Baixe o app para aproveitar ainda mais
Prévia do material em texto
Unidade 3: Tópico 1 - Introdução: Olá, aluno(a). Como vai o planejamento da sua vida? Para gerir a Segurança da Informação, precisamos ter um planejamento, afinal, são muitos processos a serem elaborados, coordenados e executados. O Plano Diretor de Segurança (PDS) é uma importante ferramenta para a tomada de decisão da empresa, pois unifica processos, garante controle de recursos humanos e tecnológicos, identifica ameaças e reduz gastos desnecessários. Já o Plano de Continuidade do Negócio (PCN) é elaborado para impedir que desastres causados por ameaças diversas, desastres naturais, fraudes, falhas nos sistemas, dentre outras, impeçam o funcionamento dos serviços vitais de uma empresa. Pronto(a) para entender sobre esses planos? Tópico 2 - Plano Diretor de Segurança: O Plano Diretor de Segurança (PDS) é uma ferramenta de planejamento e gestão de Segurança da Informação. O PDS norteia as atividades e os processos de segurança da empresa e mantém os negócios sob risco controlado, mantém os ativos críticos seguros e garante uma resposta rápida, caso ocorra algum incidente. Não existe PDS padrão, mesmo que a empresa tenha o mesmo segmento de negócio. Cada empresa tem suas características únicas, vulnerabilidades, ameaças e impactos, portanto o PDS é único de acordo com a necessidade de cada uma. Metodologia: Modelar o PDS é essencial para entender o negócio da empresa, seus planos a curto, médio e longo prazos, e as demandas futuras previstas no plano de negócio. Para mapear vulnerabilidades, ameaças e riscos de impacto, é necessário realizar um levantamento minucioso das informações do negócio. Nessa fase, é interessante montar um mapa de relacionamento e dependências entre os principais processos da empresa. Um exemplo de mapa pode ser consultado na Figura 3.1. Mapear os principais processos não é uma tarefa fácil, principalmente quando se trata de uma grande empresa, primeiramente, porque é difícil encontrar um grupo acessível com visão global corporativa e também porque o ambiente é muito complexo, com tecnologias diferentes, localizações geográficas diferentes e muitos processos distribuídos descontroladamente. A metodologia do PDS é formada por 6 etapas complementares que asseguram a modelagem de um plano diretor de segurança personalizado: ● identificação dos processos do negócio; ● mapeamento da relevância; ● estudo de impacto CIDAC; ● estudo de prioridade GUT; ● estudo de perímetros; ● estudo de atividades. Identificação dos Processos do Negócio: É o momento de identificar os processos críticos da empresa que serão tratados pela Gestão de Segurança da Informação. Para a identificação desses processos, são necessárias longas e detalhadas reuniões com quem mais conhece a empresa: os gestores das principais áreas que ocupam a posição de executivo-gerencial. Esses gestores detêm o conhecimento do foco principal do negócio, do que faz a empresa funcionar, de quais falhas provocam perda financeira, de quais ativos devem ser protegidos e das principais áreas que sustentam esse negócio. Outro objetivo das reuniões com os gestores de todas as áreas é provocar uma discussão que dê subsídio para o levantamento dos ativos físicos, tecnológicos, humanos e de conectividade dos principais processos de negócio. Ao final dessa etapa, espera-se como resultado o mapeamento dos processos críticos de negócio para a operação da empresa, a identificação e o envolvimento dos gestores-chaves e um entendimento inicial do negócio da empresa. Mapeamento da Relevância: Podemos dizer que o funcionamento do negócio fica bem mais claro após a identificação dos processos críticos. Então, é o momento de mapear a relevância de cada processo para priorizar adequadamente as atividades da solução. Chamamos de priorização dos processos de negócio crítico a relação de peso entre eles associada à importância para o negócio. Nessa etapa, o ideal é envolver um ou mais gestores com a visão global do negócio, sem envolvimento com nenhuma área específica. Dessa maneira, suas decisões serão imparciais e não terão influência na priorização das ações das próximas etapas. Critérios: A metodologia para a definição de relevância define valores na faixa de 1 a 5, sendo 5 o maior grau de relevância e 1 o menor grau de relevância. Conforme o Quadro 3.1, esses valores podem ser associados a palavras ou expressões, o que deixa a metodologia mais intuitiva e auxilia os envolvidos a mensurar a relevância entre os processos. Para não gerar confusões interpretativas, as palavras e expressões do Quadro 3.1 não devem ser interpretadas isoladamente; só devem ser utilizadas para ponderar ou mensurar cada processo de negócio voltado para o levantamento de prioridade daquele processo específico. Para que essa metodologia seja aplicada com sucesso, os gestores envolvidos devem definir um processo-alvo para a operação do negócio e refazer várias vezes a análise, comparando com outros processos, reajustando os valores até que encontre um valor ideal. Para auxiliar na metodologia, apresentam-se as escalas para classificação da relevância dos processos de negócio (Quadro 3.1). Ao final dessa etapa, espera-se o mapeamento de relevância dos processos e maiores envolvimento e compreensão dos gestores com visão global da empresa. Estudo de impacto de Confidencialidade, Integridade, Disponibilidade, Autenticidade e Conformidade (CIDAC): Os processos de negócios críticos já foram identificados. Nesse momento, a análise será voltada para encontrar a sensibilidade de cada processo, caso haja quebra de segurança, principalmente quebra da confidencialidade, integridade, disponibilidade, autenticidade e conformidade. O estudo será realizado entrevistando os gestores de cada processo isoladamente, e o critério será o mesmo aplicado no mapeamento de relevância, mas sem considerar o negócio como um todo. No Quadro 3.2 poderá ser observada a aplicação do critério do mapeamento de relevância exemplificado para um só processo de negócio. Nessa etapa, ocorrerá a classificação da sensibilidade CIDAC de cada processo de negócio isoladamente e o envolvimento e a compreensão dos gestores dos processos específicos. Tópico 3 - PDS - Metodologias finais e Organização dos Comitês: A metodologia do PDS tem como principal objetivo fazer o levantamento de todos os processos de negócio, aplicações, infraestrutura física, tecnológica e humana, seus relacionamentos e dependências, construindo um verdadeiro mapa que auxiliará nos processos de decisões. O objetivo deste tópico, além de dar continuidade ao mapeamento da metodologia, é abordar as organizações do Comitê Corporativo de Segurança, do Security Officer e dos Comitês Interdepartamentais. Estudo de prioridade de Gravidade, Urgência e Tendência (GUT): Nessa etapa, inicia-se o estudo da pontuação de prioridade, aplicando-se a matriz GUT: gravidade, urgência e tendência. Esse estudo será aplicado em processos individuais, por meio de reuniões com os gestores de cada processo. A prioridade final é composta da análise e do produto da gravidade, urgência e tendência. Para definir essa prioridade, foram propostas três perguntas: Dimensão gravidade: ● Seria muito grave para o processo do negócio em análise se algum fato atingisse qualquer um dos conceitos e aspectos, provocando a quebra da segurança da informação? Para responder essa questão, é preciso levar em consideração a severidade do impacto diretamente associado a um processo de negócio analisado. Dimensão urgência: ● Havendo a quebra da segurança da informação, independentemente do conceito ou dos aspectos atingidos, qual seria a urgência em solucionar os efeitos do ocorrido e em reduzir os riscos no processo de negócio em análise? Já essa pergunta deve ser respondida levando-se em consideração o tempo de duração dos impactos diretamente associados no processo de negócio analisado. Dimensão tendência: ● Considerando os planos de curto, médio e longo prazos associados à evolução do processo do negócio em análise,qual seria a tendência dos riscos de segurança se nenhuma atividade preventiva ou corretiva fosse aplicada? Essa pergunta deve ser respondida considerando-se a oscilação da importância do impacto diretamente associado ao processo de negócio analisado. Critérios: A metodologia aplica valores entre 1 e 5 para definir o grau de prioridade, isto é, quanto maior o valor, maior é a priorização. Nesta metodologia, pode-se utilizar palavras e expressões para auxiliar os envolvidos a mensurar a prioridade entre os processos; essas expressões podem ser observadas no Quadro 3.3. Cuidado com interpretações errôneas das expressões adotadas nas escalas; elas devem ser interpretadas apenas para o processo de negócio específico. O GUT final é formado pela multiplicação dos valores e a faixa de valor final possível varia de 1 a 125. Para facilitar a identificação dos processos e de suas prioridades, o GUT final é apresentado em blocos com cores predefinidas, sendo as faixas de 1 a 42 - Verde, de 43 a 83 - Amarela e de 84 a 125 - Vermelha. Nessa etapa, espera-se o mapeamento de prioridades de cada processo de negócio e a compreensão de cada processo em função das dimensões do GUT. Estudo de Perímetros: Nessa etapa, iremos conhecer os elementos da infraestrutura que sustentam os processos dos principais negócios da empresa. Hoje, o mundo é tecnológico; muito raramente algum negócio sobrevive sem um mínimo de tecnologia; em todas as empresas, não existem ativos que atendam somente a um processo de negócio. Na maioria das vezes, existe infraestrutura compartilhada e agrupamento de processos, como pode ser verificado na Figura 3.2. Agora que já mapeamos os processos, chegou a hora de reconhecer quais ativos os sustentam, como tecnologia, pessoas e aplicações. Com base nessas informações, será possível realizar o levantamento das vulnerabilidades e planejar a aplicação de controles de segurança para eliminar, diminuir ou administrar as mesmas. Para a realização desses levantamentos, serão necessárias entrevistas com os gestores da área técnica-tática. Esses gestores irão levantar as informações de topologias físicas e tecnológicas e identificar os projetos ligados direta ou indiretamente aos processos de negócio. Esses projetos farão parte do plano diretor de segurança. Não se esqueça de que esse é o momento de descobrir todos os ativos que sustentam o negócio: plantas baixas, mapas topológicos, inventários de equipamentos, sistemas e aplicações de todas as plataformas, banco de dados, fluxos de dados, troca de informações e tudo que é importante para a operação e o funcionamento do negócio. Nessa etapa, espera-se o mapeamento dos ativos e da relação entre ativos e processos. Estudo de Atividades: Esse é o momento que todas as informações são utilizadas, é o início do processo do plano diretor de segurança, onde são indicadas as atividades/projetos relevantes para o negócio da empresa, de acordo com suas prioridades, distribuídos ao longo do tempo. Para a realização dessa etapa, são necessárias várias reuniões para a interpretação das informações coletadas, recursos disponíveis e análise do nível de segurança atual e recomendada, de acordo com a atividade. Nessa etapa, espera-se o mapeamento dos ativos e da relação entre ativos e processos do negócio. Organização do Comitê Corporativo de Segurança: Para que a empresa tenha sucesso na Gestão de Segurança da Informação é fator crítico a criação do comitê corporativo de segurança da informação. Esse comitê deve ter posição privilegiada no organograma da empresa para ter poder de decisão. A sua primeira tarefa é definir responsabilidades de planejamento, execução e monitoramento dos processos. Esse grupo será composto por pessoas de diversas áreas estratégicas, com especialistas de visões distintas. A empresa deve realizar a divulgação interna e a oficialização do comitê corporativo de segurança o principal papel do comitê corporativo de segurança é planejar, organizar, concentrar, integrar e coordenar as ações de segurança de todos os ambientes e processos, tendo autonomia para alterar os planos, de acordo com as mudanças físicas, tecnológicas e humanas que poderão ocorrer futuramente. Organização do Security Office: O Security Office é uma função, cuja responsabilidade é liderar o comitê corporativo de segurança e interagir com os líderes dos comitês interdepartamentais de segurança. O Security Office tem um perfil técnico diferenciado, com visão corporativa e agilidade na gestão. Esse conjunto de habilidades faz com que o profissional conduza com coerência os macro-objetivos de segurança e do negócio da empresa. A Segurança e o negócio da empresa devem coexistir pacificamente: a segurança trabalhando na redução do risco e de possíveis impactos por meio de controles corporativos de segurança e o negócio apontando estratégias e novas aplicações para a ascensão da empresa. O Security Office orienta, questiona, analisa ameaças, riscos, impactos e viabilidades técnicas futuras. Organização de Comitês Interdepartamentais de Segurança: Os comitês interdepartamentais de segurança são orientados por diretrizes do comitê corporativo de segurança, mas nem por isso são menos importantes. Esses comitês têm a responsabilidade de medir os resultados dos departamentos específicos e reportar ao comitê superior novas necessidades e situações que exponham a informação a algum risco. Os comitês interdepartamentais de segurança fornecem subsídios para auxiliar a tomada de decisão do comitê corporativo de segurança. Tópico 4 - Continuidade do Negócio: A continuidade do negócio está no nosso cotidiano e não percebemos. Você conhece alguém que tem um carro e não possui seguro? O simples fato de fazer um seguro de carro é um plano de continuidade de negócio, pois, mediante o pagamento de um seguro, em caso de sinistro, você recupera parte do valor investido no seu carro e como contingência recebe um carro reserva até que o seu seja substituído ou consertado. É claro que esse fato é somente uma analogia; a continuidade do negócio é bem mais complexa, conforme relatado na ISO 27002: garantir a continuidade das atividades, após a ocorrência de uma interrupção inesperada da operação ou dos processos do negócio é uma tarefa essencial da gestão de segurança da informação. A continuidade do negócio visa garantir a sobrevivência dos processos e das informações vitais de uma empresa no menor tempo possível, com o intuito de minimizar os impactos de um desastre. O assunto é tão sério que, em 2006, a British Standards Institute publicou a norma BS 25999-1, definindo um código de prática para gestão de continuidade do negócio e no ano seguinte foi lançada a segunda parte dessa norma, definindo o sistema de gestão de continuidade do negócio. Em 2012, a ISO lançou a norma ISO 22301, que definiu o Business Continuity Management System (BCMS), o que possibilitou que as empresas certifiquem seus sistemas de gestão de continuidade do negócio. O cerne da Gestão de Continuidade do Negócio: A criação do SGCN com todas as etapas e planos necessários tem como principal objetivo contingenciar situações e incidentes de segurança inevitáveis. Pode ser comparado com um paraquedas reserva, que entra em ação para salvar a vida do paraquedista, em caso de falha do paraquedas principal. Dentre as diversas etapas do SGCN, podemos citar o planejamento, a gestão de processos e a elaboração de políticas de continuidade, seguidas de análise de impactos, definição de estratégias e elaboração de planos específicos. O SGCN pode ser iniciado por três planos: ● Plano de administração de crises; ● Plano de continuidade operacional; ● Plano de recuperação de desastres. Na Figura 3.3 é possível visualizar uma ilustração do Plano de continuidade do negócio. Não existe plano de continuidade do negócio padrão; tudo depende do objeto que será contingenciado e da sua dimensão de atuação. De maneira geral, o PCN não tem a obrigatoriedade de ser um plano único. Dependendodos processos, das variáveis de tolerância à falha e dos impactos, o PCN pode ser composto de vários planos integrados que cobrem diferentes perímetros físicos, tecnológicos e humanos ou planos direcionados a ameaças específicas. Independentemente do objeto da contingência, a empresa deverá definir uma estratégia para conduzi-la a operar com um nível de risco controlado. Análise de Impacto no Negócio: A primeira etapa que deve fornecer informações para o dimensionamento das demais fases do PCN é o Business Impact Analysis (BIA). O objetivo do BIA é fazer o levantamento do grau de relevância dos processos ou das atividades que fazem parte do escopo da contingência. Em seguida, deve-se mapear todos os ativos físicos, tecnológicos e humanos que suportam cada processo e, depois, fazer uma apuração dos impactos quantitativos que poderiam ser gerados com a sua paralisação total. No Quadro 3.4, é possível observar a classificação de relevância dos processos de um escopo predeterminado. Após a análise BIA, teremos uma fotografia das funcionalidades do processo, como o agrupamento dos ativos e relacionamento com os processos, a definição de prioridades de contingência e o levantamento dos níveis de tolerância à indisponibilidade de cada processo. Depois dessa etapa, é possível definir quais ameaças devem ser contingenciadas, de acordo com a probabilidade e a gravidade de um incidente. Na Figura 3.4 podemos observar uma seleção de ameaças a serem consideradas pelo plano e pela tolerância de cada processo do negócio. A Análise BIA deveria ser precedida de uma análise de risco – a principal atividade para orientar as ações de segurança da informação. Caso assim fosse, o BIA seria apenas uma quantificação dos impactos e a seleção das ameaças consideradas no plano de continuidade do negócio. Estratégia de Contingência: Depois de definido o que é crítico e de como a empresa se comporta com relação aos impactos, deve-se pensar a respeito da continuidade do negócio e definir as estratégias de contingência. São descritas sete estratégias de contingência a seguir. 1. Hotsite - Esta é uma estratégia de instalação alternativa que está pronta para entrar em operação imediatamente após a ocorrência de um desastre. O hotsite pode ser uma instalação de processamento de dados, de comunicação ou qualquer outra função de negócio crítico que precisa ser duplicada. 2. Warm-site - Esta estratégia é um local de processo alternativo parcialmente equipado, mais tolerante a falhas que podem ficar indisponíveis por mais tempo sem afetar diretamente o negócio da empresa. Podemos tomar como exemplo o serviço de e-mail, que pode ficar sem comunicação por minutos, sem comprometer o serviço ou gerar grandes impactos. 3. Realocação de Operação - Esta estratégia tem o objetivo desviar a atividade atingida por uma ameaça para outro ambiente físico, equipamentos ou links da mesma empresa. Podemos citar como exemplo o desvio do tráfego de um roteador ou servidor com problemas para outro roteador ou servidor saudável que suporte a nova carga e o acúmulo de tarefas. 4. Bureau de Serviços - Esta é uma estratégia que prevê que, caso o ambiente sofra algum desastre, pode transferir a operacionalização da atividade atingida para um ambiente terceirizado, fora da empresa. Tal estratégia requer um tempo de tolerância maior, devido ao tempo de reativação operacional da atividade. Ter as informações da empresa manuseadas por terceiros também pode ser um grande risco; por esse motivo, tal estratégia requer controles e procedimentos mais rígidos, com procedimentos, critérios e mecanismos que garantam as condições de segurança no ambiente contingenciado. 5. Acordo de Reciprocidade - A proposta desta estratégia é a aproximação de empresas com características ou serviços semelhantes que, por meio de um acordo formal, estabelecem em conjunto situações de contingência e definem procedimentos de compartilhamento de recursos para alocar a atividade atingida por um desastre no ambiente de outra empresa. Tal estratégia permite que ambas as empresas reduzam significativamente os investimentos. As empresas envolvidas no processo devem adotar procedimentos de segurança personalizados e mecanismos de redução da exposição de suas informações enquanto estiverem trafegando temporariamente em ambiente de terceiros, principalmente quando se trata de empresas concorrentes. 6. Cold-site - Esta estratégia propõe um local alternativo de contingência sem qualquer equipamento ou recurso, com exceção de ar-condicionado e piso elevado. Equipamentos e recursos de contingência devem ser instalados posteriormente conforme a necessidade da contingência. O ambiente não possui recursos de processamento de dados. A estratégia é aplicada a situações que têm grande tolerância de indisponibilidade. 7. Autossuficiência - A estratégia de autossuficiência é utilizada quando nenhuma outra estratégia é aplicável, quando os impactos não são significativos ou são inviáveis, seja financeiro, técnico ou estratégico. Qualquer uma das estratégias estudadas até o momento depende do nível de tolerância que a empresa pode suportar e do nível de risco que os executivos estão dispostos a correr. Todas essas informações devem ser levantadas no início do PCN com a análise de riscos e impactos que servirão para apoiar escolhas mais assertivas. A continuidade de Negócio e seus Planos: Depois dos estudos realizados, podemos deduzir que já foi realizada a análise de impacto no negócio ou BIA. Os processos e ativos críticos que serão contingenciados já foram mapeados, já foram levantados os valores financeiros que envolvem o negócio direta ou indiretamente, foi definida a ordem de contingenciamento e os investimentos necessários para a manutenção atual e pós-evento de interrupção de processos e unidades de negócio em função de possíveis desastres. Finalmente, chegou o momento de definir e redigir os planos, organizá-los por tipo, definir a Política de Segurança da Informação e fazer a análise de riscos e vulnerabilidades e os testes de invasão. Planos de Contingência: São procedimentos que serão executados como alternativa para a continuidade operacional do negócio; são desenvolvidos por ameaça e processo de negócio, ambos pertencendo a um escopo predefinido. O Plano de contingência pode ser dividido em três módulos que tratam de cada momento vivido pela empresa, conforme está descrito a seguir. Plano de Administração de Crise: Esse plano serve para gerenciar o processo de GCN e coordena equipes envolvidas em tempo de contingência. Define os procedimentos que serão executados no período de retorno à normalidade. Um exemplo das atividades deste plano é a comunicação do incidente ou desastre à imprensa. Plano de Continuidade Operacional: O Plano de Continuidade Operacional visa à manutenção dos Processos de Negócio realizados pela empresa e define procedimentos para contingenciar ativos que suportam os processos de negócio. Seu objetivo é reduzir os impactos ao negócio. Plano de Recuperação de Desastres: Este documento define todos os recursos necessários para administrar o processo de recuperação e restauração dos ativos que suportam os processos de negócio, com o intuito de recuperar o ambiente e as condições originais de operação. Reflita: O ataque às Torres Gêmeas, ocorrido em 11 de setembro de 2001, foi considerado o maior desastre dos Estados Unidos. Milhares de famílias, empresas e governos foram atingidos e tiveram que recomeçar do zero. Contudo, o que aconteceu mostrou ao mundo as fragilidades da Continuidade do Negócio. A partir desse desastre, muitas lições foram aprendidas, tais como: ● descentralização do site recovery; ● testes regulares com processos e pessoas; ● diversificação das fontes de energia e provedor de internet. Será que após todo o conhecimento adquirido com os desastres ocorridos até agora, somos capazes de montar um Plano de Continuidade do Negócio sem brechas? Política de Segurança da Informação: A Políticade segurança da informação tem o papel de fornecer orientações e apoio às ações de gestão de segurança e é composta por um conjunto de documentos que devem ser lidos, compreendidos e seguidos por todos os funcionários de uma empresa. Nela, são descritas as diretrizes, as normas, os processos e os procedimentos que garantem a confidencialidade, integridade e disponibilidade dos ativos da empresa. A política deve ser personalizada de acordo com as características da empresa, mas tem como padrão estabelecer responsabilidades e critérios para manuseio, armazenamento e transporte das informações dentro do nível de segurança da empresa. As diretrizes expressam a importância que a empresa dá à informação e orienta o funcionário a se comprometer com os processos de segurança e a cultura organizacional. A implantação da política deve ter o apoio e o envolvimento da alta direção da empresa. Somente dessa maneira, ela será respeitada e seguida por todos. A Política deve tratar da estrutura do Security Office, de métricas, índices, indicadores do nível de segurança, controles de conformidade legal, capacitação de usuários, mecanismos de controle de acesso físico e lógico, auditoria do uso dos recursos, registro de incidentes, gestão de continuidade do negócio, dentre outros. As normas têm o caráter tático, detalham situações, ambientes e processos específicos e fornecem orientação para o uso correto das informações. Alguns exemplos de normas são: criação e manutenção de senhas, desenvolvimento e manutenção de sistemas, uso de internet, acesso remoto, uso de notebook, contratação de terceirizados e classificação da informação. A norma de classificação da informação é muito importante porque descreve os critérios necessários para sinalizar a importância e o valor da informação. Não existe regra para realizar essa classificação, pois depende do perfil do negócio e das características das informações do modelo corporativo. Os procedimentos e as instruções estão presentes no perfil operacional das empresas, pois a sua função é descrever detalhadamente cada atividade associada a cada situação distinta do uso das informações. Vale lembrar que a norma de conduta para a elaboração da política de segurança deve ser a conformidade com requisitos legais, obrigações contratuais, direitos de propriedade intelectual, direitos autorais de software e todas as regulamentações que possam incidir no negócio da empresa. As diretrizes orientam, as normas definem e os procedimentos e as instruções descrevem os passos necessários para executar as definições das normas. Desenvolver a Política de Segurança da Informação de uma empresa é bastante complexo, principalmente se levarmos em consideração todo o seu parque tecnológico e todas as mudanças que o negócio pode sofrer, mas o mais importante é começar delegando responsabilidades, alocando as equipes departamentais e desenvolvendo equipes para a divulgação de diretrizes, normas, procedimentos e instruções da política, com o objetivo de conscientizar os funcionários. Análise de Riscos e Vulnerabilidades: Atualmente, realizar a análise de segurança já é prioridade na maioria das empresas que já entendem a necessidade de diagnosticar os riscos que podem comprometer o seu negócio. A Análise de riscos é uma ferramenta fundamental para se medir o nível de segurança de uma empresa, por meio da cooperação entre o entendimento dos desafios do negócio, o levantamento das funcionalidades dos processos do negócio e a relação que esses processos têm com os ativos físicos, tecnológicos e humanos que podem causar falhas de segurança. Existem dois métodos que orientam a análise de riscos: o quantitativo e o qualitativo. O método quantitativo mensura o impacto financeiro provocado por uma quebra de segurança, baseado no valor dos próprios ativos. Já o qualitativo é orientado por critérios que permitem estimar os impactos ao negócio provocados pela exploração de uma vulnerabilidade. Seguindo a metodologia de mapeamento de processos definida pelo plano diretor, tem-se o mapa de relacionamento e dependência de ativos. Nesse momento, iniciam-se as coletas de evidências e identificação de ameaças e vulnerabilidades presentes nos ativos. Os principais aspectos considerados em uma análise de vulnerabilidades são: ● relação da importância que um processo tem para o negócio; ● relação de dependência que os processos de negócio têm com os ativos; ● projeção do impacto causado por uma ameaça; ● robabilidade de uma ameaça ser explorada por uma vulnerabilidade; ● severidade potencial da exploração de um ativo; ● qualificação das vulnerabilidades presentes nos ativos; ● qualificação das ameaças potenciais. Como a análise de risco abrange todos os ativos da empresa: físico, tecnológico e humano, é necessário realizar a identificação das ameaças através de entrevistas com todos os funcionários, fazer um estudo comportamental dos recursos humanos, inspeção física presencial nos ambientes, estudo de documentos e análise técnica dos ativos tecnológicos, para coletar evidências da presença de falhas. Pela complexidade dos ambientes e dos ativos é impossível coletar todas as evidências por meio de dispositivos automatizados ou informatizados. Uma análise de riscos consistente consta com recursos humanos com competência diversificada, com ferramentas de apoio e gestão do levantamento e de uma base de conhecimento atualizada. O cálculo da probabilidade e severidade é realizado primeiramente para cada ativo; depois disso, pode ser calculado o nível de risco de cada processo do negócio de acordo com os ativos que o sustentam. Esses resultados nos permitem organizar as prioridades e dimensionar um plano de ação de curto, médio ou longo prazos. Dessa maneira, é possível tomar decisões e elaborar contramedidas para cada perímetro da empresa, tais como eliminar o risco, reduzir o risco, transferir o risco ou aceitar o risco. Por motivos diversos, pode ocorrer dessas contramedidas nunca serem implementadas, o que leva qualquer empresa a encontrar um nível de risco controlado de acordo com o seu negócio. Segurança é administrar os riscos. A análise de riscos é uma ferramenta que deve ser utilizada pela empresa para auxiliá-la a encontrar um padrão que garanta a sua operação em um nível de risco aceitável. Devido ao dinamismo das mudanças sofridas no ambiente corporativo, a análise de riscos deve ser transformada em um processo contínuo de gestão; assim, a empresa se manterá no patamar de risco controlado. Teste de Invasão: Normalmente quando se ouve falar em teste de invasão, logo se imagina uma atividade nociva. Na verdade, o teste de invasão tem o objetivo de avaliar qual é o grau de segurança da empresa, por meio dos controles implementados para determinados perímetros. O teste de invasão simula tentativas de invasão a partir de vários pontos, internos ou externos, tem um objetivo bem definido e utiliza vários métodos e técnicas. Para que o teste seja realizado com clareza, deve ser definido qual perímetro será testado, para qual tipo de ameaça será avaliada a proteção e qual é o tempo de validade do teste. O teste não pode expor as informações da empresa nem comprometer a operação, porém, quanto mais o teste de invasão se aproximar da realidade, melhor será qualificado. Para as comprovações do teste de invasão, deve-se apresentar a descrição do formato do teste, os métodos empregados, as evidências das tentativas e, caso haja, os resultados positivos. Saiba mais: O Teste de invasão é uma excelente ferramenta para medir o nível de Segurança de uma empresa. No vídeo Pen Test: Técnicas de Invasão e Plataforma de Pentest - Cyber Week - Hacker Security - 29/03/19, exibido no último dia do evento da Cyber Week 2019, os apresentadores apresentam e reforçam vários conceitos de segurança e exemplificam vários testes de invasão, dando informações importantes para quem deseja adquirir conhecimento sobre como funciona esse processo. Para saber mais, acesse o link aseguir. Link: O teste de invasão pode ser: ● Interno: O analista que realizará o teste estará alocado dentro da empresa, representando a tentativa de ataque ou invasão de um funcionário próprio ou terceirizado da empresa. ● Externo: O analista que realizará esse teste estará fora da empresa alvo; se a simulação foi lógica, o analista estará em algum ponto da Internet. Este teste tem a finalidade de testar os acessos ao ambiente corporativo, via acesso remoto, acesso a sites corporativos, entre outros. ● Cego: Neste teste, o analista que realizará o teste não tem nenhum tipo de informação sobre a mesma, o que dificulta a atividade e não traz bons resultados. Normalmente, o invasor realiza uma coleta prévia antes de realizar qualquer ataque, por engenharia social, grampo telefônico ou outros meios. ● Não cego: O analista que realizará o teste possui informações privilegiadas da empresa, o que o auxilia na realização do teste. Este modelo demonstra maior eficiência por ser muito parecido com os ataques reais. A simulação demonstra que quem realiza esse tipo de ataque já tem um conhecimento prévio, possui acesso privilegiado e informações da empresa. O teste de invasão é um bom recurso para testar o nível de segurança em que a empresa se encontra e apresentar aos executivos o resultado dos investimentos realizados com a segurança da informação e a necessidade de futuros investimentos, porém, essa atividade deve ser realizada com profissionais qualificados e as suas ações devem ser controladas e acompanhadas pelo Security Office, pois não devem representar nenhum risco para a empresa. Tópico 5 - Conclusão: O Plano Diretor é o pontapé inicial para a implantação da Gestão de Segurança da Informação. Por meio de uma metodologia bem definida e personalizada, de acordo com as atividades da empresa, é possível identificar os processos, mapear a relevância, realizar os estudos de impacto CIDAC, prioridade GUT, perímetros e atividades. A criação do comitê corporativo de segurança é fator crítico para a Gestão de Segurança da Informação. Com a liderança do Security Officer, o comitê consegue alocar as equipes necessárias para análise de impacto no negócio, análise de risco, elaboração de plano de continuidade do negócio e teste de invasão. O Plano Diretor é fruto de um planejamento bem definido, interação entre equipes e conhecimento do negócio, e o resultado é a apresentação de um nível de segurança controlado, que aumenta a competitividade da empresa no mercado, melhorando sua imagem e agregando valor.
Compartilhar