Create your own awesome maps

Even on the go

with our free apps for iPhone, iPad and Android

Get Started

Already have an account?
Log In

Exame EXIN  Information Security Foundation (based on ISO/IEC 27002) by Mind Map: Exame EXIN
 Information
Security
Foundation
(based on
ISO/IEC
27002)
5.0 stars - 10 reviews range from 0 to 5

Exame EXIN  Information Security Foundation (based on ISO/IEC 27002)

Mapa desenvolvido pela TIEXAMES

www.tiexames.com.br

Não divulgar este material

Somente alunos matriculados no curso devem usá-lo

Entendendo todos os tópicos deste mapa é possível passar no exame

Não disponível para impressão, somente consulta online

Informação e segurança

Dados

partes de informação que não têm significado

São uma série de fatos discretos

Informação

É algo que tem significado

É um conjunto de dados estruturados (exemplo: relatório)

É necessário analisar os dados no contexto para que eles se transformem em informação com significado

É o conhecimento que alguém adquiriu

É um fator de produção, assim como matéria-prima, mão de obra e capital

Valor da informação

É geralmente determinado pela importância que o destinatário atribui a ela.

Mas também pode variar de acordo com o contexto e partes envolvidas

Informação é um ativo (bem)

Aspectos de confiabilidade / 3 requisitos de qualidade

Confidencialidade, Conceito, É o grau no qual o acesso à informação é restrito a um grupo definido de pessoas autorizadas a terem este acesso., Características, Exclusividade, Dados disponíveis exclusivamente para os usuários autorizados a acessá-los., Privacidade, Consiste em limitar o acesso a informações de pessoas, Exemplos de medidas, Acesso à informação condicionado à necessidade de informação, Funcionários que garantam que as informações não serão exibidas para quem não precisa delas, Gerenciamento de acesso lógico estabelecendo direitos de acesso p/ cada usuário, Segregação de funções para determinar o que cada cargo/função pode acessar nos sistemas, Algumas informações do RH não devem ser acessadas por outros departamentos, Uso de senha para acessar os computadores na rede

Integridade, Conceito, Propriedade da exatidão e completeza da informação., Características, Completeza, os dados estão completos, inteiros, Correção/Corretude, garante que os dados são verdadeiros e exatos., Precisão, as saídas de dados podem ser reproduzidas de forma consistente, Validade, os dados atendem aos critérios de aceitação (de exatidão, precisão, tempo de vida, etc.), Verificação, é possível verificar que os dados foram cadastrados, armazenados, recuperados, transferidos e exibidos corretamente., Exemplos de medidas, Autorização para mudanças nos sistemas e em dados., Sempre que possível, convém serem construídos mecanismos para forçar as pessoas a usar o termo correto., Registro de ações dos usuários de forma que possa ser determinado quem fez uma mudança na informação., Ações vitais do sistema, como aprovar um pagamento, não podem ser realizadas por apenas uma pessoa., A integridade dos dados pode ser assegurada também através de técnicas de criptografia, o que protege a informação de acesso ou alteração sem autorização.

Disponibilidade, Conceito, É o grau no qual a informação está disponível para o usuário e para o sistema de informação que está em operação no momento que a organização precisa dele, Características, Prontidão, Os sistemas de informação precisam estar disponíveis quando necessários, Continuidade, O pessoal pode continuar o trabalho ainda que ocorra um evento de falha, Robustez, Deve haver capacidade suficiente para permitir a todo o pessoal usar sistema para trabalhar, Exemplos de medidas, Gerenciamento e armazenamento de dados de forma que a probabilidade de perder a informação seja mínima., Procedimentos de backup considerando os requisitos de quanto tempo os dados devem ser armazenados., Criação de procedimentos de emergência para garantir que as atividades possam ser retomadas o mais rapidamente possível após uma interrupção de larga escala.

Ameaças e riscos

Elementos do conceito de risco

Ameaça, Potencial causa de um incidente indesejado que pode resultar em dano a um sistema ou organização., agente de ameaça, A entidade que tira vantagem de uma vulnerabilidade

Vulnerabilidade, Fraqueza de um ativo ou controle que pode ser explorada por uma ou mais ameaças.

Impacto, Dano ou consequência caso a ameaça explore a vulnerabilidade

Risco, É a probabilidade de um agente de ameaça tirar proveito de uma vulnerabilidade e do impacto no negócio correspondente., Risco = Ameaça X Probabilidade de ocorrência X Impacto no negócio

Incidente de segurança

Conceito, Ocorre quando uma ameaça consegue explorar a vulnerabilidade, Indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Alguns exemplos, Hacker conseguiu invadir a rede, Informações confidenciais vazaram no mercado, Um documento importante foi perdido, Usuário esqueceu um documento na impressora, A porta de acesso à sala de servidores foi esquecida aberta, O monitor está apresentando mensagens estranhas

Desastre

Um grande incidente que ameaça a continuidade do negócio.

Tipos de ameaças

Humana intencional, Danos à informação causados por pessoas de forma proposital, Exemplos: hackers, empregados revoltados, engenharia social, Engenharia social, Quando alguém tenta ganhar confianca de um funcionário se passando por colega, cliente ou fornecedor, mas está tentando obter informação confidencial

Humana não intencional, Danos causados por pessoas de forma involuntária, Exemplos: pressionar botão delete sem querer, pen-drive com vírus, uso inadequado de extintor de incêndio

Não-humana, São normalmente influências externas, Exemplos: raios, incêndio, inundação, tempestade

Tipos de danos

Conceito, Dano resultante da manifestação de ameaças

Tipos de danos, Dano direto, Danos diretos provocados pela manifestação de uma ameaça, É a primeira perda provocada pelo incidente de segurança, Exemplos, Roubo de laptops, Dados perdidos devido a ataques de hackers, Servidor foi danificado após uso do extintor de incêndio, Dano indireto, É o dano consequente que pode ocorrer após uma ameaça se manifestar, Exemplos, O incêndio destrói a infraestrutura de TI e com isto a empresa perde o contrato com um cliente importante., Perda de reputação no mercado devido a um incidente de segurança que deixou o site da empresa indisponível por horas., Perda de vendas no site devido ao este ter ficado fora do ar após um ataque de hackers, Expectativa de perda única, Esta perda é considera a partir de uma única ocorrência do incidente, É diferente da expectativa de perda anual, que considera a perda durante um ano, Exemplo: Um armazém tem valor patrimonial de R$ 500.000 e a porcentagem de perda em caso de um incêndio é de 25%. Logo, o SLE = 500.000 x 0,25 = R$ 125.00, Expectativa de perda anual, É uma quantidade que é atribuída a vários eventos relacionados a uma ameaça durante um ano., Esta perda considera a taxa de ocorrência deste evento ao longo de um ano., Exemplo: se a empresa tem uma média de 10 laptops roubados a cada a ano, a expectativa de perda anual é o valor dos 10 laptops, incluindo os dados e softwares instalados neles

Gerenciamento de riscos

Conceito, Atividades coordenadas para dirigir e controlar uma organização em relação aos riscos., É o processo contínuo que identifica, examina e reduz os riscos a um nível aceitável

Responsável principal, Chief Information Security Officer (CISO)

Avaliação/análise de riscos, Conceito, É o processo de identificação, análise e avaliação (evaluation) de riscos., É uma etapa do gerenciamento de riscos, Objetivo principal, É usada para garantir que as medidas de segurança serão implementadas de uma forma rentável e oportuna, e, consequentemente, fornecer uma resposta eficaz às ameaças, Objetivos, Identificar os ativos de informação e seus valores, Deteminar vulnerabilidades e ameaças, Determinar o risco de ameaças se tornarem uma realidade e impactar os processos operacionais da empresa, Determinar um equilíbrio entre custos de um incidente os custos de uma medida de segurança, Tipos de análises de riscos, Qualitativa, É baseada em cenários e situações, As chances de uma ameaça se tornar real são examinadas com base em julgamentos subjetivos (experiência das pessoas), Quantitativa, Calcula, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameaça pode se tornar um incidente, Serve para determinar os custos de medidas de segurança e os custos do objeto a ser protegido

Medida ou controle de segurança, Posta em prática para evitar ou mitigar o risco potencial., Se não aplicada a organização está mais vulnerável a ameaça

Estratégias para riscos, Evitar (ou prevenir), Medidas são tomadas para que a ameaça seja eliminada de forma que não conduza a um incidente (não se manisfeste), Exemplo: para evitar a ferrugem, em vez de usar material de ferro usa-se material plátisco, A maioria das medidas tomadas são preventivas, Muito usada para serviços de missão crítica, Neutralizar (reduzir ou mitigar), As medidas são tomadas para que as ameaças não se manifestem ou, se o ocorrerem, o dano seja minimizado., Também conhecido como mitigação de riscos, A maioria das medidas tomadas são uma combinação de medidas preventivas, detectivas e repressivas, Transferir, Terceirizar uma atividade ou compartilhar com outra entidade para que esta assuma o ônus associado a um risco., Aceitar (suportar ou reter), A empresa pode aceitar riscos menos prioritários ou riscos residuais, Justificada quando os custos das medidas de segurança excedem o dano possível, Neste tipo de estratégia, a organização pode adotar medidas repressivas somente quando a ameaça de fato se manisfestar

Abordagem e organização

Política de segurança da informação

Serve para a gerência fornecer direção e suporte à organização

Documento importante do SGSI

Deve ser divulgada para todos na organização

Pode-se usar o ciclo PDCA para verificar se a política está sendo seguida ou pode ser melhorada

Precisa ser escrita de acordo com as necessidades do negócio, legislação e regulamentos

Código de conduta

Para estabelecer as responsabilidades de segurança da informação do funcionário ou parte externa também em relação a segurança da informação

Pode orientar como os funcionários podem usar os recursos de TI

Importante o usuário assinar este código

Política para o uso de dispositivos móveis

Para laptops, celulares, etc.

Política para trabalho remoto

Elementos importantes, Como se dará a autorização para permitir o usuário trabalhar remotamente, Como será a provisão para equipamentos, Como será a segurança da informação para trabalho remoto, Práticas de uso de equipamento para trabalho remoto.

Gestão de ativos

Ativo de negócio, Qualquer coisa que custa dinheiro ou tem certo valor para o negócio, Exemplos: informação, computadores, mídias, pessoas e seus conhecimentos

Proprietário do ativo é responsável por classificar e definir níveis de segurança para ele

Bring Your Own Device, Aplica-se quando o funcionário traz para o trabalho um dispositivo eletrônico, Empresa tem que ter uma política para isto

Papéis na segurança da informação

Chief Information Security Officer (CISO), Desenvolve a estratégia geral de segurança para a empresa inteira

Information Security Officer (ISO), Desenvolve uma política para uma unidade de negócio com base na política da empresa

Information Security Manager (ISM), Desenvolve uma política de segurança da informação para a área de TI

Incidente de segurança

Conceito, Ocorre quando uma ameaça se torna real

Relato de Incidente, Os funcionários devem reportar os incidentes o mais rápido possível, Normalmente reportados ao helpdesk

Gerenciamento de incidente, Processo para resolver incidentes o mais rápido possível

Tipos de escalação, Funcional (horizontal), Incidente é repassado para alguém que tem mais conhecimento técnico para resolver, Exemplo: repassar uma falha no firewall para o administrador da rede, Hierárquica (vertical), Incidente pode ser reportado para alguém que tem mais autoridade e pode precisar tomar alguma decisão, Exemplo: notificar o gerente do funcionário sobre o seu comportamento suspeito

Ciclo de vida, 4 Estágios: Ameaça - Incidente - Dano - Recuperação, Medidas para cada estágio, Redutivas, Reduz o impacto ou probabilidade de uma ameaça antes dela gerar um incidente, Preventivas, Aplicadas antes da ameaça levar a um incidente, Detectivas, Detectar a ocorrência de um incidente, Repressiva, Para responder a um incidente a fim de conter o estrago da ameaça (usar o extintor de incêndio, por exemplo), Corretiva, Reparar o que foi danificado (restaurar o backup, por exemplo), Avaliativa, Avaliar ao final da recuperação se ações foram efetivas

Medidas

Importância

Por que?, Atuam sobre as vulnerabilidades, Evitam ou minimizam perdas, Devem ser selecionadas após uma análise de riscos

Categorias de medidas, Preventiva, Torna a ameaça impossível antes de se manifestar, Exemplo: evitar acessar os sistemas internos via internet, Redutiva, Reduz a probabilidade da ameaça ocorrer ou o impacto se ocorrer, Detectiva, Garante que cada incidente possa se detectado o mais rápido possível e que todo mundo seja informado do que está acontecendo, Exemplo: vigilância por câmeras, Repressiva, Para minimizar as consequências de um incidente após ele ocorrer, Exemplo: usar extintor de incêndio, Corretiva, Recuperar algo após um incidente ter ocorrido, Exemplo: restaurar o banco de dados usando o backup, Contratar seguros, Para minimizar os impactos de alguns incidentes de perdas de ativos., Aceitação, Quando não há fortes motivos para investir em outras medidas.

Classificação de informação, Propósito, Ativos do negócio, incluindo informações, precisam ser classificados para determinar os níveis de segurança para eles, Orientam os funcionários sobre como manipular ou guardar as informações de acordo com o nível de sensibilidade, Classificações, Níveis de sensibilidade colocados na marca ou etiqueta de um documento: secreto, confidencial ou público, As etiquetas de classificação podem ser colocadas fisicamente e de forma visível para que as pessoas saibam o nível de sensibilidade de cada documento, Responsabilidades, O dono da informação/documento é responsável pela sua classificação, O dono da informação determina quem tem acesso a determinados ativos do negócio

Físicas

Conceito, Protegem fisicamente os ativos de negócio

Uso de sensores em áreas segura, Infravermelhos passivos, Câmeras, Detecção de vibração, Sensores de quebra de vidro, Contatos magnéticos

Anéis de proteção, Anel externo, Proteção em torno do prédio da empresa, Exemplos, Muro, Cercas, Arame farpado, Guardas de segurança, Câmera de vigilância, Edíficio/construção, Proteção para impedir acesso dentro da empresa, Exemplos, Janelas com grade, Portas reforçadas, Vidros resistentes, Controle de acesso com senha, Sistemas biométricos, Detecção de invasores, Espaço de trabalho, Algumas áreas da empresa podem não estar acessíveis a todos, como RH, Salas especiais (sala de servidores), Precisam de medidas extras, O ar precisa ser resfriado, desumidificado e filtrado, Uso de nobreaks (UPS), filtros de energia, Objeto, Refere-se a parte mais sensível que precisa ser protegida, Exemplos, Armários, Cofre

Medidas para equipamentos, Localização e proteção do equipamento, Usar métodos de detecção de instrusos, Monitorar acesso a salas, Backups devem ser armazenados em locais diferentes, Armários resistentes a fogo e armários de segurança, Podem armazenar objetos sensíveis, como fitas de backup, Sala de servidores e de rede, Observar controles de umidade e calor, Umidade, Controlar isto em sala dedicada a equipamentos, Proteção contra incêndio, Observar requisitos obrigatórios, Sinalização, Instalar alarmes de fumaça, Agentes de extinção de incêndios, Eliminam o fogo., Segurança de cabeamento, cabos precisam ser dispostos de tal maneira que nenhuma interferência entre os cabos separados possa ocorrer., Manutenção de equipamentos, Convém ser realizada por pessoal autorizado com treinamentos apropriados

Técnicas (segurança de TI)

Conceito, Inclui medidas para sistemas computadorizados e infraestrutura de TI associada

Gerenciamento de acesso lógico, Controle de acesso discricionário, A política de controle de acesso é determinada pelo proprietário (owner) do recurso (O usuário diz quem pode acessar o compartilhamento no seu computador)., Controle de acesso mandatório, A política de acesso é determinada pelo sistema e não pelo proprietário do recurso, Passos para conceder o acesso, Identificação, Pessoa ou sistema apresenta o token (pode ser uma chave, usuário ou senha), Autenticação, Sistema determina se o token é autêntico e quais recursos o usuário pode acessar, Autorização, Aloca o direito de acesso

Requisitos de segurança para os sistemas, Sistemas devem funcionar conforme pretendido, Validação de dados de entrada e saída

Criptografia, Conceito, É um meio de manter a informação secreta, A informação é codificada para não ser lida por pessoas não autorizadas, Tipos, Simétrica, Existe um algoritmo e uma chave secreta que o remetente e destinatário compartilham para criptografar e descriptografar, É mais vulnerável pelo fato de existir uma chave comum para as duas partes, Assimétrica, Ao contrário da criptografia simétrica, aqui diferentes chaves são usadas para criptografar e descriptografar, cada parte tem uma chave diferente, Assinaturas digitais são criadas usando este tipo, Infraestrutura de Chave Pública, Pode ser um órgão ou iniciativa pública ou privada que tem como objetivo manter uma estrutura de emissão de chaves públicas, No Brasil temos a ICP-Brasil que estabelece um sistema de certificação digital baseado em chave pública, Criptografia de mão única (hash), A mensagem é convertida em um valor numérico e não pode ser descriptografada, por isto o nome mão unica, Usando um algoritmo conhecido, o destinatário pode checar se a mensagem tem o valor correto. Neste caso, é verificado se dois valores hash combinam.

Proteção contra malware, phishing e spam, Malware, Termo genérico para softwares maliciosos, Pode ser um vírus, worm, trojan ou sypare, Medidas comuns: usar scanners antívirus e firewall, Phishing, Ato de enganar alguém geralmente para roubar dados pessoais, Spam, Nome do coletivo de mensagens indesejáveis, Vírus, Pequeno programa de computador que se replica, Carrega código executável, Tem natureza destrutiva, Worm, Pequeno programa de computador que se replica, Não depende da ação do usuário para se espalhar pela rede, Trojan, É um programa que conduz atividades secundárias não percebidas pelo usuário, Usado frequentemente para coletar informações confidenciais do sistema infectado, Hoax, Mensagem que tenta convencer o leitor da sua veracidade e então persuadí-lo a fazer alguma ação, Bomba lógica, Pedaço de código deixado dentro de um sistema que é programado para ativar em determinadas circustâncias, Sypware, Programa de computador que coleta informação de um computador e envia para um terceiro, Botnet, Uma rede de computadores utilizando software de computação distribuída., Rootkit, Conjunto de ferramentas de softwares utilizado por um hacker

As mudanças nos sistemas precisam ser gerenciadas, Testes e aceites antes de entrar em produção

Organizacionais

Conceito, Diz respeito ao trabalho dos funcionários na organização, políticas, plano de continuidade, sistema de gestão da segurança da informação

Sistema de Gestão da Segurança da Informação (SGSI), É uma medida organizacional, A ISO 27001 ajuda a definir uma estrutura para SGSI, Serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação, Baseado no ciclo PDCA, Plan, Aplica-se não apenas à política principal, mas também a todos os documentos de política de apoio e regulamentos relacionados., Do, A política de segurança da informação e os procedimentos e medidas subjacentes são implementados., Check, Os controles são colocados em prática utilizando a autoavaliação (auditoria interna) e, sempre que possível, medições são realizadas para verificar se a política de segurança da informação está sendo executada corretamente., Act, As correções são realizadas e são tomadas medidas preventivas, com base nos resultados da auditoria interna., Inclui estrutura organizacional, políticas, atividade de planejamento, responsabilidades, práticas, procedimentos e recursos, Existe para preservar a confidencialidade, integridade e disponibilidade

Política de segurança da informação

Código de conduta

Gestão de RH, Pessoas e seus conhecimentos são ativos importantes e precisam ser protegidos, Pessoal precisa seguir o código de conduta, Novos funcionários precisam pessar por uma checagem de ficha limpa, Dependendo do cargo é necessário assinar um Non Disclosure Agreement (NDA) - Acordo de confidencialidade

Segreção de funções, Conceito, Separar as funções e responsabilidades de cada um, Benefícios, Evita mudanças sendo realizadas por pessoas não autorizadas, Diminui os riscos quando uma atividade critica tem mais de uma pessoa envolvida (exemplo: transferências bancárias), Com base na função se estabelece que informações podem ser acessadas

Gerenciamento da continuidade do negócio, Propósito, Visa garantir a continuidade das operações após um desastre (enchentes, terremotos, ataques terroristas, etc), Continuidade, Envolve manter disponibilidade dos sistemas de informação no momento em que eles são requeridos após um desastre, Desastre, Incidente de grande impacto, Plano de Recuperação de Desastre (PRD), Destina-se à recuperação imediatamente após um desastre., Plano de Continuidade de Negócios (PCN), É mais completo que o PRD, Está preocupado em recuperar ao estado anterior ao desastre

Legislação e regulamentação

ISO 27002

Não é uma lei

É um código de boas práticas para a segurança da informação

Há práticas que ajudam a atender a leis e regulamentos

Conformidade

Refere-se à tratabilidade, obrigatoriedade, tolerância e dedicação

Legislação, regulamentos e obrigações contratuais devem sempre ser observados antes dos regulamentos internos da empresa

A análise de riscos ajuda a identificar os níveis de segurança adequados para atender aos regulamentos

As medidas de segurança para atender a leis e regulamentos são obrigatórias, não é opcional

Procedimentos precisam ser desenvolvidos para que os usuários apliquem estes regulamentos na prática

Propriedade intelectual

Precisam ser considerados quando a empresa usa sofware ou material sujeito à tal

Deve haver orientações internas para proteger estes direitos

Proteção de dados pessoais

A empresa precisa observar a legislação local para isto

Independente de obrigação regulatória, as empresas precisam se preocupar

Prevenção de abuso das facilidades de TI

Refere-se ao uso de recursos de TI da empresa para propósitos particulares e não autorizados

Isto deve ser tratado também na política de segurança

Medidas disciplinares podem ser adotadas

Estabelecer código de conduta, Estipula direitos e deveres do empregador e do funcionário, O empregador tem o direito de monitorar o uso dos seus sistemas, O funcionário precisa estar ciente do monitoramento, A legislação local deve ser observada

Responsabilidade

A alta gerência é a responsável final pelo cumprimento de leis e regulamentos

Cada gerente deve observar leis e regulamentos na sua área

Pode ser elegido alguém que seja responsável por observar leis em determinadas áreas