Gestão da Informação – Aula 11 – Segurança da informação

[Música] olá eu sou professor marcelo fantinato a esta disciplina de gestão da direcção de informação nós vamos tratar agora a aula número 11 cujo assunto é segurança da informação acho que na aula anterior talvez na orla 9a eu comentei eu finalizei dando um evento de de como a ati em hattem relacionamento com a gestão da informação é uma das questões que eu já tinha adiantado naquela aula é a questão da segurança da informação que é o que nós vamos abordar agora especificamente nessa aula então a nós temos por um lado a informação como um ativo

muito importante da organização e de forma complementar nós queremos gerenciar bem essa informação para tirar melhor proveito disso a gerenciar informação de uma forma geral ela é ela tem que ser feita ela naturalmente é feita de uma forma inerente dentro da organização agora gerenciar bem é uma questão que a gente quer alcançar para poder tirar o melhor benefício da informação tratada dentro da organização e sempre que como nós estamos lidando muito a com aspectos computacionais essa informação acaba ficando suscetível a algum tipo de ataque por exemplo algum tipo de roubo ou outros aspectos relacionados à

segurança vou mencionar daqui a pouco em relação aos conceitos de segurança não significa por mais que a gente pensa em segurança como alguém vai roubar a informação a a segurança da informação ela remexe também há outras questões apenas adiantando por exemplo você pode não conseguir a informação que você precisa num determinado momento dentro daquela organização e isso também é um aspecto que a segurança da informação ela precisa tratar então há a a informação ela pode ter uma de de riscos há uma série de de políticas que podem ser feitas para poder a evitar que esses

ricos acabem virando realidade pensando nos conceitos mais específicos da segurança da informação de uma forma geral o que a gente pensa quando está falando em segurança da informação nós queremos claro protegeram né a segurança ela existe para proteger mas essa proteção ela pode ser feito basicamente em relação a duas coisas o mais comum é nós pensarmos uma pessoa não autorizada não deve ter acesso àquela informação tanto pessoas de fora da organização ou mesmo pessoa de dentro de uma mesma organização uma temática que a pessoa todo mundo que trabalha dentro de uma organização deveria ter acesso

a qualquer tipo de informação daquela organização então um aspecto principal quando a gente pensa em segurança é proteger a informação e acesso não autorizado agora há um aspecto também importante da mesma forma equivalente é você proteger contra a negação do serviço ao usuário autorizado se por um lado você quer garantir que quem não tem autorização não acesse por outro lado você quer garantir que sempre quem tiver autorização de acesso tem que conseguir acessar então pensa em tentar lembrar que segurança também diz respeito a esse segundo item aqui e não apenas o primeiro que é o

principal que vem a nossa mente quando nós pensamos disso isso é bom porque nós queremos fazer essa proteção é essa proteção ela tem o objetivo claro de preservar a de um lado a informação é é a que pode ser muito confidencial dentro da organização e também disponibilizar essa informação para que ela seja útil não adianta você ter informação se você nega que alguém que precisa dela que tal teoria está autorizado a usar acabei não conseguindo usar mas isso tudo tem que ser feito pensos em querendo preservar o que nós chamamos de concebida confidencialidade integridade e

disponibilidade da informação a confidencialidade claro está mais associado à questão de não deixar que pessoas que não tenham a sua autorização acesso à informação mas não só isso ao sempre que você está querendo garantir que quem tem autorização consegui acessar esse acesso precisa ser feita de uma forma que a informação continue sendo confidencial não é porque você está autorizando que alguém use que esse ovo pode acabar criando um efeito colateral de disponibilizar informação para outras pessoas então essa questão da confidencialidade também em geral é o aspecto que a gente mais lembra quando nós pensamos em

segurança mas nós temos também a questão da disponibilidade que está mais associado à questão que eu não quero negar quem a quem tem direito e isso a gente chama de disponibilidade e tem o item também integridade que não está ligado a nenhum desses dois diretamente mas indiretamente sim integridade além de uma pessoa poder sempre acessar a informação que ela tenha acesso a que ela tem direito de acesso a essa informação ela precisa ser íntegra ou seja a informação esperada é a informação que será encontrada e não uma informação digamos defeituosa com algum ruído então isso

também faz parte de um objetivo de segurança na organização você garante que a informação esteja sempre íntegra no sentido de está correta inteira não ter sido estragada de alguma forma a não adianta você evitar que outras pessoas não acessem garantir que quem deve conseguir acessar essa informação na verdade ela não é confiável do ponto de vista de qualidade bom do esses conceitos pensando no na organização como um todo sempre que nós pensamos em segurança do ponto de vista estratégico da organização que está sendo representada aqui como solução gosta qual o objetivo estratégico proteger a privacidade

é dada a informação mas mantendo custos operacionais mais baixos que não deveria gastar muito para poder a proteger a privacidade para isso o sistema de informação tem um aspecto bastante importante porque através de um sistema de informação que direta e indiretamente precisam impedir que o roubo por evento de senhas e dados a repelir softwares maliciosos aqui são alguns exemplos a questão de segurança hoje como a e destaque naquela tag a nuvem de tags no segundo slides vocês viram lá uma série de de nomes que aparecem há hoje em dia é tanto tipo de ameaça diferente

é tantas formas diferentes de tratar cada uma dessas ameaças que a oa quantidade de confeitos é ter um especialista em segurança da informação não só conceito nas ferramentas tecnologias técnicas quantidade desses itens que o especialista em segurança da informação tem que dar é muito grande aqui estão aparecendo apenas alguns eventos bom como é que o sistema de informação conseguem por exemplo impedir o roubo de senhas e dados e repelir softwares maliciosos voltando naquela idéia é que o sistema de informação é formado por pessoas à organização como um todo pensando o conjunto de procedimento e a

parte tecnológica então nós temos por exemplo do ponto de vista tecnológico é necessário implementar por meio de sistemas de informação um sistema de criptografia de senha pra poder impedir o roubo de senhas e dados nós temos que ter um sistema de criptografia a e por exemplo armazenar senhas criptografadas em servidor separado são questões tecnológicas que podem ajudar os sistemas de informação fazer o seu trabalho para que esse objetivo estratégico seja atingido mas não basta pensar do ponto de vista tecnológico como sistemas de informação sistemas sócio técnicos que envolve pessoas seguindo alguns procedimentos basta por mais

que você computacionalmente tecnológicamente adote uma série de informações você ainda sempre vai depender das pessoas é desculpa sempre que há do ponto de vista tecnológico você adotar uma série de de soluções tecnológicas computacionais técnicas você ainda tem o impacto que as pessoas podem não seguir usar os procedimentos organizacionais da melhor forma possível e aí muitas vezes uma solução tecnológica ela não impede que alguém faça o uso de uma forma indevida então dentro de desse contexto do ponto de vista de pessoas é necessário por exemplo desenvolver políticas e planos de segurança em geral as organizações possui

uma com um conjunto de políticas que dizem como as pessoas devem se portar em relação às questões de privacidade acontecer confidencialidade dentro de uma organização pensando em cada pessoa de uma forma específica do ponto de vista de organização como um todo nós queremos por exemplo promover a cultura e mentalidade de segurança e feito por exemplo através de treinamentos a a organização ela pensa no treinamento de ensinar quais são as políticas que elas devem seguir o discurso a ser feito por exemplo quando um funcionário é recém contratado ele costuma a passar por um treinamento depende claro

da de qual a confidencial deve ser a informação dentro de uma organização algumas organizações podem dar naturalmente um enfoque maior nisso por exemplo dando treinamento formais outras organizações podem dar um enfoque menor porque talvez a informação não seja algo tão estratégica da organização a abom ainda pensando em alguns exemplos em algumas questões onde estão os problemas assumindo que hoje a estrutura computacional é bastante grande bastante ampla nós podemos ter pontos de vulnerabilidade em diferentes partes então pensando aqui por exemplo em um sistema corporativo a um sistema informação um rp por exemplo que cuida da organização

como um todo nós temos um banco de dados desse sistema nós temos o hardware é que vai lidar com esse sistema a sistemas operacionais que vão estar rodando nas rádios alguns sistemas operacionais podem ser mais ou menos suscetíveis a problemas de segurança e claro o software que vai estar rodando é pra poder a da vida a esses sistemas corporativos então nesse contexto aqui do sistema rodando em um hardware banco de dados alguns exemplos de vulnerabilidade são por exemplo roubar os dados estão aqui nesse banco de dados fazer cópia de dados alterar dados então não há

o risco não apenas roubar os dados mas um ataque pode alterar os dados que estão lá se os dados são alterados qual o princípio não estou seguindo da questão de segurança apresentado no slide anterior integridade então os dados passaram não estar mais íntegros a eu possa ter uma falha de hardware então o hardware em que o sistema está sendo executado o servidor em geral de um problema por exemplo algum problema físico incluindo hardware caiu e quebrou uma infiltração no prédio caiu água estragou enfim problemas físicos que podem dar falha no hardware a partir do momento

que eu tenho fala no hardware o software não vai funcionar mais não vai acessar aquele banco de dados então pronto e já não tem mais aquele outro princípio da disponibilidade da informação precisa estar sempre disponível até o software pode falhar em geral software falha porque ele tem um erro um defeito alguém implementou software tem um defeito bom vindo de lá pra cá a nós temos outros servidores por exemplo servidores web servidores de aplicação dentro da organização ao final nós temos um cliente final um funcionário um cliente é o usuário por exemplo um funcionário e um

cliente seria o cliente final da organização por exemplo através de um tablet ou mesmo de um computador pessoal e aí nós temos então a comunicação por exemplo a internet nesse fazendo esse meio aqui e aí do ponto de vista final do cliente ou do usuário alguém pode fazer uma festa que não está autorizado isso é uma ameaça usar todo esse conjunto de equipamentos recursos de dados sem estar autorizado dentro da internet como esses esses usuários podem se comunicar com os servidores da organização através da internet você pode ter por exemplo uma escuta clandestina o que

significa isso algum especialista é no sentido de que ele conhece muito como usar os recursos computacionais eles podem interceptar a informação está trafegando nesse canal e roubar essa informação que a gente chama de escuta clandestina pode alterar a mensagem ele altera a mensagem uma mensagem saiu daqui pra chegar aqui e no meio ela é trocada de novo a informação não tem mais integridade não era informação correta que está chegando do outro lado a e aqui nos servidores corporativos nós temos ameaças por exemplo malwares o que vulgarmente se chama de vírus então vírus podem ser instalados

há dentro desses servidores pode ter algum tipo de vandalismo o equipamento da organização num protesto por exemplo podem ser danificados enfim alguns eventos de ameaças que podem ocorrer em diferentes partes recursos tipos de recursos dentro de uma organização e para isso nós temos a questão do controle o que fazer para evitar aqui esse tipo de problema ocorra também como eu havia comentado em si uma série de soluções que podem ser adotadas nós podemos ter um controle no nível de software um controle no nível de hardware então no nível de software é eu preciso garantir previne

acesso não autorizado e feita através de software do ponto de vista de hardware eu preciso garantir por exemplo que eles fisicamente está seguro não vai ter nenhum dano físico por exemplo a por conta de vandalismo ou alguma questão de de clima a eu tenho o controle de operações de computador um outro tipo de ação eu posso tomar que é eu quero garantir ao um órgão terceiro álbum uma área independente dentro da organização vai verificar se esses dois controles aqui estão sendo feitas de forma adequada é temos ainda o controle de segurança de dados especificamente tem

uma relação com hardware e software porque o banco de dados é um software acordando numa máquina que é o rabo mas a questão do gerenciamento de dados do banco de dados é tão importante que é comum ter uma área se preocupando apenas com isso há controle de implementação olha só seus sistemas de informação são desenvolvidos dentro da própria organização é necessário que haja um controle para saber se esses sistemas estão sendo desenvolvidos realmente considerando as políticas de segurança necessárias e por cinco os controles administrativos que são por exemplo aqueles convenção nem fazer um treinamento garante

que um funcionário uma pessoa não entre dentro da da empresa sem ter um crachá por exemplo passando por uma cancela a enfim serem formas de solução e futuro o que eu mencionei como exemplo é o que nós chamamos de políticas de segurança da informação diferentes de políticas diferentes níveis é um conjunto formal de regras que devem ser seguidas pelos usuários dos sistemas de computação nice a organização como um todo eu comentei num anteriormente que uma organização ela pode ter mais ou menos há controle de segurança porque é o para uma organização a informação ela pode

ser algo muito estratégico para a outra nem tanto então sempre que uma organização vai definir uma política de segurança ela precisa considerar diferentes aspectos para saber o quanto ela deve ou preciso investir nisso por exemplo quais são os reais riscos associados à falta de segurança se houver algum problema de segurança você vai ter um problema muito grande pra ir em relação a isso ou seja você vai ter algum tipo de impacto muito grande e há chance de isso acontecer é grande você é uma organização muito visada em termos de roubo ou alteração de informação e

são um aspecto que tem que ser avaliado outro aspecto é se você implementar mecanismos de segurança quais os benefícios que você vai ter e por outro lado quais os custos então aqui a relação custo-benefício é uma coisa muito comum um de nós pensarmos tudo tem seu curso todos em seu benefício e nós temos que pensar então a quais são esses custos quais são esses benefícios associado a isso nós temos a questão a dos riscos então de um lado a gente olha custo benefício mas pensando sempre do ponto de vista de risco e impacto e por

isso há o tipo de política de segurança adotado em diferentes empresas ele vai acabar variando muito a pensando do ponto de vista da gestão da informação que é os poços o aspecto dessa disciplina o assunto dessa disciplina é claro que é altamente relacionado porque de vários aspectos devem ser considerados ao gerenciar a informação de uma organização um dos principais aspectos é justamente a segurança bom com isso a gente finaliza essa aula relacionado a questões de segurança e vamos tratar ainda de alguns outros assuntos até o final desta disciplina obrigado [Música] [Música] ah [Música] [Música]