10 - Segurança da Informação

Mapa mental do conteúdo da aula sobre segurança da informação e internet para o curso de engenharia elétrica da faculdade Metropolitana de Porto Velho, ministrada pelo professor Autran (www.profautran.com.br)

Começar. É Gratuito
ou inscrever-se com seu endereço de e-mail
Rocket clouds
10 - Segurança da Informação por Mind Map: 10 - Segurança da Informação

1. Conceitos

1.1. Informação é o conjunto de dados utilizados para a transferência de uma mensagem entre pessoas ou máquinas.

1.1.1. A informação deve ser tratada como um importante ativo da empresa

1.1.1.1. impressa

1.1.1.2. manuscrita

1.1.1.3. gravada em meios magnéticos

1.1.1.4. falada

1.1.2. podem ser classificadas de acordo com o eventual impacto negativo

1.1.2.1. confidenciais

1.1.2.2. restritas

1.1.2.3. internas

1.1.2.4. públicas

1.1.3. Divulgação não autorizada

1.1.3.1. problemas financeiros

1.1.3.2. queda na produtividade

1.1.3.3. riscos para o negócio

1.1.3.4. perda de credibilidade

1.1.3.5. desgaste da imagem

1.2. A Segurança da Informação, é a gestão inteligente da informação em qualquer ambiente.

1.2.1. Pilares

1.2.1.1. Confidencialidade

1.2.1.1.1. Garante o sigilo da informação.

1.2.1.1.2. a informação será disponibilizada apenas para pessoas autorizadas

1.2.1.1.3. um aluno pode ter acesso apenas às suas informações dentro de um sistema acadêmico, sem contudo, acessar as informações de outros alunos.

1.2.1.2. Integridade

1.2.1.2.1. Garante que a informação não seja destruída ou alterada de forma indevida

1.2.1.2.2. Exemplo: um aluno não deve poder alterar a própria nota em um sistema acadêmico.

1.2.1.3. Disponibilidade

1.2.1.3.1. Garante que a informação esteja disponível para ser acessada e modificada no momento oportuno por aqueles que estejam autorizados a alterá-la.

1.2.1.3.2. Exemplo: Na hora de atualizar informações no sistema acadêmico, ele fica indisponível por falta de acesso à rede ou por queda de energia.

1.2.2. Aspectos

1.2.2.1. Legalidade

1.2.2.1.1. Garante o valor legal da informação

1.2.2.1.2. Aderência de um sistema à legislação

1.2.2.1.3. LGPD

1.2.2.2. Autenticidade

1.2.2.2.1. Garante, através da identificação, que a informação ou o usuário dela é autentico.

1.2.2.2.2. Atesta com exatidão a origem do dado ou informação.

1.2.2.2.3. Certificação digital

1.2.2.3. Irretratabilidade ou Não-repúdio

1.2.2.3.1. Propriedade que garante a impossibilidade de negar a autoria em relação a uma transação anteriormente feita.

1.2.2.3.2. Log´s

2. Objetivos

2.1. impedir o acesso, uso, divulgação, interrupção, modificação, inspeção, gravação ou destruição de informações sem devida autorização. Tudo isso sem prejudicar a produtividade da organização.

2.1.1. Imagem

2.1.2. Interrupção

2.1.2.1. Ataque na transmissão da mensagem, onde o fluxo de dados é interrompido

2.1.2.1.1. danificação de componentes de hardware

2.1.2.1.2. queda do sistema de comunicação por sabotagem

2.1.3. Interceptação

2.1.3.1. Ocorre quando uma pessoa não autorizada tem acesso às informações confidenciais de outra

2.1.3.1.1. captura de dados na rede

2.1.3.1.2. cópia ilegal de um arquivo

2.1.4. Modificação

2.1.4.1. pessoa não autorizada, além de interceptar as mensagens, altera o conteúdo da mensagem e envia o conteúdo alterado para o destinatário

2.1.5. Fabricação

2.1.5.1. pessoa não autorizada insere mensagens no sistema assumindo o perfil de um usuário autorizado

3. Implementando a segurança

3.1. Politica de Segurança

3.1.1. define o padrão de segurança a ser seguido.

3.1.1.1. TI

3.1.1.2. Gerência

3.1.1.3. Usuários

3.1.2. estabelece os métodos de proteção, controle e monitoramento dos recursos de informação

3.1.3. define as responsabilidades das funções relacionadas à segurança

3.1.4. Lista as principais ameaças, riscos e impactos envolvidos.

3.1.5. Integrada às metas de negócio da organização

3.1.5.1. influenciando todos os projetos de informatização da empresa

3.1.5.2. não envolve apenas a área de tecnologia da informação (TI), mas a organização como um todo.

3.2. Classificação das Informações

3.2.1. Objetivos

3.2.1.1. processo de identificar e definir níveis e critérios de proteção adequada para as informações

3.2.1.2. priorizar recursos, focando os investimentos nas informações mais importantes para a organização.

3.2.2. Informações

3.2.2.1. Dados

3.2.2.1.1. Base de dados

3.2.2.1.2. arquivos

3.2.2.1.3. documentação

3.2.2.1.4. procedimentos de suporte ou operação

3.2.2.2. Software

3.2.2.2.1. Aplicativos

3.2.2.2.2. sistemas

3.2.2.2.3. ferramentas de desenvolvimento

3.2.2.2.4. utilitários

3.2.2.3. Ativos físicos

3.2.2.3.1. Equipamentos computacionais

3.2.2.3.2. equipamentos de comunicação

3.2.2.3.3. mídia magnética

3.2.2.3.4. Móveis

3.2.2.4. Serviços

3.2.2.4.1. Serviço de operadoras de telecomunicação

3.2.2.4.2. serviço de energia elétrica

3.2.2.4.3. água

3.2.3. Critérios de Classificação

3.2.3.1. Confidencialidade

3.2.3.1.1. leva em consideração a gravidade do impacto ou prejuízo que a revelação não autorizada dela trará para a organização

3.2.3.1.2. Tipos

3.2.3.2. Integridade

3.2.3.2.1. leva em consideração a gravidade do impacto ou dos prejuízos que a modificação não autorizada da informação trará

3.2.3.2.2. Tipos

3.2.3.3. Disponibilidade

3.2.3.3.1. leva em consideração a gravidade do impacto ou dos prejuízos que a indisponibilidade da informação trará

3.2.3.3.2. Tipos

3.2.3.4. Classificação padrão

3.2.3.4.1. Todas as informações que não forem classificadas deverão entrar no nível padrão de classificação

3.3. Funções e Responsabilidades

3.3.1. devemos definir as funções e os responsáveis por cada etapa desta classificação

3.3.1.1. quem classifica

3.3.1.2. quem armazena

3.3.1.3. quem atualiza

3.3.2. Tipos

3.3.2.1. Proprietários

3.3.2.1.1. gestores das áreas geradoras das informações

3.3.2.1.2. Responsável por

3.3.2.2. Custodiante

3.3.2.2.1. área de informática

3.3.2.2.2. Responsável por

3.4. Controle para as informações

3.4.1. Definidos para as informações classificadas como confidenciais, críticas e vitais

3.4.2. Tipos

3.4.2.1. Armazenamento

3.4.2.1.1. Informações Eletrônicas

3.4.2.1.2. Informações Impressas

3.4.2.2. Envio

3.4.2.2.1. Informações Eletrônicas

3.4.2.2.2. Informações Impressas

3.4.2.3. Descarte

3.4.2.3.1. Informações Eletrônicas

3.4.2.3.2. Informações Impressas

4. Normas de segurança

4.1. NBR ISO/IEC 27002

4.1.1. código de práticas de gestão de segurança da informação

4.1.2. Objetivos

4.1.2.1. Política de segurança

4.1.2.1.1. descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança

4.1.2.2. Política de segurança

4.1.2.2.1. Estabelecimento da Estrutura e responsabilidades

4.1.2.3. Classificação e controle de ativos de informação

4.1.2.3.1. classificação, o registro e o controle dos ativos da organização

4.1.2.4. Segurança em pessoas

4.1.2.4.1. Gerencia problemas relacionados a atos intencionais ou acidentais feitos por pessoas

4.1.2.5. Segurança ambiental e física

4.1.2.5.1. áreas de circulação restrita

4.1.2.5.2. proteger equipamentos e a infraestrutura de tecnologia de Informação

4.1.2.6. Gerenciamento das operações e comunicações

4.1.2.6.1. implantação de sistemas

4.1.2.6.2. gerência de redes

4.1.2.6.3. controle e prevenção de vírus

4.1.2.6.4. controle de mudanças

4.1.2.6.5. execução e guarda de backup

4.1.2.6.6. controle de documentação

4.1.2.6.7. segurança de correio eletrônico

4.1.2.7. Controle de acesso

4.1.2.7.1. acesso a sistemas

4.1.2.7.2. monitoração de acesso

4.1.2.7.3. utilização de senhas

4.1.2.8. Desenvolvimento e manutenção de sistemas

4.1.2.8.1. criptografia

4.1.2.8.2. segurança do desenvolvimento e suporte de sistemas

4.1.2.9. Gestão de incidentes de segurança

4.1.2.9.1. Notificação de fragilidades

4.1.2.9.2. eventos de segurança da informação

4.1.2.9.3. melhorias

4.1.2.10. Gestão da continuidade do negócio

4.1.2.10.1. plano de continuidade e contingência

4.1.2.11. Conformidade

4.1.2.11.1. requisitos legais

4.1.2.11.2. propriedade intelectual

4.2. Norma NBR ISO/IEC-27001

4.2.1. requisitos mandatários na definição do escopo do Sistema de Gestão da Segurança da Informação, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados.

4.2.2. Objetivos

4.2.2.1. Entendimento dos requisitos de segurança da informação

4.2.2.2. Implantação e operação de controles para gerenciar os riscos de segurança

4.2.2.3. Monitoração e análise crítica do desempenho e eficácia da segurança

4.2.2.4. Melhoria contínua baseada em medições objetivas

5. Segurança na Internet

5.1. O lado bom

5.1.1. Amizades

5.1.1.1. fazer novas amizades

5.1.1.2. encontrar pessoas que compartilham seus gostos

5.1.1.3. manter contato com amigos e familiares distantes

5.1.1.4. encontrar antigos amigos

5.1.2. Sites

5.1.2.1. notícias

5.1.2.2. esportes

5.1.2.3. cursos à distância

5.1.2.4. pesquisar assuntos de interesse

5.1.2.5. listas de discussão

5.1.3. serviços bancários

5.1.3.1. transferências

5.1.3.2. pagamentos de contas

5.1.3.3. extratos

5.1.4. E-commerce

5.1.4.1. supermercados

5.1.4.2. lojas

5.1.4.3. pesquisar preços

5.1.4.4. verificar a opinião de outras pessoas sobre os produtos ou serviços

5.1.5. Diversão

5.1.5.1. Jogos Online

5.1.5.2. Vídeos

5.1.5.3. Cinemas

5.1.5.4. Teatros

5.1.5.5. Museus

5.1.6. E-gov

5.1.6.1. IRPF

5.1.6.2. Documentos

5.2. O lado Ruim

5.2.1. Acesso a conteúdos impróprios ou ofensivos

5.2.1.1. pornografia

5.2.1.2. atentem contra a honra

5.2.1.3. incitem o ódio

5.2.1.4. racismo

5.2.2. Contato com pessoas mal-intencionadas

5.2.2.1. Golpes

5.2.2.2. Fakes

5.2.2.3. Crimes

5.2.3. Furto de identidade

5.2.3.1. alguém tentar se passar por você

5.2.4. Furto e perda de dados

5.2.4.1. Sequestro de dados

5.2.5. Invasão de privacidade

5.2.5.1. Criminosa

5.2.5.2. Legal

5.2.6. Divulgação de boatos

5.2.6.1. FakeNews

5.2.7. Dificuldade de exclusão

5.2.7.1. aquilo que é divulgado na Internet nem sempre pode ser totalmente excluído ou ter o acesso controlado

5.2.8. Dificuldade de detectar e expressar sentimentos

5.2.8.1. não há como observar as expressões faciais

5.2.8.2. tom da voz

5.2.9. Dificuldade de manter sigilo

5.2.10. Uso excessivo

5.2.11. Plágio e violação de direitos autorais

5.3. Mas o maior problema...

5.3.1. achar que não corre riscos

5.3.1.1. ninguém tem interesse

5.3.1.2. dificilmente será localizado

5.3.2. O ataques são geralmente em massa...

5.3.3. Você pode abrir portas para ataques a seus familiares e contatos

5.3.4. Seu computadores pode ser usado para ataques

5.3.5. Solução...

5.3.5.1. Todos tem que se preocupar com a segurança

5.3.5.2. Nada é Virtual

5.3.5.3. Mesmos golpes

5.3.5.3.1. Mesmos cuidados

5.3.5.4. Postura preventiva