Trabalho de Segurança da Informação

[pic 1]

GESTÃO DA SEGURANÇA DA INFORMAÇÃO

TRABALHO

FUNDAMENTOS DA SEGURANÇA DA INFORMAÇÃO

GESTÃO DE RISCOS

POLITICA DA SEGURANÇA DA INFORMAÇÃO

FUNDAMENTOS DA SEGURANÇA DA INFORMAÇÃO

Objetivos de segurança da informação

        É o processo de proteger a informação de diversos tipos de ameaças externas e internas para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negocio. Segurança se faz protegendo todos os elos da corrente todos os ativos sejam eles físicos, tecnológicos ou humanos que compõem seu negocio.

        Segurança é um termo que transmite conforto e tranquilidade a quem desfruta de seu estado, entender e implementar este tipo de digamos sentimento em um ambiente empresarial exige conhecimento e praticas especializadas que somente são possíveis com o emprego e uso de um estatuto ou regra de politica de segurança.        

        Atualmente nas empresas um dos maiores problemas é definir este tipo de estatuto, pois para uns pode funcionar, mas para outros não, contudo sempre se chega ao umacordo logico em que as condições aplicadas favorecem a todos de uma forma diferenciada. A politica deve ser clara o bastante para fornecer aos interessados informações suficientes para saber se os procedimentos descritos são aplicáveis a ele ou não, sendo que se deveimplementar controles para preservar os interesses dos funcionários, clientes e demais parceiros contra danos que possam acontecer devido a falha na segurança. As normas devem ser claras e objetivas de fácil entendimento e deve descrever as normas de utilização e de possíveis atividades que possam ser consideradas como violação ao uso dos serviços.

Tríade da segurança da informação

        É considerado o tripé da segurança da informação, nelas são descritas os critérios que realizam a sustentação dos princípios da segurança da informação, são eles:

• Confidencialidade (sigilo) – é a garantia de que a informação não será conhecida por quem não deve. O acesso às informações deve ser limitado, somente as pessoas explicitamente autorizadas podem acessa-las. Perda de confidencialidade significa perda de segredo. Se uma informação for confidencial, ela será secreta e deverá ser guardada com segurança, e não divulgada para pessoas não autorizadas.
• Integridade – esse principio destaca que a informação deve ser mantida na condição em que foi liberada pelo seu proprietário, garantindo a sua proteção contra mudanças intencionais, indevidas ou acidental. Em outras palavras, é a garantia de que a informação que foi armazenada é a que será recuperada, caso haja algum problema com o sistema.
• Disponibilidade – é a garantia de que a informação deve estar disponível,. Sempre que seus usuários (pessoas e empresas autorizadas) necessitarem, não importando o motivo, em outras palavras, é a garantia que a informação sempre poderá ser acessada de onde quer que esteja no momento.

[pic 2]

Problemas da segurança da informação

        Muitos administradores preocupam-se mais com a segurança logica do que com a física, porem se a segurança física é um importante componente de risco quando se trata de rede cabeada, em redes sem fio esse aspecto é ainda mais grave, visto que a área de abrangência física substancialmente.

        Empresas que não possuem um sistema de proteção de dados ou recuperação de arquivos correm o grande risco de não apenas sofrerem maiores interrupções, mas em alguns casos fecharem as portas definitivamente.

        Fatores como a autenticidade que é a garantia de que uma parte é realmente quem ela diz ser sendo identificadas por meio dos seus próprios recursos tecnológicos, transações e interação com o usuário. O não repudio onde é imposto que nenhuma das partes negara a manipulação ou trafego de informações na rede. O controle do acesso onde há o acesso controlado a informações na rede. E a auditoria onde há o controle e lista de atividades desempenhadas na organização.

Conceitos básicos

        Ativos: são elementos que sustentam a operação do negocio e são classificados em:

• Tangíveis – aquilo que pode ser tocado como: informações impressas, moveis e hardware
• Intangíveis – aquilo que não pode ser tocado como:marca de um produto, nome da empresa, confiabilidade de órgão públicos, etc...
• Lógicos – aquilo que pode ser programado como: informações armazenadas em rede, sistemas de gestão integrada e outros.
• Físico – estrutura de apoio como: galpão, sistema de eletricidade, estação de trabalho, etc...
• Humanos –pessoas envolvidas como: funcionários.

Ameaças – é um agente externo ao ativo da informação, que se aproveitando das vulnerabilidades deste ativo, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação suportada ou utilizada por esse ativo.

Proteções –ato ou efeito de proteger algo ou alguém de situações danosas.

• Logica – ações que promovem a proteção e preservação das informações da empresa.
• Física –prevê proteção ao ambiente onde estão hospedados os ativos da empresa, utilizando trancas, guardas, alarmes, câmera de vigilância entre outros.
• Administrativa- são as normas, politicas e procedimentos adotados para evitar ameaças.

Nesse contexto temos as proteções que serão aplicadas de forma momentânea que tem o objetivo de trazer segurança em um determinado tempo, temos aquela que monitora e detecta vulnerabilidades e problemas que possam ser um risco e temos a proteção preventiva, reativa e corretiva que agem na antecipação da proteção contra ameaças.

Vulnerabilidade –são as fraquezas presentes nos ativos de informação, que podem causar intencionalmente ou não a quebra de um ou mais dos princípios da informação.

Incidentes – qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de um sistema, levando a perda de um ou mais princípios básicos.[pic 3]

Ataque –é a exploração de uma falha de um sistema informático, para fins não conhecidos.

Agente ameaçador

• Script Kiddies – nome atribuído de maneira depreciativa aos crackers inexperientes que procuram alvos fáceis para aplicar seus poucos conhecimentos.
• Cyberpunks – é a combinação entre cibernética e punk, descrevendo um lugar controlado por tecnologias de informação num ambiente de dominação ou destruição da sociedade, da revolta de seus cidadãos e da degradação do estilo de vida.
• Insiderz – é uma pessoa que tem acesso à informação privilegiada nas empresas, participando de operações importantes e obtendo informações que possam ser usadas de forma ilegal para obter vantagem financeira.
• Coders -uma pessoa com conhecimento de programação notável, um codificador é esse tipo de pessoa que passa horas incontáveis em algo de pouco ou nenhum valor pratico só porque ele quer descobrir.
• White Hats–refere-se a todas as praticas que estejam de acordo com as diretrizes dos motores de busca, sites que utilizam dessas técnicas demoram um pouco mais para conquistar um bom posicionamento nos resultados de pesquisa.
• Black Hats – refere-se a pessoas ou técnicas que para atingir um objetivo não respeitam as diretrizes de um órgão.
• GreyHats – refere-se a quantidade e ao tempo em que técnicas banidas são utilizadas em um site.
• Cyberterroristas – é expressão usada para descrever os ataques terroristas executados pela internet, com objetivo de causar danos a sistemas ou equipamentos.
• Vírus – software malicioso que vem sendo desenvolvido por programadores que tem por função infectar computadores, fazendo cópias de si mesmo e enviando para outros computadores via e-mail do computador infectado.
• Worms – diferentemente de um vírus que infecta um computador e precisa deste programa hospedeiro para se alastrar, o worm é um programa completo e não precisa de outro para se propagar.
• Trojans – tal como na história de cavalo de tróia , ele entra no computador e cria uma porta para uma possível invasão.
• Sistemas defeituosos (bugs) – erra em algum programa, ou seja quando algum programa age de maneira inesperada ou fora do comum.

Impacto e Riscos

        Impacto éa potencial consequência que um tipo de incidente possa causar ao negocio da organização e o risco é a relação entre a probabilidade e o impacto, é a base para a identificação dos pontos de demandam por investimentos em segurança da informação.

...