro do ambiente
organizacional;
Pontos fracos:
– Situações negativas internas, que dificultam o
desenvolvimento de atividades;
SWOT
Oportunidades:
– Situações externas que podem e devem ser
aproveitadas para se alcançar objetivos;
Ameaças:
– Situações provindas de vulnerabilidades, as quais
podem comprometer e inviabilizar o alcance dos
objetivos.
Exemplo
McDonald's
SWOT
Esta análise fornece um resultado estático sobre a
organização;
– É importante ter a noção que o ambiente
organizacional pode sofrer contínuas
modificações.
SWOT
Problema comum em SWOT:
– Levantar as quatro variáveis de forma isolada.
Solução:
– Fazer uma associação entre as variáveis,
destacando as influências e impactos entre elas.
Projeção
Análise de cenários (Projeção):
– Realiza-se um levantamento histórico sobre
estratégias anteriores;
– Projeta-se três cenários:
• Pouco otimista;
• Normal;
• Muito otimista.
Prospecção
Análise de cenários (Prospecção):
– Estudo de diversas possibilidades futuras possíveis;
– Preparar a organização para enfrentar qualquer
possibilidade considerada;
– Criar condições para modificar possibilidades ou
minimizar efeitos.
Prospecção
O objetivo é minimizar os riscos e proporcionar
competitividade;
Para a segurança da informação, é de fundamental
importância se realizar a avaliação de cenários:
“Se isso acontecer, o que devemos fazer?”
Deve existir um alinhamento entre a segurança da
informação e os propósitos ou estratégias organizacionais.
Atividades de negócio
É importante compreender a dimensão das atividades
desenvolvidas;
– Existem caso em que o risco é constante!
• Avaliação detalhada das ameaças;
• Emprego de alta tecnologia;
Exemplo
Sistema de controle de acesso:
– Funcionamento: utiliza controle baseado em
identificação biométrica;
– Pode ser fraudado usando material gelatinoso.Ver vídeo G1.
Exemplo
Captura de dados de equipamentos CRT ou LED:
– Uso de telescópios;
– Fotossensores
Prevenção X Reação
Prevenção:
– Conjunto de ações que visa evitar e detectar
ameças;
Reação:
– A resposta em relação a um determinado evento;
– Retorno à normalidade e minimização dos
impactos.
Prevenção X Reação
Qual a diferença entre prevenção e reação?
– O aspecto temporal;
– A prevenção age na antecipação, detecção,
tratamento e aceitação;
– A reação na resposta e ações posteriores.
Prevenção X Reação
O que há de comum entre prevenção e reação?
– São estruturadas em um mesmo estudo de risco;
– Convergem para o mesmo objetivo geral: manter a
normalidade dos negócios.
Atividade
Caso “SIGAA”:
– Realizar uma análise sobre as funcionalidades do
sistema (SWOT);
– Em relação aos riscos, classificá-los de acordo com
sua categoria (naturais, involuntários,
intencionais);
– Destacar possíveis medidas de proteção e reação.