INCIDENTE DE SEGURANÇA Corresponde a quaquer evento adverso relacionado á segurança; Por exemplo:...
Transcript of INCIDENTE DE SEGURANÇA Corresponde a quaquer evento adverso relacionado á segurança; Por exemplo:...
INCIDENTE DE SEGURANÇA
• Corresponde a quaquer evento adverso relacionado á segurança;
• Por exemplo: Ataques de Negação de Serviços(Denial of Service - DoS);
• Roubo de informações;• Vazamento e obtenção de acesso não
autorizado a informaçào.
ATIVO
• Qualquer coisa que tenha valor para a organização e para seus negócios.
• Alguns exemplos: banco de dados, software, equipamentos(computadores e notebooks), servidores, elementos de redes(roteadores, switches, entre outros), pessoas, processos e serviços.
AMEAÇA
• Qualquer evento que explore vulnerabilidades.
• Causa pontencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
VULNERABILIDADE• Qualquer fraqueza que possa ser explorada e comprometer a
segurança de sistemas ou informações.• Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaças. • Vulnerabilidades são falhas que permitem o surgimento de
deficiências na segurança geral do computador ou da rede.• Configurações incorretas no computador ou na segurança geral
do computador.• A partir dessa falha, as ameaças exploram as vulnerabilidades,
que, quando concretizadas, resultam e danos para o computador, para a organização ou para os dados pessoais.
RISCO
• Combinação da probabilidade(chance da ameaça se concretizar) de um evento ocorrer e de suas consequências para a organização.
ATAQUE
• Qualquer ação que comprometa a segurança de uma organizaçào;
IMPACTO
• Consequência avaliada de um evento em particular;
Modelos de Ataque
Fluxo Normal
A BFonte de
InformaçãoDestino daInformação
Modificação Fabricação
A B
Interrupção
A B
InterceptaçãoI
A B
M
A B
F
FORMAS DE ATAQUES
O ataque é um ato deliberado de tentar se desviar dos controles de segurança com o objetivo de explorar as vulnerabilidades.
ATAQUES PASSIVOS
• Ataques baseados em escutas e monitoramento de transmissões, com o intuito de obter informações que estão sendo transmitidas.
• A escuta de uma conversa telefônica é um exemplo dessa categoria.
• Ataques dessa categoria são dificies de detectar porque não envolver alterações de dados, todavia, são possíveis de prevenir com a utilização de criptografia.
ATAQUES ATIVOS
• Envolvem modificação de dados, criação de objetos falsificados ou negação de serviço;
• Possuem propriedades opostas ás dos ataques passivos.
• São ataques de difícil prevenção, por causa da necessidade de proteção completa de todas as facilidades de comunicação e processamento, durante o tempo todo.
Visão geral de gestão da segurança da informação:
• Preparando a organização;• Requisitos de segurança;• Análise/Avaliação de riscos;• Seleção de controles;• Itens relevantes Atividades Envolvidas;
Preparando a organização
É preciso ter em mente as respostas aos seguintes questionamentos:
• O que proteger?• Contra o quê ou quem?• Qual a importância de cada recurso?• Qual o grau de proteção desejado?• Quanto tempo, recursos financeiros e humanos se
pretende gastar para atingir os objetivos de segurança desejados?
• Quais as expectativas dos diretores, clientes e usuários em relação á segurança da Informação?
REQUISITOS DE SEGURANÇA
Análise/avaliação de riscos• Análise/avaliação de riscos da organição.
Considera os objetivos e estratégias de negócio da organização, resultando na identificação de vulnerabilidades e ameaças aos ativos.
• Legislação Vigente:
Estatutos, regulamentação e cláusulas contratuais a que devem atender a organização, seus parceiros, terceirizados e fornecedores.
• Conjunto de princípios:
Objetios e requisitos de negócio para o processamento de dados que a organização deve definir dar suporte ás suas operações.
ANÁLISE/AVALIAÇÃO DE RISCOS
ANÁLISE/AVALIAÇÃO DE RISCOS
• Gastos com controles precisam ser balanceados de acordo com os dados potenciais.
• Resultados direcionam e determinam ações gerenciais.
• Tarefa periódica, para contemplar mudanças.
Seleção de controles
Controles devem ser implementados para garantir a redução de riscos.Dependem das decisões da organização quanto aos riscos.
Alguns exemplos de controle:
• Barreira, portas cartazes de "Proibida a entrada" e catracas;
• Crachás, controle de visitantes e CFTV;• Senhas, fechaduras e controles biometricos;• Políticas de segurança, termos de
responsabilidade e treinamento;• Antivírus, backup e controle de acesso lógico.
Controles considerados essenciais, do ponto de vista legal:
• Proteção de dados e pricacidade.• Proteção de registro organizacionais.• Direitos de proproedade intelectual.
Sob o ponto de vista legal
• Proteção de dados e privacidade de informaçõe pessoais;
• Proteção de registros organizacionais;• Direitos de propriedade intelectual.
Controles considerados de boas práticas:
• Politica de segurança da informação;• Atribuição de responsabilidades;• Conscientização, educação e treinamento em
segurança da informação;• Processamento correto em aplicações;• Gestão da vulnerabilidades;• Gestão da continuidade do negócio;• Gestão de incidentes de segurança da
informação;
Controles de boas práticas para a segunça da informação compreendem:
• Documentos da política de segurança da informação;
• Atribuição de responsabilidades para a segurança da informação;
• Processamento corrreto nas aplicações;• Gestão das vulnerabilidades técnicas;• Gestão da continuidade do negocio;• Gestão de incidentes de Segurança da
informação.
Atividade envolvidas
• Gerência de segurança dos sistemas;• Gerência dos serviços de segurança;• Gerência dos mecanismos de segurança;• Gerência da autoria de segurança