Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
Aula 01
Introdução à Gestão da
Segurança da Informação
Prof. Leonardo Lemes Fagundes
“Você vê algumas informações e a
maneira como as coisas são
formuladas, e então começa a ter
alguma compreensão da empresa e
das pessoas responsáveis pelo sistemas de TI. E havia essa idéia de
que entendiam de segurança, mas
talvez estivessem fazendo alguma
coisa errada.”
Capítulo 9 – No Continente
A Arte de Invadir
Kevin Mitnick e William Simon
Apresentação
Introdução
Conceitos Gerais Sobre Segurança da Informação
Leitura Recomendada
Considerações Finais
Referências Bibliográficas
Agenda
Leonardo Lemes Fagundes
Mestre em Computação e Bacharel em Análise de Sistemas (UNISINOS)
Professor e Coordenador da Graduação em Segurança da Informação
Diretor e Consultor em Segurança da Informação (Defenda)
Instrutor de SegInfo e Riscos na Escola Superior de Redes (RNP)
Instrutor de Gestão Incidentes credenciado pelo LACNIC
Auditor Líder ISO 27001 – BSI
Certificado em Continuidade de Negócios – DRII
Certified in Risk and Information Systems Control (CRISC) - ISACA
Apresentação
Objetivos da Aula 01
Apresentar e discutir os principais conceitos relacionados a
Segurança da Informação;
Relacionar esses conceitos com a realidade do aluno e das
organizações;
Propiciar uma visão integrada (ciclo da segurança da
informação) entre os conceitos-chaves.
Introdução
Segurança da Informação
“É a proteção da informação contra vários tipos de ameaças
para garantir a continuidade do negócio, minimizar riscos,
maximizar o retorno sobre os investimentos e as oportunidade
de negócios” [ISO 27002].
As informações podem existir em diversas formas;
O mesmo ocorre com as vulnerabilidades e ameaças;
A pergunta chave: O que e como devemos proteger?
Conceitos Gerais sobre SegInfo
As Propriedades Básicas da Segurança da Informação
Confidencialidade
Certeza de que o que foi dito, escrito ou falado será
acessado somente por pessoas autorizadas;
Conceitos Gerais sobre SegInfo
As Propriedades Básicas da Segurança da Informação
Integridade
Garantia de que a informação não foi alterada (de forma
indevida ou não-autorizada);
A quebra da integridade ocorre quando a informação é
corrompida, falsificada ou roubada;
Conceitos Gerais sobre SegInfo
As Propriedades Básicas da Segurança da Informação
Disponibilidade
Garantia de que a informação será acessada quando
necessário;
Disponibilidade -> estratégias de contingência
Conceitos Gerais sobre SegInfo
As Propriedades Básicas da Segurança da Informação
Para proteger os ativos, em determinados casos, pode ser
necessário aspectos de segurança adicionais, por exemplo:
Não-repúdio (emissor autenticado como autor ...);
Legalidade (ativos com valor legal ...);
Autenticação (processo de identificação e reconhecimento das partes ...);
Autenticidade (garantia de que as partes envolvidas são quem afirmam
ser ...);
Autorização (concessão de permissões ...);
Conceitos Gerais sobre SegInfo
As Propriedades Básicas da Segurança da Informação
Atividade 01:
Tendo como base a empresa em que atua, descreva
necessidades / requisitos gerias de segurança da informação.
(30 minutos)
Conceitos Gerais sobre SegInfo
Ativos
Qualquer elemento que tenha valor para a organização [ISO
27002];
Os ativos fornecem suporte aos processos de negócios, portanto
devem ser protegidos. Todo elemento utilizado para armazenar,
processar, transportar, armazenar, manusear e descartar a
informação, inclusive a própria.
Conceitos Gerais sobre SegInfo
Ativos
Categorias de Ativos
Os ativos podem ser classificados / agrupados de diversas
formas:
Informações; Hardware; Software; Ambiente Físico;
Pessoas;
Lógico; Físico Humano;
Equipamentos; aplicações, usuários, ambientes,
informações e processos;
Conceitos Gerais sobre SegInfo
Vulnerabilidades
Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaças [ISO 27002];
As vulnerabilidades devem ser gerenciadas (identificadas e
corrigidas);
Tipos de Vulnerabilidades
Físicas; naturais; hardware e software e humanas;
Conceitos Gerais sobre SegInfo
Ameaças
Causa potencial (agente) de um incidente indesejado, que pode
resultar em dano para um sistema ou organização [ISO 27002];
A segurança da informação precisa prover mecanismos para
impedir que as ameaças explorem as vulnerabilidades;
Tipos de Ameaças
Ameaças Naturais; Intencionais e Involuntárias;
Conceitos Gerais sobre SegInfo
Evento de Segurança da Informação
Uma ocorrência identificada de um estado de sistema, serviço
ou rede, indicando uma possível violação da política de
segurança da informação ou falha de controles que possa ser
relevante para a segurança da informação [ISO 27000:2009].
Conceitos Gerais sobre SegInfo
Incidentes de Segurança
Um simples ou uma série de eventos de segurança da
informação indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as operações de
negócios e ameaçar a segurança da informação [ISO
27000:2009].
Conceitos Gerais sobre SegInfo
Controles
Medidas de segurança são práticas, procedimentos e
mecanismos utilizados para a proteção de ativos;
Esses controles podem: (a) impedir que as ameaças explorem as
vulnerabilidades, (b) reduzir o surgimento de vulnerabilidades e (c)
minimizar o impacto dos incidentes de segurança da informação;
Tipos de controles:
Técnicos, administrativos e de gestão;
Conceitos Gerais sobre SegInfo
Conceitos Gerais sobre SegInfo
As Propriedades Básicas da Segurança da Informação
Atividade 02:
Considere um ativo de uma determinada categoria e indique
(descreva) vulnerabilidades e ameaças as quais estes ativos
estão expostos. ( 30 minutos)
Conceitos Gerais sobre SegInfo
Descrição dos Textos de Apoio
Texto 01: “The Cybercrime 2.0 Evolution” (*)
Texto 02: “Cybercrime in the Middle East” (*)
Texto 03: Security Management Practices - Capítulo 3:
Fundamental Principles of Security, Livro “All in One CISSP Exam
Guide” (*)
* Disponível no Xerox – pasta 137.
Leitura Recomendada
Descrição dos Textos de Apoio
Texto 04 (resumo em slides): Ameaças e Mecanismos de
Proteção; (disponível na página da disciplina, leitura obrigatória
para alunos que não sejam do Curso de Segurança da
Informação);
Leitura Recomendada
Entender o negócio
Na etapa inicial de um projeto de segurança, deve-se entender o
ambiente da organização. Normalmente a situação é a seguinte:
Desconhecimento do ambiente/processos;
Baixo (ou nenhum) nível de controle implementado;
Alto índice de riscos;
Falta de uma cultura de segurança;
Resistência (interna e externa);
Considerações Finais
Requisitos de Segurança da Informação
Quais os requisitos de SI? Como obter esses requisitos?
Implementação
A Seg Info é obtida a partir da implementação de um conjunto de
controles adequados as necessidades da organização;
Controles precisam ser estabelecidos, implementados,
monitorados, analisados e melhorados para garantir que os
objetivos do negócio e de segurança sejam atendidos;
Considerações Finais
Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão
Executiva. Rio de Janeiro, Ed. Campus, 2003.
ABNT NBR ISO/IEC 27002:2006. Código de Prática para a Gestão
da Segurança da Informação.
Ramos, Anderson. Guia Oficial para Formação de Gestores em
Segurança da Informação.
Referências Bibliográficas