Baixe o app para aproveitar ainda mais
Prévia do material em texto
@denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br Gestão da segurança da informação Professor: Denis Viana U n id ad e I Aula 04 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Na última aula... @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I O que é gestão em segurança da informação? @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Importante: Para nortear esse processo, é importante ter em vista os pilares da segurança da informação: Confidencialidade. Integridade. Disponibilidade. Autenticidade. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Como isso funciona? Definir: Pontos de controle. (Infraestrutura de TI, redes lógicas, dados pessoais, etc) Possíveis ameaças. (variam de acordo com o tipo de negócio) Melhores práticas de segurança. Ferramentas de segurança e monitoramento. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Atribuições do responsável pela área de segurança da informação Autorização de concessão de acesso à rede corporativa por meio dos firewalls, não sendo ele responsável pela configuração dos firewalls, e verificação contínua do acompanhamento da monitoração dos logs do firewall. O responsável pela segurança da informação (security office) deverá conhecer a política implementada nos firewalls. Determinação de qual política deve ser implementada no IDS (intrusion detection system) e de qual ação deve ser tomada em caso de identificação de ataque. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Ciclo PDCA @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Erros mais comuns no PDCA Falta de fundamentação para os problemas encontrados; Análise incompleta do cenário atual da organização; Realização de registros incompletos; Falta de treinamento aos funcionários; Tomada de medidas sem precisão; Padronização incorreta. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Exemplos de alguns ataques cibernéticos Backdoor. Browser. SSL. DDoS. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Backdoor Backdoor é um software malicioso muito utilizado para dar acesso remoto não autorizado ao invasor. Assim, ele pode explorar vulnerabilidades do sistema e acessar um ambiente operativo, por exemplo. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Browser Os ataques que utilizam os navegadores para invadir os documentos e arquivos dos usuários estão entre os mais comuns. Nesses casos, os cibercriminosos usam a engenharia social e outras técnicas de phishing para encontrar uma brecha. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I SSL O Secure Socket Layer (SSL) é um dos padrões globais que se refere à criptografia virtual que os invasores têm investido em quebrar e atacar. Nesse contexto, os hackers se ocultam no tráfego criptografado, aproveitando que muitas empresas não usam ferramentas adequadas para inspecioná-los. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I DDoS Esses ataques tentam impedir que usuários legítimos utilizem determinado serviço do computador. Para isso, os hackers aplicam técnicas que podem derrubar a conexão entre equipamentos, sobrecarregar a rede, fazer inúmeras requisições a um site até que o sistema saia do ar, negar acesso a um usuário ou sistema, entre outras ações. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Correção Atividade @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Questão 01 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Questão 02 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Questão 03 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Questão 04 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Questão 05 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Questão 06 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Questão 07 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Questão 08 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Questão 09 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Questão 10 @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Aula 04 Gestão e análise de risco. UNIDADE II @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I O que é o risco? Risco de um projeto é um evento com uma probabilidade de ocorrer no futuro impactando o projeto de forma negativa (ameaça) ou positiva (oportunidade). @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Riscos Os riscos podem ser: Conhecidos, foram identificados, analisados e considerados no planejamento do projeto, ou; Desconhecidos, nesse caso quando o evento ocorre, temos um problema ou questão para o projeto e devem ser tratados agilmente. Importante tomar as devidas ações corretivas, identificar as causas, e tomar ações preventivas para que o problema não ocorra novamente. E ainda, documentar todas as decisões tomadas, notificar os responsáveis e garantir seu comprometimento na resolução do mesmo. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Objetivos de estudo do risco @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Planejar o gerenciamento dos riscos Planejar o gerenciamento dos riscos tem como objetivo definir como conduzir as atividades de gerenciamento de riscos para o projeto. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Identificar os riscos Identificar os riscos tem como objetivo determinar quais risco podem afetar o projeto e documentar suas características. É um processo iterativo que deve ocorrer durante todo o projeto. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Realizar a análise qualitativa dos riscos Realizar a análise qualitativa de riscos tem como objetivo avaliar a exposição ao risco para priorizar os riscos que serão objeto de análise ou ação adicional. Os riscos com maior probabilidade e impacto são priorizados para posterior criação de um plano de respostas. Os riscos com menor probabilidade e impacto são mantidos nos registros dos riscos dentro de uma lista de observação para monitoramento futuro. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Realizar a análise quantitativa dos riscos Realizar a análise quantitativa dos riscos tem como objetivo efetuar a análise numérica do efeito dos riscos identificados nos objetivos gerais do projeto. Por envolver alta complexidade, é realizada somente nos riscos priorizados pela análise qualitativa. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Planejar as respostas aos riscos Planejar as respostas aos riscos tem como objetivo desenvolver opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto. Trata as respostas aos riscos conforme sua prioridade e define um "proprietário" para cada risco. As respostas tratadas devem implicar em mais recursos e atividades no orçamento, cronograma e plano de gerenciamento do projeto. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Implementar respostas aos riscos O processo tem como objetivo implementaras respostas planejadas em Planejar as respostas aos riscos. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Monitorar os riscos O processo Monitorar os riscos tem como objetivo, controlar e monitorar os riscos de modo a: Acompanhar os riscos identificados; Monitorar a implementação dos planos de respostas aos riscos; Monitorar os riscos residuais; Identificar novos riscos; Avaliar a eficácia do processo de riscos durante o ciclo de vida do projeto. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Terminologia UNIDADE I @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Tratamento do risco Após o processo de identificação e categorização é necessário dar uma resposta ao risco e isso pode ocorrer basicamente de quatro formas: Evitando; Controlando; Transferindo; Aceitando. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Sistema de gestão de risco A NBR ISO 27001: Assegurar que o sistema de gestão da segurança da informação pode alcançar seus resultados pretendidos. Prevenir ou reduzir os efeitos indesejados. Alcançar a melhoria contínua. Sendo assim, a organização deve planejar devidamente: As ações para considerar esses riscos e oportunidades; Como integrar e implementar essas ações dentro dos processos do seu sistema de gestão da segurança da informação; Avaliar a eficácia dessas ações. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Equação do risco @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Fatores de relevância ao negócio Relação de relevância que um processo de negócio tem para o negócio. Relação de dependência que um ou mais processos de negócio têm do ativo. Projeção do impacto resultante da concretização da ação de uma ameaça. Probabilidade de a ameaça explorar uma vulnerabilidade. Severidade potencial da exploração no ativo. Qualificação das vulnerabilidades presentes nos ativos. Qualificação das ameaças potenciais. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Exemplo de cálculo de risco @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Quadrante de risco @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Aula 04 Gestão e análise de risco. @denis_viana (85) 99657-6633 denisvianafilho www.denisviana.com.br UNIDADE I Próxima aula Unidade I Muito obrigado e até a próxima aula!!!
Compartilhar