Segurança Da Informação

Gesto da Informao
Prof MSc. Lucinia Maia
Segurana da Informao
Principais elementos da Gesto da

Polticas de
informao e de
segurana da
informao
subsidiam
Informaes e
Sistemas de
Informao
Ameaas e
vulnerabilidades
Esto
sujeitos a
Podem
causar
Impactos
negativos para os
negcios
protegem
Controles
So
avaliadas
Anlise de Riscos
define
Requisitos de
Segurana
definem
UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Polticas de
informao e de
segurana da
informao
subsidiam
Informaes e
Sistemas de
Informao
Ameaas e
vulnerabilidades
Esto
sujeitos a
Podem
causar
Impactos
negativos para os
negcios
protegem
Controles
So
avaliadas
Anlise de Riscos
define
Requisitos de
Segurana
definem
Poltica de Informao
Documento contento as diretrizes, regras e princpios
adotados com relao aos fluxos informacionais corporativos.
Comunica aos integrantes da organizao as
responsabilidades e o comportamento esperado em relao
informao.
Ajuda na preservao dos princpios ticos de uso dos dados
corporativos.
Poltica de Informao
Exemplo:
Os dados pertencem empresa, no a um indivduo ou a
um departamento, e tero suas definies-padro
desenvolvidas pela unidade responsvel pela manuteno da
arquitetura informacional da organizao. Os proprietrios
dos processos de negcio que criam e atualizam os dados so
responsveis por implementar e seguir padres existentes.
Poltica de Segurana da Informao

Surge da necessidade de declarao de regras para o acesso
informao, uso da tecnologia da organizao e o tratamento,
manuseio e proteo dos dados e sistemas informacionais.
Deve surgir do mais alto nvel da organizao, alavancado pelo
reconhecimento dos srios problemas que poderiam resultar da
divulgao/alterao indevida ou da indisponibilidade das
informaes corporativas, e esse comprometimento deve ser
expresso em um poltica formal de segurana da informao,
estabelecida no contexto dos objetivos e funes organizacionais.

Deve concentrar-se em questes de princpio, deixando os detalhes
tcnicos e de implementao para outros documentos, de cunho
operacional.
aconselhvel que o documento contenha uma declarao
introdutria, que coloque o problema da segurana da informao
no contexto mais amplo de segurana do negcio e explique a
importncia da informao e dos recursos computacionais e a
necessidade de proteg-la contra ameaas existentes, a fim de
prevenir consequncias negativas que poderiam advir de um
incidente de segurana.

Aspectos considerados:
Estrutura de segurana: orientaes sobre a estrutura de gesto
adotada para planejar e controlar a implementao da
segurana da informao, explicitando quem o responsvel e
presta contas pelas segurana em todos os nveis da
organizao.
Classificao e controle dos ativos de informao: orientaes
sobre a realizao de inventrio dos ativos informacionais, a
classificao da forma considerada crtica e a atribuio de
responsabilidades pela manuteno dos controles necessrios
para proteg-la.

Aspectos humanos de segurana: definies sobre a poltica de
segurana de pessoal (processos de admisso e demisso) e de
treinamento em segurana; diretrizes de comportamento
esperado em relao ao uso de diversos tipos de recursos
computacionais disponveis (e-mail, Internet, sistemas de
informao, etc.) e em caso de ocorrncia de um incidente.
Segurana fsica e do ambiente: diretrizes para a proteo dos
recursos e instalaes de processamento de informaes crticas
ou sensveis do negcio contra acesso no autorizado, dano ou
interferncia.
10

Gesto das operaes e comunicaes: diretrizes para garantir a
operao correta e segura do processamento das informaes,
proteger a integridade dos servios e informaes e assegurar a
conexo segura com sistemas externos.
Controle de acesso: diretrizes para a monitorao e o controle de
acesso a recursos da rede e de aplicativos, para proteg-los contra
abusos internos e ataques externos.
Preveno e tratamento de incidentes: diretrizes estabelecidas para a
preveno, deteco e investigao de incidentes de segurana, bem
como para a emisso de relatrios sobre esses incidentes.
11

Desenvolvimento/aquisio, implantao e manuteno de
sistemas: diretrizes para o uso de controles de segurana em
todas as etapas do ciclo de vida dos sistemas, incluindo o
padro mnimo de segurana a ser aplicado a todos os sistemas
corporativos e orientaes quanto anlise de risco para
identificao dos sistemas que iro merecer medidas extra de
proteo.
Gesto de continuidade dos negcios: diretrizes para que a
organizao se prepare para neutralizar interrupes nas
atividades organizacionais e proteja seus processos crticos na
ocorrncia de uma falha ou desastre.
12

Conformidade: diretrizes para a preservao da conformidade com
requisitos legais (tais como proteo de direitos autorais e de
privacidade), normas e diretrizes internas (incluindo o tratamento de
informao proprietria) e requisitos tcnicos de segurana. Indicao
das punies a serem adotadas em caso de violao da poltica de
segurana (podendo ir de uma simples advertncia a demisso e ao
judicial).
13

Elementos normalmente encontrados:
Quem o responsvel e presta contas pela segurana da
informao em todos os nveis da organizao
Indicao das polticas de classificao da informao, proteo,
uso e descarte de informaes consideradas crticas ou sigilosas
Padro mnimo de segurana a ser aplicado a todos os sistemas
corporativos, e orientao quanto ao uso da anlise de risco
para a identificao dos sistemas e informaes que iro
receber medidas extra de proteo.
Reconhecimento de que uma proteo efetiva exige que a
segurana seja projetada durante o desenvolvimento dos
sistemas, e no adicionada posteriormente
14

Orientao de que a segurana da informao deve ser inserida
nos procedimentos operacionais, incluindo controles de acesso
e de auditoria interna para avaliao da adequao dos
controles do sistema.
Definies sobre a poltica de segurana pessoal (verificao dos
antecedentes dos candidatos antes da admisso, tratamento
das violaes de segurana, etc.)
Poltica de treinamento do pessoal, essencial para a
conscientizao do quadro quanto s questes de segurana da
informao
Referncia a procedimentos de controle de material proprietrio
e de licenas de uso de software
15

Referncia a procedimentos para registro e certificao de
sistemas e dados, e arranjos para garantir a conformidade
com a legislao aplicvel
Poltica quanto conexo a sistemas externos
Poltica quanto ao relatrio e investigao de incidentes de
segurana
Requisitos de planejamento da continuidade do servio
essencial estabelecer mecanismos que garantam a

constante atualizao do documento.
16

Polticas de
informao e de
segurana da
informao
subsidiam
Informaes e
Sistemas de
Informao
Ameaas e
vulnerabilidades
Esto
sujeitos a
Podem
causar
Impactos
negativos para os
negcios
protegem
Controles
So
avaliadas
Anlise de Riscos
define
Requisitos de
Segurana
definem
17
Anlise de Riscos e Alternativas de

Proteo
O custo da segurana pode ser bem alto
As medidas de segurana no apresentam retorno sobre o
investimento em termos de eficincia operacional
A anlise de riscos deve ser abrangente, a partir de uma

avaliao dos recursos informacionais e de TI a serem
protegidos, da escala de risco a que esto sujeitos e das
consequncias para o negcio caso esses recursos sejam
comprometidos, convence a alta direo de que a preveno
no somente o caminho mais responsvel, mas tambm
mais barato a longo prazo.
18

Polticas de
informao e de
segurana da
informao
subsidiam
Informaes e
Sistemas de
Informao
Ameaas e
vulnerabilidades
Esto
sujeitos a
Podem
causar
Impactos
negativos para os
negcios
protegem
Controles
So
avaliadas
Anlise de Riscos
define
Requisitos de
Segurana
definem
19
Classificao da Informao quanto aos

Requisitos de Segurana
A classificao importante para evitar controles
excessivos que acarretem na ineficincia dos fluxos
informacionais, e que recursos sejam desperdiados pelo
uso indiscriminado de mecanismos de segurana.
importante que a segurana seja:
Apropriada para as necessidades da organizao, mas completa
em sua cobertura
Justificada, no sentido de que ir reduzir riscos identificados a
um nvel que a administrao est disposta a aceitar
Efetiva contra ameaas reais
20
Requisitos:
Sigilo: proteo contra a divulgao indevida
Integridade: proteo contra a modificao no autorizada
Autenticidade: garantia de que a informao seja proveniente
da fonte qual ela atribuda
Disponibilidade: garantia de que as informaes e servios
importantes estejam disponveis para os usurios quando
requisitados
Irretratabilidade da comunicao: proteo contra a alegao
por parte de um dos participantes de uma comunicao de que
a mesma no ocorreu.
21
Requisitos:
requisitados
a mesma no ocorreu.
22

Requisitos de Sigilo
No mbito da Administrao Pblica Federal, o decreto n
4.553/2002 classifica os documentos pblicos sigilosos em quatro
categorias (art. 5):
Ultra-secretos: aqueles cujo conhecimento no autorizado possa
acarretar dano excepcionalmente grave segurana da sociedade e do
Estado;
Secretos: aqueles cujo conhecimento no autorizado possa causar dano
grave segurana da sociedade e do Estado;
Confidenciais: aqueles que no interesse do Poder Pblico e das partes
que devam ser de conhecimento restrito, e cuja revelao no
autorizada possa frustrar seus objetivos ou acarretar dano segurana
da sociedade e do Estado;
Reservados: aqueles cuja revelao no autorizada possa comprometer
planos, operaes ou objetivos neles previstos ou referidos.
23

Requisitos de Sigilo
Tipo
Caractersticas
Exemplo
Sigilosa
A divulgao para pessoas no

autorizadas pode causar danos
graves organizao
Numa operadora de telefonia, as

informaes pessoais e sobre cobrana
dos clientes esto sujeitas a normas de
privacidade e de restrio de uso cujo
descumprimento pode levar a prejuzos
financeiros e penalidades.
Reservada
Informaes que no interesse da

organizao devam ser de
conhecimento restrito e cuja
revelao no autorizada por
frustrar o alcance de objetivos e
metas
Detalhes do lanamento de um novo

produto podem atrapalhar os planos de
uma empresa caso cheguem ao
conhecimento da concorrncia antes do
momento oportuno.
Pblica
Informao de acesso livre
Informaes institucionais publicadas no

site da organizao
24
Requisitos:
requisitados
a mesma no ocorreu.
25

Requisitos de Integridade
Falta de consistncia da informao
Podem ser decorrentes do registro de dados por
atendentes de call center interessados em economizar
tempo, de erros de digitao, de migrao de sistemas,
etc.
Tentativa de fraude.
26

Requisitos de Integridade
Tipo
Caractersticas
Exemplo
Alta exigncia A criao com erro ou alterao

de
indevida pode comprometer as
integridade
operaes ou objetivos organizacionais,
acarretar descumprimento de normas
legais ou trazer prejuzos organizao,
a seus integrantes ou sociedade.
No governo, informaes que do origem

concesso de benefcios pela Previdncia
Social (a fragilidade dos mecanismos de
integridade dos dados pode levar a fraudes
ao pagamento indevido de benefcios).
Numa operadora de telefonia, a falta de
integridade pode causar cobrana indevida
aos clientes.
Mdia
exigncia de
integridade
A criao com erro ou alterao

indevida no compromete as
operaes nem traz impactos
exagerados, mas pode causar algum
prejuzo
Preos de mercadorias vendidas a serem

publicados num anncio
Baixa
exigncia de
integridade
A criao com erro ou alterao

indevida pode ser facilmente detectada
e/ou oferece riscos desprezveis para a
organizao
Preos de insumos coletados de

fornecedores (um erro de preo registrado
ser facilmente descoberto durante o
processo de negociao e compra)
27
Requisitos:
requisitados
a mesma no ocorreu.
28

Requisitos de Autenticidade
Tipo
Caractersticas
Exemplo
Informao com exigncia de

comprovao de
autenticidade
Informao cujo uso e

divulgao est sujeito a
prvia confirmao de
procedncia
Pedido de criao de senha

de acesso para um usurio de
sistema, comunicados
pblicos em nome da
organizao, informaes
relativas a transaes
financeiras etc.
Informao sem exigncia de

comprovao de
autenticidade
Informao cuja confirmao

da procedncia no
necessria (por estar implcita
ou ser irrelevante) ou
custo/benefcio de
comprovao no compensa
o esforo.
Mensagens de e-mail
rotineiras trocadas entre
funcionrios, relatrios
extrados de sistemas,
boatos sobre a
concorrncia.
29
Requisitos:
requisitados
a mesma no ocorreu.
30

Requisitos de Disponibilidade
Anlise de como a falta de informaes pode afetar a organizao e do tempo
que levaria para que esse efeito aparecesse permite classificar as informaes e
os sistemas de informao numa ordem de recuperao em caso de falha.
expressa em termos de tempo mximo de indisponibilidade que a organizao
poderia tolerar. Exemplo:
Categoria 1: devem ser recuperados dentro de x minutos

Categoria 2: devem ser recuperados dentro de y horas
Categoria 3: devem ser recuperados dentro de z dias
Categoria 4: devem ser recuperados dentro de n semanas
Categoria 5: a importncia do tempo de recuperao varia de acordo com o perodo
(por exemplo, o sistema que roda folha de pagamento, extremamente importante
perto das datas de pagamento dos funcionrios, mas pouco crtico nos outros
perodos)
Categoria 6: aplicaes no crticas
31

Tipo
Caractersticas
Exemplo
Exigncia de recuperao
em curto espao de
tempo (pode abranger as
categorias 1 e 2)
A indisponibilidade alm de um
breve perodo de tempo pode
causar prejuzos inaceitveis
Sistemas que viabilizam a

realizao de transaes em
instituies financeiras que
atuam no mercado de aes
Exigncia de recuperao
em mdio espao de
tempo (pode abranger as
categorias 2, 3 e 4)
A indisponibilidade temporria
no compromete o desempenho
dos processos crticos, mas aps
determinado perodo pode
causar atrasos ou decises
equivocadas que se deseja evitar
Informaes de apoio s
atividades gerenciais
rotineiras, tais como
resultados de vendas,
indicadores de produo, etc.
32

Tipo
Caractersticas
Exemplo
Sem exigncia de tempo

de recuperao (categoria
6)
A perda ou indisponibilidade por

longo perodo no traz impactos
negativos considerveis, seja
pela facilidade de recuperao
da informao em fontes
externas ou internas, seja por
sua pouca relevncia para os
processos organizacionais
Informaes sobre horrios

de voo para os destinos mais
comuns das viagens de
funcionrios disponveis
numa intranet (a informao
til para agilizar a marcao
de compromissos de
trabalho, mas pode ser
facilmente recuperada em
sites de agncias de viagem
ou companhias areas).
Exigncia te tempo de
recuperao sujeito
sazonalidade (categoria 5)
O tempo aceitvel de
indisponibilidade varivel
Sistema que roda a folha de

pagamento ou que gera
automaticamente a cada ms
os pedidos de compra para
produtos em falta no estoque
33
Requisitos:
requisitados
a mesma no ocorreu.
34

Requisitos de Irretratabilidade
Situaes nas quais obrigatrio ou conveniente para a
organizao ter a certeza da identidade real de quem enviou
uma mensagem, e de que esta foi recebida pelo destinatrio.
Normalmente, essas exigncias so atreladas necessidade
de se garantir a integridade e autenticidade .
35

Polticas de
informao e de
segurana da
informao
subsidiam
Informaes e
Sistemas de
Informao
Ameaas e
vulnerabilidades
Esto
sujeitos a
Podem
causar
Impactos
negativos para os
negcios
protegem
Controles
So
avaliadas
Anlise de Riscos
define
Requisitos de
Segurana
definem
36
Definio dos Controles

Verificaes ou restries colocadas no ambiente informacional
para reduzir os riscos associados aos objetivos de segurana.
importante a combinao de vrios controles, se um falhar, o
outro d o suporte.
Categorias:
Fsicos: projetados para proteger o ambiente informacional contra
ameaas fsicas, como incndio, inundao, raios, etc., manter um
ambiente adequado de operao de sistemas em termos de
temperatura, umidade, limpeza e qualidade do fornecimento de
energia eltrica, e proteger a organizao de incidentes de acesso
fsico, tais como furto e danos propositais a equipamentos.
37

Tcnicos (ou lgicos): implementados por software, so
usados para restringir o acesso e o uso do sistema
operacional, redes e aplicativos.
Manuais: implementados sem o auxlio de mquinas
(exemplo: colocao de um guarda na entrada para
impedir que estranhos tenham acesso s instalaes
computacionais, ou checagem manual dos dados
apresentados em um relatrio extrado de sistema
informatizado antes de sua distribuio).
38

Atuao dos controles:
Eliminando uma ameaa: a manuteno de informaes altamente confidenciais fora
da rede corporativa, num computador isolado, elimina a ameaa de acesso remoto
no autorizado a essas informaes
Reduzindo uma vulnerabilidade: um edifcio construdo com materiais resistentes a
fogo ser menos vulnervel ameaa de incndio.
Reduzindo o impacto: o isolamento de um segmento da rede interna para mant-la
inacessvel por usurios externos pode reduzir o impacto de uma eventual invaso do
sistema via internet.
Detectando incidentes: alarmes contra incndio, vazamentos e invaso fsica, ou
alertas gerados pelo sistema em caso de tentativas de acesso no autorizado a uma
informao.
Recuperando o impacto: procedimentos de backup e de recuperao de desastres so
necessrios para recuperar sistemas e servios aps um incidente de segurana.
39
Referncias
BEAL, A. Gesto Estratgica da Informao: como transformar a
informao e a tecnologia da informao em fatores de crescimento e de
alto desempenho nas organizaes. So Paulo: Atlas, 2004. ISBN: 85-2243764-5.
40
Trabalho
Leis de Informao no Brasil
9 grupos de 4 pessoas
1.
2.
3.
4.
5.
6.
7.
8.
9.
Termos de Uso do Yahoo

Termos de Uso do Gmail
Termos de Uso do Facebook
Caso de Espionagem dos EUA nos Brasil
Caso Wikileaks
Lei de Acesso Informao 12.527
Lei sobre Delitos Informticos 12.737
Marco Civil da Internet 2.126
Texto: O CGI.br e o Marco Civil da Internet
Tempo de apresentao: 10 a 15 minutos

Apresentao dia 09/05 (aula com incio s 13:30)
41

Segurança Da Informação

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Segurança Da Informação

Caricato da

Copyright:

Formati disponibili

Gesto da Informao

Prof MSc. Lucinia Maia

Principais elementos da Gesto da

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Principais elementos da Gesto da

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Poltica de Segurana da Informao

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Poltica de Segurana da Informao

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Poltica de Segurana da Informao

Poltica de Segurana da Informao

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Poltica de Segurana da Informao

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Poltica de Segurana da Informao

Poltica de Segurana da Informao

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Poltica de Segurana da Informao

Poltica de Segurana da Informao

Poltica de Segurana da Informao

essencial estabelecer mecanismos que garantam a

Principais elementos da Gesto da

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Anlise de Riscos e Alternativas de

A anlise de riscos deve ser abrangente, a partir de uma

Principais elementos da Gesto da

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Classificao da Informao quanto aos

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Classificao da Informao quanto aos

Classificao da Informao quanto aos

A divulgao para pessoas no

Numa operadora de telefonia, as

Informaes que no interesse da

Detalhes do lanamento de um novo

Informao de acesso livre

Informaes institucionais publicadas no

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Classificao da Informao quanto aos

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Classificao da Informao quanto aos

Alta exigncia A criao com erro ou alterao

No governo, informaes que do origem

A criao com erro ou alterao

Preos de mercadorias vendidas a serem

A criao com erro ou alterao

Preos de insumos coletados de

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Classificao da Informao quanto aos

Informao com exigncia de

Informao cujo uso e

Pedido de criao de senha

Informao sem exigncia de

Informao cuja confirmao

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

UFOP/ICEA/DECEA - Sistemas de Informao. Gesto da Informao. Prof MSc. Lucinia Maia

Classificao da Informao quanto aos