Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança e Auditoria de Sistemas de Informação Sistema de Gestão de Segurança da Informação ● Estabelecer um SGSI é dar vida própria para segurança da informação dentro da organização. ● Com um SGSI implantado, há a necessidade de sempre veriicar as questões de segurança. Sistema de Gestão de Segurança da Informação ● Por onde começar? ● Dos ativos de informação, o de pessoas apresenta vulnerabilidades em grau signiicativo. Sistema de Gestão de Segurança da Informação ● Por isso, algumas organizações começam a implantar o sistema de segurança da informação aplicando um remédio para diminuir as vulnerabilidades, que é a Política de Segurança da Informação (PSI). ● A política é um conjunto de normas e procedimentos que de algum modo regulam o comportamento dos colaboradores. Sistema de Gestão de Segurança da Informação ● Depois que a Política de Segurança já está implementada, então são feitos exames para identificar os problemas e as ações necessárias para resolvê-los. Esse exame é conhecido como Análise de Risco (AR). ● O interessante é que a AR gera recomendações para a política, ou seja, se ela já estiver implementada, melhorias serão feitas após a realização da AR. Sistema de Gestão de Segurança da Informação ● Algumas organizações iniciam o processo de implantação de um SGSI pela PSI. ● Outras preferem antes realizar a AR, para apenas depois implementar qualquer controle. ● Não é possível dizer que um das práticas é incorreta. Depende do caso. Sistema de Gestão de Segurança da Informação ● Como implantar um SGSI? ● A implantação de um Sistema de Gestão de Segurança da Informação não é uma tarefa simples. ● Um modelo proposto é baseado na melhoria contínua: o Ciclo PDCA. ● Ciclo PDCA (Plan – Do – Check – Act) – método de melhoria contínua utilizado no Japão pós guerra. Mais tarde, na década de 1950, W. Edwards Deming. Sistema de Gestão de Segurança da Informação Sistema de Gestão de Segurança da Informação ● A primeira fase é a de planejamento (PLAN). ● Isto será feito em etapas, como pode ser observado na figura a seguir: Sistema de Gestão de Segurança da Informação Escopo ● O SGSI deve abranger a inteira organização, mas nem sempre isso é possível em um primeiro momento. ● Por isso, a implementação desse sistema pode ser dividida em áreas ou domínios. ● Isto torna o trabalho simples e a implementação gradativa. Sistema de Gestão de Segurança da Informação ● Exemplo: é possível deinir um escopo inicial envolvendo a área de TI e RH. ● Quando o SGSI estiver totalmente implantado nessas áreas, então o escopo pode ser ampliado e incluir, talvez, as áreas de Produção e Vendas por exemplo. ● O escopo deve aumentar a abrangência do sistema e não abandonar a área anterior e concentrar-se apenas nas novas áreas deinidas. Sistema de Gestão de Segurança da Informação ● A deinição do escopo deve ser documentada, gerando assim o documento de escopo do SGSI. ● Esse documento deve conter também o contexto estratégico da organização, os critérios utilizados para deinir esse escopo, a abordagem para a avaliação de riscos, os critérios para tratamento do risco. Sistema de Gestão de Segurança da Informação ● Para se deinir o escopo, deve icar claro qual é o objetivo e a abrangência do SGSI. ● Cadeia de valor da organização: principal metodologia para deinir melhor o escopo adequado de um SGSI. ● Com essa metodologia pode-se determinar quais as informações mais importantes, ou que processos são mais dependentes de informações. Isto ajuda a deinir onde deve ser implantado primeiro o SGSI. Sistema de Gestão de Segurança da Informação ● Um fator ainda mais importante é deinir o grau de relevância que cada um dos processos tem para o negócio da organização. ● Pode ser classiicado de várias formas. ● Uma sugestão seria: Sistema de Gestão de Segurança da Informação Relevância do Processo Grau Valor Faixa Percentual Mínima 1 01-20 Baixa 2 21-40 Média 3 41-60 Alta 4 61-80 Máxima 5 81-100 Sistema de Gestão de Segurança da Informação ● Tendo sido os processos classiicados ica mais fácil saber que processos precisam ser protegidos pelo SGSI. Sistema de Gestão de Segurança da Informação Análise de Riscos ● Uma atividade essencial para o SGSI. ● Possibilita identiicar o grau de proteção que os ativos de informação de cada processo da organização precisa. ● É o coração do SGSI, pois sem essa análise seria impossível determinar o conjunto adequado de medidas de segurança e garantir qualquer nível de sinergia nas ações tomadas. Sistema de Gestão de Segurança da Informação ● A escolha da estratégia de avaliação do risco deve ser o primeiro passo da análise de risco. ● O objetivo é deinir que resultados são esperados e, por conseguinte, que caminhos deverão ser percorridos. ● Existem diversos métodos de análise de riscos. ● De uma forma geral, existem duas categorias ou métodos de análise de risco: a qualitativa e a quantitativa. Sistema de Gestão de Segurança da Informação ● As duas envolvem cálculos, mas a qualitativa é aquela em que se utilizam cálculos mais simples e também menos preciso do ponto de vista inanceiro. ● Uma política para diminuição de riscos, ou o conjunto de conceitos aceitáveis na organização no que se refere a investimentos de tempo e recursos para este im, deve ser deinido inicialmente. ● A organização pode deinir um percentual de riscos que precisam ser tratados. Deve haver um corte entre o que é aceitável ou não. Sistema de Gestão de Segurança da Informação ● As ameaças precisam ser deinidas quanto ao grau de exposição que apresentam para o ativo em questão. ● Há uma tabela para deinir os critérios para classiicação da ameaça quanto ao grau de exposição que ela oferece para os ativos de informação. Sistema de Gestão de Segurança da Informação ● É importante estabelecer um critério para avaliação das vulnerabilidades existentes nos ativos a serem considerados na análise de riscos. ● Deve indicar o grau de vulnerabilidade do ativo em relação a uma determinada ameaça, já que ativos diferentes quando expostos a mesma ameaça apresentarão vulnerabilidades em graus diferentes. ● A tabela é basicamente a mesma da ameaça. ● É importante, também, chegarmos a um indicador de impacto. A tabela é, basicamente, a mesma. Sistema de Gestão de Segurança da Informação Análise de Risco – Compreendendo o Impacto ● Dois elementos são necessários para avaliarmos os riscos de um incidente de segurança da informação: ● a probabilidade do incidente acontecer ● o impacto gerado pelo incidente, caso ele aconteça. Sistema de Gestão de Segurança da Informação ● Relevância do processo, relevância do serviço e relevância do ativo. ● É importante ligar os serviços aos processos e, ainda, informar a relevância desses serviços para cada um dos processos. Também, é importante ligar os ativos aos serviços de informação. Sistema de Gestão de Segurança da Informação ● Impacto = Relevância do ativo/5 * Relevância do serviço/5 * Relevância do processo/5 ● É divido por 5 porque é o valor nominal máximo para a relevância. Isto chegará a um resultado percentual ou a um valor entre 0,2 e 1. Sistema de Gestão de Segurança da Informação Análise de Risco – Compreendendo a Probabilidade ● Quanto maior a vulnerabilidade maior a probabilidade. Quanto menor a vulnerabilidade menor a probabilidade. ● Probabilidade = Grau de ameaça/5 * Grau de vulnerabilidade/5 Sistema de Gestão de Segurança da Informação Análise de Risco – Avaliando o Risco ● Risco = Impacto * Probabilidade ● O objetivo da Análise de Riscos é identiicar todos os riscos possíveis e ordená-los do maior para o menor. Sistema de Gestão de Segurança da Informação Tratamento dos Riscos ● As pessoas que compõem a equipe de análise de riscopassam a ter conhecimento de todos os pontos fracos da organização. ● Por isto a equipe de análise de risco deve ser composta por colaboradores de total coniança e que, além disso, tenham assinado termos de sigilo e conidencialidade. Sistema de Gestão de Segurança da Informação ● Uma vez compreendido os ricos que envolvem os ativos de informação, é possível, então, decidir o que fazer em relação a esse risco. ● Não é necessário tratar 100% dos riscos, mas pelo menos um percentual que responda pela diminuição de risco desejada pela organização. Sistema de Gestão de Segurança da Informação ● Podemos responder ao risco basicamente de quatro formas: evitar, transferir, reduzir e aceitar. ● A resposta óbvia seria evitar ou reduzir, mas há opções bastante razoáveis. Sistema de Gestão de Segurança da Informação Tratamento dos Riscos – Evitar ● Um das opções de reposta de risco é o de evitar, ou seja, não adotar tecnologias ou processos que ofereçam riscos ao negócio. ● Avaliando todos os riscos, a conclusão pode ser que o novo processo e seus riscos inerentes são inviáveis. ● Então a organização decide simplesmente continuar como está, evitando assim completamente os riscos mencionados. Sistema de Gestão de Segurança da Informação Tratamento dos Riscos – Transferir ● Há casos em que a análise de risco recomenda transferir esse risco para outra pessoa ou organização. Sistema de Gestão de Segurança da Informação Tratamento dos Riscos – Reduzir ● Reduzir o risco signiica mitigá-lo ou adotar procedimentos e implementar mecanismos com o objetivo de diminuí-lo. ● São conhecidos também como controles. Sistema de Gestão de Segurança da Informação Tratamento dos Riscos – Aceitar ● São riscos relevantes, mas que icam abaixo do risco considerado mínimo para propor ações tais como: evitar, reduzir ou transferir. ● Há uma diferença entre aceitar e ignorar o risco. ● Ignorar não é uma opção. O importante é saber que o risco existe, mesmo que seja baixo. Sistema de Gestão de Segurança da Informação Declaração de Aplicabilidade ● Existem mais de uma centena de controles que podem ser implementados e estes são propostos pela norma ISO 27001, cujas boas práticas de implementação constam na norma ISO 27002. ● A ISO 27001 determina que controles mínimos devam ser considerados. ● A ISO 27002 orienta na implementação desses controles. Sistema de Gestão de Segurança da Informação ● Tendo em mãos a análise de riscos e a lista de controles possíveis, poderíamos pensar em duas linhas de ação: ● Implementar todos os controles apontados pela análise de risco; ● Implementar todos os controles da lista ● O problema da primeira opção é que poderíamos estar deixando de analisar a possibilidade de controles importantes para a organização, mas que por algum motivo não foram indicados pela análise de risco. Sistema de Gestão de Segurança da Informação ● O problema da segunda opção é que a ordem de implementação não enderece as necessidades mais urgentes. ● A solução para isto então é listar os controles possíveis e com base na análise de riscos escolher aqueles que devem ser implementados primeiro. ● Quando um documento é gerado a partir dessas informações, temos uma declaração de aplicabilidade. Declaração de Aplicabilidade Referências CAMPOS, André. Sistema de Segurança da Informação: Controlando os Riscos. 1ª ed. São Paulo: Casa do Código, 2016. Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18 Slide 19 Slide 20 Slide 21 Slide 22 Slide 23 Slide 24 Slide 25 Slide 26 Slide 27 Slide 28 Slide 29 Slide 30 Slide 31 Slide 32 Slide 33 Slide 34 Slide 35 Slide 36 Slide 37 Slide 38
Compartilhar