Objetivos da Segurança
da Informação
Objetivos da SI
• O modelo de segurança da informação tem como objetivo
implantar a proteção necessária ao negócio eletrônico
entre as organizações.
• Ele se baseia em atividades e processos cíclicos envolvendo
análise de riscos, desenvolvimento e utilização de
recomendações de segurança nas dimensões conceitual,
física, lógica e humana, implementação de procedimentos
e criação de processos de controle e auditoria,
considerando sempre a avaliação de custo e benefício.
• A adoção da segurança da informação pressupõe bons
conjuntos de procedimentos, bem como sua plena adoção
e divulgação.
Objetivos da SI
• As exigências de segurança decorrem da
necessidade da administração reduzir a um nível
aceitável o risco de uma quebra significativa do
sigilo, integridade ou disponibilidade dos sistemas
de informação ou dos dados por eles manipulados.
• Isso pode ser alcançado reduzindo-se as ameaças e
a vulnerabilidade a uma ameaça ou o impacto da
concretização de uma ameaça que venha danificar
o sistema.
Objetivos Básicos
• A política de segurança da informação deve seguir
quatro objetivos básicos em sua composição:
– Integridade: a condição na qual as informações ou os
recursos da informação são protegidos contra
modificações não autorizadas.
– Confidencialidade: propriedade de certas informações
que não podem ser disponibilizadas ou divulgadas sem
autorização prévia do seu dono.
– Disponibilidade: característica da informação que se
relaciona diretamente à possibilidade de acesso por
parte daqueles que a necessitam para o desempenho de
sua atividades.
– Legalidade: estado legal da informação, em
conformidade com os preceitos da legislação em vigor.
Objetivos Básicos
• Definir qual objetivo é mais importante em cada
caso, irá depender da natureza do sistema: em
sistemas que mantenham segredos militares, a
ênfase seria na confidencialidade acima de qualquer
coisa, enquanto que, na maioria das outras
aplicações, a ênfase maior estaria provavelmente
da disponibilidade, seguida da integridade.
Objetivos Básicos
• Os caminhos para alcançar estes objetivos são
bastante claros:
–
–
–
–
–
–
Detecção e análise de políticas vulneráveis;
Estabelecimento de políticas de segurança;
Execução das políticas de segurança;
Acompanhamento;
Avaliação dos resultados contra os objetivos traçados;
Correção de objetivos e políticas.
Objetivos Básicos
• A segurança da informação manifesta-se de várias
formas de acordo com as situações e necessidades.
Independente de quem é envolvido, e em que
nível, todas as partes em uma transação devem ter
certeza que certos objetivos relacionados com a
segurança da informação devem ser atendidos.
• A tabela a seguir apresenta uma lista com alguns
mecanismos utilizados para atender aos objetivos
básicos de segurança:
Alguns Mecanismos da SI
Privacidade e Confidencialidade
Mantém a informação secreta para todos, menos
para aqueles com autorização para acessá-las.
Integridade dos dados
Garante que a informação não foi alterada por
alguma pessoa ou processo não autorizado.
Autenticação das entidades ou Confirmação da identidade de uma entidade.
Identificação
Autenticação da mensagem
Confirmação da fonte da informação, também
conhecida como autenticação da origem dos dados.
Assinatura
Um forma de associar informação a uma entidade.
Autorização
Veículo, para outra entidade, de permissões oficiais
para ser ou fazer alguma coisa.
Controle de acesso
Restringir acesso
privilegiadas.
Certificação
Confirmação da informação por entidades fidedigna.
aos
recursos
para
entidades
Alguns Mecanismos da SI
Timestamping
Armazena o tempo ou a data da criação da
informação.
Testemunho
Verifica a criação ou existência da informação por
uma entidade que não seja a criadora do dado.
Recebimento
Certeza de que a informação foi recebida.
Confirmação
Certeza de que o serviço foi feito.
Propriedade
Uma forma de prover para entidade com direitos
legais o direito de usar ou transferir recursos para
outros.
Anonimidade
Encobrimento das identidades dos envolvidos em um
processo.
Não repúdio
Prevenção da negação de um acordo ou ação já
acertada.
Revogação
Retirada da certificação ou da autorização de uma
entidade.
Atividades a cumprir
• Basicamente, para a implantação da Segurança da
Informação numa empresa, deve ser seguido um
fluxo cíclico de atividades de segurança:
– Análise de riscos;
– Definição da Política de Segurança.
– Plano de Contigência ( o que fazer em caso de
problemas).
Análise de Riscos
• A Análise de Riscos consiste em determinar todo e
qualquer tipo de ameaça ou vulnerabilidade a que
podem estar expostos o negócio e o ambiente da
empresa. Mas detalhes sobre essa fase da
implementação da segurança serão abordados no
próximo capítulo.
Política de Segurança
• Identificadas as ameaças, é necessário elaborar
normas e procedimentos para evitar problemas, ou
seja, minimizar os riscos criando-se, então a Política
de Segurança, que será melhor definida no Capítulo
4.
Política de Segurança
• Ainda não existe segurança perfeita, portanto os
procedimentos da Política de Segurança podem
falhar e/ou as normas podem não ser seguidas, por
isso é necessário criar um Plano de Contingência,
para reagir a qualquer tipo de desastre.
• Essa reação inclui a determinação das possíveis
ações a serem tomadas para diminuir os prejuízos
causados pela falha na segurança e para garantir
que a ordem seja estabelecida o mais breve
possível.
Atividades de Segurança
• A figura ilustra o fluxo de atividades de segurança.
Análise de Riscos
Política de Segurança
Plano de Contingência
Muito agradecido.
Download

Slide 1 - Sistemas de Informação