Aula 09 (12!04!16) - Ações a Serem Tomadas Para Obtenção de...

8/18/2019 Aula 09 (12!04!16) - Ações a Serem Tomadas Para Obtenção de...

1/4

Plano de Aula ETEC “TENENTE AVIADOR GUSTAVO KLUG” Página 1Professor: Carlos Alberto Rosa Técnico em Manutenção e Suporte em Informática Pirassununga - SP

Unidade de Ensino Médio e Técnico – CETEC

AULA TEÓRICABASE TECNOLÓGICA: AÇÕES A SEREM TOMADAS PARA OBTENÇÃO DE SEGURANÇA

Classi ficação das Informações

Nem toda informação é crucial ou essencial a ponto de merecer cuidados especiais. Por outro lado,determinada informação pode ser tão vital que o custo de sua integridade, qualquer que seja, aindaserá menor que o custo de não dispor dela adequadamente. Em (Wadlow, 2000; Abreu, 2001;Boran, 1996) é exposto, a necessidade de classificação da informação em níveis de prioridade, respei-tando a necessidade de cada empresa assim como a importância da classe de informação para a ma-

nutenção das atividades da empresa:

• Pública – informação que pode vir a público sem maiores consequências da-nosas ao funcionamento normal da empresa, e cuja integridade não é vital.

• Interna – o acesso a esse tipo de informação deve ser evitado, embora asconsequências do uso não autorizado não sejam por demais sérias. Sua inte-gridade é importante, mesmo que não seja vital.

• Confidencial – informação restrita aos limites da empresa, cuja divulgação ouperda pode levar a desequilíbrio operacional, e eventualmente, perdas financei-ras, ou de confiabilidade perante o cliente externo, além de permitir vantagemexpressiva ao concorrente.

• Secreta – informação crítica para as atividades da empresa, cuja integridadedeve ser preservada a qualquer custo e cujo acesso deve ser restrito a um nú-mero bastante reduzido de pessoas. A manipulação desse tipo de informação évital para a companhia. Entretanto, independentemente da relevância ou tipoda informação, a gestão dos dados organizacionais é estratégica, pois possibili-ta o apoio para a tomada de decisões em qualquer âmbito institucional. Algu-mas informações são centrais para organização e a divulgação parcial ou total

destas pode alavancar um número de repercussões cuja complexidade podeser pouco ou nada administrável pela organização com consequências possi-velmente nefastas.

O conceito de engenharia da informação – que é um conjunto empresarial de disciplinas automatiza-das, dirigindo ao fornecimento da informação correta para a pessoa certa no tempo exato (Martin,1991; Feliciano Neto, Furlan e Higo, 1988) – já demonstrava a importância da segurança da informa-ção para as instituições.

Conforme (Crosby, 1992), a qualidade dos processos custa dinheiro, mas a falta dela custa muito mais.Estabelecendo uma analogia, a segurança custa dinheiro, mas a sua ausência poderá custar muito

mais.

ETEC “TENENTE AVIADOR GUSTAVO KLUG” Professor : Carlos Alberto Rosa Sequência : Aula 09 – Ações a serem tomadas Data ..... : 12 /04/16Curso ..... : Manutenção e Suporte em Informática Disciplina . : SDI - Segurança de Dados e Informação. Módulo : III


2/4


Segurança da Informação e seus Critérios

Com a dependência do negócio aos sistemas de informação e o surgimento de novas tecnologias eformas de trabalho, como o comércio eletrônico, as redes virtuais privadas e os funcionários móveis, asempresas começaram a despertar para a necessidade de segurança, uma vez que se tornaram vulne-ráveis a um número maior de ameaças.

As redes de computadores, e consequentemente a Internet mudaram as formas como se usam siste-

mas de informação. As possibilidades e oportunidades de utilização são muito mais amplas que emsistemas fechados, assim como os riscos à privacidade e integridade da informação. Portanto, é muitoimportante que mecanismos de segurança de sistemas de informação sejam projetados de maneira aprevenir acessos não autorizados aos recursos e dados destes sistemas (Laureano, 2004).

Segurança é a base para dar ás empresas a possibilidade e a liberdade necessária para a criação denovas oportunidades de negócio. É evidente que os negócios estão cada vez mais dependentes dastecnologias e estas precisam estar de tal forma a proporcionar confidencialidade, integridade e dispo-nibilidade – que conforme (NBR 17999, 2003; Krause e Tipton, 1999; Albuquerque e Ribeiro, 2002),são os princípios básicos para garantir a segurança da informação – das informações:

• Confidencialidade – A informação somente pode ser acessada por pessoas explicitamente autoriza-das. É a proteção de sistemas de informação para impedir que pessoas não autorizadas tenham aces-so ao mesmo. O aspecto mais importante deste item é garantir a identificação e autenticação das par-tes envolvidas.

• Disponibilidade – A informação ou sistema de computador deve estar disponível no momento emque a mesma for necessária.

• Integridade – A informação deve ser retornada em sua forma original no momento em que foi arma-zenada. É a proteção dos dados ou informações contra modificações intencionais ou acidentais não-autorizadas. O item integridade não pode ser confundido com confiabilidade do conteúdo (seu signifi-

cado) da informação. Uma informação pode ser imprecisa, mas deve permanecer integra (não sofreralterações por pessoas não autorizadas).A segurança visa também aumentar a produtividade dos usuários através de um ambiente mais orga-nizado, proporcionando maior controle sobre os recursos de informática, viabilizando até o uso de apli-cações de missão crítica. A combinação em proporções apropriadas dos itens confidencialidade, dis-ponibilidade e integridade facilitam o suporte para que as empresas alcancem os seus objetivos, poisseus sistemas de informação serão mais confiáveis. Outros autores (Dias, 2000; Wadlow, 2000; Shirey,2000; Krause e Tipton, 1999; Albuquerque e Ribeiro, 2002; Sêmola, 2003; Sandhu e Samarati, 1994)defendem que para uma informação ser considera segura, o sistema que o administra ainda deve res-peitar:

• Autentic idade

–

Garante que a informação ou o usuário da mesma é autêntico. Atesta com exatidão,a origem do dado ou informação.

• Não repúdio – Não é possível negar (no sentido de dizer que não foi feito) uma operação ou serviçoque modificou ou criou uma informação. Não é possível negar o envio ou recepção de uma informaçãoou dado.

• Legalidade – Garante a legalidade (jurídica) da informação; Aderência de um sistema à legislação;Característica das informações que possuem valor legal dentro de um processo de comunicação, ondetodos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institu-cional, nacional ou internacional vigentes.

• Privacidade – Foge do aspecto de confidencialidade, pois uma informação pode ser consideradaconfidencial, mas não privada. Uma informação privada deve ser vista / lida / alterada somente pelo


3/4


seu dono. Garante ainda, que a informação não será disponibilizada para outras pessoas (neste é casoé atribuído o caráter de confidencialidade a informação). É a capacidade de um usuário realizar açõesem um sistema sem que seja identificado.

• Audi tor ia – Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que umainformação foi submetida, identificando os participantes, os locais e horários de cada etapa. Auditoriaem software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza umaauditoria. Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando eonde ocorreu uma violação de segurança.

A confidencialidade é dependente da integridade, pois se a integridade de um sistema for perdida, osmecanismos que controlam a confidencialidade não são mais confiáveis. A integridade é dependenteda confidencialidade, pois se alguma informação confidencial for perdida (senha de administrador dosistema, por exemplo) os mecanismos de integridade podem ser desativados.Auditoria e disponibilidade são dependentes da integridade e confidencialidade, pois estes mecanis-mos garantem a auditoria do sistema (registros históricos) e a disponibilidade do sistema (nenhum ser-viço ou informação vital é alterado).

Gestão de Segurança da Informação

Marcos Aurelio Pchek Laureano

[email protected]

01/06/2005


4/4


EXERCÍCIO DE FIXAÇÃO 02 – PARTE 2

1.1 De acordo com o Exercício de Fixação 02 – PARTE 1, onde você fez todo o levantamentodos riscos de segurança de uma empresa fictícia, descreva abaixo, três exemplos de cadapilar da SDI:

a) Confidencialidade

b) Disponibilidade

c) Integridade

d) Autenticidade

e) Não repúdio

f) Legalidade

g) Privacidade

h) Auditoria

Aula 09 (12!04!16) - Ações a Serem Tomadas Para Obtenção de...

Documents

Transcript of Aula 09 (12!04!16) - Ações a Serem Tomadas Para Obtenção de...