(Parte 1 de 5)

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 1

Curso Básico de Segurança da Informação

Academia Latino-Americana de Segurança da Informação

Introdução à Segurança da Informação Módulo 1

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 2

Apostila desenvolvida pelo Módulo Security e revisada pelo capítulo Brasil da ISSA, em parceria com a Microsoft Informática

w.modulo.com.brhttp://w.issabrasil.org

Revisão 1.1 – Dezembro de 2006

COORDENADOR TÉCNICO Fernando Fonseca

Anchises de Paula Augusto Paes de Barros Dimitri Abreu Luciana Vartuli Luciano Barreto

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 3

Este é um material de apoio para o curso “Introdução à Segurança da Informação” ministrado pela Academia de Segurança Microsoft. Um vídeo será explicando os conceitos deste material estará disponível na academia para auxiliar no entendimento dos conceitos aqui explicados.

VÍDEO Indica que será apresentado um filme para ilustrar as práticas ou conceitos.

CONCEITO-CHAVE Indica um ponto importante para se assimilar melhor a matéria.

Indica uma pergunta que estimula um raciocício lógico para auxiliar o aprendizado

VULNERABILIDADES Indica uma vulnerabilidade atrubuída a um conceito sendo estudado

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 4

INTRODUÇÃO6
Notícias pelo Mundo7
Objetivos8
Conteúdo da unidade:9
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO10
1.1 Introdução10
Notícias pelo Mundo1
1.2 - ObjetivosError! Bookmark not defined.
1.3 - Implementação de um sistema de segurança13
1.4 Conceitos básicos14
1.4.1 Princípios básicos da segurança da informação17
1.4.2 - Princípio da Integridade da Informação18
Proteger a Integridade da Informação19
1.4.3 - Princípio da Confidencialidade da Informação20
Proteger a Confidencialidade da Informação21
1.4 .4 - Princípio da Disponibilidade das Informações23
Proteger a Disponibilidade da Informação24
1.5 - Evolução da segurança da Informação25
1.6 Lições Aprendidas29
ATIVOS31
2.1 Introdução31
Notícias pelo Mundo32

ÍNDICE 2.2 Objetivos ................................ ................................ ................................ ............... 3

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 5

2.3 Tipos de Ativos34
2.3.1 - Informações35
2.3.2 - Software (B1)36
2.3.2 - Hardware (B2)37
2.3.2 - Organização (B3)38
2.4 - Usuários39
2.6 - Lições aprendidas40
AMEAÇAS E PONTOS FRACOS41
3.1 Introdução41
Notícias pelo Mundo42
3.2 - Objetivos43
3.3 - As Ameaças4
3.4 - Vulnerabilidades47
3.5 - Lições Aprendidas54
RISCOS, MEDIDAS E CICLO DE SEGURANÇA5
4.1 Introdução5
Notícias pelo Mundo56
4.2 Objetivos57
4.3 Riscos58
4.4 Medidas de Segurança59
4.5 Ciclo de Segurança62
4.6 Lições Aprendidas64

4.7 Referência Bibliográfica ................................ ................................ ........................ 65

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 6

No mundo atual a posse e o uso do conhecimento passou a ser um fator estratégico decisivo para muitas empresas e corporações. Estamos vivendo a época batizada como "Era da Informação". Mas a informação é volátil. é frágil. Hoje, ela pode desaparecer na velocidade de um pulso elétrico.

Muitas empresas tem seus ativos físicos e suas informações constantemente expostos a diversas ameaças, que poderiam representar prejuízos de milhares ou milhões de dólares se forem concretizadas. As vulnerabilidades e fragilidades em nossos sistemas de informação podem causar problemas graves ao negócio, por isso é muito importante compreender os conceitos necessários para combatê-las e, assim, nos defendermos de possíveis ataques às informações estratégicas.

Exemplos destas ameaças são os vírus e os worms (vermes) que se aproveitam de falhas na segurança dos sistemas e circulam pela Internet em busca de máquinas vulneráveis nas quais possa realizar seu ataque. Na maioria das vezes, estes ataques resultam em perdar de dados e destruição de informações valiosas.

Exemplos claros de como as vulnerabilidades presentes em nossos sistemas computacionais podem ser aproveitadas por Crakers (pessoas que se dedicam a criar pestes eletrônicas e invadir sistemas) são danos causados no mundo todo pelos vermes Blaster, Ninda e Slammer.

Os fabricantes de software e a comunidade de software livre se esforçam para para corrigir estas vulnerabilidades através de atualizações (patches), mas um fator mais importante nos chama a atenção: Será que as empresas conhecem os riscos aos quais estão expostas e se preparam para reduzí-los?

Há poucos anos atrás, a resposta seria um sonoro não. Prova disso é que estes worms causaram um estrago enorme mesmo tendo atacado vulnerabilidades que já haviam sido corrigidas meses antes. Faltou um processo de manutenção da segurança do ambiente para que as correções fossem aplicadas e bilhões de dólares fossem perdidos. A boa notícia é que depois de tanto prejuízo as empresas começam a valorizar estes processos.

O objetivo deste curso é capacitar um número maior de profissionais nos conceitos e boas práticas em segurança da Informação e, assim, fazer com que os processos necessários para a redução dos riscos e proteção dos ativos sejam criados e que a cultura de segurança se espalhe cada vez mais pelas empresas.

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 7

NOTÍCIAS PELO MUNDO Montadora de aviões tem notebook roubado e pode ter informaçãoes expostas

A Boeing, uma das maiores montadoras de aviões do mundo, teve um notebook roubado. O equipamento continha nomes e números da previdência social de cerca de 382 mil funcionários e aposentados, que já começaram a ser notificados do ocorrido. Este é o terceiro portátil da companhia que desaparece em 13 meses. A informação é do site BetaNews.

O sumiço de tais informações pode fazer com que funcionários tenham suas identidades roubadas, além de haver riscos de fraudes com cartões de crédito. Dados como endereços residenciais, datas de nascimento e telefones de contato estavam presentes no notebook. A Boeing declarou que dados de fornecedores ou clientes não estavam armazenados no dispositivo, mas não divulgou em qual de seus escritórios ocorreu o furto. Segundo a companhia, para o ladrão visualizar os dados do notebook, ele teria de conseguir a senha de acesso do laptop, coisa que um cracker de competência média pode conseguir sem muito trabalho. Na tentativa de evitar golpes com tais informações, a empresa oferecerá um serviço de monitoração de crédito por um período de três anos

Fonte: Módulo Security News ( w.modulo.com.br)

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 8

Conhecer os conceitos básicos que fundamentam os estudos sobre segurança da informação

Conhecer as diferentes categorias de ativos existentes em uma empresa.

Compreender o conceito de pontos fracos para identificar as possíveis vulnerabilidades e as ameaças existentes nos ativos.

Interpretar a classificação proposta das possíveis ameaças encontradas nos diferentes processos da empresa.

Revisar os conceitos de integridade, confidencialidade e disponibilidade da informação.

Conhecer o conceito de risco e sua implicação no ciclo de segurança das informações da empresa.

Distinguir a diferença entre aplicar ou não medidas de segurança nos diferentes aspectos de nossa empresa.

Compreender os conceitos básicos de análise de riscos e política de segurança, dois pontos muito importantes para definir as ações em matéria de segurança aplicáveis às empresas.

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 9

Conceitos básicos Ativos

Ameaças e pontos fracos

Riscos, medidas e ciclo de segurança

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 10

1.1 INTRODUÇÃO

Neste capítulo, veremos alguns conceitos fundamentais para a compreensão da segurança da informação e das metodologias para sua implantação nas organizações.

Desde o surgimento da raça humana na Terra, a informação esteve presente através de diferentes formas e técnicas. O homem buscava representar seus hábitos, costumes e intenções com diversos meios que pudessem ser utilizados por ele e por outras pessoas e que pudessem ser levados de um lugar para outro. As informações importantes eram registradas em objetos preciosos e sofisticados e pinturas magníficas, entre outros, que eram armazenados com muito cuidado em locais de difícil acesso. A eles só tinham acesso aqueles que tivessem autorização para interpretá-la.

Atualmente, as informações constituem o objeto de maior valor para as empresas. O progresso da informática e das redes de comunicação nos apresenta um novo cenário, no qual os objetos do mundo real estão representados por bits e bytes, que ocupam lugar em diversos meios e possuem formas diferentes das originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, chegando a ter um valor maior.

Por esse e outros motivos a segurança da informação é um assunto tão importante para todos, pois afeta diretamente todos os negócios de uma empresa ou de um indivíduo.

Segurança é um termo que transmite conforto e tranqüilidade a quem desfruta de seu estado. Entender e implementar este “estado” em um ambiente organizacional exigem conhecimento e práticas especializadas que somente são possíveis com o emprego e uso de um código de práticas de segurança, contidos em uma norma, como a ABNT NBR ISO/IEC 17799:2005.

Capítulo 1

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 1

NOTÍCIAS PELO MUNDO Pesquisa revela falta de padrões de segurança em grandes empresas

Um estudo recente feito pela empresa britânica de consultoria Pentasafe revela que a falta de procedimentos de segurança por parte de funcionários coloca informações confidenciais das grandes empresas em risco.

Foram entrevistados 15 mil funcionários de 600 grandes empresas dos EUA e da Europa. A pesquisa constatou que 60% dos funcionários têm poucos conhecimentos sobre planos de segurança. 90% dos entrevistados admitiram abrir ou executar arquivos desconhecidos anexados em e-mails.

No entanto, muitas empresas também são responsáveis pelos problemas relacionados à segurança. Em um terço delas os empregados não são obrigados a ler a política de segurança existente. 50% admitiram nunca terem recebido qualquer tipo de treinamento específico sobre o tema.

Fonte: http://www.modulo.com.br/

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 12

Compreender os conceitos básicos da segurança da informação para obter uma melhor idéia de suas implicações.

Entender a importância da informação nos negócios atualmente para agir de forma mais ágil na sua proteção.

Conhecer os princípios básicos da segurança da informação: confidencialidade, disponibilidade e integridade, com a finalidade de entender como as ameaças e vulnerabilidades podem atingir a cada um deles e saber quais as medidas de proteção mais adequadas para cada informação.

Conhecer a evolução da segurança da informação como disciplina de estudos desde o seu nascimento até os dias de hoje.

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 13

1.3 - IMPLEMENTAÇÃO DE UM SISTEMA DE SEGURANÇA

Podemos representar a implantação de um sistema de segurança da informação na empresa como a escalada de uma grande montanha, na qual pouco a pouco iremos subindo e passando os níveis em termos de conceitos, ferramentas e conhecimento do ambiente tecnológico da empresa. Mais tarde veremos que não basta chegar ao topo da montanha; a segurança é um processo contínuo, o chamado ciclo de segurança.

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 14

1.4 CONCEITOS BÁSICOS

Nesta primeira etapa da escalada, você conhecerá os conceitos básicos da segurança da informação.

Depois de entender cada conceito, você receberá uma nova ferramenta para ajudar a montar sua barraca e, assim, poder continuar a escalada da montanha, avançando até os próximos capítulos para compreender como se implementa a segurança da informação.

Nesta etapa, você ainda não possui essas ferramentas, por isso vai começar a escalada com um acampamento básico. Esse acampamento ilustra a situação em que se encontram as empresas na etapa inicial da implementação da segurança: baixo controle do ambiente, alto índice de risco, processo de segurança pessoal e intuitivo, entre outros.

Então vamos conhecer os principais conceitos da segurança da informação e por que ela é necessária para o sucesso dos negócios de uma empresa.

O objetivo deste estudo é obter um ambiente seguro para a informação. Mas o que é informação?

Segundo o dicionário Aurélio [1 ], informação é o conjunto de dados acerca de alguém ou de algo. Estendendo esse conceito, podemos dizer que a informação é a interpretação desses dados. De nada vale um conjunto de dados sem que se faça a interpretação dos mesmos para se extrair um conhecimento útil.

Academia Latino-Americana de Segurança da Informação – Curso Básico

Módulo 1 – Introdução à Segurança da Informação - Microsoft TechNet Página 15

As organizações necessitam da informação para tomar decisões objetivando seus fins (o sucesso). Isto mostra o quão poderosa é a informação. Sem ela não há estratégias, não há mudanças ou até mesmo não existiria a empresa. Uma conseqüência natural da importância da informação é a extrema vulnerabilidade a que cada empresa se expõe caso haja perda de dados vitais, como plantas de projetos, planilhas de custos, documentos contábeis, financeiros, etc. Quanto maior for a organização maior será sua dependência da informação.

A informação pode estar armazenada de várias formas: impressa em papel, em meios digitais (discos, fitas, CDs, DVDs, disquetes), na mente das pessoas, em imagens armazenadas em fotografias e filmes. Quando lidamos com segurança da informação, é necessário pensar em sua confidencialidade, integridade e disponibilidade em qualquer um desses meios, utilizando todos os recursos disponíveis, e não somente os tecnológicos.

ambientais, vandalismo, dano acidental ou provocado

Devemos tratar a informação como um ativo da empresa com a mesma importância que qualquer outro bem palpável. Por isso, deve ser protegido contra roubo, problemas

Quanto mais interconectada for uma empresa, maior será a complexidade dos sistemas por onde trafegam e são armazenadas as informações e, conseqüentemente, maior será a preocupação com o nível de segurança a ser implantado a fim de garantir a confidencialidade, confiabilidade, disponibilidade e integridade da informação que ela detém.

A disciplina de segurança da informação trata do conjunto de controles e processos que visam preservar os dados que trafegam ou são armazenados em qualquer meio.

As modernas tecnologias de transporte, armazenamento e manipulação dos dados, trouxeram enorme agilidade para as empresas, mas, ao mesmo tempo, trouxeram também novos riscos. Ataques de crackers (black hat hackers), de engenharia social, vírus, worms, negação de serviço, espionagem eletrônica são noticiadas pela imprensa todos os dias. Diante deste cenário, a segurança da informação torna-se imprescindível para as organizações, sejam elas do setor público ou privado.

Idéiaschave

A segurança da informação tem como propósito proteger as informações registradas, sem importar onde estejam situadas: impressas em papel, nos discos rígidos dos computadores ou até mesmo na memória das pessoas que as conhecem.

(Parte 1 de 5)

Comentários