Princípios Flashcards
1
Q
O que é Segurança da Informação?
A
- É um campo multidisciplinar que se concentra na proteção dos dados e da informação contra acesso não autorizado, uso indevido, alteração, destruição ou qualquer forma de ameaça que possa comprometer sua confidencialidade, integridade e disponibilidade.
- A segurança da informação também envolve outros aspectos importantes, como controle de acesso, gestão de riscos, conformidade legal e ética, entre outros.
2
Q
Cite os Princípios em Segurança da Informação:
A
- Confidencialidade
- Integridade
- Disponibilidade
- Autentcidade
- Não repúdio / Irretratabilidade
3
Q
Princípio da CONFIDENCIALIDADE:
A
- Garante que a informação seja acessível apenas por indivíduos autorizados.
- A confidencialidade é garantida por meio de diversas práticas e técnicas de segurança da informação, sendo uma delas a criptografia, com a utilização de algoritmos para proteger os dados durante o armazenamento e a transmissão.
4
Q
Princípio da INTEGRIDADE:
A
Assegura que as informações sejam precisas e completas, e que não tenham sido alteradas de forma não autorizada.
5
Q
Pincípio da DISPONIBILIDADE:
A
Refere-se à garantia de que informações e recursos sejam acessíveis pelos usuários autorizados quando necessários.
Atenção: A criptografia não garante a disponibilidade!
6
Q
Princípio da AUTENTICIDADE:
A
- Garante que uma entidade seja quem diz ser.
- A autenticidade é importante tanto para a verificação da identidade dos usuários quanto para a validação da origem das informações.
7
Q
Princípio do NÃO REPÚDIO / IRRETRATABILIDADE:
A
- Refere-se à capacidade de provar que uma determinada ação ou evento ocorreu, de forma que essa ação não possa ser refutada posteriormente.
- Isso é frequentemente implementado através de assinaturas digitais e logs de auditoria.
8
Q
São mecanismos de segurança para o controle de acesso lógico:
A
− Autenticação de usuário;
− Autorização de acesso;
− Controle de privacidade;
− Auditoria de acesso.
9
Q
Autenticação de usuário:
A
Utilização de métodos de autenticação, como senhas, tokens de segurança, biometria (como impressão digital ou reconhecimento facial) e autenticação de dois fatores para verificar a identidade dos usuários.
10
Q
Autorização de acesso:
A
Definição de políticas de autorização que determinam quais recursos e dados um usuário ou grupo de usuários pode acessar após a autenticação.
11
Q
Controle de privacidade:
A
Implementação de controles de privacidade para garantir que apenas as informações necessárias sejam compartilhadas com os usuários autorizados.
12
Q
Auditoria de acesso:
A
Registro e monitoramento de atividades de acesso, incluindo tentativas de acesso não autorizado e alterações de permissões, para identificar possíveis violações de segurança.
13
Q
Políticas de Segurança da Informação
A
- É um conjunto de diretrizes e práticas que uma organização implementa para gerenciar
a proteção de seus ativos de informação. - É fundamental para estabelecer um ambiente seguro e para guiar o comportamento dos usuários, administradores de sistema e toda a equipe com relação à segurança dos dados e dos sistemas de informação.
14
Q
São elementos-Chave das políticas de segurança da informação:
A
- Definição de Responsabilidades;
- Revisão e Atualização Periódica;
- Aprovação e Compromisso da Direção.
15
Q
Elementos-Chave: Definição de Responsabilidades
A
- Todos os colaboradores devem compreender suas funções específicas em relação à segurança da informação.
▪ Isto inclui desde a gestão de senhas e o acesso adequado a dados até o cumprimento de processos e procedimentos de segurança.
16
Q
Elementos-Chave: Revisão e Atualização Periódica
A
- As políticas de segurança da informação, portanto, não podem ser estáticas.
▪ Elas precisam ser revisadas e atualizadas regularmente para refletir novos riscos, vulnerabilidades emergentes, mudanças regulatórias e avanços tecnológicos. - A revisão periódica garante que a política permaneça relevante e eficaz no cumprimento de seus objetivos de proteger os ativos de informação da organização.
17
Q
Elementos-Chave: Aprovação e Compromisso da Direção
A
- Para que uma política de segurança da informação seja eficaz, ela precisa ter o endosso e o comprometimento da alta direção.
- Isso não apenas assegura que as diretrizes estejam alinhadas com os objetivos estratégicos da organização, mas também enfatiza a importância da segurança da informação para todos os níveis da organização.
- A aprovação pela alta direção é crucial para garantir que os recursos necessários, sejam eles financeiros, humanos ou técnicos, sejam alocados para implementar e manter as medidas de segurança.
18
Q
O planejamento de uma política de segurança da informação pode ser dividido em três níveis hierárquicos, são eles:
A
Estratégico, tático e operacional.
19
Q
Nível Estratégico
A
- Refere-se ao nível mais alto de planejamento, focando em objetivos de longo prazo e na definição de diretrizes que orientam a organização como um todo.
- É aqui que a alta direção estabelece o tom e o escopo da política de segurança da informação, geralmente em alinhamento com os objetivos e metas globais da organização.
- As decisões estratégicas incluem a definição de padrões, a alocação de recursos significativos, a decisão sobre investimentos em segurança e a definição de responsabilidades de alto nível.
- Este nível também considera o ambiente externo, como tendências de mercado, regulamentos legais e padrões de indústria, e como eles afetam a postura de segurança da organização.
- Objetivos
- Diretrizes
- Metas
20
Q
Nível Tático
A
- Este nível lida com o desenvolvimento de planos e políticas para alcançar os objetivos estratégicos.
▪ Aqui, são definidas as normas que detalham como as diretrizes estratégicas serão implementadas. - Isso inclui o desenvolvimento de políticas específicas, procedimentos e planos para gerenciar riscos de segurança.
- O nível tático é responsável pela implementação de frameworks de segurança, pela definição de controles e medidas de segurança, e pela condução de avaliações de risco.
- Implementação
- Procedimentos
- Controles
21
Q
Nível Operacional
A
- O nível operacional é onde as políticas e normas são colocadas em prática, por meio de procedimentos e processos específicos que detalham as atividades diárias.
- Envolve ações e controles que são implementados para proteger os ativos de informação da organização no dia a dia.
- No nível operacional, o pessoal de TI e segurança lida com a instalação de firewalls, atualizações de software, gestão de incidentes de segurança, treinamento de funcionários e outras atividades rotineiras que mantêm as defesas da organização.
- Treinamento
- Concientização
- Monitoramento
22
Q
As políticas de segurança da informação podem ser categorizadas em vários tipos, cada um com um propósito específico dentro do quadro geral de governança e segurança de uma organização:
A
- Política de acesso;
- Política de senhas;
- Política de resposta a incidentes;
- Política de criptografia;
- Política de uso aceitável;
- Política de classificação de dados;
- Política de segurança física;
- Política de continuidade de negócios e recuperação de Desastres;
- Política de segurança de redes;
- Política de segurança de software;
- Política de segurança de endpoints;
- Política de segurança de e-mail e comunicações;
- Políticas de conformidade / compliance.
23
Q
Política de acesso
A
Define quem pode acessar quais informações e sistemas, e os processos para conceder, revisar e revogar acesso.
24
Q
Política de senhas
A
Estabelece os requisitos para a criação e gestão de senhas seguras.
25
Política de resposta a incidentes
Fornece procedimentos para a detecção, reporte e gestão de incidentes de segurança.
26
Política de criptografia
Determina como e quando a criptografia deve ser usada para proteger dados sensíveis.
27
Política de uso aceitável
Explica as práticas permitidas, proibidas, direitos e responsabilidades relacionados ao uso de recursos de TI da organização.
28
Política de classificação de dados
Define categorias para classificar dados com base na sensibilidade e no impacto que a divulgação, modificação ou destruição não autorizada poderia ter na organização.
29
Política de segurança física
Trata da proteção de instalações físicas, equipamentos, e documentos impressos contra acessos não autorizados, danos e interferência.
30
Política de continuidade de negócios e recuperação de Desastres
Estabelece planos e procedimentos para manter as operações críticas da empresa durante e após um desastre ou interrupção significativa.
31
Política de segurança de redes
Define a segurança para a infraestrutura de rede da organização, incluindo o uso de firewalls, redes privadas virtuais (VPNs) e segurança de rede sem fio.
32
Política de segurança de software
Define os procedimentos para o desenvolvimento seguro de software, atualizações, patches de segurança e proibições contra software não autorizado.
33
Política de segurança de endpoints
Relacionada à segurança de dispositivos individuais que se conectam à rede da organização, como computadores, smartphones e tablets.
34
Política de segurança de e-mail e comunicações
Define as práticas para o uso seguro de e-mail e outras formas de comunicação eletrônica.
35
Políticas de conformidade / compliance
Garantem que a organização esteja em conformidade com as leis, regulamentos e normas de segurança da informação aplicáveis.
36
É uma parte da gestão de dados e da segurança da informação nas organizações que envolve atribuir um nível de sensibilidade aos dados, que determinará como as informações são manipuladas, protegidas e compartilhadas:
Classificação de Informações
37
Classificação de Informações: Indentificação de Sensibilidade
As informações são avaliadas com base em sua importância para a organização e no dano potencial que poderia resultar se elas fossem comprometidas.
38
Classificação de Informações: Categorização
As informações podem ser categorizadas como **públicas, internas, restritas e confidenciais.**
39
Classificação de Informações: Implementação de Controles
- Baseando-se na classificação, são implementados controles de segurança adequados.
- Por exemplo, informações classificadas como secretas podem exigir criptografia forte, armazenamento em ambientes seguros e acesso restrito apenas a indivíduos com as credenciais de segurança mais altas.
40
Classificação de Informações: Políticas e Procedimentos
A organização deve ter políticas e procedimentos claros que definam como as informações em cada categoria devem ser manipuladas, compartilhadas e protegidas.
41
Classificação de Informações: Treinamento e Concientização
Os funcionários devem ser treinados para entender os requisitos de classificação de informações e como aplicar as políticas de segurança relacionadas.
42
Classificação de Informações: Revisão e Reavaliação
As classificações não são estáticas e devem ser revisadas periodicamente para garantir que continuem adequadas à sensibilidade das informações e ao ambiente de ameaça atual.
43
Descreva os 4 Níveis de Classificação das Informações:
- **Informações Públicas**: Informações que podem ser divulgadas publicamente sem consequências negativas;
- **Informações de Usos Interno**: Informações para uso interno que podem ser **sensíveis, mas não críticas** para a organização;
- **Informações Restritas**: São informações que devem estar **disponíveis apenas para grupos restritos** de colaboladores;
- **Informações Confidenciais**: Informações cuja divulgação não autorizada poderia causar **danos significativos** à orgganização.
44
Autenticação
É o processo de **verificar a identidade de um usuário, dispositivo ou outra entidade em um sistema computacional**, geralmente como um pré-requisito para permitir o acesso a recursos em um sistema ou em uma área restrita.
45
A **autenticação** é frequentemente confundida com **autorização**, mas são processos distintos dentro da gestão de acesso. Elucide:
- **Autenticação** apenas verifica quem o usuário é, com base nas credenciais fornecidas.
- **Autorização**, por outro lado, é o processo que **acontece após a autenticação bem sucedida**, determinando se o usuário tem permissão para acessar os recursos ou realizar as operações que está solicitando.
46
Os mecanismos de autenticação podem ser classificados em várias categorias, com base no tipo de credenciais usadas:
- **Algo que você sabe**: Senhas, PINs, padrões.
- **Algo que você tem**: Tokens de segurança, cartões inteligentes, chaves de hardware.
- **Algo que você é**: Biometria, como impressões digitais, reconhecimento facial ou de íris.
47
A autenticação forte que geralmente combina dois ou mais desses fatores, é conhecida como:
**Autenticação multifator (MFA)** ou **autenticação de dois fatores (2FA)**.
48
Controle de Acesso
É um processo de segurança da informação que limita o acesso a recursos, dados e informações dentro de uma organização a usuários, sistemas ou entidades autorizadas.
49
São **Componentes** do Controle de Acesso:
- Identificação;
- Autenticação;
- Autorização;
- Auditoria e Monitoramento.
50
Identificação:
O processo pelo qual um usuário ou sistema se apresenta ao sistema de controle de acesso, geralmente através de um nome de usuário ou ID de sistema.
51
Autenticação:
A **verificação da identidade** apresentada, comumente através de senhas, dispositivos de autenticação, biometria ou outros métodos.
52
Autorização:
A **concessão de direitos de acesso** específicos a um usuário ou sistema,
baseando-se em regras predefinidas que determinam quais recursos podem ser acessados, **em que condições e quais operações podem ser realizadas** (como ler, escrever, deletar).
53
Auditoria e Monitoramento:
Acompanhamento e registro de atividades de acesso para análise posterior, detecção de incidentes de segurança e conformidade com políticas e regulamentações.
54
São **Modelos** do Controle de Acesso:
- **Controle de Acesso Discricionário (DAC)**;
- **Controle de Acesso Mandatório (MAC)**;
- **Controle de Acesso Baseado em Funções (RBAC)**;
- **Controle de Acesso Baseado em Atributos (ABAC)**.
55
Controle de Acesso Discricionário (DAC):
Permite que os proprietários ou responsáveis pelos recursos determinem
quem pode acessá-los.
56
Controle de Acesso Mandatório (MAC):
Usa políticas centralizadas para determinar o acesso, comumente baseando-se em classificações de segurança tanto dos usuários quanto dos recursos.
57
Controle de Acesso Baseado em Funções (RBAC):
Concede acesso a recursos com base nas funções ou cargos dos usuários dentro da organização, simplificando a administração de direitos de acesso.
58
Controle de Acesso Baseado em Atributos (ABAC):
Utiliza políticas dinâmicas que podem avaliar múltiplos atributos (usuário, recurso, ambiente) para tomar decisões de acesso.
59
Análise de Vulnerabilidade
- É um componente crítico da avaliação de riscos em segurança da informação, focando na identificação e análise de vulnerabilidades existentes em sistemas de informação.
- Este processo é essencial para a proteção contra ameaças cibernéticas, permitindo que organizações identifiquem, classifiquem e priorizem as vulnerabilidades em seus sistemas para correção ou mitigação.
60
Vulnerabilidades
São fraquezas ou falhas em sistemas, redes, aplicações ou processos que podem ser exploradas por agentes de ameaças (como hackers ou malwares) para ganhar acesso não autorizado, causar danos, roubar dados ou executar ações maliciosas.
61
Vulnerabilidades: Erros de Software
- Falhas na programação ou no design de um software que permitem a execução de ataques.
- Isso pode incluir buffer overflows, injeção de SQL, cross-site scripting (XSS) e outros
62
Vulnerabilidades: Configurações Incorretas
Configurações inadequadas ou inseguras em sistemas operacionais, aplicações,
dispositivos de rede ou bases de dados que expõem o sistema a riscos.
63
Vulnerabilidades: Falta de Atualizações ou Patches
Software ou sistemas operacionais desatualizados que não aplicaram patches de segurança recentes, permitindo que vulnerabilidades conhecidas sejam exploradas.
64
Vulnerabilidades: Controles de Acesso Fracos
Implementações inadequadas de controle de acesso que permitem a usuários não autorizados acessar dados ou funcionalidades restritas.
65
Vulnerabilidades: Falhas de Hardware
Problemas físicos ou falhas de design em hardware que podem ser exploradas para comprometer a segurança.
66
Vulnerabilidades: Políticas de Segurança Insuficientes
Falta de políticas de segurança robustas ou a não aderência a políticas existentes que podem levar a lacunas de segurança.
67
Quais são as **Etapas Típicas na Análise de Vulnerabilidade**?
- Preparação;
- Descoberta de Vulnerabilidades;
- Análise e Avaliação;
- Priorização;
- Relatório;
- Remediação;
- Verificação;
- Monitoramento Contínuo e Revisão.
68
Análise de Vulnerabilidade: Preparação
- Definir o escopo da análise, incluindo os sistemas, redes e componentes a serem avaliados.
- Selecionar as ferramentas e métodos adequados para a análise.
- Assegurar permissões e autorizações necessárias para realizar a análise.
69
Análise de Vulnerabilidade: Descoberta de Vulnerabilidades
- Utilizar ferramentas automatizadas e técnicas manuais para identificar vulnerabilidades existentes nos sistemas dentro do escopo definido.
- Realizar varreduras de rede, testes de penetração e revisões de código conforme apropriado.
70
Análise de Vulnerabilidade: Análise e Avaliação
- Analisar os resultados obtidos pelas ferramentas de varredura e testes para distinguir falsos positivos de descobertas legítimas.
- Avaliar o risco associado a cada vulnerabilidade identificada, considerando fatores como facilidade de exploração, impacto potencial e contexto operacional.
71
Análise de Vulnerabilidade: Priorização
Classificar as vulnerabilidades identificadas com base em seu risco para a organização, priorizando-as para correção com base na gravidade do impacto e na probabilidade de exploração.
72
Análise de Vulnerabilidade: Relatório
- Preparar um relatório detalhado das descobertas, incluindo a descrição das vulnerabilidades, a avaliação de riscos, e as recomendações para mitigação ou correção.
- O relatório deve ser claro e útil para os públicos-alvo, que podem variar de técnicos a executivos.
73
Análise de Vulnerabilidade: Remediação
- Trabalhar com as equipes relevantes (desenvolvimento, operações, TI) para corrigir as vulnerabilidades identificadas, seguindo as prioridades estabelecidas.
- Implementar patches, mudanças de configuração, controles de acesso mais rigorosos e outras correções conforme necessário.
74
Análise de Vulnerabilidade: Verificação
- Após a implementação das correções, realizar uma nova rodada de análise de vulnerabilidade para verificar se as vulnerabilidades foram efetivamente resolvidas.
- Documentar o fechamento das vulnerabilidades no relatório final.
75
Análise de Vulnerabilidade: Monitoramento Contínuo e Revisão
- Estabelecer práticas de monitoramento contínuo para detectar novas vulnerabilidades à medida que surgem.
- Revisar periodicamente a eficácia do processo de análise de vulnerabilidade e fazer ajustes conforme necessário.
76
Plano de Continuidade de Negócios (PCN)
- É um conjunto de **estratégias, procedimentos e medidas** que uma organização implementa para **garantir a continuação das operações críticas** em caso de interrupção significativa, seja por **desastres naturais, ataques cibernéticos, falhas técnicas**, ou qualquer outro **evento inesperado que possa comprometer sua capacidade de funcionar.**
- Não é apenas um documento ou um conjunto de procedimentos, é uma abordagem estratégica integrada que abrange toda a organização e requer uma compreensão clara dos processos de negócio críticos, dos riscos associados e das estratégias de mitigação.
77
Componentes Chave PCN:
- Análise de Impacto nos Negócios (BIA);
- Identificação de Riscos;
- Estratégias de Recuperação;
- Testes e Exercícios;
- Manutenção e Revisão;
- Treinamento e Conscientização.
78
Análise de Impacto nos Negócios (BIA):
- Avaliação das funções de negócios essenciais e dos recursos necessários para sua operação.
- Ajuda a identificar quais processos têm prioridade de recuperação e qual o impacto de uma interrupção sobre a organização.
79
Identificação de Riscos:
- Análise dos potenciais riscos e ameaças que podem causar interrupções nas operações de negócios.
- Isso pode incluir tudo, desde desastres naturais até falhas de segurança cibernética.
80
Estratégias de Recuperação:
- Desenvolvimento de estratégias para recuperar as operações críticas após uma interrupção.
- Isso pode envolver sistemas de backup, acordos de nível de serviço com fornecedores, locais de trabalho alternativos e outras medidas de resiliência.
81
Testes e Exercícios:
Realização regular de simulações e exercícios para testar a eficácia do plano e garantir que os membros da equipe estejam familiarizados com seus papéis e responsabilidades durante uma interrupção.
82
Manutenção e Revisão:
O PCN é um documento vivo que deve ser revisado e atualizado regularmente para refletir mudanças no ambiente de negócios, na tecnologia e nas prioridades organizacionais.
83
Treinamento e Conscientização:
Educar e treinar os funcionários sobre a importância da continuidade de negócios e seus papéis específicos dentro do plano.
84
Subplanos do PCN
- Plano de Resposta a Incidentes;
- Plano de Recuperação de Desastres (PRD);
- Plano de Administração/Gestão de Crises (PAC);
- Plano de Contingência;
- Plano de Continuidade Operacional (PCO).
85
Plano de Resposta a Incidentes
Procedimentos específicos para responder a incidentes que causam interrupções, incluindo comunicação de crise, primeiros socorros e coordenação com autoridades externas, se necessário.
86
Plano de Recuperação de Desastres (PRD)
Focado na restauração de sistemas de TI críticos, dados e infraestrutura de comunicações após um desastre.
87
Plano de Administração/Gestão de Crises (PAC)
Define procedimentos para a **gestão eficaz de crises**, incluindo a estrutura de comando, processos de comunicação e tomada de decisão em situações de crise.
88
Plano de Contingência
- Detalha as ações específicas a serem tomadas em resposta a **eventos inesperados ou emergências** que possam ocorrer e ameaçar a operação normal de uma organização.
- É projetado para entrar em ação quando as **medidas preventivas e os planos iniciais de resposta falham ou são insuficientes** para mitigar um incidente.
- Ele serve como uma estratégia de backup para garantir que a organização possa continuar operando ou **recuperar suas operações críticas sob condições adversas extremas**.
89
Plano de Continuidade Operacional (PCO)
Aborda como manter as operações essenciais da organização durante uma interrupção significativa, garantindo que as **funções críticas sejam mantidas ou retomadas o mais rapidamente possível.**
90
Estratégias de Recuperação (ou Contingência)
- HOT SITE;
- WARM SITE;
- COLD SITE;
- MIRROR SITE;
- MOBILE SITE.
91
Estratégias de Recuperação: Hot Site
▪ Recebe este nome por ser uma estratégia pronta para entrar em operação assim que uma situação de risco ocorrer.
▪ O tempo de operacionalização desta estratégia está diretamente ligado ao tempo de tolerância a falhas do objeto.
▪ Se a aplicássemos em um equipamento tecnológico, um servidor de banco de dados, por exemplo, estaríamos falando de milissegundos de tolerância para garantir a disponibilidade do serviço mantido pelo equipamento.
92
Estratégias de Recuperação: Warm Site
- Similar ao hot-site, mas não inclui os equipamentos mais caros, como servidores específicos ou mainframes.
93
Estratégias de Recuperação: Cold Site
- Dentro da classificação nas estratégias anteriores, esta propõe uma alternativa de contingência a partir de um ambiente com os recursos mínimos de infraestrutura e telecomunicações, desprovido de recursos de processamento de dados.
- Portanto, aplicável à situação com tolerância de indisponibilidade ainda maior, claro que esta estratégia foi analisada e aprovada pelos gestores.
94
Estratégias de Recuperação: Mirror Site
- É a cópia exata de toda a infraestrutura atuando em paralelo, seu tempo para migração, caso haja alguma falha na infraestrutura principal, é imediato.
- Todavia, segundo NIST, o mirrored-site é a escolha mais cara, porém a mais segura, apresentando disponibilidade de 100%.
95
Estratégias de Recuperação: Mobile Site
- Dependendo dos requisitos do negócio e a infraestrutura necessária, o site alternativo pode ser literalmente algo móvel.
- Empresas podem prover grandes caminhões com infraestrutura para prover um Data Center móvel.
- Obviamente essa abordagem possui limitações de tempo para instalação, mas pode ser uma solução para determinados cenários.
- Outro cenário, adotado geralmente por grandes corporações e militares, é o uso de prédios e instalações de rápida montagem, que podem ser provisionadas rapidamente para atender a necessidades mais críticas em situações mais adversas.
96
PCN: Métricas
- RPO (Recovery Point Objective)
- RTO (Recovery Time Objective)
- MTBF (Mean Time Between Failures)
- MTPD (Maximum Tolerable Period of Disruption)
- RCO (Recovery Consistency Objective)
97
Métricas: RPO (Recovery Point Objective)
Determina a **quantidade máxima de perda de dados** que uma organização pode tolerar durante uma interrupção.
98
Métricas: RTO (Recovery Time Objective)
Indica o **tempo máximo** que uma organização pode levar para restaurar suas operações após uma interrupção, sem consequências graves.
99
Métricas: MTBF (Mean Time Between Failures)
Mede a confiabilidade de um sistema ou componente, indicando o tempo médio esperado entre falhas.
100
MTPD (Maximum Tolerable Period of Disruption)
Reflete o tempo máximo de interrupção que uma atividade de negócio pode sofrer antes que os impactos se tornem inaceitáveis.
101
RCO (Recovery Consistency Objective)
Define o nível de consistência necessário entre sistemas interdependentes após uma recuperação, assegurando a integridade dos dados e operações.
