Informação É recomendável que seja sempre protegida adequadamente, seja qual for a forma apresentada: Impressa; Escrita em papel; Armazenada eletronicamente; Transmitida pelo correio ou por meios eletrônicos; Apresentada em filmes; Falada em conversas; Ou por outro meio através do qual a informação é compartilhada ou armazenada;
Definições básicas de Segurança da Informação Ativo: Algo de valor para a organização Ativo de Informação: Ativos que contêm ou suportam informações para a organização e que precisam ser protegidos. Usuário: Pessoa (empregado ou prestador de serviço) autorizada a utilizar informações e recursos a informação da organização. Gestor: Pessoa ou unidade organizacional que gera ou adquire a informação, tornando-se responsável por sua segurança Custodiante: Pessoa ou unidade organizacional responsável por armazenar, processar, manter, recuperar, tornar disponível, guardar, transportar e, eventualmente, descartar a informação.
Definições básicas de Segurança da Informação Ameaça: Agente ou situação (acidental ou intencional) capaz de desencadear um ou uma série de eventos que possam ocasionar perdas a um ativo, grupo de ativos ou a toda a organização. As ameaças podem ser classificadas nos seguintes tipos: Naturais: são decorrentes de fenômenos da natureza. Involuntários: ameaças inconscientes, quase sempre causadas pelo desconhecimento. Voluntárias: ameaças propositais provocadas por agentes humanos. Ameaça Inteligente: Circunstância onde um adversário tem a potencialidade técnica e operacional para detectar e explorar uma vulnerabilidade de um sistema; Risco: combinação da probabilidade de um agente ou situação, que represente uma ameaça, explorar uma vulnerabilidade e dos prováveis impactos.
Definições básicas de Segurança da Informação Vulnerabilidade: Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
Definições básicas de Segurança da Informação Impacto: Abrangência dos danos causados por um incidente de segurança da informação. O impacto pode se dar nas seguintes dimensões: Operacional: Interrupções ou indisponibilidade de processos; Financeira: Lucro cessante, penalidades contratuais ou legais e outros; Imagem: Desgaste da imagem da organização junto a força de trabalho (valores) e/ou ao mercado (clientes, investidores, sociedade e outros). Análise de risco: consiste na identificação de vulnerabilidade nos ativos de informação, na avaliação da probabilidade de vulnerabilidades serem exploradas por ameaças reais, na previsão de impactos no negócio, considerando os aspectos relacionados a pessoas, processos e tecnologia, e na recomendação de proteção.
Definições básicas de Segurança da Informação Incidente: É qualquer evento adverso, confirmado ou sob suspeita, ou fragilidade que ameace ou comprometa a segurança das informações. Também são considerados incidentes de segurança da informação qualquer não-conformidade com a legislação vigente, políticas e normas da organização. Tipos de incidentes: Confidencialidade Acesso ou tentativa de ganhar acesso não autorizado à informação; Divulgação e/ou utilização não autorizada de informação de propriedade da organização; Integridade Violação da integridade (exatidão ou completeza) de informação da organização; Disponibilidade Interrupção indesejada ou ataque de negação de serviços responsáveis pela preservação da disponibilidade de informação da organização. Modificação não autorizada em características de hardware, firmware ou software em sistemas da organização.
Definições básicas de Segurança da Informação
ATAQUE Ataque pode ser definido como um assalto ao sistema de segurança que deriva de uma ameaça inteligente, isto é, um ato inteligente que seja uma tentativa deliberada (especial no sentido de um método ou técnica) para invadir serviços de segurança e violar as políticas do sistema (Shirey, 2000). O ataque é ato de tentar desviar dos controles de segurança de um sistema de forma a quebrar os princípios citados anteriormente.
ATAQUE Um ataque pode ser: Ativo - tendo por resultado a alteração dos dados; Passivo - tendo por resultado a liberação dos dados; Destrutivo - visando à negação do acesso aos dados ou serviços (Wadlow, 2000). O fato de um ataque estar acontecendo não significa necessariamente que ele terá sucesso. O nível de sucesso depende da vulnerabilidade do sistema ou da atividade e da eficácia de contramedidas existentes.
ATAQUE Para implementar mecanismos de segurança faz-se necessário classificar as formas possíveis de ataques em sistemas: Interceptação: considera-se interceptação o acesso a informações por entidades não autorizadas (violação da privacidade e confidencialidade das informações); Interrupção: pode ser definida como a interrupção do fluxo normal das mensagens ao destino; Modificação: consiste na modificação de mensagens por entidades não autorizadas, violação da integridade da mensagem; Personificação: considera-se personificação a entidade que acessa as informações ou transmite mensagem se passando por uma entidade autêntica, violação da autenticidade.
ATAQUE
Por que sistemas são vulneráveis?
Controle de Ativos Proprietário Custodiante ATIVO Usuário Controlador
Controle de Ativos
Mecanismos para Controles de Segurança A autorização é o processo de conceder ou negar direitos a usuários ou sistemas, por meio das chamadas listas de controle de acessos (Acess Control Lists – ACL), definindo quais atividades poderão ser realizadas, desta forma gerando os chamados perfis de acesso. A autenticação é o meio para obter a certeza de que o usuário ou o objeto remoto é realmente quem está afirmando ser. É um serviço essencial de segurança, pois uma autenticação confiável assegura o controle de acesso, determina que está autorizado a ter acesso à informação, permite trilhas de auditoria e assegura a legitimidade do acesso.
Mecanismos para Controles de Segurança
Mecanismos para Controles de Segurança Os processos de autenticação estão baseados em três métodos distintos: Identificação positiva (O que você sabe) Na qual o requerente demonstra conhecimento de alguma informação utilizada no processo de autenticação, por exemplo uma senha.
Mecanismos para Controles de Segurança Identificação proprietária (O que você tem) Na qual o requerente demonstrar possuir algo a ser utilizado no processo de autenticação, como um cartão magnético.
Mecanismos para Controles de Segurança Identificação Biométrica (O que você é) Na qual o requerente exibe alguma característica própria, tal como a sua impressão digital.