10 - Política de Segurança da Informação
Mapa mental do conteúdo da aula sobre segurança da informação e internet para o curso de engenharia elétrica da faculdade Metropolitana de Porto Velho, ministrada pelo professor Autran (www.profautran.com.br)
1. Conceitos
1.1. A informação é o novo petróleo...
1.1.1. A informação deve ser tratada como um importante ativo da empresa
1.1.1.1. impressa
1.1.1.2. manuscrita
1.1.1.3. gravada em meios magnéticos
1.1.1.4. falada
1.1.2. Quebra de segurança
1.1.2.1. problemas financeiros
1.1.2.2. queda na produtividade
1.1.2.3. riscos para o negócio
1.1.2.4. perda de credibilidade
1.1.2.5. desgaste da imagem
1.2. Pilares e Aspectos da Segurança da Informação
1.2.1. Pilares
1.2.1.1. Confidencialidade
1.2.1.1.1. Garante o sigilo da informação.
1.2.1.1.2. a informação será disponibilizada apenas para pessoas autorizadas
1.2.1.1.3. um aluno pode ter acesso apenas às suas informações dentro de um sistema acadêmico, sem contudo, acessar as informações de outros alunos.
1.2.1.2. Integridade
1.2.1.2.1. Garante que a informação não seja destruída ou alterada de forma indevida
1.2.1.2.2. um aluno não deve poder alterar a própria nota em um sistema acadêmico.
1.2.1.3. Disponibilidade
1.2.1.3.1. Garante que a informação esteja disponível para ser acessada e modificada no momento oportuno por aqueles que estejam autorizados a alterá-la.
1.2.1.3.2. Na hora de atualizar informações no sistema acadêmico, ele fica indisponível por falta de acesso à rede ou por queda de energia.
1.2.2. Aspectos
1.2.2.1. Legalidade
1.2.2.1.1. Garante o valor legal da informação
1.2.2.1.2. Aderência de um sistema à legislação
1.2.2.1.3. LGPD
1.2.2.2. Autenticidade
1.2.2.2.1. Garante, através da identificação, que a informação ou o usuário dela é autentico.
1.2.2.2.2. Atesta com exatidão a origem do dado ou informação.
1.2.2.2.3. Certificação digital
1.2.2.3. Irretratabilidade ou Não-repúdio
1.2.2.3.1. Propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita.
1.2.2.3.2. Log´s
2. Objetivos
2.1. Impedir o acesso, uso, divulgação, interrupção, modificação, inspeção, gravação ou destruição de informações sem a devida autorização.
2.2. Tudo isso sem prejudicar a produtividade da organização.
2.3. Fluxo normal da informação
2.3.1. Interrupção
2.3.1.1. Ataque na transmissão da mensagem, onde o fluxo de dados é interrompido
2.3.1.2. danificação de componentes de hardware
2.3.1.3. queda do sistema de comunicação por sabotagem
2.3.2. Interceptação
2.3.2.1. Ocorre quando uma pessoa não autorizada tem acesso às informações confidenciais de outra
2.3.2.2. captura de dados na rede
2.3.2.3. cópia ilegal de um arquivo
2.3.3. Modificação
2.3.3.1. pessoa não autorizada, além de interceptar as mensagens, altera o conteúdo da mensagem e envia o conteúdo alterado para o destinatário
2.3.4. Fabricação
2.3.4.1. pessoa não autorizada insere mensagens no sistema assumindo o perfil de um usuário autorizado
3. Implementando a segurança
3.1. Política de Segurança
3.1.1. define o padrão de segurança a ser seguido
3.1.1.1. TI
3.1.1.2. Gerência
3.1.1.3. Usuários
3.1.2. estabelece os métodos de proteção, controle e monitoramento dos recursos de informação
3.1.2.1. Armazenamento
3.1.2.2. Envio
3.1.2.3. Descarte
3.1.2.4. Copia
3.1.3. define as responsabilidades das funções relacionadas à segurança
3.1.3.1. quem classifica
3.1.3.2. quem armazena
3.1.3.3. quem atualiza
3.1.3.4. quem gerencia
3.1.4. Lista as principais ameaças, riscos e impactos envolvidos.
3.1.5. Classificação das Informações
3.1.5.1. processo de identificar e definir níveis e critérios de proteção adequada para as informações
3.1.5.2. priorizar recursos, focando os investimentos nas informações mais importantes para a organização.
3.1.6. Integrada às metas de negócio da organização
3.1.6.1. influenciando todos os projetos de informatização da empresa
3.1.6.2. não envolve apenas a área de tecnologia da informação (TI), mas a organização como um todo.
4. Normas de segurança
4.1. NBR ISO/IEC-27001
4.1.1. Requisitos mandatórios para a política de segurança
4.1.2. Objetivos
4.1.2.1. Entendimento dos requisitos de segurança da informação
4.1.2.2. definição do escopo do Sistema de Gestão da Segurança
4.1.2.3. identificação de ativos
4.1.2.4. avaliação de riscos
4.1.2.5. Implantação e operação de controles para gerenciar os riscos de segurança
4.1.2.6. Monitoração e análise crítica do desempenho e eficácia da segurança
4.1.2.7. Melhoria contínua baseada em medições objetivas
4.2. NBR ISO/IEC 27002
4.2.1. Objetivos
4.2.1.1. Política de segurança
4.2.1.1.1. código de práticas de gestão de segurança da informação
4.2.1.1.2. descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança
4.2.1.1.3. Estabelecimento da Estrutura e responsabilidades
4.2.1.2. Classificação e controle de ativos de informação
4.2.1.2.1. classificação, o registro e o controle dos ativos da organização
4.2.1.3. Segurança em pessoas
4.2.1.3.1. Gerencia problemas relacionados a atos intencionais ou acidentais feitos por pessoas
4.2.1.4. Segurança ambiental e física
4.2.1.4.1. áreas de circulação restrita
4.2.1.4.2. proteger equipamentos e a infraestrutura de tecnologia de Informação
4.2.1.5. Gerenciamento das operações e comunicações
4.2.1.5.1. implantação de sistemas
4.2.1.5.2. gerência de redes
4.2.1.5.3. controle e prevenção de vírus
4.2.1.5.4. controle de mudanças
4.2.1.5.5. execução e guarda de backup
4.2.1.5.6. controle de documentação
4.2.1.5.7. segurança de correio eletrônico
4.2.1.6. Controle de acesso
4.2.1.6.1. acesso a sistemas
4.2.1.6.2. monitoração de acesso
4.2.1.6.3. utilização de senhas
4.2.1.7. Desenvolvimento e manutenção de sistemas
4.2.1.7.1. criptografia
4.2.1.7.2. segurança do desenvolvimento e suporte de sistemas
4.2.1.8. Gestão de incidentes de segurança
4.2.1.8.1. Notificação de fragilidades
4.2.1.8.2. eventos de segurança da informação
4.2.1.8.3. melhorias
4.2.1.9. Gestão da continuidade do negócio
4.2.1.9.1. plano de continuidade e contingência
4.2.1.10. Conformidade
4.2.1.10.1. requisitos legais
4.2.1.10.2. propriedade intelectual
5. Por que se preocupar com a segurança?
5.1. O lado bom das redes
5.1.1. Amizades
5.1.1.1. fazer novas amizades
5.1.1.2. encontrar pessoas que compartilham seus gostos
5.1.1.3. manter contato com amigos e familiares distantes
5.1.1.4. encontrar antigos amigos
5.1.2. Sites
5.1.2.1. notícias
5.1.2.2. esportes
5.1.2.3. pesquisar assuntos de interesse
5.1.2.4. listas de discussão
5.1.3. serviços bancários
5.1.3.1. transferências
5.1.3.2. pagamentos de contas
5.1.3.3. extratos
5.1.4. E-commerce
5.1.4.1. supermercados
5.1.4.2. lojas
5.1.4.3. pesquisar preços
5.1.4.4. verificar a opinião de outras pessoas sobre os produtos ou serviços
5.1.5. Diversão
5.1.5.1. Jogos Online
5.1.5.2. Vídeos
5.1.5.3. Cinemas
5.1.5.4. Teatros
5.1.5.5. Museus
5.1.6. E-gov
5.1.6.1. IRPF
5.1.6.2. Documentos
5.1.7. Estudar
5.1.7.1. Cursos online
5.1.7.2. Aulas de reforço
5.1.7.3. EAD
5.2. O lado ruim
5.2.1. Acesso a conteúdos impróprios ou ofensivos
5.2.1.1. pornografia
5.2.1.2. atentem contra a honra
5.2.1.3. incitem o ódio
5.2.1.4. racismo
5.2.2. Contato com pessoas mal-intencionadas
5.2.2.1. Golpes
5.2.2.2. Fakes
5.2.2.3. Crimes
5.2.3. Furto de identidade
5.2.3.1. alguém tentar se passar por você
5.2.4. Furto e perda de dados
5.2.4.1. Sequestro de dados
5.2.5. Invasão de privacidade
5.2.5.1. Criminosa
5.2.5.2. Legal
5.2.6. Divulgação de boatos
5.2.6.1. Fakenews
5.2.7. Dificuldade de exclusão
5.2.7.1. aquilo que é divulgado na internet nem sempre pode ser totalmente excluído ou ter o acesso controlado
5.2.8. Dificuldade de detectar e expressar sentimentos
5.2.8.1. não há como observar as expressões faciais
5.2.8.2. tom da voz
5.2.9. Dificuldade de manter sigilo
5.2.10. Uso excessivo
5.2.11. Plágio e violação de direitos autorais