null
US
Sign In
Sign Up for Free
Sign Up
We have detected that Javascript is not enabled in your browser. The dynamic nature of our site means that Javascript must be enabled to function properly. Please read our
terms and conditions
for more information.
Next up
Copy and Edit
You need to log in to complete this action!
Register for Free
12986116
Segurança da informação
Description
Tecnologia da Informação Mind Map on Segurança da informação, created by Fabiano Oliveira on 24/03/2018.
No tags specified
tecnologia da informação
Mind Map by
Fabiano Oliveira
, updated more than 1 year ago
More
Less
Created by
Fabiano Oliveira
over 6 years ago
29
2
0
Resource summary
Segurança da informação
Conceitos
Pilares
Confidencialidade
Visa zelar pela PRIVACIDADE e SIGILO dos dados
Os dados somente devem ser acessíveis por aqueles com a devida autorização
Integridade
Visa garantir que os dados trafegados sejam OS MESMOS do início ao fim
Também conhecido como CONFIABILIDADE
Disponibilidade
Visa possibilitar o acesso a determinado recurso a qualquer momento, considerando a devida autorização do requisitante
Autenticidade
Visa garantir que determinada pessoa ou sistema é, de fato, quem ela diz ser
Não-repúdio
Visa garantir que o usuário não tenha condições de negar ou contrariar o fato de que foi ele que tenha gerado determinado conteúdo ou informação
Também conhecido como PRINCÍPIO DA IRRETRATABILIDADE
Legalidade
Visa atender à legislação e normatização vigente
Furto de dados
Informações obtidas tanto pela interceptação de tráfego como pela exploração de possíveis vulnerabilidades existentes no computador
Uso indevido de recursos
Acesso a um computador com privilégios que permitam ao atacante praticar atividades maliciosas
Varredura
Ação de procurar e descobrir computadores que possam ser alvo de ações maliciosas
Interceptação de tráfego
Coleta de dados que estejam sendo transmitidos através de uma rede sem criptografia
Tipos de ataques
Negação de serviço
Tipo de ataque que utiliza um volume massivo de mensagens para um único computador, objetivando torná-lo incapaz de se comunicar
Força bruta
Executa repetidamente combinações aleatórias na tentativa de acertar um valor esperado
Personificação
Introduz um dispositivo malicioso de modo a substituir de forma imperceptível o dispositivo legítimo
Tipos de segurança
Física
Diz respeito a elementos tangíveis (podem ser tocados)
Recursos
Unidade de alimentação ininterrupta (UPS)
Dispositivo munido de baterias capaz de armazenar energia e suprir os demais equipamentos por um tempo limitado
Gerador
Dispositivo capaz de gerar correntes elétricas para os demais equipamentos a partir de combustíveis
Site físico redundante
Ambiente capaz de assumir a operação em caso de catástrofe que prejudique o ambiente principal
Circuito fechado de TV (CFTV)
Utiliza câmeras para registro e visualização dos ambientes, utilizados principalmente para análise e auditoria
Travas de equipamentos
Visa impedir o uso de determinados recursos (como portas USB ou unidades de DVD)
Visa impedir o furto de equipamentos facilmente transportáveis, como notebooks, roteadores, etc.
Alarmes
Sistema de aviso que pode ter aspecto físico (ex: incêndio) ou lógico (alarmes de rede)
Controle de acesso
Visa controlar o acesso de pessoas a determinados locais
Sala cofre
Concentra diversos dispositivos de controle de segurança, de acesso, reação a catástrofes, etc.
Lógica
Acesso de ROOT
Não se deve possibilitar a utilização o usuário ROOT de forma direta
Redução de serviços
Minimizar ao máximo a quantidade de serviços em execução em determinado servidor
Limitação de acesso remoto
O acesso remoto a um servidor via SSH deve ser limitado a máquinas ou redes específicas
Atualização do sistema
Visa reduzir falhas de segurança existentes no SO e nas aplicações
Controle de acesso
Visa controlar o acesso de pessoas a determinados recursos na rede ou nas aplicações
Técnicas
Mandatory Access Control (MAC)
O Administrador atribui as devidas permissões
É utilizado o conceito de LABEL para identificar o nível de sensibilidade de um recurso
Discretionary Access Controle (DAC)
Cada usuário pode determinar as permissões de um recurso sob seu domínio
Mais flexível que o MAC
Utilizado no Windows e Linux
Permite o compartilhamento de recursos entre usuários
Role-Based Access Control RBAC
O Administrador concede privilégios de acordo com a função exercida pelo usuário (papel)
Mecanismos de autenticação
Algo que você sabe
O usuário é identificado por meio de algo que somente ele tem conhecimento
Ex: senha de acesso
Algo que você tem
O usuário é identificado por algo que esteja sob sua posse exclusiva
Ex: token, crachá
Algo que você é
O usuário é identificado por meio de uma característica exclusiva
É o mecanismo mais robusto na garantia do princípio da autenticidade
Ex: biometria
Normas
ISO
ISO 27001
Define os requisitos de um Sistema de Gestão da Segurança da Informação (SGSI)
Tal sistema deve estar inserido no contexto GLOBAL da organização
Busca ESTABELECER, IMPLEMENTAR, OPERAR, MONITORAR, REVISAR, MANTER e MELHORAR a segurança da informação através do SGSI)
Serve como pilar para as demais
ISO 27002
Consiste em um código de BOAS PRÁTICAS com controles de Segurança da Informação
ISO 27003
Estabelece as DIRETRIZES para a implementação de um SGSI
ISO 27004
Define MÉTRICAS para a medição da gestão de Segurança da Informação
ISO 27005
Aborda a GESTÃO DE RISCOS na Segurança da Informação
NBR
NBR 15999
Trata da GESTÃO DA CONTINUIDADE DE NEGÓCIOS
NBR 22301
Trata dos REQUISITOS para a criação de um sistema de Gestão de Continuidade de Negócios
NBR 31000
Trata da GESTÃO DE RISCOS em um caráter organizacional
Gerência de riscos
Conceitos
Risco
Probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização
Ameaça
Causa potencial de um incidente indesejado
Vulnerabilidade
Fragilidade de um ativo que pode ser explorada por uma ou mais ameaças
Impacto
Resultado gerado por uma ameaça ao explorar uma vulnerabilidade
Reação aos riscos
Evitar
Busca-se ações para PREVENIR a ocorrência do risco
Transferir
Busca-se TRANSFERIR o risco para uma terceira parte
A terceira parte assume as responsabilidades das ações frente ao risco
Mitigar
Atua-se na minimização do risco, diminuindo sua probabilidade
Aceitar
Opta-se por não evitar, transferir ou mitigar o risco pelo baixo custo/beneficio
Show full summary
Hide full summary
Want to create your own
Mind Maps
for
free
with GoConqr?
Learn more
.
Similar
Memória Computacional
Filipe Gabriel
TICs
marilanegondim
ITIL V3 - Processos
Rodrigo Ferreira
Servidores de Web e de Aplicação
Raphael Luiz Fonseca
Tecnologias de Informação e Comunicação
luccianafprado
Planejamento de TI
Willian da Silva2402
Inteligencia Artificial
Erton Sotero
Segurança da Informação
Gilvan Silva
LGPD
Robson Borges
Computador
Filipe Gabriel
Avaliação Módulo 1 ao 4
Matheus Rafael
Browse Library