Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Me. Ricardo Sewaybriker UNIDADE II Gestão da Segurança da Informação O que é Risco? Fonte: Autoria própria Identificar antecipadamente os perigos nas instalações, processos, produtos e serviços. Verificar os danos eventuais (consequências, severidade) e a frequência (probabilidade) de ocorrência. Quantificar os riscos associados para o homem, o meio ambiente e a propriedade. Propor medidas para o seu controle. Objetivos do estudo dos Riscos Identificar ameaças e vulnerabilidades. Estimular o risco de cada vulnerabilidade ser explorada (probabilidade e gravidade do dano). Decidir sobre a melhor forma de tratar o risco. Objetivos de Estudo do Risco Fonte: Autoria própria Terminologia Fonte: Autoria própria Gestão de Riscos Risco: o efeito da incerteza Parte Interessada Fonte de Risco Evento Consequência Probabilidade Controle Tratamento do Risco Fonte: Autoria própria Tratamento do Risco Aceitar Evitar Transferir Controlar Tratamento do Risco Fonte: Autoria própria Evitar: não adotar tecnologias ou processos que ofereçam riscos ao negócio. Controlar: quando o risco, geralmente, ou a maior parte dos riscos não pode ser evitada. Transferir: o risco é extremamente alto que a organização simplesmente não conseguiria absorver. Aceitar: o risco fica abaixo do risco considerado mínimo. Todavia, não deve ser ignorado. Tratamento do Risco de SI Sistema de gestão de risco Assegurar que o sistema de gestão da segurança da informação pode alcançar seus resultados pretendidos. Prevenir ou reduzir os efeitos indesejados. Alcançar a melhoria contínua. Sendo assim, a organização deve planejar devidamente: As ações para considerar esses riscos e oportunidades; e Como integrar e implementar essas ações dentro dos processos do seu sistema de gestão da segurança da informação; e avaliar a eficácia dessas ações. Equação do Risco Fonte: Autoria própria RISCO VULNERABILIDADES AMEAÇAS IMPACTOS MEDIDAS DE SEGURANÇA Fatores de Relevância ao Negócio Fonte: Autoria própria NEGÓCIO PROCESSO DE NEGÓCIO PESSOAS INFORMAÇÕES SISTEMAS SISTEMAS AMBIENTES FÍSICOS PROCESSOS Processo de Negócio Processo de Negócio Processo de Negócio Fatores de Relevância ao Negócio Relação de relevância que um processo de negócio tem para o negócio. Relação de dependência que um ou mais processos de negócio têm do ativo. Projeção do impacto resultante da concretização da ação de uma ameaça. Probabilidade de a ameaça explorar uma vulnerabilidade. Severidade potencial da exploração no ativo. Qualificação das vulnerabilidades presentes nos ativos. Qualificação das ameaças potenciais. Exemplo de Cálculo de Risco Fonte: Adaptado de: SÊMOLA, 2014, p. 111. Processos de Negócio Ativos Ameaças Relevância dos Processos para os Negócios Vulnerabilidades Probabilidade 1-5 Severidade 1-5 Impactos Riscos do Ativo 5 Vital 3 Importante 4 Crítico PN 3 PN 2 PN 1 Servidor 1 Data Center Banco de dados Equipe Call Center 1 – Conta Adm com Full Control 2 – Sistema Operacional Desatualizado Ataque de DDOs Sabotagem Vírus Incêndio Sabotagem 3 5 Indisponibilidade dos Serviços e dos processos de negócios dependentes 3,72 Quadrante de Risco Fonte: Adaptado de: SÊMOLA, 2014, p. 112. Quais são as quatro formas de tratamento do risco? a) Evitar, Remediar, Transferir e Aceitar. b) Evitar, Controlar, Transferir e Aceitar. c) Evitar, Transpor, Transferir e Aceitar. d) Evitar, Dificultar, Transferir e Aceitar. e) Evitar, Expor, Transferir e Aceitar. Interatividade Quais são as quatro formas de tratamento do risco? a) Evitar, Remediar, Transferir e Aceitar. b) Evitar, Controlar, Transferir e Aceitar. c) Evitar, Transpor, Transferir e Aceitar. d) Evitar, Dificultar, Transferir e Aceitar. e) Evitar, Expor, Transferir e Aceitar. Resposta Gestão dos Gaps de Riscos Fonte: Adaptado de: SÊMOLA, 2014, p. 113. Terminologia de Risco Fonte: Adaptado de: ISO 31000, 2009. Terminologia Descrição Termos básicos Consequência Resultado de um evento. Critério de Risco Termos de referência pelos quais a relevância do risco é avaliada. Evento Ocorrência de um conjunto particular de circunstâncias, que caracterizam uma única ocorrência ou uma série delas. Fonte Item ou atividade associada a uma consequência potencial. Gestão do risco Coordena atividades para direcionar e controlar uma organização com relação ao risco. A gestão do risco normalmente inclui avaliação do risco, tratamento do risco, aceitação do risco e comunicação do risco. Probabilidade Associada a um evento, é calculada para determinado período de tempo, e é definida como número real na escala de 0 a 1 associado a um evento aleatório, que pode estar relacionado a uma frequência de ocorrência relativa de longo prazo ou a um grau de confiança de que um evento irá ocorrer (para um alto grau de confiança na ocorrência, a probabilidade é próxima de 1). Terminologia de Risco Fonte: Adaptado de: ISO 31000, 2009. Risco Combinação da probabilidade de um evento e sua consequência. Termos relacionados às pessoas ou organizações afetadas pelo risco Comunicação do risco Troca ou compartilhamento da informação sobre o risco feita entre o tomador de decisão e outros stakeholders. A informação pode estar relacionada à existência, natureza, forma, probabilidade, gravidade, aceitabilidade, tratamento ou outros aspectos do risco. Parte interessada Pessoa ou grupo que possui interesse no desempenho ou sucesso de uma organização. Exemplos: clientes, proprietários, integrantes da organização, fornecedores, bancos, sindicatos, parceiros, sociedade. Percepção do risco Maneira pela qual um stakeholder vê um risco, com base em um conjunto de valores ou preocupações. Stakeholder Qualquer indivíduo, grupo ou organização que pode influir, sofrer influência ou perceber-se como sendo afetado por um risco. O termo stakeholder inclui, mas tem significado maior do que partes interessadas (termo definido na ISO 9000) Terminologia de Risco Fonte: Adaptado de: ISO 31000, 2009. Termos relacionados à avaliação de riscos Análise de Risco Uso sistemático de informação (dados históricos, análise teórica, opiniões fundamentadas, preocupações dos stakeholders) para identificar fontes e estimar o risco. A análise de risco oferece uma base para a avaliação, o tratamento e a aceitação do risco. Avaliação do risco (risk evaluation) Processo de comparação do risco estimado com determinado critério de risco para determinar sua relevância. A avaliação do risco pode ser usada para subsidiar a decisão de aceitar ou tratar um risco. Estimativa do risco (risk estimation) Processo usado para atribuir valores à probabilidade e às consequências de um risco. A estimativa do risco pode considerar custo, benefícios, preocupações de stakeholders e outras variáveis apropriadas para a avaliação do risco. Estudo do risco (risk assessment) Processo global de análise e avaliação do risco. Identificação do risco: processo de localizar, listar e caracterizar elementos do risco. Os elementos podem incluir fonte, evento, consequência e probabilidade. Terminologia de Risco Fonte: Autoria própria (probabilidade) Provoca Produz Ajuda Explora Aplicadas Protege Foca Causa Gera Evitam Reduzem Evitam Afastam INCIDENTE IMPACTO MEDIDAS DE PROTEÇÃO ALVO ATAQUE VULNERABILIDADE AMEAÇA AGENTE Ciclo PDCA para Gestão de Riscos Fonte: Autoria própria • Execução do plano de tratamento dos riscos identificados. • Colocar o plano em prática. • Verificar se os objetivos foram atingidos. • Verificar os Indicadores. • Localizar os riscos de SI. • Estabelecer o plano de ação para gestão dos riscos de SI. • Ação Corretiva no Insucesso. • Padronizar e buscar osucesso aprendendo com os erros. AGIR Action PLANEJAR Plan FAZER Do CHECAR Check Etapas da Gestão de Riscos Fonte: Adaptado de: BEAL, 2008, p. 17. C O M U N IC A Ç Ã O D O R IS C O M O N IT O R A Ç Ã O E A V A L IA Ç Ã O D O S R E S U L T A D O S ANÁLISE DO RISCO IDENTIFICANDO O RISCO ESTABELECENDO O CONTEXTO AMEAÇA VULNERABILIDADE IMPACTO probabilidade grau de incerteza perda estimada ESTIMATIVA DE RISCO CRITÉRIOS DE RISCO AVALIAÇÃO DO RISCO TRATAMENTO DO RISCO ACEITAÇÃO DO RISCO RESIDUAL Lista de Ameaças e Impactos Relacionados a TI Fonte: Autoria própria Ameaça Tipo de Recurso vulnerável Impacto para o Objetivo de Confidencialidade Impacto para o Objetivo de Integridade Impacto para o Objetivo de Disponibilidade Desastres naturais como terremoto, nevasca e furação Edifícios torres de comunicação Controles físicos de acesso podem ser desconsiderados durante a recuperação do desastre e equipamentos descartados podem conter informações confidenciais Falhas ambientais, incluindo queda da energia elétrica Hardware Serviços podem ser interrompidos e hardware pode ser danificado Furto Equipamentos valiosos e portáteis Equipamentos furtados podem conter informações confidenciais Serviços podem ser interrompidos e dados podem ser perdidos Vírus Principalmente computadores pessoais conectados em rede Dados podem ser corrompidos pelo vírus Computadores infectados podem parar de funcionar e dados importantes podem ser apagados Lista de Ameaças e Impactos Relacionados a TI Fonte: Autoria própria Hacking Todos os sistemas em rede O objetivo dos hackers pode ser a quebra do sigilo de informações ou a indisponibilidade dos serviços (ataque do topo Dos, Denial of Service), a alteração ou destruição de dados ou a utilização dos recursos informatizados da organização para realizar invasões a terceiros Código escondido Todo o software Código não autorizado pode levar ao vazamento de informações sigilosas, tais como senhas de acesso Funções escondidas podem manipular dados indevidamente Programas podem ser projetados para destruir dados ou negar acesso autorizado a serviços Falha de hardware Todo o hardware Hardware danificado pode ser enviado para manutenção contendo informação sigilosa Dados podem ser corrompidos quando o hardware falha Serviço indisponível Falha de software Todo o software A falha dos controles de acesso pode levar à divulgação indevida de dados e informações Dados podem ser corrompidos Serviço indisponível Erro humano Todos os sistemas Funcionários podem divulgar acidentalmente informações sigilosas, por exemplo, enviando dados para a impressora errada Funcionários podem inserir dados incorretamente Funcionários podem destruir informações acidentalmente, danificar hardware ou interromper o funcionamento do sistema por erro de configuração Processos de Gestão de Riscos Fonte: ABNT, 2018b, p. 9. Processo de Gestão de Riscos Escopo, contexto e critério Processo de Avaliação de Riscos Identificação de Riscos Análise de Riscos Avaliação de Riscos Tratamento de Riscos C o m u n ic a ç ã o e C o n s u lt a M o n ito ra m e n to e A n á lis e C rític a Registro e Relato Definição do Escopo Análise do Risco Planejamento de Tratamento do Risco Etapas do Planejamento do Sistema de Segurança Fonte: Adaptado de: CAMPOS, 2006, p. 37. As etapas do planejamento do sistema de segurança são: a) Definição do Escopo, Análise de Risco e Planejamento do Tratamento do Risco. b) Definição do Escopo, Manutenção do Plano e Revisão do Tratamento do Risco. c) Definição do Escopo, Análise de Risco e Revisão do Tratamento do Risco. d) Definição do Escopo, Análise de Risco e Manutenção do Plano. e) Manutenção do Plano, Gestão do Plano e Correção do Plano. Interatividade As etapas do planejamento do sistema de segurança são: a) Definição do Escopo, Análise de Risco e Planejamento do Tratamento do Risco. b) Definição do Escopo, Manutenção do Plano e Revisão do Tratamento do Risco. c) Definição do Escopo, Análise de Risco e Revisão do Tratamento do Risco. d) Definição do Escopo, Análise de Risco e Manutenção do Plano. e) Manutenção do Plano, Gestão do Plano e Correção do Plano. Resposta Modelos de Análise de Riscos Fonte: CAMPOS, 2006, p. 45. Quantitativo Qualitativo Resultados baseados em valores objetivos Resultados baseados em valores subjetivos Cálculos complexos Cálculos simples Valores financeiros são atribuídos ao risco Não há valoração do risco Grande tempo e esforço são necessários para atribuir as taxas de risco. Menor trabalho para atribuir as taxas de risco. Facilita o cálculo de custo/benefício Dificulta o cálculo de custo/benefício. Matriz de Graduação das Ameaças Fonte: CAMPOS, 2006, p. 46. Matriz de Graduação das Vulnerabilidades Fonte: CAMPOS, 2006, p. 47. Matriz de Graduação das Vulnerabilidades Fonte: CAMPOS, 2006, p. 48. Implantando o Sistema de Gestão de Risco Fonte: Autoria própria Principais Atividades para Gestão e Análise de Riscos Fonte: Autoria própria Modelo de Gestão da Capacidade de Governança dos Riscos de SI Fonte: Autoria própria Modelo de Gestão da Capacidade de Organização da Gestão dos Riscos – SI Fonte: Autoria própria Modelo de Gestão da Capacidade de Processos da Gestão dos Riscos de SI Fonte: Autoria própria Modelo de Gestão da Capacidade Tecnológica da Gestão dos Riscos de SI Fonte: Autoria própria Modelo de Gestão da Capacidade de Métrica para Gestão dos Riscos de SI Fonte: Autoria própria • Os indicadores que estão implantados remetem apenas à volumetria de atendimento de pareceres de riscos, que, por sua vez, têm periodicidade mensal. Situação Atual • Relatório de Risco de Informações. • Gerenciamento de Conformidade de Segurança da Informação. Baseline Escolhido ISF (2018) • Definir modelo de reporte funcional, estabelecendo os indicadores de Avaliação de Riscos e de Conformidade de Segurança da Informação. Resultado Desejável Entregas do Projeto de Implantação da Gestão de Riscos à SI Fonte: Autoria própria Estabelecer e comunicar processo de avaliação de riscos de SI, Cyber e Conformidade, suportada por Norma e uma metodologia estruturada e integridade com a Metodologia Corporativa. Descrever as habilidades e competências necessárias para a operacionalização da gestão e análise de riscos à Segurança da Informação. • Definir modelo de reporte funcional estabelecendo os indicadores de Avaliação de Riscos e de Conformidade de Segurança da Informação. Operacionalizar avaliação de riscos de Segurança da Informação e Cibernética. Operacionalizar avaliação de conformidade de Segurança da Informação e Cibernética. Selecionar, adquirir e implantar ferramenta de GRC – Gestão de Riscos e Compliance. Cronograma Simplificado do Projeto de Implantação da Gestão de Riscos à SI Fonte: Autoria própria ENTREGAS JAN FEV MAR ABR MAI JUN JUL AGO SET OUT NOV DEZ TEMPO Quais são as cinco capacidades dispostas no modelo das 5 Capacidades? a) Manutenção, Organização, Processo, Tecnologia e Métricas. b) Gestão, Manutenção, Capacitação, Reação e Métricas. c) Governança, Organização, Processo, Tecnologia e Métricas. d) Manutenção, Reação, Processo, Tecnologia e Métricas. e) Organização, Reação, Processo, Tecnologia e Métricas. Interatividade Quais são as cinco capacidades dispostas no modelo das 5 Capacidades? a) Manutenção, Organização, Processo, Tecnologia e Métricas. b) Gestão, Manutenção, Capacitação, Reação e Métricas. c) Governança, Organização, Processo, Tecnologia e Métricas. d) Manutenção, Reação, Processo, Tecnologia e Métricas. e) Organização, Reação, Processo, Tecnologia e Métricas.Resposta Política de segurança da informação Fonte: Autoria própria Política ► O que fazer ► em nível Estratégico; Normas ► O que fazer ► em nível Tático; Procedimentos ► Como fazer ► em nível Operacional. Política Normas Procedimentos Política de segurança da informação Para o desenvolvimento de uma Política de Segurança é necessário realizar uma Análise de Riscos da empresa, que considere os seguintes aspectos: O que se deve proteger? Possíveis ameaças aos ativos de informação. Valor/importância de cada ativo de informação. Grau de proteção desejado pela empresa. Possíveis impactos no caso de perda de informações. Qual custo? E quanto a empresa está disposta a investir? Auditoria (medição de quão efetiva está sendo a Política). Processo de elaboração da política de segurança Fonte: Autoria própria Controles Requisitos Legais Requisitos do Negócio Análise de Riscos Política de Segurança Fatores para o Desenvolvimento da Política e Normas de SI Fonte: FONTES, 2012, p. 83-84. Legislação A organização realiza um tipo de negócio que está submetido a leis e/ou que possui um órgão regulamentador que tem poder sobre todas as organizações desse segmento de negócio. É mandatário que a organização siga estas regras (leis, regulamentos) existentes. Exigência do mercado e/ou dos clientes Neste caso, a organização não precisa obrigatoriamente atender a uma lei ou um regulamento, porém o próprio mercado começa a ficar mais exigente e começa a considerar um diferencial, as organizações que possuem um processo de segurança da informação que necessita ter um conjunto de políticas, normas e procedimentos. Em muitos casos, a demanda por um processo formal de segurança da informação e, consequentemente, a existência da política de segurança começa a exigir o processo de segurança da informação nos seus fornecedores. Adequação às melhores práticas Muitas organizações começam a desenvolver políticas de segurança da informação porque as melhores práticas de gestão da informação consideram este fato e porque diretivas aceitas globalmente, como COBIT. ITIL. Normas internacionais da família ISSO 27000 exigem a política de segurança da informação para cada organização. Então, esta organização precisa estar adequada a estas normas e diretivas para que apareça como seguidora das melhores práticas. Avanço tecnológico A rapidez do avanço tecnológico pode levar a organização a sentir a necessidade de regulamentar o uso de novas tecnologias. Dai a necessidade de escrever políticas e normas para que se controle o uso destas novas tecnologias que tratam a informação da organização. Necessidade do negócio Na essência, esta deveria ser a única motivação para que uma organização desenvolva seus regulamentos de segurança da informação. Evidentemente, para considerar esta motivação, todas as motivações anteriores devem ser consideradas. Elas seriam subitens deste item maior. Etapas para o desenvolvimento das Políticas de Normas de SI Fonte: FONTES, 2012, p. 85-86. Iniciando o projeto Necessário ter bem claro nessa fase: Descrição do projeto; Objetivos do projeto; Definir o escopo e suas limitações; Estabelecer a abrangência de documento. Possíveis assuntos a serem tratados: Definir Política, Normas e Procedimentos; Política de Segurança da Informação; Política de Acesso à Informação; Política de Continuidade do Negócio; Selecionar as áreas de apoio, exemplo Jurídico e RH e Negócio. Desenvolvimento de projeto Realizar levantamento do que existe na organização e no mercado; Desenvolver as Políticas, Normas e Procedimentos com o auxílio das áreas de negócio, jurídico, TI, RH e Alta Administração; Conhecer as melhores práticas internacionais (ISO); Conhecer a cultura da organização; Após a escrita do texto inicial, o texto deverá ser revisado pelos participantes das reuniões de trabalho referentes a cada documento; Definir padrão de documentação. Entrega, comunicação e treinamento do resultado Apoio da Alta Administração; Formalizar a entrega; Comunicar a todos; Planejar e Treinamento. Definição dos processos de manutenção e atualização Criar regras formais de manutenção da Política e das normas; Iniciar ciclo de atualização e manutenção destes controles; Aplicabilidade ao negócio e usuários. Objetivos da implantação das Políticas de Normas de SI Fonte: FONTES, 2012, p. 90-91. Requisitos fundamentais para as Políticas de Normas de SI Fonte: FONTES, 2012, p. 90-91. Estrutura do documento das Políticas de Normas de SI Fonte: FONTES, 2012, p. 94. Recomendações para Elaboração da Política de Normas de SI Fonte: FONTES, 2012, p. 100. Normas de Segurança da Informação Rede sem fio Classificação da Informação Uso do E-mail Acesso Remoto – Externo Administrador de Rede Usuários de Rede Equipamentos Portáteis Uso da Internet Segurança Lógica Segurança Física Dispositivos Móveis Mesa Limpa Controle de Acesso Desenvolvimen to Seguro Fonte: Autoria própria Padrões Internacionais de Segurança da Informação Fonte: Autoria própria Normas Descrição ISO 27000 Vocabulário de Gestão da Segurança da Informação ISO 27001 Define os requisitos para implementação de um Sistema de Gestão de Segurança da Informação ISO 27002 Código de boas práticas para a gestão da segurança da informação ISO 27003 Guia para implementação de Sistemas de Gestão de Segurança da Informação ISO 27004 Define métricas e meios de medição para avaliar a eficácia de um sistema de gestão de segurança da informação ISO 27005 Define linhas de orientação para Gestão do Risco da Segurança da Informação ISO 27006 Requisitos e orientações para os organismos que prestam serviços de auditoria e certificação de um Sistema de Gestão da Segurança da Informação ISO 27007 Define critérios específicos para auditoria dos processos do Sistema de Gestão de Segurança da Informação Padrões nacionais de segurança da informação Constituição Federal; Código Civil; Código Penal; Banco Central - Resoluções e Instruções Normativas; CVM – Comissão de Valores Mobiliários; Lei 105/2001 - Lei do Sigilo Bancário (voltada principalmente as instituições financeiras); Decreto 3.505/2000 - Política Nacional de Segurança da Informação (voltado às informações governamentais); Decreto 5.495/2005 - Política Nacional de Segurança da Informação (da nova redação a Decreto 3.505/2000); Decreto Lei 4.553/2002 - Classificação da Informação (voltado às informações governamentais); Lei Federal 8159/1991 - Dispõe sobre a Política Nacional de Arquivos Públicos e Privados; Lei 9609/1996 - Dispõe sobre Programa de Computador (Lei do Software) Lei 9610/1998 - Dispõe sobre o Direito Autoral; Lei 9279/1996 - Dispõe sobre Propriedade Intelectual; Lei 13709/2018 – Lei Geral de Proteção de Dados Pessoais ABNT - Associação Brasileira de Normas técnicas. O que deve influenciar o processo de elaboração da política de segurança da informação? a) Requisitos de Porte, Requisitos de Mercado e Requisitos de Riscos. b) Requisitos de Negócio, Requisitos de Porte e Requisitos de Riscos. c) Requisitos de Negócio, Requisitos de Porte e Requisitos Legais. d) Requisitos Tecnológicos, Requisitos de Mercado e Requisitos Legais. e) Requisitos Legais, Requisitos de Negócio e Análise de Riscos. Interatividade O que deve influenciar o processo de elaboração da política de segurança da informação? a) Requisitos de Porte, Requisitos de Mercado e Requisitos de Riscos. b) Requisitos de Negócio, Requisitos de Porte e Requisitos de Riscos. c) Requisitos de Negócio, Requisitos de Porte e Requisitos Legais. d) Requisitos Tecnológicos, Requisitos de Mercado e Requisitos Legais. e) Requisitos Legais, Requisitos de Negócio e Análise de Riscos. Resposta ATÉ A PRÓXIMA!
Compartilhar