UND II - SEGURANÇA DA INFORMAÇÃO Flashcards
1 - Quais os pilares da segurança da informação?
1 - CONFIDENCIALIDADE: segurança deve impedir que pessoas não autorizadas tenham acesso ao seu conteúdo. A perda da confidencialidade é a perda do segredo da informação. Medidas de segurança devem garantir que a informação esteja acessível apenas para quem tem permissão de acesso, evitando assim, revelação não autorizada.
2 - INTEGRIDADE: garantir a integridade é permitir que a informação não seja modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça consistente. Ocorre a quebra da integridade quando a informação é corrompida, falsificada, roubada ou destruída. Medidas de segurança devem garantir que a informação seja alterada somente por pessoas e/ou ativos associados autorizados e em situações que efetivamente demandem a alteração legítima.
3 - DISPONIBILIDADE: acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas. É a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. Ocorre a quebra da disponibilidade quando a informação não está disponível para ser utilizada, ou seja, ao alcance de seus usuários e destinatários, não podendo ser acessada no momento em que for necessário utilizá-la. Medidas de segurança devem garantir que a informação esteja disponível, sempre que necessário, aos usuários e/ou sistemas associados que tenham direito de acesso a ela.
4 - AUTENTICIDADE: diz respeito à certeza da origem da informação. Medidas de segurança devem garantir que a informação provém da fonte anunciada e que não foi alvo de mutação ao longo de sua transmissão.
5 - NÃO REPÚDIO: diz respeito à garantia de que o autor de determinada ação não possa negar tal ação. Medidas de segurança devem garantir meios que identifique inequivocamente o autor de uma ação.
2 - Quais os dois aspectos, ou categorias da segurança da informação
■ PREVENÇÃO: é o conjunto das medidas que buscam reduzir a probabilidade de concretização das ameaças existentes. O efeito destas medidas extingue-se quando uma ameaça se transforma num incidente.
■ PROTEÇÃO: é o conjunto das medidas que buscam dotar os sistemas de informação com capacidade de inspeção, detecção, reação e reflexo, permitindo reduzir e limitar o impacto das ameaças quando estas se concretizam. Naturalmente, estas medidas só atuam quando ocorre um incidente.
3 - Quais os requisitos que deverão ser atendidos para se poder classificar as informações?
1 - CONFIDENCIALIDADE: para os requisitos de confidencialidade são:
- 1 - Confidencial: toda informação cuja divulgação para pessoas não autorizadas pode causar danos graves à organização.
- 2 - Reservada: informações que no interesse da organização devem ser de conhecimento restrito e cuja revelação não autorizada pode frustrar o alcance de objetivos e metas.
- 3 - Pública: informações de livre acesso.
2 - DISPONIBILIDADE: orienta que a informação deve ser classificada de acordo com o impacto que a sua falta pode provocar para a empresa, podendo ser estabelecidas categorias para o tempo de recuperação (de minutos a semanas). Exemplifica, classificando-as por tempo de recuperação em:
curto, médio, sem exigência e com exigência (sazonalidade).
3 - INTEGRIDADE: classifica as informações em:
alta,
média e
baixa exigência de integridade.
4 - AUTENTICIDADE: classifica-as quanto à exigência da verificação da autenticidade ou não, que podem ser, por exemplo, informações que devem ter a sua procedência confirmada antes da utilização, como no caso de um pedido de criação de senha de acesso a um sistema de informação.
Exigência da autenticidade
Não exigência da autenticidade
- Uma segunda classificação pode ser aplicada:
1 - CRÍTICO: dados ou documentos que devem ser mantidos por razões legais, para uso nos processo-chaves dos negócios, ou para uma mínima restauração aceitável nos níveis de trabalho em um evento ou desastre.
2 - VITAL: dados ou documentos que devem ser mantidos para uso nos processos normais, e que representam um investimento substancial de recursos da companhia, que podem dificultar ou impossibilitar a sua recuperação, mas que podem não ser necessários numa situação de recuperação de desastre. Informações que necessitam de sigilo especial podem ser incluídas nessa categoria.
3 - SENSÍVEL: dados ou documentos que devem ser necessários nas operações normais, mas para os quais existem fornecimentos alternativos disponíveis em um evento de perda. Dados que podem ser reconstruídos rapidamente, por completo, mas que possuem algum custo, podem ser classificados nessa categoria.
4 - NÃO CRÍTICO: dados ou documentos que podem ser reconstruídos facilmente com custo mínimo, ou cópias de dados críticos, vitais e sensíveis, que não necessitem de pré-requisitos de proteção.
4 - O que é Vulnerabilidade da informação?
- Vulnerabilidades são fragilidades que deixa em aberto a oportunidade para que terceiros se aproveite da ocasião de vulnerabilidade para prejudicar e causar danos a organização.
2. A norma NBR ISO/IEC 27002 define a vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. 3. Beal (2005) define a vulnerabilidade como uma fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque.
5 - Quais os aspectos da origem das vulnerabilidades?
A origem das vulnerabilidades pode advir de vários aspectos como:
1) instalações físicas desprotegidas contra incêndio, inundações e desastres naturais,
2) material inadequado empregado nas construções,
3) ausência de políticas de segurança para RH,
4) funcionários sem treinamento e insatisfeitos nos locais de trabalho,
5) ausência de procedimentos de controle de acesso e de utilização de equipamentos por pessoal contratado,
6) equipamentos obsoletos, sem manutenção e sem restrições para sua utilização,
7) software sem patch de atualização e sem licença de funcionamento, entre outros.
6 - Quais as classificações das vulnerabilidades?
1 - NATURAIS: estão relacionadas com as condições da natureza ou do meio ambiente que podem colocar em risco as informações. Podem ser: locais sujeitos a incêndios em determinado período do ano, locais próximos a rios propensos a inundações, terremotos, maremotos, furacões, entre outros.
2 - ORGANIZACIONAIS: diz respeito a políticas, planos e procedimentos, e a tudo mais que possa constituir a infraestrutura de controles da organização e que não seja enquadrado em outras classificações. Podem ser: ausência de políticas de segurança e treinamento, falhas ou ausência de processos, procedimentos e rotinas, falta de planos de contingência, recuperação de desastres e de continuidade, entre outros.
3 - FÍSICA: diz respeito aos ambientes em que estão sendo processadas ou gerenciadas as informações. Podem ser: instalações inadequadas, ausência de recursos para combate a incêndio, disposição desordenada dos cabos de energia e de rede, portas destrancadas, acesso desprotegido às salas de computador, entre outros.
4 - HARDWARE: possíveis defeitos de fabricação ou configuração dos equipamentos que podem permitir o ataque ou a alteração dos mesmos. Exemplo: a conservação inadequada dos equipamentos, falta de configuração de suporte ou equipamentos de contingência, patches ausentes, firmware desatualizado, sistemas mal configurados, protocolos de gerenciamento permitidos por meio de interfaces públicas, entre outros.
5 - SOFTWARE: são constituídos por todos os aplicativos que possuem pontos fracos que permitem acessos indevidos aos sistemas de computador, inclusive sem o conhecimento de um usuário ou administrador de rede. Os principais pontos de vulnerabilidade encontrados estão na configuração e instalação indevida, programas, inclusive o uso de email, que permitem a execução de códigos maliciosos, editores de texto que permitem a execução de vírus de macro.
6 - MEIOS DE ARMAZENAMENTO: são todos os suportes físicos ou magnéticos utilizados para armazenar as informações, tais como: disquetes, CD ROM, fita magnética, discos rígidos dos servidores e dos bancos de dados, tudo o que está registrado em papel. As suas vulnerabilidades advêm de prazo de validade e expiração, defeito de fabricação, utilização incorreta, local de armazenamento em áreas insalubres ou com alto nível de umidade, magnetismo ou estática, mofo, entre outros.
7 - HUMANAS: constituem a maior preocupação dos especialistas, já que o desconhecimento de medidas de segurança é a sua maior vulnerabilidade. Sua origem pode ser: falta de capacitação específica para a execução das atividades inerentes às funções de cada um, falta de consciência de segurança diante das atividades de rotina, erros, omissões, descontentamento, desleixo na elaboração e segredo de senhas no ambiente de trabalho, não utilização de criptografia na comunicação de informações de elevada criticidade, quando possuídas na empresa.
8 - COMUNICAÇÃO: incluem todos os pontos fracos que abrangem o tráfego das informações, por qualquer meio (cabo, satélite, fibra óptica, ondas de rádio, telefone, internet, wap, fax, etc.). Os principais aspectos estão relacionados com a qualidade do ambiente que foi preparado para o tráfego, tratamento, armazenamento e leitura das informações, a ausência de sistemas de criptografia nas comunicações, a má escolha dos sistemas de comunicações para o envio da mensagem, os protocolos de rede não
criptografados, as conexões a redes múltiplas, os protocolos desnecessários permitidos, a falta de filtragem entre os segmentos da rede.
7 - Quais as principais ameaças da segurança da informação?
1 - Vírus, worm, cavalo de Tróia (Trojan horse).
2 - Phishing, pharming e spyware.
3 - Adware, spam.
4 - Roubo de dados confidenciais da empresa e de cliente, da propriedade da informação e da propriedade intelectual.
5 - Acesso não autorizado à informação.
6 - Perda de dados de clientes.
7 - Má conduta e acesso indevido à network por funcionários e gerentes, bem como abuso de seus privilégios de acesso e utilização indevida da rede wireless.
8 - Acesso e utilização indevida da internet e dos recursos dos sistemas de informação.
9 - Software de má qualidade, mal desenvolvido e sem atualização.
10 - Fraude financeira e de telecomunicações.
11 - Interceptação de telecomunicação (voz ou dados) e espionagem.
12 - Sabotagem de dados e da network.
13 - Desastres naturais.
parei pag 19
do resumo