Segurança da Informação: Fundamentos e Práticas

Segurança da Informação

Garantia da integridade, confidencialidade e disponibilidade dos dados: Os dados devem ser precisos, protegidos contra acesso não autorizado e disponíveis quando necessários, assegurando confiabilidade e eficácia das operações.
Identificação de vulnerabilidades e riscos: Detectar e mitigar possíveis pontos fracos nos sistemas, diminuindo a probabilidade de incidentes de segurança.
Cumprimento de regulamentos e normas de segurança: Os sistemas devem estar em conformidade com leis, regulamentos e padrões de segurança estabelecidos, protegendo a organização contra penalidades legais e danos à reputação.

Principais Pilares da Segurança da Informação

Confidencialidade: Somente usuários autorizados têm acesso a informações sensíveis.
Integridade: Os dados não podem ser alterados ou corrompidos por usuários não autorizados.
Disponibilidade: Os recursos de TI devem estar disponíveis quando necessários.
Autenticidade: A identidade de usuários e recursos deve ser confirmada com segurança.
Não-repúdio: As partes envolvidas em uma transação não podem negar sua participação ou ações realizadas.

Meios de Aplicabilidade da Segurança e Auditoria

Políticas de Segurança: Regras e diretrizes para o comportamento dos usuários e administração dos sistemas, protegendo os recursos de informação.
Controles de Acesso: Mecanismos para limitar o acesso às informações somente a usuários autorizados, utilizando autenticação e autorização.
Criptografia: Técnica de codificação de informações para proteger a confidencialidade durante a transmissão e armazenamento.
Monitoramento de Atividades: Acompanhamento contínuo das atividades dos usuários e sistemas para identificar comportamentos suspeitos ou violações de segurança.
Auditorias Regulares: Avaliação periódica dos controles de segurança e práticas de conformidade para garantir eficácia e conformidade com políticas e regulamentações.

A Segurança e o Ciclo de Vida da Informação

Criação e Coleta: Dados são gerados ou coletados de diversas fontes (sensores, pesquisas, transações, etc.). Garantir precisão e integridade desde o início, protegendo com criptografia e controles de acesso.
Armazenamento: Dados armazenados de forma segura (como servidores, nuvem e dispositivos físicos), utilizando medidas de segurança (criptografia e backups). Políticas de retenção definem os períodos de armazenamento dos dados.
Uso: Acesso e utilização dos dados de maneira controlada, com autenticação e autorização, monitoramento, auditorias e treinamento em segurança.
Compartilhamento: Troca segura de dados entre partes diferentes. Políticas claras definem quem tem acesso a que. Segurança da transferência usando canais seguros (VPNs, SSL/TLS). Gerenciamento de permissões, atualizado periodicamente.
Arquivamento: Armazenamento dos dados para consulta futura, com critérios e segurança de acesso.
Descarte: Eliminação segura de dados não mais necessários (destruição física, sobrescrita, desmagnetização). Políticas claras e documentadas sobre procedimento de descarte.

Classificação e Controle dos Ativos de Informação

Definição de Ativos de Informação: Qualquer recurso valioso para a organização, contendo dados ou informações.
Importância: Proteção adequada dos ativos de riscos e ameaças.
Objetivo da Classificação: Identificar o nível de sensibilidade e importância dos ativos.
Categorias Comuns: Público, Interno, Confidencial, Restrito.
Critérios de Classificação: Sensibilidade, impacto potencial de divulgação e valor para a organização.

Segurança do Ambiente Físico e Lógico

Ambiente Físico: Exemplos: Travas, câmeras, controle de acesso, proteção de data centers, salas de servidores, arquivos físicos, monitoramento constante e registro de acessos.
Ambiente Lógico: Exemplos: Firewalls, criptografia, autenticação multifator, proteção de redes, computadores e dispositivos móveis. Monitoramento de logs de acesso e sistemas de detecção de intrusão.

Aspectos Humanos da Segurança da Informação

Conscientização, treinamento e comportamento dos funcionários, para que atuem como a primeira linha de defesa contra ameaças.
Conscientização e Treinamento: Educação dos funcionários sobre riscos, boas práticas (senhas, phishing, etc.), políticas e procedimentos de segurança, e respostas a incidentes de segurança (vazamento de dados, intrusão, etc.).
Cultura Organizacional: Criar uma cultura de segurança, com engajamento dos líderes, comunicação aberta e reforço positivo para comportamentos seguros.
Comportamento e Atitudes: Minimizar erros humanos através de sistemas automatizados e gestão adequada de acessos; educar sobre segurança física de dispositivos.

Controle de Acesso

Controle de acesso restringe o acesso a recursos críticos e dados sensíveis, garantindo que apenas usuários autorizados possam acessá-los. É essencial para proteger a integridade, confidencialidade e disponibilidade dos ativos organizacionais.
Autenticação: Verificar a identidade dos usuários (senhas, tokens, biometria, etc.).
Autorização: Definir o acesso que os usuários autenticados têm (permissões e papéis).
Auditoria: Registrar e monitorar as atividades dos usuários para detectar comportamentos suspeitos.
Criptografia: Proteger dados durante a transmissão e armazenamento.
Controle de Acesso Físico: Proteção de locais físicos (e.g., cartões de acesso, sistemas de vídeo monitoramento, barreiras físicas).

Organização da Segurança

Estrutura e coordenação de políticas, procedimentos, recursos e pessoas para proteção dos ativos e informações da organização.
Governança de Segurança: Estrutura de liderança e diretrizes para garantir que a segurança esteja alinhada com os objetivos da organização.
Políticas de Segurança: Regras e diretrizes que definem como os recursos da organização devem ser protegidos.
Recursos Humanos: Treinamento e capacitação das pessoas envolvidas na implementação e monitoramento da segurança.
Tecnologia: Ferramentas e sistemas que suportam a implantação dos controles de segurança.
Processos e Procedimentos: Metodologias para a gestão de riscos, incidentes e conformidade. Estabelece diretrizes para a proteção de dados e informações sensíveis, uso de recursos, planos de resposta a incidentes, e gestão de acesso.
Aspectos Humanos da Segurança na Organização: Conscientização, treinamento e engajamento de todos os níveis (de operacional à liderança); comunicação eficiente sobre incidentes; reconhecimento e incentivo a comportamentos seguros.
Desafios na Organização de Segurança: Complexidade organizacional, evolução de ameaças, resistência a mudanças e custo/recursos limitados.
Melhores práticas: Alinhamento com os objetivos estratégicos, avaliação contínua de riscos, integração de segurança em todos os processos e investimento em tecnologia e capacitação.

Segurança no Contexto da Governança de TI

A segurança é um componente central da governança de TI, estabelecendo políticas e procedimentos de segurança, alinhados com os objetivos estratégicos.
Benefícios da Segurança no Contexto da Governança de TI: Redução de riscos cibernéticos, conformidade com regulamentações, proteção de ativos críticos, e maior confiança dos stakeholders.
Tipos de Ataques Cibernéticos: Phishing, Ransomware, Ataques de Negação de Serviço (DoS/DDoS), Malware, Ataques Man-in-the-Middle (MitM), SQL Injection, Ataques de Engenharia Social, Exploração de Vulnerabilidades Zero-Day.

Fundamentos em Auditoria de Sistemas de Informação

Processo de avaliação e revisão dos controles, segurança e integridade dos sistemas tecnológicos e informações empresariais, garantindo o funcionamento correto e conformidade com as normas e regulamentações.
Tipos de Auditoria de SI: Conformidade, Segurança, Operacional e Desempenho.
Princípios da Auditoria de SI: Independência e objetividade, integridade, baseada em riscos, documentação adequada.
Processos de Auditoria de SI: Planejamento, execução, relatório e acompanhamento (follow-up) das recomendações.
Benefícios da Auditoria de SI: Melhoria dos controles internos, aprimoramento da segurança, eficiência nos processos e confiança nas operações.
Ferramentas e Técnicas de Auditoria: Ferramentas de avaliação de riscos e de análise de logs; entrevistas e questionários; observação direta; revisão de documentos; testes de controle, etc.