Segurança da Informação LUSANA SOUZA NATÁLIA BATUTA MARIA DAS GRAÇAS TATIANE ROCHA GTI V Matutino Prof.: Kelly Alves Martins
Sumário 1. INTRODUÇÃO... 2 2. LEVANTAMENTO DE ATIVOS... 2 3. LEVANTAMENTO DE AMEAÇAS, VULNERABILIDADES E IMPACTO... 3 4. QUALIFICAÇÃO DOS RISCOS... 4 5. MEDIDAS DE CONTROLE DE RISCOS... 4 6. REFERÊNCIAS BIBLIOGRÁFICAS... 5 1
1. Introdução A política de segurança usada nesse projeto é para o Supermercado Batuta, empresa fictícia, onde será feito um levantamento de ativos, avaliando as vulnerabilidades, ameaças e impactos. Os meios relacionados à segurança da informação visa proteger o bem de maior valor da empresa (Dados e ) de diversos ataques e ameaças para garantir o sucesso do negócio, diminuindo os prejuízos, as perdas e os estragos, assim aumentando as vantagens, os lucros e os benefícios. A Intel revela: O descuido nessa área pode causar prejuízos significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das empresas está consciente do perigo e estamos vivendo um momento em que praticamente todas elas mantêm alguma política de segurança. 2. Levantamento de ativos Os ativos são os bens, valores, créditos e direitos de uma empresa. Para que esses ativos sejam protegidos, é necessário o uso da segurança da informação, classificação e o controle. A empresa deve adotar a Política de Integridade de Ativos que irá garantir a segurança de todas as e operações. A seguir veremos os ativos e os tipos de ativos do Supermercado Batuta. Ativos Tipo de Ativos Hardware Pc Servidor Roteador Switch Scanner Óptico Pin Pad Pessoas Funcionários Serviços Entrega das compras em casa 2
Software Controle de caixa Controle de estoque SGBD 3. Levantamento de ameaças, vulnerabilidade e impacto Ameaças: Um conjunto de circunstâncias que têm o potencial de causar uma quebra da segurança. (PFLEEGER, 2006, p. 15) Vulnerabilidade: É uma propriedade de um ativo ou do seu ambiente que em conjunto com uma ameaça, pode levar a uma falha da segurança. (ANDERSON, 2008, p.15) Impacto: O impacto é o resultado de uma ameaça concretizada, ou que veio a ocorrer. Ativos Vulnerabilidade Ameaças Impactos Hardware Falha no HD Configuração Incorreta Cabo mal encaixado Equipamento defeituoso Má utilização do equipamento Indisponibilidade da Informação Falha nos Conectores Atraso na realização do trabalho Desastres naturais Infecção por vírus, worms, e outros Prejuízo financeiro Equipamento fora da rede Indisponibilidade de recursos Pessoas Falta de Treinamento Falha humana Roubo de dados e Atraso na realização do trabalho Vazamento de estratégicas Perdas financeiras Indisponibilidade de recursos Perda de informação Serviços Falha na qualidade Atraso na entrega Insatisfação do cliente Perda de credibilidade 3
Software Fora do Ar Instalação errada Falhas de softwares Perda de Informações Prejuízos financeiros Modificação de Prejuízo Financeiro Indisponibilidade de Interrupção de serviços 4. Qualificação dos riscos Os riscos são identificados e qualificados de acordo com a sua probabilidade de ocorrência ou impactos dos seus resultados. A probabilidade pode ser qualificada como: alta, média e baixa. Baixa: A probabilidade de ocorrência de risco pode ser considerada pequena ou imperceptível (Menor que 20%). Média: Existe uma probabilidade razoável de ocorrência de risco (Entre 20% e 60%). Alta: O risco é iminente (Probabilidade maior que 60%). 5. Medidas de controle de riscos Ativos Ameaças/Riscos Medidas de controle Descrição Indisponibilidade da Informação Prevenção Realização de backups Falha nos Conectores Verificar se os componentes estão posicionados e alinhados corretamente Hardware Atraso na realização do trabalho e Orientação Desastres naturais Prevenção Realização de treinamentos Infecção por vírus, worms, e outros. Realização de backups e contratação de seguro contra perdas 4
Realização de backups, utilização de ferramentas de gerenciamento de rede, firewall. Pessoas Falha humana Roubo de dados e Atraso na realização do trabalho e Orientação Implementar programas de treinamento e de conscientização aos funcionários sobre a Política de Segurança da Informação Serviços Atraso na entrega e Orientação Realização de treinamentos Perda de Informações Realização de backups Software Prejuízos financeiros e Prevenção Modificação de Adotar Políticas de Controle de Acesso 6. Referências Bibliográficas http://infrati.blogs.sapo.pt/2009/11/28/ http://www.serafim.eti.br/academia/recursos/roteiro_02-ameaca_vulnerabilidade_impacto_controle.pdf http://moodle.fgv.br/uploads/jogpead_t0072_0512/e97_grupo1_-_ged_-_02_- _Plano_de_Gerenciamento_de_Riscos.pdf 5