Certificação Exin Information Security
Mapa mental para a certificação EXIN Information Security Foundation based on ISO IEC 27001
1. 1. Informação e Segurança
1.1. Conceito de Informação
1.1.1. Dado que tem significado dentro de algum contexto para quem o recebe.
1.1.2. O dado não possui um contexto.
1.2. Valor da informação
1.3. Aspectos de confiabilidade
1.3.1. Segurança da Informação é a preservação da confidencialidade, integridade e disponibilidade da informação.
1.3.2. Confidencialidade
1.3.2.1. Propriedade da informação não ser divulgada para partes não autorizadas, incluindo indivíduos, entidades ou processos.
1.3.2.2. Segregação de Funções
1.3.2.3. Criptografia
1.3.2.4. Controle de acesso
1.3.3. Integridade
1.3.3.1. Propriedade da informação ser completa e exata.
1.3.3.2. Controle de acesso
1.3.3.3. Criptografia
1.3.3.4. Logs, monitoramento, auditoria
1.3.4. Disponibilidade
1.3.4.1. Propriedade da informação ser acessível e utilizável por entidades autorizadas.
2. 2. Ameaças e Riscos
2.1. Risco
2.1.1. Risco é definido como sendo o "efeito da incerteza nos objetivos".
2.1.2. O risco é frequentemente expresso em termos de uma combinação das consequências de um evento (inclusindo mudanças nas circunstâncias) e a "probabilidade" associada de ocorrência.
2.1.3. Risco = Consequência x Probabilidade
2.1.4. Riscos de segurança da informação podem ser expressos como efeito da incerteza sobre os objetivos de segurança da informação.
2.1.5. O risco de segurança da informação está associado ao potencial de que ameaças explorem vulnerabilidades de um ativo de informação ou grupo de ativos de informação e, assim, causem danos a uma organização.
2.2. Ameaça
2.2.1. É a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
2.2.2. Humanas
2.2.2.1. Internas
2.2.2.2. Externas
2.2.3. Não humanas
2.2.3.1. Naturais
2.2.3.2. Físicas
2.2.3.3. Tecnológicas
2.3. Vulnerabilidade
2.3.1. Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
2.4. Controle
2.4.1. Uma medida de segurança aplicada para modificar o risco a níveis aceitáveis.
2.5. Impactos/Danos
2.5.1. Diretos
2.5.1.1. Quando o dano ocasiona prejuízo direto ao negócio, devido a própria ameaça concretizada.
2.5.2. Indiretos
2.6. Gestão de Riscos
2.6.1. A aplicação sistemática de políticas de gestão, procedimentos e práticas às atividades de comunicação, consultoria, estabelecimento de contexto e identificação, análise, avaliação, tratamento, monitoramento e revisão de dados.
3. 4. Medidas
3.1. Físicas
3.1.1. Perímetro de segurança física
3.1.2. Controle de entrada física
3.1.3. Segurança em escritórios, salas e instalações
3.1.4. Proteção contra ameaças externas e do meio ambiente
3.1.5. Trabalhando em áreas seguras
3.1.6. Acesso do público, áreas de entrega e de carregamento
3.1.7. Controles inadequados
3.2. Técnicas
3.2.1. Firewall e Firewall Local
3.2.2. DMZ (Zona Desmilitarizada)
3.2.2.1. Segmento de rede que contém e expõe serviços de fronteira externa de uma organização a uma rede maior e não confiável, normalmente a Internet.
3.2.3. IDS/IPS (Detecção e prevenção de intrusão)
3.2.3.1. IDS - Sistema de Detecção de Intrusão: Ferramenta (hardware ou software) para monitorar o tráfego da rede, detectar e alertar sobre possíveis ataques e tentativas de acessos indevidos.
3.2.3.2. IPS - Sistema de Prevenção de Intrusão: Ferramenta (hardware ou software) para monitorar o tráfego da rede, detectar possíveis tentativas de acessos indevidos e ataques, e tomar ações para bloquear a ameaça.
3.2.4. Honeypot
3.2.5. DLP (Prevenção contra vazamentos de informação)
3.2.5.1. Solução que identifica e monitora dados corporativos para garantir que eles sejam acessados somente por usuários autorizados e prevenir tentativas de vazamento de informação.
3.2.6. Webfilter (Filtro Web - controle de acesso à Internet)
3.2.7. NAC (Controle de acesso à rede)
3.2.7.1. O NAC (Network Access Control) é uma solução de segurança que garante que apenas dispositivos confiáveis com regras de segurança adotadas pela empresa acessem recursos da infraestrutura de rede.
3.2.8. VPN (Rede privada Virtual)
3.2.9. Revisão de código fonte
3.2.10. Analise de vulnerabilidades
3.2.11. Teste de intrusão
3.2.12. Atualizações de segurança
3.2.13. Backups (Cópias de segurança)
3.2.14. Criptografia: Conceitos básicos e aplicações na SegInfo
3.2.14.1. Técnica utilizada para proteger informações e comunicações através do uso de códigos, derivados de modelos matemáticos e um conjunto de cálculos baseados em regras, chamados algoritmos, que transformam mensagens do formato 'texto puro' para o formato 'criptografado', de modo que apenas aqueles para os quais a informação é destinada possam lê-los e processá-los.
3.2.15. Criptografia: Tipos de algoritmos
3.2.16. Criptografia: Política de criptografia
3.2.17. Certificado digital
3.2.18. Infraestrutura de chave pública (PKI)
3.2.18.1. Estrutura de emissão de chaves públicas, usando o princípio da "terceira parte confiável", oferecendo uma mediação de credibilidade e confiança em transações entre partes que utilizam certificados digitais.
3.2.19. Proteção contra códigos maliciosos
3.3. Organizacionais
3.3.1. Segurança em recursos humanos
3.3.2. Política de segurança da informação
3.3.3. Conscientização e capacitação
3.3.4. Processo disciplinar
3.3.5. Controle de acesso lógico
3.3.6. Classificação da informação
3.3.7. Segurança na continuidade de negócios