Skip to main content dev:Coelho

Segurança Da Informação - Aula 03

Segurança da Informação

Mapeamento de Segurança

  • Identificar o grau de relevância e as relações diretas e indiretas entre os diversos processos de negócio, perímetros e infraestruturas.
  • Inventariar os ativos físicos, tecnológicos e humanos que sustentam a operação da empresa, econsiderando as variáveis externas e internas que interferem em riscos da empresa.
  • Identificar o cenário atual - ameaças, vulnerabilidades e impactos - e especular a projeeção do cenário.
  • Mapear as necessidades

Estratégia de Segurança

  • Definir plano de ação, comumunte plurianual, que considere todas as particularidades estratégicas, táticas e operacionais do negócio mapeada na etapa anterior.
  • Criar sinergia entre os cenários “atual” e “desejado”, além da sintonia de expectativas entre os executivos, a fim de ganhar comprometimento e apoio explícito às medidas previstas no plano de ação.

Planejamento de Segurança

  • Organizar os comitês interdepartamentais, especificando responsabilidades posicionamento e escopo da atuação.
  • Iniciar ações preliminares de capacitação dos executivos e técnicos.
  • Elaborar uma Política sólida, considerando com extrema particularização e detalhamento.
  • Realizar ações corretivas e preventivas.

Implementação de Segurança

  • Divulgar, capacitar, concientizar sobre as políticas de segurança.
  • Implementar mecanismos de controle físico e lógico.

Administração da Segurança

  • Monitorar os controles implementados;
  • Projetar a situação do ROI com base nas medições realizadas;
  • Garantir a adequação e uniformidade;

Security Officer

  • São os profissionais da segurança da informação.
  • Todos os colaboradores devem ter a preocupação e deve haver um responsável pelas iniciativas.
  • Este responsável é o CSO - Chief Security Officer.

Aspectos Lógicos e Físicos

Não existe segurança lógica sem segurança física

Os aspectos lógicos e físicos da segurança da informação visam proteger os ativos de uma organização, cada um à sua maneira. A segurança física implementa medidas para proteger pessoas, bens e instalações contra ameaças físicas. A segurança lógica protege as informações e os sistemas de informação contra ameaças internas e externas.

Segurança física:

  • Consiste em medidas e ações para proteger pessoas, bens e instalações físicas contra ameaças como roubos, vandalismo, sabotagem, incêndios e desastres naturais.
  • Visa garantir a integridade física dos ativos de uma organização e das pessoas que frequentam seu espaço físico.
  • Pode incluir a instalação de câmeras de segurança, alarmes, controle de acesso, cercas elétricas e extintores de incêndio.
  • É uma das principais preocupações das empresas, pois uma falha pode resultar em prejuízos financeiros, perda de reputação e riscos à vida.
  • Envolve barreiras físicas, sistemas eletrônicos de segurança, equipamentos, políticas e procedimentos para prevenir, detectar e responder a ameaças que possam comprometer a integridade, disponibilidade e confidencialidade dos ativos.
  • Protege instalações físicas, como prédios, salas de servidores e data centers, bem como bens tangíveis, como equipamentos e dispositivos de armazenamento.
  • A segurança física e do ambiente se concentra na proteção física de pessoas, ativos e informações, mitigando riscos de segurança física contra ameaças que possam resultar em danos, destruição, roubo, acesso não autorizado ou interrupção das operações.
  • A segurança física e ambiental visa salvaguardar ativos de informações, como dados, informações e sistemas de informação, contra acesso não autorizado, alterações indevidas ou destruição, protegendo o sistema de tecnologia da informação contra acessos não autorizados e danos físicos.

Segurança lógica:

  • Compreende medidas e práticas para proteger as informações e os sistemas de informação de uma organização contra ameaças internas e externas.
  • Visa proteger as informações armazenadas, processadas e transmitidas pelos sistemas de tecnologia da informação.
  • As ameaças podem incluir ataques de hackers, vírus de computador, roubo de informações, phishing e engenharia social.
  • As medidas podem incluir firewalls, antivírus, criptografia, autenticação de usuários e backups regulares.
  • É uma preocupação de toda a organização, não apenas da equipe de TI, pois as informações são um ativo importante para o sucesso dos negócios.
  • Refere-se às medidas de proteção que envolvem o uso de tecnologias e políticas de segurança para garantir a segurança dos sistemas de informações da organização.
  • Inclui o uso de criptografia, autenticação de usuários, antivírus e firewalls para prevenir, detectar e responder a ameaças cibernéticas.

A segurança física protege os ativos tangíveis, enquanto a segurança lógica protege os ativos intangíveis, como dados e informações confidenciais.

As medidas de segurança física e lógica devem trabalhar em conjunto para garantir a proteção adequada dos ativos e informações da organização.

A convergência entre as duas oferece uma abordagem integrada para a segurança da informação.

Fator Humano x Segurança

As falhas no fator humano representam uma das principais vulnerabilidades na segurança da informação de uma organização. Essas falhas resultam de ações ou omissões de funcionários e usuários que, mesmo não intencionais, podem comprometer a segurança dos dados e sistemas.

Algumas das falhas mais comuns no fator humano incluem:

  • Falta de Conscientização e Treinamento: A ausência de conscientização sobre segurança da informação e treinamento inadequado aumentam o risco de práticas inseguras e desconhecimento das políticas de segurança. A falta de conhecimento pode levar os usuários a não reconhecerem ameaças como phishing ou a não seguirem os procedimentos de segurança adequados.
  • Senhas Fracas e Má Gestão de Senhas: A escolha de senhas fracas, fáceis de adivinhar, ou o compartilhamento de senhas entre diferentes contas pessoais e profissionais, facilitam o acesso não autorizado aos sistemas e dados da organização.
  • Engenharia Social: A manipulação psicológica para enganar pessoas e obter informações confidenciais é uma tática frequentemente utilizada por criminosos. A engenharia social explora a confiança e a falta de atenção dos usuários para obter acesso a informações protegidas.
  • Erros Humanos: Ações acidentais, como enviar e-mails para destinatários errados ou perder dispositivos que armazenam informações confidenciais, podem resultar na exposição ou perda de dados importantes.
  • Acesso Não Autorizado: A falta de controles de acesso adequados pode permitir que usuários não autorizados acessem dados e sistemas sensíveis. Isso pode ocorrer devido a permissões excessivas concedidas a funcionários ou à falta de processos de revisão de acesso.