Aula 1

Segurança em Sistemas de
Conversa Inicial
Informação
1 2
42 42

Prof. Douglas Eduardo Basso

1 2

Conversa Inicial

Vamos estudar alguns conceitos relacionados

à segurança da informação, ao ciclo de vida
dos dados, à classificação da informação e às
premissas de segurança. Posteriormente História e conceitos
serão apresentadas algumas normas e ISOs
3 que estão intimamente relacionadas com a 4

segurança da informação. O objetivo é

42 42

mostrar os principais conceitos de segurança

que servirão como base para o
desenvolvimento da disciplina

3 4

Introdução
Na era moderna, os ciclos de produção e
Para Galvão, a era da informação se consumo presentes em nossa economia estão
desenvolve no momento em que é cada vez mais velozes. A inovação tem sido
estabelecida uma plataforma por meio da muito presente e está vinculada ao sucesso,
qual se torna possível a todos os indivíduos à qualidade dos produtos criados, ao
5 com acesso a ela, independentemente de 6 consumismo acelerado e ao ritmo cada vez
42 42

onde estejam, trocar experiências, mais rápido. Todo esse cenário torna as
compartilhar forma diferentes de fazer as informações um ativo muito valioso
coisas, comprar, vender e criar coletivamente

5 6
 Informação Ciclo de vida

A informação é um grande ativo que, como

Temos que observar e ter atenção ao tempo
qualquer outro componente valioso e
de vida que essa informação necessita ter.
importante de uma empresa, é essencial para
Em relação às fases do ciclo de vida das
os negócios de uma organização. De antemão
7 8
42 42

informações, podemos elencar as seguintes:

requer e necessita de proteção adequada

7 8

Sistemas de informação
Manuseio - quando a informação é criada,
coletada, gerada ou alterada
Os sistemas de informação podem ser bases
Armazenamento - quando a informação é
de dados, arquivos gravados em um disco,
consolidada, gravada ou retida
documentos físicos armazenados em
Transporte - quando a informação é armários, equipamentos de comunicação,
9
42
transferida, comunicada, transportada 10
42 impressoras, computadores portáteis,
Descarte - quando a informação perde seu servidores, redes, equipamentos de
valor e é inutilizada ou descartada comunicação, telefones, entre outros

9 10

Gestão da informação

A tarefa de organizar todas informações de Introdução à segurança da

uma empresa, criar, coletar, controlar, informação
planejar, utilizar, difundir e descartar suas
informações de maneira eficaz e eficiente é
11 12
42 42

da gestão da informação

11 12
 Segurança da informação Atributos da segurança e proteção de dados

Segundo alguns padrões internacionais,

A segurança da informação se refere à
existem alguns pilares que acabam criando
proteção existente sobre as informações de
toda a base em relação à segurança podemos
uma determinada empresa ou pessoa; isto é,
destacar os seguintes: confidencialidade,
aplica-se tanto às informações corporativas
13 14
42 42

integridade, disponibilidade, autenticidade,

como às pessoas
irretrabilidade e legalidade

13 14

Classificação da informação Ameaças à segurança

O grau de sigilo é uma classificação As ameaças à segurança da informação são

concedida a cada tipo de informação e relacionadas diretamente à perda de uma de
baseada em critérios como nível de suas três características principais (tríade da
importância e de sigilo, pessoas com gestão de segurança da informação):
15 permissão de acesso, entre outros. É comum 16
Perda da confidencialidade
42 42

a maioria das empresas privadas utilizem

como classificação os seguintes graus: Perda da integridade
confidencial, privada, sigilosa e pública Perda de disponibilidade

15 16

Aspectos legais

Em termos jurídicos, a segurança da

informação no Brasil é o resultado da relação ISO 15408
entre a ciência do direito e a ciência da
computação, sempre empregando novas
tecnologias. Trata-se do conjunto de normas,
17 18
42 42

aplicações, conhecimentos e relações

jurídicas, oriundas do universo digital

17 18
 ISO 15408 Componentes funcionais de segurança

Os requisitos funcionais de segurança são

apresentados em classes, grupos e
A norma ISO/IEC 15408 é uma modelagem componentes. As classes expressas são as
bem flexível com um grupo de métodos para seguintes:
a análise e a avaliação de aspectos
relacionados a segurança de produtos e Auditoria de segurança
19 20
42 42

sistemas de tecnologia da informação, tais Proteção das funcionalidades de segurança

como: hardware, software e firmware Utilização dos recursos
Acesso aos alvos de avaliação

19 20

Componentes de garantia de segurança

Canais e caminhos confiáveis
Proteção de dados de usuário
Identificação e autenticação
Os componentes de garantia de segurança
Gerenciamento de segurança
formam um caminho-padrão a ser seguido
21
Privacidade 22 para mostrar os requisitos de segurança para
42 42

Comunicação os alvos de avaliação

Suporte à criptografia

21 22

Família ISO 27000

A família ISO/IEC 27000 apresenta uma série

Família ISO 27000 de normas relacionadas à segurança de
ativos de informações das empresas. Com a
23 24 utilização dessas normas, as organizações
42 42

tornam todo seu ambiente computacional

mais seguro

23 24
 ISO 27001 Controles

A ISO 27001, como mencionado

Os controles de segurança são salvaguardas
anteriormente, é um guia que apresenta
ou contramedidas técnicas ou
requisitos em relação a coleta,
administrativas que evitam, neutralizam ou
armazenamento, tratamento e
minimizam perdas ou indisponibilidades
compartilhamento de dados pessoais, com o
devido a ameaças agindo sobre a sua
25 26
42 42

intuito de garantir a segurança da

correspondente vulnerabilidade, o risco à
informação nas organizações que trabalham
segurança
com dados sensíveis

25 26

Tratamento de riscos
Evitar as ocorrências de riscos, identificar e
Toda a organização deve definir algumas mitigar as causas
convenções e critérios para determinar os riscos
que podem ser aceitos ou não. Ao ser avaliado, o Aplicar controles apropriados e fazer
risco precisa ser classificado. Alguns controles transferências de riscos a outras partes
são desejáveis dentro desse cenário: como fornecedores, parceiros e
27
42 Aplicação de controles adequados para redução 28
42
seguradoras
de riscos Desenvolver e atender requisitos
Entendimento em relação aos riscos, política identificados em avalições de risco
clara de aceitação de riscos

27 28

Contramedidas
Reduzir os riscos a níveis aceitáveis
Atender requisitos e restrições relacionadas Durante a análise de riscos, é levantada uma
série de ameaças relacionadas com sua
à legislação nacionais e internacionais respectiva importância. Ao avaliarmos as
Criar um equilíbrio na relação de riscos e o ameaças, é necessária a criação de
contramedidas que possam minimizar as
tratamento para a redução, tendo em vista ameaças. Para Baars, existem seis categorias
29
sempre as exigências e limitações da 30
diferentes:
organização, o investimento e a operação
42 42

Contramedidas preventivas visam a evitar

de controles que podem causar falhas de acidentes
segurança Contramedidas de redução visam a diminuir a
probabilidade de uma ameaça ocorrer

29 30
 Contramedidas de detecção visam a Tipos de ameaça
detectar incidentes
Contramedidas repressivas visam a limitar
um incidente
Em se tratando dos tipos de ameaças,
Contramedidas corretivas visam a identificar, classificar e enumerar são
recuperar os danos causados por um atividades frequentes dos profissionais de
incidente segurança da informação. As listas de
31 32

A aceitação de riscos também é uma

42 42

ameaças podem ser classificadas como

possibilidade. Alguns investimentos em humanas e não humanas
contramedidas podem ser caros e de difícil
de justificativa

31 32

Estratégias de riscos

Existem algumas estratégias comuns para

combater os riscos. Podemos elencar ISO 31000
algumas, tais como:

33
Prevenção de riscos 34
42 42

Redução de riscos
Tolerância aos riscos

33 34

ISO 31000 Princípios

A gestão de riscos deve atender alguns

Essa norma trata desse processo sistemático
princípios, entre os quais podemos destacar:
e lógico com todas as suas especialidades.
Mesmo que todas as organizações gerenciem A gestão de riscos cria e protege valor
os riscos de alguma maneira, essa norma traz A gestão de riscos é parte integrante de
um número de princípios que precisam ser
35 36
42 42
todos os processos organizacionais
atendidos para tornar a gestão de riscos mais
A gestão de riscos é parte da tomada de
eficaz
decisões

35 36
 A gestão de riscos considera fatores
A gestão de riscos aborda explicitamente a
humanos e culturais
incerteza
A gestão de riscos é transparente e
A gestão de riscos é sistemática,
inclusiva
estruturada e oportuna
A gestão de riscos é dinâmica, iterativa e
A gestão de riscos baseia-se nas melhores
37 38
capaz de reagir a mudanças
42
informações disponíveis 42

A gestão de riscos facilita a melhoria

A gestão de riscos é feita sob medida
contínua da organização

37 38

Estrutura
Estabelecimento do contexto (5.3)

Processo de avaliação de riscos (5.4)

Identificação de riscos (5.4.2)

Para atingir os objetivos da gestão de riscos,
é preciso uma boa estrutura e gestão para o Monitoramento
Comunicação e e análise crítica
fornecimento de fundamentos e os arranjos Consulta (5.2)
Analise de riscos (5.4.3)
(5.6)
39 necessários para que essa gestão seja 40
42 42

incorporada à organização, em todas as suas Avaliação de riscos (5.4.4)

áreas e níveis
Tratamento de riscos (5.5)

39 40

Monitoramento e registros de Desenvolver a cultura dentro da organização de

aprendizado contínuo
gestão de riscos
As vantagens na reutilização de informações
para fins de gestão
O monitoramento e análise da gestão de Os valores e tempos envolvidos na criação e
riscos requer uma vigilância regular. As manutenção de registros
responsabilidades desse monitoramento A obrigação em relação a registros legais,
devem estar bem definidas, a fim de garantir regulatórios e operacionais
41 42

Os guias de acesso, a facilidade de recuperação e

42 42

controles eficientes ao longo da operação da

meios de armazenamento
empresa
O tempo e período de retenção
A sensibilidade e importância das informações

41 42
43
42

43