Segurança da informação

Description

Tecnologia da Informação Mind Map on Segurança da informação, created by Fabiano Oliveira on 24/03/2018.
Fabiano Oliveira
Mind Map by Fabiano Oliveira, updated more than 1 year ago
Fabiano Oliveira
Created by Fabiano Oliveira over 6 years ago
29
2

Resource summary

Segurança da informação
  1. Conceitos
    1. Pilares
      1. Confidencialidade
        1. Visa zelar pela PRIVACIDADE e SIGILO dos dados
          1. Os dados somente devem ser acessíveis por aqueles com a devida autorização
          2. Integridade
            1. Visa garantir que os dados trafegados sejam OS MESMOS do início ao fim
              1. Também conhecido como CONFIABILIDADE
              2. Disponibilidade
                1. Visa possibilitar o acesso a determinado recurso a qualquer momento, considerando a devida autorização do requisitante
              3. Autenticidade
                1. Visa garantir que determinada pessoa ou sistema é, de fato, quem ela diz ser
                2. Não-repúdio
                  1. Visa garantir que o usuário não tenha condições de negar ou contrariar o fato de que foi ele que tenha gerado determinado conteúdo ou informação
                    1. Também conhecido como PRINCÍPIO DA IRRETRATABILIDADE
                    2. Legalidade
                      1. Visa atender à legislação e normatização vigente
                      2. Furto de dados
                        1. Informações obtidas tanto pela interceptação de tráfego como pela exploração de possíveis vulnerabilidades existentes no computador
                        2. Uso indevido de recursos
                          1. Acesso a um computador com privilégios que permitam ao atacante praticar atividades maliciosas
                          2. Varredura
                            1. Ação de procurar e descobrir computadores que possam ser alvo de ações maliciosas
                            2. Interceptação de tráfego
                              1. Coleta de dados que estejam sendo transmitidos através de uma rede sem criptografia
                            3. Tipos de ataques
                              1. Negação de serviço
                                1. Tipo de ataque que utiliza um volume massivo de mensagens para um único computador, objetivando torná-lo incapaz de se comunicar
                                2. Força bruta
                                  1. Executa repetidamente combinações aleatórias na tentativa de acertar um valor esperado
                                  2. Personificação
                                    1. Introduz um dispositivo malicioso de modo a substituir de forma imperceptível o dispositivo legítimo
                                  3. Tipos de segurança
                                    1. Física
                                      1. Diz respeito a elementos tangíveis (podem ser tocados)
                                        1. Recursos
                                          1. Unidade de alimentação ininterrupta (UPS)
                                            1. Dispositivo munido de baterias capaz de armazenar energia e suprir os demais equipamentos por um tempo limitado
                                            2. Gerador
                                              1. Dispositivo capaz de gerar correntes elétricas para os demais equipamentos a partir de combustíveis
                                              2. Site físico redundante
                                                1. Ambiente capaz de assumir a operação em caso de catástrofe que prejudique o ambiente principal
                                                2. Circuito fechado de TV (CFTV)
                                                  1. Utiliza câmeras para registro e visualização dos ambientes, utilizados principalmente para análise e auditoria
                                                  2. Travas de equipamentos
                                                    1. Visa impedir o uso de determinados recursos (como portas USB ou unidades de DVD)
                                                      1. Visa impedir o furto de equipamentos facilmente transportáveis, como notebooks, roteadores, etc.
                                                      2. Alarmes
                                                        1. Sistema de aviso que pode ter aspecto físico (ex: incêndio) ou lógico (alarmes de rede)
                                                        2. Controle de acesso
                                                          1. Visa controlar o acesso de pessoas a determinados locais
                                                          2. Sala cofre
                                                            1. Concentra diversos dispositivos de controle de segurança, de acesso, reação a catástrofes, etc.
                                                        3. Lógica
                                                          1. Acesso de ROOT
                                                            1. Não se deve possibilitar a utilização o usuário ROOT de forma direta
                                                            2. Redução de serviços
                                                              1. Minimizar ao máximo a quantidade de serviços em execução em determinado servidor
                                                              2. Limitação de acesso remoto
                                                                1. O acesso remoto a um servidor via SSH deve ser limitado a máquinas ou redes específicas
                                                                2. Atualização do sistema
                                                                  1. Visa reduzir falhas de segurança existentes no SO e nas aplicações
                                                                  2. Controle de acesso
                                                                    1. Visa controlar o acesso de pessoas a determinados recursos na rede ou nas aplicações
                                                                      1. Técnicas
                                                                        1. Mandatory Access Control (MAC)
                                                                          1. O Administrador atribui as devidas permissões
                                                                            1. É utilizado o conceito de LABEL para identificar o nível de sensibilidade de um recurso
                                                                            2. Discretionary Access Controle (DAC)
                                                                              1. Cada usuário pode determinar as permissões de um recurso sob seu domínio
                                                                                1. Mais flexível que o MAC
                                                                                  1. Utilizado no Windows e Linux
                                                                                    1. Permite o compartilhamento de recursos entre usuários
                                                                                    2. Role-Based Access Control RBAC
                                                                                      1. O Administrador concede privilégios de acordo com a função exercida pelo usuário (papel)
                                                                              2. Mecanismos de autenticação
                                                                                1. Algo que você sabe
                                                                                  1. O usuário é identificado por meio de algo que somente ele tem conhecimento
                                                                                    1. Ex: senha de acesso
                                                                                    2. Algo que você tem
                                                                                      1. O usuário é identificado por algo que esteja sob sua posse exclusiva
                                                                                        1. Ex: token, crachá
                                                                                        2. Algo que você é
                                                                                          1. O usuário é identificado por meio de uma característica exclusiva
                                                                                            1. É o mecanismo mais robusto na garantia do princípio da autenticidade
                                                                                              1. Ex: biometria
                                                                                            2. Normas
                                                                                              1. ISO
                                                                                                1. ISO 27001
                                                                                                  1. Define os requisitos de um Sistema de Gestão da Segurança da Informação (SGSI)
                                                                                                    1. Tal sistema deve estar inserido no contexto GLOBAL da organização
                                                                                                      1. Busca ESTABELECER, IMPLEMENTAR, OPERAR, MONITORAR, REVISAR, MANTER e MELHORAR a segurança da informação através do SGSI)
                                                                                                        1. Serve como pilar para as demais
                                                                                                        2. ISO 27002
                                                                                                          1. Consiste em um código de BOAS PRÁTICAS com controles de Segurança da Informação
                                                                                                          2. ISO 27003
                                                                                                            1. Estabelece as DIRETRIZES para a implementação de um SGSI
                                                                                                            2. ISO 27004
                                                                                                              1. Define MÉTRICAS para a medição da gestão de Segurança da Informação
                                                                                                              2. ISO 27005
                                                                                                                1. Aborda a GESTÃO DE RISCOS na Segurança da Informação
                                                                                                              3. NBR
                                                                                                                1. NBR 15999
                                                                                                                  1. Trata da GESTÃO DA CONTINUIDADE DE NEGÓCIOS
                                                                                                                  2. NBR 22301
                                                                                                                    1. Trata dos REQUISITOS para a criação de um sistema de Gestão de Continuidade de Negócios
                                                                                                                    2. NBR 31000
                                                                                                                      1. Trata da GESTÃO DE RISCOS em um caráter organizacional
                                                                                                                  3. Gerência de riscos
                                                                                                                    1. Conceitos
                                                                                                                      1. Risco
                                                                                                                        1. Probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
                                                                                                                        2. Ameaça
                                                                                                                          1. Causa potencial de um incidente indesejado
                                                                                                                          2. Vulnerabilidade
                                                                                                                            1. Fragilidade de um ativo que pode ser explorada por uma ou mais ameaças
                                                                                                                            2. Impacto
                                                                                                                              1. Resultado gerado por uma ameaça ao explorar uma vulnerabilidade
                                                                                                                            3. Reação aos riscos
                                                                                                                              1. Evitar
                                                                                                                                1. Busca-se ações para PREVENIR a ocorrência do risco
                                                                                                                                2. Transferir
                                                                                                                                  1. Busca-se TRANSFERIR o risco para uma terceira parte
                                                                                                                                    1. A terceira parte assume as responsabilidades das ações frente ao risco
                                                                                                                                    2. Mitigar
                                                                                                                                      1. Atua-se na minimização do risco, diminuindo sua probabilidade
                                                                                                                                      2. Aceitar
                                                                                                                                        1. Opta-se por não evitar, transferir ou mitigar o risco pelo baixo custo/beneficio
                                                                                                                                    Show full summary Hide full summary

                                                                                                                                    Similar

                                                                                                                                    Memória Computacional
                                                                                                                                    Filipe Gabriel
                                                                                                                                    ITIL V3 - Processos
                                                                                                                                    Rodrigo Ferreira
                                                                                                                                    Servidores de Web e de Aplicação
                                                                                                                                    Raphael Luiz Fonseca
                                                                                                                                    Tecnologias de Informação e Comunicação
                                                                                                                                    luccianafprado
                                                                                                                                    Planejamento de TI
                                                                                                                                    Willian da Silva2402
                                                                                                                                    Inteligencia Artificial
                                                                                                                                    Erton Sotero
                                                                                                                                    Segurança da Informação
                                                                                                                                    Gilvan Silva
                                                                                                                                    Computador
                                                                                                                                    Filipe Gabriel
                                                                                                                                    Avaliação Módulo 1 ao 4
                                                                                                                                    Matheus Rafael