Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão da Segurança da Informação: Etapas da gestão do risco Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 SST QUEIROZ, Z. C. L. S. Gestão da Segurança da Informação: Etapas da gestão do risco / Zandra Cristina Lima Silva Queiroz Ano: 2020 nº de p.: 12 páginas Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados. Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 3 Gestão da Segurança da Informação: Etapas da gestão do risco Apresentação Ao longo desta unidade, entenderemos melhor como integrar a gestão da segurança da informação com a gestão dos riscos. Essa é uma tarefa complexa, mas é importante que toda a organização tenha conhecimento de seus riscos e de como eles podem ser mitigados ou administrados. Gestão da segurança da informação versus gestão do risco A segurança da informação abrange tanto os aspectos tecnológicos (mundo virtual) quanto os aspectos físicos (mundo real). Nesse contexto, a gestão da segurança da informação também considera conceitos de administração para garantir o melhor controle das informações, dentro dos princípios de segurança (confidencialidade, integridade e disponibilidade) e minimizar os riscos. A gestão de riscos é elemento- chave para que a estrutura de segurança possa ser construída. O que é gestão do risco? É o conjunto de processos que permite às organizações identificarem e implementarem as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação e equilibrá-los com os custos operacionais e financeiros envolvidos (BEAL, 2008, p. 11). Curiosidade No contexto da segurança da informação, os riscos referem-se a todos os eventos que abrem brechas que ameaçam ou prejudicam as informações da organização. A família ISO 27000 constitui um padrão de certificação em Segurança da Informação reconhecido pela ISO e, dentre as normas descritas, a norma 27001 trata dos requisitos necessários para a construção de um sistema de gestão da segurança da Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 4 informação nas organizações, com atenção especial para avaliação e tratamento de riscos de segurança da informação. A gestão de risco utiliza um conceito amplamente aplicado na gestão de qualidade para o tratamento e análise de risco, denominado ciclo PDCA (Plan, Do, Check, Act). Esse método oferece uma visão de todas as etapas importantes para a gestão do risco e orienta para a sua correta aplicação e execução. Ciclo PDCA Fonte: Plataforma Deduca (2020). O mais interessante é que essa ferramenta propõe que a análise seja cíclica, ou seja, o processo de aprendizagem e melhoria é sempre revisto. As quatro etapas, segundo Beal (2008, p. 37), estão divididas em: Plan Planejar: estabelecer objetivos, metas e meios de alcançá-los. Do Executar: implementar os objetivos e metas. Check Verificar, avaliar (comparação do executado com o planejado). Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 5 Act Agir corretivamente (caso sejam detectados desvios ou falhas a serem corrigidas). Adicionalmente, a norma ISO 27005 (que compõe a família ISO 27000) detalha as atividades de análise/avaliação dos riscos baseando-se no ciclo PDCA conforme figura a seguir. Gestão do risco Fonte: ISO 27005 (2011). Vamos conhecer, detalhadamente, cada uma dessas etapas. Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 6 Etapas 1 a 4 Etapa 1 – Definição de contexto Fase de pré-análise, momento em que são definidos o escopo da análise do risco em concordância com os objetivos da organização, além da definição dos critérios (medidas-padrão que deverão ser observadas na gestão de segurança da informação) que deverão ser preestabelecidos para abordagem, avaliação, impacto e aceitação dos riscos levantados. O quadro a seguir demonstra um exemplo de critérios estabelecidos de nível de risco. Nível de risco Nível de risco Valor Descrição Desprezível 1 Sistema de gestão fora do ar por 5 minutos. Baixo 2 Sistema de gestão fora do ar por 30 minutos. Médio 3 Sistema de gestão fora do ar por 1 hora. Alto 4 Sistema de gestão fora do ar por 24 horas. Fonte: Elaborado pelo autor (2020). Com base nos dados desse quadro, a empresa pode estabelecer o nível de impacto nas operações da empresa quando o sistema fica fora do ar. Etapa 2 – Análise e avaliação dos riscos Nesta fase, inicia-se a identificação dos riscos e seus elementos: alvos, agentes, ameaças, vulnerabilidades, impactos. Essa etapa é composta por três atividades: identificação dos riscos, estimativa do risco e avaliação do risco. Essas atividades estão descritas na Seção 8 da ISO 27005. Etapa 3 – Análise de riscos Nesta etapa, são mapeadas as ameaças a que se sujeitam informação e ativos de informação. Beal (2008, p. 18) as classifica como: Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 7 Ambientais Naturais, como fogo, chuva, raio, terremoto, ou decorrentes de condições do ambiente, como interferência eletrônica, contaminação por produtos químicos, falhas no suprimento de energia elétrica ou no sistema de climatização. Técnicas Configuração incorreta de componentes de TI, falhas de hardware e software. Lógicas Códigos maliciosos, invasão de sistema. Humanas Erro de operação, fraude, sabotagem. Mediante o levantamento das ameaças, obtêm-se as vulnerabilidades a que elas estão expostas. Em seguida, são dimensionados os impactos de tais ameaças quanto aos objetivos (princípios) da segurança da informação, permitindo, dessa forma, mapear e determinar ações para minimizar os riscos. Beal (2008, p.20) propõe a criação de uma lista para determinação das ameaças e dos impactos para os objetivos de confidencialidade, integridade e disponibilidade, demonstrada no quadro a seguir. Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 8 Checklist de ameaças versus impactos Ameaça Alvo Impacto confidencialidade Impacto integridade Impacto dis- ponibilidade Desastres Naturais Prédios, torres de comunicação Equipamentos descartados podem conter informações confidenciais. Perda ou Indisponibilidade de dados. Falhas Ambientais Hardware Interrupção de serviços. Furto Equipamentos valiosos Equipamentos podem conter informações confidenciais. Interrupção de serviços e perda de dados. Vírus Equipamentos conectados em rede Dados e informações corrompidas. Interrupção de serviços e perda de dados. Hacking Equipamentos conectados em rede Quebra de sigilo Dados e informações corrompidas. Interrupção de serviços e perda de dados. Código Escondido Todos os sistemas Vazamento de informações confidenciais. Manipulação indevida de dados e informações. Interrupção de serviços e perda de dados. Falha de Hardware Hardware Vazamento de informações confidenciais Dados e informações corrompidas Interrupção de serviços e perda de dados Falha de Software Software Vazamento de informações confidenciais Dados e informações corrompidas Interrupção de serviços e perda se dados Erro Humano Todos os sistemas Vazamento de informações confidenciais: funcionários podem divulgar acidentalmente informações sigilosas. Dados e informações corrompidas: inserir acidentalmente dados incorretos. Interrupção de serviços e perda de dados: funcionários podem excluir informações acidentalmente. Fonte: Beal (2008, p. 20) Etapa 4 – Estimativa do risco Nesta fase, é verificado o mapeamento realizado na Etapa 3, o qual permite à organização mensurar os impactos financeiros e operacionais de cada ameaça. A análise de risco é determinante para estimar a probabilidade, grau de exposição e perda estimada de cada risco mapeado e mensurar o valor do risco, que podedepois ser comparado com uma referência/ critério exigido pela empresa. Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 9 Etapas 5 a 7 Etapa 5 – Avaliação do risco A avaliação do risco envolve metodologias que podem ser quantitativas ou qualitativas. Métodos qualitativos são baseados em medidas por status ou score (ex.: impossível, provável, possível etc.). Os métodos quantitativos permitem uma mensuração em termos de valor e podem ou não se relacionarem aos custos. O uso de métodos quantitativos é indicado para avaliar em termos de custos os impactos causados, porém o uso dessa técnica deve ser observado com atenção aos dados que serão avaliados e se existem medidas de controle consistentes para garantir a representação real dos custos dos riscos. Em contrapartida, Beal (2008) aponta que um dos métodos quantitativos mais utilizados é o cálculo da Expectativa de Perda Anual (ALE, do inglês Annual Loss Expectation). Esse método calcula o tempo de perda previsto com a ocorrência de um incidente e funciona da seguinte forma: adota-se o padrão de 12 meses para ocorrência de n incidentes para cada tipo de ameaça. Se para cada incidente n = perda média i: ALE = n x i Por meio desse cálculo, seria possível avaliar se é viável o investimento em segurança em função da redução do ALE. A perda esperada em um incidente de invasão por hackers pode ser de apenas U$ 10 mil, mas se a frequência de ocorrência for alta - por exemplo, três vezes por dia, ou 1.000 por ano, a ALE seria de U$ 10 milhões, suficiente para justificar, por exemplo, a implantação de um firewall de U$ 25 mil para proteger a rede. Atenção Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 10 Já nos métodos qualitativos, geralmente são utilizados questionários e matriz de risco. As construções dessas estruturas são muito particulares e variam de acordo com cada organização. A seguir, no quadro, é demonstrado um exemplo de matriz de risco. A cor vermelha significa a necessidade de reduzir os riscos, já a cor amarela corresponde às medidas de atenção à segurança requerida, enquanto a branca diz respeito às medidas básicas de proteção. Matriz de risco GRAVIDADE DO IMPACTO PROBABILIDADE DE OCORRÊNCIA DO INCIDENTE F IMPOSSÍVEL E IMPROVÁVEL D REMOTA C OCASIONAL B PROVÁVEL A FREQUENTE I - CATÁSTROFE II - ALTA III - MÉDIA IV - BAIXA Fonte: Beal (2008, p. 23) Etapa 6 – Tratamento do risco Todos os dados levantados na etapa de avaliação e análise de risco servirão como subsídio para a correção e tratamento no caso de alguma ocorrência. O tratamento do risco consiste na adoção de medidas para diminuir os riscos que foram avaliados no passo anterior. As medidas podem ser preventivas ou corretivas. As medidas preventivas baseiam-se em tratar a causa raiz do risco bem como treinamento e conscientização para adoção dos procedimentos de segurança exigidos pela organização. As medidas corretivas são tomadas, geralmente, quando já ocorreu algum fato/ataque que necessita de atitudes pontuais. Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 11 Tratamento de risco Fonte: Elaborada pelo autor (2020) Etapa 7 - Aceitação do risco residual Risco residual é definido como “o risco calculado”, ou seja, são aqueles riscos conhecidos que, de acordo com a organização, podem ser apenas monitorados e não representam nenhum impacto nos negócios. Fechamento Estudamos que a gestão do risco é uma etapa importante para a gestão da segurança da informação, pois sinaliza todos os pontos de vulnerabilidade no ambiente virtual e no mundo real. Trata-se de uma gestão cíclica e contínua. Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02 12 Referências ABNT – Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005: 2011. São Paulo: ABNT, 2011. ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001:2013. São Paulo: ABNT, 2013. ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27004:2017. São Paulo: ABNT, 2017. BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008. Licensed to Wellington Vichinhevski Kruk - well@wknetworks.com.br - 096.466.679-02
Compartilhar