Aula01 - ProtecaoMelhoresPraticas

Segurança da Informação: Proteção e Melhores Práticas

Qual informação deve ser protegida?

• Armazenada em computador
• Transmitida através da rede
• Impressa ou escrita em papel
• Enviada através de fax
• Armazenada em fita ou disco

• Falada em conversas em telefone
• Enviada por email
• Armazenada em banco de dados
• Mantida em filmes ou micro-filmes
• Apresentada em projetores

Proteger a informação de que?

• Espionagem industrial
• Fraude
• Arrombamento
• Gravação de comunicação
• Escuta telefônica
• Acesso acidental
• Empregado desleal
• Crime organizado
• Hacker de computador
• Plágio
• Pessoa não autorizada
• Virus

Ameaça

Uma causa potencial de um incidente indesejável com um ativo ou grupo de ativos de informação que pode resultar em danos para a organização.

Exemplo: inundação, roubo, erro do usuário, falha de hardware,

Vulnerabilidade

Uma fraqueza de um ativo ou grupo de ativos de informação que pode ser explorada por uma ameaça.

Exemplo: Data Center ao lado de um rio, portas destrancadas, alocação errada de direito de senha, falta de manutenção

Ativo de informação

Todo bem da empresa que se relaciona com e que tenha valor para a organização.

Exemplo: Hardware, software, sistema, documentação

Risco

É a medida do nível de incerteza associado a probabilidade de ocorrência de um evento e suas conseqüências

Exemplo: Risco = probabilidade x impacto

Melhores práticas de segurança

1) Política de Segurança: prover à administração uma orientação e apoio para a segurança da informação.

2) Segurança organizacional: Gerenciar a segurança da informação na organização.

3) Classificação e controle de ativos da informação: manter a proteção adequada dos ativos da organização.

4) Segurança em pessoa: reduzir os riscos de erro humano, roubo, fraudes ou uso indevido das instalações.

5) Segurança física e ambiente: prevenir o acesso não autorizado, dano, perda e interferência as instalações físicas da organização.

6) Gerenciamento das operações e comunicações: garantir a operação segura e correta dos recursos de processamento da informação.

7) Controle de acesso: Controlar o acesso a informação.

8) Desenvolvimento e manutenção de sistemas: garantir que a segurança seja parte integrando do sistema de informação.

9) Gestão da continuidade de negócio: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de grandes falhas ou desastres significativo.

10) Conformidade: evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança.