Módulo 2 - Conceitos

Informação, Segurança da Informação, Ativos,

Confidencialidade, Integridade, Disponibilidade,
Vulnerabilidades, Ameaças, Impactos,
Probabilidade
Conceitos - O que é Informação?

“Informação é um ativo que,

como qualquer outro ativo
importante para os negócios,
tem valor para a organização e
consequentemente necessita
ser adequadamente protegida”
Conceitos - Tipos de informação

Impressa ou escrita em papel

Armazenada eletronicamente

Transmitida pelo correio ou por meios eletrônicos

Mostrada em vídeos

Verbal – falada em conversações

“……Não importa a forma que a informação toma, ou os meios pelos quais

ela é compartilhada ou armazenada, ela deve sempre ser apropriadamente
protegida.”
Conceitos –
Tipos de informação a serem protegidas

Internas a companhia- informação que você não

gostaria que a concorrência soubesse

Clientes e fornecedores - informação que eles não
gostariam que você divulgasse

Parceiros - informação que necessita ser
compartilhada com outros parceiros comerciais
Conceitos - A Informação pode ser:

Criada,

Transmitida,

Processada,

Usada,

Armazenada,

Corrompida,

Perdida,

Destruída.
Conceitos – O que é Segurança da Informação

A ISO/IEC 17799:2005 define:

Segurança da Informação - é a proteção da informação de diversos tipos de

ameaças para garantir a continuidade dos negócios, minimizar os danos aos
negócios e maximizar o retorno dos investimentos e as oportunidades de
negócio.
 Conceitos – Exemplos de ameaças à informação

Funcionários descontentes ou desmotivados

Baixa conscientização nos assuntos de
segurança

Crescimento do processamento distribuído e
das relações entre profissionais e empresas

Aumento da complexidade e eficácia das
ferramentas de “hacking” e dos vírus

E-mail

Inexistência de planos de recuperação a
desastres

Desastres naturais, ou não… (p. ex.incêndio,
inundação, terremoto, terrorismo)

Falta de políticas e procedimentos
implementados
Conceitos –
Exemplos de Impactos

Perda de clientes e contratos

Danos à imagem

Perda de produtividade

Aumento no custo do trabalho para conter,
reparar e recuperar

Aumento de seguros

Penalidades e multas
Conceitos –
Que aspectos da informação devemos avaliar?

Confidencialidade: assegurar que a

informação é acessível somente às
pessoas autorizadas

Integridade: proteger a exatidão e a
completeza da informação e dos métodos
de processamento.

Disponibilidade: assegurar que os
usuários autorizados tenham acesso à
informação e ativos associados quando
necessário.
Conceitos - Equilíbrio

Confidencialidade Disponibilidade

Integridade
 Conceito - Ativos
O que são ativos? (em relação à ISO 27001)

Devem ser aqueles relevantes ao escopo do

Sistema de Gestão de Segurança da Informação

Um ativo é algo a que a organização atribui valor,
por exemplo:
 Informação eletrônica
 Documentos em papel
 Software, hardware
 Instalações
 Pessoas
 Imagem e reputação da companhia
 Serviços
Conceito - Entretanto...

Para a ISO 27001, os ‘ativos’ não incluirão necessariamente tudo que

normalmente uma organização considera que tem um valor

Uma organização deve determinar quais ativos podem materialmente
afetar a entrega de um produto ou serviço pela sua ausência ou
deterioração; ou causar dano à organização através de perda de
disponibilidade, integridade ou confidencialidade

Deve-se definir qual é o valor de um ativo no caso de um incidente
Conceitos - Resumo

Alcançamos a segurança da informação através da implementação de um
conjunto adequado de controles, incluindo políticas, procedimentos, estrutura
organizacional e funções de hardware e software

Cada empresa é única em suas exigências e requisitos de controle e para os
níveis de confidencialidade, integridade e disponibilidade.

Nem todos os controles e orientações incluídas podem ser aplicáveis
Exercício

Considere uma empresa de consultoria na área de informática que deseja

implantar o SGSI conforme a norma ISO27001 na sua área de vendas
dentro do escopo:
Gerenciamento do sistema de segurança da informação para vendas,
projeto e entrega de treinamento, consultoria e auditoria em segurança de
informação na Rua Pau Brasil 111, SP Brasil.

1) Identifique, do seu ponto de vista os possíveis ativos da informação

dentro deste processo, considere: informações de entrada, informações de
saída, equipamentos, registros, recursos humanos, comunicação,
ferramentas de software, softwares e outros

2) Valorize ao menos 3 destes ativos com base na perda da
confidencialidade, disponibilidade e integridade, considere cores para
identificar o valor: verde, amarelo e vermelho, sendo verde o menor valor,
vermelho o maior valor e amarelo o valor intermediário.

As respostas dependem de critérios pessoais por isso é importante que o

profissional que esteja realizando a análise busque padronizar seus
conceitos antes de finalizar o tratamento de riscos
Exercício – resposta 1)
Informações de entrada Informações de Saída Equipamentos

Contrato Comercial/Técnico –Treinamento – Modem

Critérios:Legislação, Manuais, – Firewall
Regulamentações, Políticas Slides/Apresentações, – Router
Apostilas – Hub
–Consultoria – 1 Servidor
Metodologia,Padrões de – 2 Desktop
relatório – 2 Notebook
–Auditoria Critérios: Procedimentos,
Checklist, Padrões de Padrões
Relatório
Critérios: Procedimentos,
Clientes
Registros Recursos Humanos Comunicações
–Análise Crítica de Projeto –5 pessoas –1 fax
–Verificações de Projeto –Contratados –5 telefones
–Alterações de Projeto Critérios: Legislação, –2 linhas telefônicas
(Lições aprendidas) Procedimentos e Políticas –Link da internet
Critérios: procedimentos Critérios: Procedimentos

Outros Software Ferramentas (Software)

–Instalações (escritório)
Critérios: Procedimentos
–IOS 12.2 –Retina
–Windows 2000 –LanGuard Scanner
–Windows XP Pro –Anti-virus
–Windows 2000 Pro Critérios: Padrões
Critérios: Padrões
Exercício – resposta 2)
Descrição Disponibilidade Integridade Confidencialidade Valor Comentário
Acarreta dano, mas o processo
Contrato Comercial/Técnico pode ser executado
Manuais Pequeno impacto ao processo
Slides/Apresentações Sem impacto significativo
Apostilas Pequeno impacto ao processo
Acarreta dano, mas o processo
Metodologia pode ser executado
Padrões de Consultoria Sem impacto significativo
Acarreta dano, mas o processo
Checklist pode ser executado
Padrões de Relatório Pequeno impacto ao processo
Acarreta dano, mas o processo
Alterações de Projeto pode ser executado
Consultor 1 Peça chave do processo
Consultor 2 Peça chave do processo
Administrador Peça chave do processo

Modem Pode acarretar danos ao processo

Firewall Pode acarretar danos ao processo

Router Pode acarretar danos ao processo

Hub Pode acarretar danos ao processo

Servidor Peça chave do processo
Acarreta dano, mas o processo
Desktop pode ser executado
Acarreta dano, mas o processo
Notebook pode ser executado
Windows 2000 Server Peça chave do processo
Vulnerabilidades
Vulnerabilidades são fraquezas associadas
aos ativos da organização, por exemplo...

Vulnerabilidade = ponto fraco

Consultores:

Contratação inadequada

Falta de consultores
Instalação:

Falta de mecanismo de monitoramento

Proteção física inadequada

Energia elétrica instável
Banco de dados:

Falta de backup

Armazenamento inadequado
Ameaças
Os ativos estão sujeitos a muitos tipos de
ameaças que exploram suas
vulnerabilidades, por exemplo...

Ameaça = uma ocorrência, um fato

Consultores

Falta de conhecimento

Doença
Instalação

Chuva forte, raios

Pessoas não autorizadas com acesso
Banco de dados

Ambiente inadequado
Probabilidade

Qual é a probabilidade de um incidente?

10%

50%

90% de chance?
Exercício

Para os ativos listados no exercício anterior identifique pelo menos para 3

ativos: suas vulnerabilidades, as ameaças que podem atingi-los e a
probabilidade desta ameaça ocorrer.

Considere cores para identificar o valor: verde, amarelo e vermelho, sendo
verde o menor valor, vermelho o maior valor e amarelo o valor intermediário.

As respostas dependem de critérios pessoais por isso é importante que o

profissional que esteja realizando a análise busque padronizar seus
conceitos antes de finalizar o tratamento de riscos
 Resposta
Descrição Disponibilid. Integrid. Confidencial. Valor Comentário Vulnerabilidade Ameaças Probabilid
Metodo- Acarreta Não há pessoal Roubo,
logia dano, mas o de Segurança, Divulgação
processo Não há critérios
pode ser de contratação
executado para o pessoal
de apoio.

Servidor Peça chave Antivírus, Contamina

do processo desatualizado, ção por
Backup Vírus,
inadequado e Ataque de
Patches Hacker
Desatualizados

Servidor Peça chave Antivírus,

do processo desatualizado,
Backup
inadequado e
Patches
Desatualizados
Fim do Módulo 2