Professional Documents
Culture Documents
Prof.Charles
Na sociedade da informação, ao mesmo tempo de
que as informações são consideradas o principal
patrimônio de uma organização, estão também sob
constante risco, como nunca estiveram antes.
ambientes controlados;
protegidos por desastres naturais (incêndio, terremoto,
enchente);
falhas estruturais (interrupção do fornecimento de energia
elétrica, sobrecargas elétricas);
sabotagem;
fraudes;
acessos não autorizados (crackers, espionagem industrial,
venda de informações confidenciais para a concorrência); e
outros.
NECESSIDADE de SEGURANÇA
Segurança
no papel;
na memória do computador;
em um disquete; ou
trafegando pela linha telefônica.
OBJETIVOS de SEGURANÇA
Confidencialidade ou privacidade;
Integridade de dados;
Disponibilidade;
Consistência;
Isolamento ou uso legítimo;
Auditoria;
Confiabilidade.
Análise de riscos;
Requerimentos legais; e
Padrões técnicos.
Comprometimento da Gerência Superior
Estabelece
Contribui
para o
Plano estratégico atingimento de
Política de
Define
de segurança de
informática informações
A alta gerência;
A gerência de segurança de informações;
A de recursos e finanças;
Os vários gerentes e proprietários dos sistemas
informatizados e, finalmente;
Os usuários
Tópicos importantes
A política de segurança de informações da organização pode
apresentar, em maior ou menor detalhe:
Os responsáveis pela implementação da política,
Sua linha gerencial; e
Os instrumentos de controle e supervisão de seu trabalho.
É comum encontrar nesse documento:
Orientações sobre análise e gerência de riscos;
Princípios de conformidade dos sistemas computacionais
com a política de segurança de informações;
Classificação de informações ( de uso público, interno,
confidencial e secretas ); e
Padrões mínimos de qualidade a serem incorporados a
todos os sistemas de informação.
Tópicos importantes
A política normalmente contém princípios legais e éticos a
serem atendidos no que diz respeito à informática:
investigação,
Julgamento e punição aos infratores da política; e
Plano de treinamento em segurança de informações.
Tópicos importantes
Política de senhas;
Política de backup;
Política de contratação e instalação de equipamentos e
softwares, etc.
Tópicos importantes
Hardware
Software
Dados
Pessoas
Documentação
Suprimentos
Identificando os Recursos
HARDWARE – processadores, placas, teclados, terminais,
estações de trabalho, computadores pessoais, impressoras,
unidades de disco, linhas de comunicação, servidores,
roteadores etc.
SOFTWARE – utilitários, programas de diagnóstico, sistemas
operacionais, programas de comunicação, aplicativos.
DADOS – em processamento, em trânsito nos dispositivos de
linhas de comunicação, armazenados on-line e off-line,
backups, logs de auditoria, bases de dados.
PESSOAS – usuários e funcionários necessários para o
funcionamento dos sistemas.
DOCUMENTAÇÃO – sobre programas, hardware, sistemas,
procedimentos administrativos.
SUPRIMENTOS – papel, formulários, fitas, disquetes, CD-
ROMs.
Classificação das Informações
Diferentes tipos de informação devem ser protegidos de
diferentes maneiras.
Partindo do princípio de que toda informação tem um dono
(ou proprietário) , nada mais acertado do que dar-lhe a oportunidade
e a responsabilidade de classificá-la.
Aplicativos
Serviços
Sistema Operacional
Hardware
Classificação dos Sistemas
Programas aplicativos – projetados para atender a
necessidades específicas do usuário.
Serviços – utilizados pelos aplicativos, como por
exemplo os serviços prestados por um SGBD (Sistema
Gerenciador de Banco de Dados).
Sistema Operacional – presta os serviços de mais baixo
nível, tais como gerenciamento de impressora e
gerenciamento de arquivos.
Hardware – o processador e a memória que suportam o
sistema operacional.
Mascaramento;
Desvio de controles(bypass);
Violação autorizada;
Ameaças programadas.
Analisando Ameaças
Vazamento de informações (voluntário ou involuntário) – informações
desprotegidas ou reveladas a pessoas ou programas não autorizados. Em
hospitais e bancos, a quebra de sigilo das informações sobre seus
clientes adquire outras conotações legais mais sérias.
Violação de integridade – comprometimento da consistência de dados.
Indisponibilidade de serviços de informática – impedimento
deliberado de acesso aos recursos computacionais por usuários
autorizados.
Acesso e uso não autorizado – um recurso computacional é utilizado
por pessoa não autorizada ou de forma não autorizada.
Mascaramento – uma entidade(pessoa ou programa) se faz passar por
outra entidade.
Desvio de controles (bypass) – um cracker, por exemplo, explora falhas
do sistema e vulnerabilidades de segurança burlando os controles para
obter direitos de acesso não autorizados.
Violação autorizada – um usuário ou programa autorizado usa o
sistema com propósitos não autorizados.
Ameaças programadas – códigos de software que se alojam no sistema
com intuito de comprometer sua segurança, alterando seu
comportamento, violando controles de segurança, alterando ou
destruindo dados.
Analisando Ameaças
A análise de impactos:
Cavalo de tróia;
Vírus;
Worms;
Bactérias;
Back doors;
Bombas lógicas.
Diferentes Nomenclaturas para
Ameaças Programadas