Gestão da Segurança da Informação - Aula 04

Prévia do material em texto

@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
Gestão da segurança da 
informação
Professor: Denis Viana
U
n
id
ad
e I
Aula 04
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Na última aula...
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
O que é 
gestão em 
segurança da 
informação?
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Importante:
 Para nortear esse processo, é 
importante ter em vista os pilares 
da segurança da informação:
 Confidencialidade.
 Integridade.
 Disponibilidade.
 Autenticidade.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Como isso funciona?
 Definir:
 Pontos de controle. 
(Infraestrutura de TI, redes 
lógicas, dados pessoais, etc)
 Possíveis ameaças. (variam de 
acordo com o tipo de negócio)
 Melhores práticas de segurança.
 Ferramentas de segurança e 
monitoramento.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Atribuições do responsável 
pela área de segurança da 
informação
 Autorização de concessão de acesso à rede 
corporativa por meio dos firewalls, não 
sendo ele responsável pela configuração 
dos firewalls, e verificação contínua do 
acompanhamento da monitoração dos logs 
do firewall. O responsável pela segurança 
da informação (security office) deverá 
conhecer a política implementada nos 
firewalls.
 Determinação de qual política deve ser 
implementada no IDS (intrusion detection 
system) e de qual ação deve ser tomada em 
caso de identificação de ataque.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Ciclo PDCA
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Erros mais comuns 
no PDCA
 Falta de fundamentação para os 
problemas encontrados;
 Análise incompleta do cenário atual 
da organização;
 Realização de registros incompletos;
 Falta de treinamento aos 
funcionários;
 Tomada de medidas sem precisão;
 Padronização incorreta.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Exemplos de alguns 
ataques cibernéticos
 Backdoor.
 Browser.
 SSL.
DDoS.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Backdoor
 Backdoor é um software malicioso 
muito utilizado para dar acesso 
remoto não autorizado ao invasor. 
Assim, ele pode explorar 
vulnerabilidades do sistema e 
acessar um ambiente operativo, 
por exemplo.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Browser
 Os ataques que utilizam os 
navegadores para invadir os 
documentos e arquivos dos 
usuários estão entre os mais 
comuns. Nesses casos, os 
cibercriminosos usam a engenharia 
social e outras técnicas de phishing 
para encontrar uma brecha.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
SSL
 O Secure Socket Layer (SSL) é um 
dos padrões globais que se refere à 
criptografia virtual que os 
invasores têm investido em 
quebrar e atacar. Nesse contexto, 
os hackers se ocultam no tráfego 
criptografado, aproveitando que 
muitas empresas não usam 
ferramentas adequadas para 
inspecioná-los.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
DDoS
 Esses ataques tentam impedir que 
usuários legítimos utilizem 
determinado serviço do 
computador. Para isso, os hackers 
aplicam técnicas que podem 
derrubar a conexão entre 
equipamentos, sobrecarregar a 
rede, fazer inúmeras requisições a 
um site até que o sistema saia do 
ar, negar acesso a um usuário ou 
sistema, entre outras ações.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Correção
Atividade
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Questão 01
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Questão 02
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Questão 03
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Questão 04
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Questão 05
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Questão 06
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Questão 07
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Questão 08
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Questão 09
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Questão 10
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Aula 04
 Gestão e análise de risco.
UNIDADE II
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
O que é o risco?
 Risco de um projeto é um 
evento com uma 
probabilidade de ocorrer no 
futuro impactando o projeto 
de forma negativa (ameaça) 
ou positiva (oportunidade).
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Riscos
 Os riscos podem ser:
 Conhecidos, foram identificados, analisados e considerados no 
planejamento do projeto, ou;
 Desconhecidos, nesse caso quando o evento ocorre, temos um 
problema ou questão para o projeto e devem ser tratados 
agilmente.
 Importante tomar as devidas ações corretivas, identificar as causas, 
e tomar ações preventivas para que o problema não ocorra 
novamente.
 E ainda, documentar todas as decisões tomadas, notificar os 
responsáveis e garantir seu comprometimento na resolução do 
mesmo.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Objetivos 
de estudo 
do risco
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Planejar o gerenciamento 
dos riscos
 Planejar o gerenciamento dos 
riscos tem como objetivo definir 
como conduzir as atividades de 
gerenciamento de riscos para o 
projeto.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Identificar os riscos
 Identificar os riscos tem como 
objetivo determinar quais risco 
podem afetar o projeto e 
documentar suas características.
 É um processo iterativo que deve 
ocorrer durante todo o projeto. 
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Realizar a análise 
qualitativa dos riscos
 Realizar a análise qualitativa de riscos tem como 
objetivo avaliar a exposição ao risco para priorizar 
os riscos que serão objeto de análise ou ação 
adicional.
 Os riscos com maior probabilidade e impacto são 
priorizados para posterior criação de um plano de 
respostas.
 Os riscos com menor probabilidade e impacto são 
mantidos nos registros dos riscos dentro de uma 
lista de observação para monitoramento futuro.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Realizar a análise 
quantitativa dos riscos
 Realizar a análise quantitativa 
dos riscos tem como objetivo 
efetuar a análise numérica do 
efeito dos riscos identificados 
nos objetivos gerais do projeto.
 Por envolver alta complexidade, 
é realizada somente nos riscos 
priorizados pela análise 
qualitativa.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Planejar as respostas 
aos riscos
 Planejar as respostas aos riscos tem 
como objetivo desenvolver opções e 
ações para aumentar as oportunidades e 
reduzir as ameaças aos objetivos do 
projeto.
 Trata as respostas aos riscos conforme 
sua prioridade e define um "proprietário" 
para cada risco.
 As respostas tratadas devem implicar 
em mais recursos e atividades no 
orçamento, cronograma e plano de 
gerenciamento do projeto.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Implementar 
respostas aos 
riscos
 O processo tem como objetivo implementaras respostas 
planejadas em Planejar as respostas aos riscos.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Monitorar os riscos
 O processo Monitorar os riscos tem como 
objetivo, controlar e monitorar os riscos de 
modo a:
 Acompanhar os riscos identificados;
 Monitorar a implementação dos planos 
de respostas aos riscos;
 Monitorar os riscos residuais;
 Identificar novos riscos;
 Avaliar a eficácia do processo de riscos 
durante o ciclo de vida do projeto.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Terminologia
UNIDADE I
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Tratamento do risco
 Após o processo de identificação e 
categorização é necessário dar 
uma resposta ao risco e isso pode 
ocorrer basicamente de quatro 
formas:
 Evitando;
 Controlando;
 Transferindo;
 Aceitando.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Sistema de 
gestão de risco
 A NBR ISO 27001:
 Assegurar que o sistema de gestão da segurança da informação 
pode alcançar seus resultados pretendidos.
 Prevenir ou reduzir os efeitos indesejados.
 Alcançar a melhoria contínua.
 Sendo assim, a organização deve planejar devidamente: 
 As ações para considerar esses riscos e oportunidades; 
 Como integrar e implementar essas ações dentro dos processos do 
seu sistema de gestão da segurança da informação; 
 Avaliar a eficácia dessas ações.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Equação do 
risco
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Fatores de relevância ao 
negócio
 Relação de relevância que um processo de negócio tem 
para o negócio.
 Relação de dependência que um ou mais processos de 
negócio têm do ativo.
 Projeção do impacto resultante da concretização da ação 
de uma ameaça. 
 Probabilidade de a ameaça explorar uma vulnerabilidade.
 Severidade potencial da exploração no ativo. 
 Qualificação das vulnerabilidades presentes nos ativos. 
 Qualificação das ameaças potenciais.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Exemplo de 
cálculo de 
risco
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Quadrante de 
risco
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Aula 04
 Gestão e análise de risco.
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br
UNIDADE I
Próxima aula Unidade I
Muito obrigado e até a próxima 
aula!!!