Objetivos da Segurança da Informação Objetivos da SI • O modelo de segurança da informação tem como objetivo implantar a proteção necessária ao negócio eletrônico entre as organizações. • Ele se baseia em atividades e processos cíclicos envolvendo análise de riscos, desenvolvimento e utilização de recomendações de segurança nas dimensões conceitual, física, lógica e humana, implementação de procedimentos e criação de processos de controle e auditoria, considerando sempre a avaliação de custo e benefício. • A adoção da segurança da informação pressupõe bons conjuntos de procedimentos, bem como sua plena adoção e divulgação. Objetivos da SI • As exigências de segurança decorrem da necessidade da administração reduzir a um nível aceitável o risco de uma quebra significativa do sigilo, integridade ou disponibilidade dos sistemas de informação ou dos dados por eles manipulados. • Isso pode ser alcançado reduzindo-se as ameaças e a vulnerabilidade a uma ameaça ou o impacto da concretização de uma ameaça que venha danificar o sistema. Objetivos Básicos • A política de segurança da informação deve seguir quatro objetivos básicos em sua composição: – Integridade: a condição na qual as informações ou os recursos da informação são protegidos contra modificações não autorizadas. – Confidencialidade: propriedade de certas informações que não podem ser disponibilizadas ou divulgadas sem autorização prévia do seu dono. – Disponibilidade: característica da informação que se relaciona diretamente à possibilidade de acesso por parte daqueles que a necessitam para o desempenho de sua atividades. – Legalidade: estado legal da informação, em conformidade com os preceitos da legislação em vigor. Objetivos Básicos • Definir qual objetivo é mais importante em cada caso, irá depender da natureza do sistema: em sistemas que mantenham segredos militares, a ênfase seria na confidencialidade acima de qualquer coisa, enquanto que, na maioria das outras aplicações, a ênfase maior estaria provavelmente da disponibilidade, seguida da integridade. Objetivos Básicos • Os caminhos para alcançar estes objetivos são bastante claros: – – – – – – Detecção e análise de políticas vulneráveis; Estabelecimento de políticas de segurança; Execução das políticas de segurança; Acompanhamento; Avaliação dos resultados contra os objetivos traçados; Correção de objetivos e políticas. Objetivos Básicos • A segurança da informação manifesta-se de várias formas de acordo com as situações e necessidades. Independente de quem é envolvido, e em que nível, todas as partes em uma transação devem ter certeza que certos objetivos relacionados com a segurança da informação devem ser atendidos. • A tabela a seguir apresenta uma lista com alguns mecanismos utilizados para atender aos objetivos básicos de segurança: Alguns Mecanismos da SI Privacidade e Confidencialidade Mantém a informação secreta para todos, menos para aqueles com autorização para acessá-las. Integridade dos dados Garante que a informação não foi alterada por alguma pessoa ou processo não autorizado. Autenticação das entidades ou Confirmação da identidade de uma entidade. Identificação Autenticação da mensagem Confirmação da fonte da informação, também conhecida como autenticação da origem dos dados. Assinatura Um forma de associar informação a uma entidade. Autorização Veículo, para outra entidade, de permissões oficiais para ser ou fazer alguma coisa. Controle de acesso Restringir acesso privilegiadas. Certificação Confirmação da informação por entidades fidedigna. aos recursos para entidades Alguns Mecanismos da SI Timestamping Armazena o tempo ou a data da criação da informação. Testemunho Verifica a criação ou existência da informação por uma entidade que não seja a criadora do dado. Recebimento Certeza de que a informação foi recebida. Confirmação Certeza de que o serviço foi feito. Propriedade Uma forma de prover para entidade com direitos legais o direito de usar ou transferir recursos para outros. Anonimidade Encobrimento das identidades dos envolvidos em um processo. Não repúdio Prevenção da negação de um acordo ou ação já acertada. Revogação Retirada da certificação ou da autorização de uma entidade. Atividades a cumprir • Basicamente, para a implantação da Segurança da Informação numa empresa, deve ser seguido um fluxo cíclico de atividades de segurança: – Análise de riscos; – Definição da Política de Segurança. – Plano de Contigência ( o que fazer em caso de problemas). Análise de Riscos • A Análise de Riscos consiste em determinar todo e qualquer tipo de ameaça ou vulnerabilidade a que podem estar expostos o negócio e o ambiente da empresa. Mas detalhes sobre essa fase da implementação da segurança serão abordados no próximo capítulo. Política de Segurança • Identificadas as ameaças, é necessário elaborar normas e procedimentos para evitar problemas, ou seja, minimizar os riscos criando-se, então a Política de Segurança, que será melhor definida no Capítulo 4. Política de Segurança • Ainda não existe segurança perfeita, portanto os procedimentos da Política de Segurança podem falhar e/ou as normas podem não ser seguidas, por isso é necessário criar um Plano de Contingência, para reagir a qualquer tipo de desastre. • Essa reação inclui a determinação das possíveis ações a serem tomadas para diminuir os prejuízos causados pela falha na segurança e para garantir que a ordem seja estabelecida o mais breve possível. Atividades de Segurança • A figura ilustra o fluxo de atividades de segurança. Análise de Riscos Política de Segurança Plano de Contingência Muito agradecido.