Seguranca_e_Auditoria_de_Sistemas_de_Inf

Prévia do material em texto

Segurança e Auditoria de Sistemas de Informação
 
Sistema de Gestão de Segurança da Informação
● Estabelecer um SGSI é dar vida própria para 
segurança da informação dentro da 
organização.
● Com um SGSI implantado, há a necessidade de 
sempre veriicar as questões de segurança.
 
Sistema de Gestão de Segurança da Informação
● Por onde começar?
● Dos ativos de informação, o de pessoas apresenta 
vulnerabilidades em grau signiicativo. 
 
Sistema de Gestão de Segurança da Informação
● Por isso, algumas organizações começam a implantar 
o sistema de segurança da informação aplicando 
um remédio para diminuir as vulnerabilidades, 
que é a Política de Segurança da Informação 
(PSI).
● A política é um conjunto de normas e procedimentos que de 
algum modo regulam o comportamento dos 
colaboradores.
 
Sistema de Gestão de Segurança da Informação
● Depois que a Política de Segurança já está implementada, 
então são feitos exames para identificar os problemas e 
as ações necessárias para resolvê-los. Esse exame é 
conhecido como Análise de Risco (AR).
● O interessante é que a AR gera recomendações para a 
política, ou seja, se ela já estiver implementada, melhorias 
serão feitas após a realização da AR.
 
Sistema de Gestão de Segurança da Informação
● Algumas organizações iniciam o processo de 
implantação de um SGSI pela PSI. 
● Outras preferem antes realizar a AR, para apenas 
depois implementar qualquer controle. 
● Não é possível dizer que um das práticas é 
incorreta. Depende do caso.
 
Sistema de Gestão de Segurança da Informação
● Como implantar um SGSI?
● A implantação de um Sistema de Gestão de 
Segurança da Informação não é uma tarefa simples.
● Um modelo proposto é baseado na melhoria 
contínua: o Ciclo PDCA.
● Ciclo PDCA (Plan – Do – Check – Act) – método de 
melhoria contínua utilizado no Japão pós guerra. Mais 
tarde, na década de 1950, W. Edwards Deming.
 
Sistema de Gestão de Segurança da Informação
 
Sistema de Gestão de Segurança da Informação
● A primeira fase é a de planejamento (PLAN). 
● Isto será feito em etapas, como pode ser observado na 
figura a seguir:
 
Sistema de Gestão de Segurança da Informação
Escopo
● O SGSI deve abranger a inteira organização, mas 
nem sempre isso é possível em um primeiro 
momento.
● Por isso, a implementação desse sistema pode ser 
dividida em áreas ou domínios.
● Isto torna o trabalho simples e a implementação 
gradativa.
 
Sistema de Gestão de Segurança da Informação
● Exemplo: é possível deinir um escopo inicial 
envolvendo a área de TI e RH.
● Quando o SGSI estiver totalmente implantado nessas 
áreas, então o escopo pode ser ampliado e incluir, 
talvez, as áreas de Produção e Vendas por exemplo.
● O escopo deve aumentar a abrangência do 
sistema e não abandonar a área anterior e 
concentrar-se apenas nas novas áreas deinidas.
 
Sistema de Gestão de Segurança da Informação
● A deinição do escopo deve ser documentada, 
gerando assim o documento de escopo do SGSI.
● Esse documento deve conter também o contexto 
estratégico da organização, os critérios utilizados 
para deinir esse escopo, a abordagem para a 
avaliação de riscos, os critérios para tratamento do 
risco.
 
Sistema de Gestão de Segurança da Informação
● Para se deinir o escopo, deve icar claro qual é o 
objetivo e a abrangência do SGSI. 
● Cadeia de valor da organização: principal 
metodologia para deinir melhor o escopo adequado 
de um SGSI.
● Com essa metodologia pode-se determinar quais as 
informações mais importantes, ou que processos 
são mais dependentes de informações. Isto 
ajuda a deinir onde deve ser implantado primeiro o 
SGSI.
 
Sistema de Gestão de Segurança da Informação
● Um fator ainda mais importante é deinir o grau de 
relevância que cada um dos processos tem 
para o negócio da organização. 
● Pode ser classiicado de várias formas. 
● Uma sugestão seria:
 
Sistema de Gestão de Segurança da Informação
 Relevância do Processo
Grau Valor Faixa Percentual
Mínima 1 01-20
Baixa 2 21-40
Média 3 41-60
Alta 4 61-80
Máxima 5 81-100
 
Sistema de Gestão de Segurança da Informação
● Tendo sido os processos classiicados ica mais fácil 
saber que processos precisam ser protegidos pelo 
SGSI.
 
Sistema de Gestão de Segurança da Informação
Análise de Riscos
● Uma atividade essencial para o SGSI.
● Possibilita identiicar o grau de proteção que os 
ativos de informação de cada processo da 
organização precisa.
● É o coração do SGSI, pois sem essa análise seria 
impossível determinar o conjunto adequado de 
medidas de segurança e garantir qualquer nível de 
sinergia nas ações tomadas.
 
Sistema de Gestão de Segurança da Informação
● A escolha da estratégia de avaliação do risco deve 
ser o primeiro passo da análise de risco. 
● O objetivo é deinir que resultados são 
esperados e, por conseguinte, que caminhos 
deverão ser percorridos.
● Existem diversos métodos de análise de riscos. 
● De uma forma geral, existem duas categorias ou 
métodos de análise de risco: a qualitativa e a 
quantitativa.
 
Sistema de Gestão de Segurança da Informação
● As duas envolvem cálculos, mas a qualitativa é 
aquela em que se utilizam cálculos mais simples e 
também menos preciso do ponto de vista inanceiro.
● Uma política para diminuição de riscos, ou o conjunto 
de conceitos aceitáveis na organização no que se 
refere a investimentos de tempo e recursos para 
este im, deve ser deinido inicialmente.
● A organização pode deinir um percentual de riscos 
que precisam ser tratados. Deve haver um corte 
entre o que é aceitável ou não.
 
Sistema de Gestão de Segurança da Informação
● As ameaças precisam ser deinidas quanto ao grau 
de exposição que apresentam para o ativo em 
questão. 
● Há uma tabela para deinir os critérios para 
classiicação da ameaça quanto ao grau de exposição 
que ela oferece para os ativos de informação.
 
Sistema de Gestão de Segurança da Informação
● É importante estabelecer um critério para avaliação 
das vulnerabilidades existentes nos ativos a serem 
considerados na análise de riscos. 
● Deve indicar o grau de vulnerabilidade do ativo em 
relação a uma determinada ameaça, já que ativos 
diferentes quando expostos a mesma ameaça 
apresentarão vulnerabilidades em graus diferentes. 
● A tabela é basicamente a mesma da ameaça.
● É importante, também, chegarmos a um indicador de 
impacto. A tabela é, basicamente, a mesma.
 
Sistema de Gestão de Segurança da Informação
Análise de Risco – Compreendendo o Impacto
● Dois elementos são necessários para avaliarmos os 
riscos de um incidente de segurança da 
informação: 
● a probabilidade do incidente acontecer 
● o impacto gerado pelo incidente, caso ele aconteça.
 
Sistema de Gestão de Segurança da Informação
● Relevância do processo, relevância do serviço e 
relevância do ativo.
● É importante ligar os serviços aos processos e, ainda, 
informar a relevância desses serviços para cada um 
dos processos. Também, é importante ligar os ativos 
aos serviços de informação.
 
Sistema de Gestão de Segurança da Informação
● Impacto = Relevância do ativo/5 * Relevância do 
serviço/5 * Relevância do processo/5
● É divido por 5 porque é o valor nominal máximo para 
a relevância. Isto chegará a um resultado percentual 
ou a um valor entre 0,2 e 1.
 
Sistema de Gestão de Segurança da Informação
Análise de Risco – Compreendendo a Probabilidade
● Quanto maior a vulnerabilidade maior a 
probabilidade. Quanto menor a vulnerabilidade 
menor a probabilidade.
● Probabilidade = Grau de ameaça/5 * Grau de 
vulnerabilidade/5
 
Sistema de Gestão de Segurança da Informação
Análise de Risco – Avaliando o Risco
● Risco = Impacto * Probabilidade
● O objetivo da Análise de Riscos é identiicar todos os 
riscos possíveis e ordená-los do maior para o menor.
 
Sistema de Gestão de Segurança da Informação
Tratamento dos Riscos
● As pessoas que compõem a equipe de análise de 
riscopassam a ter conhecimento de todos os pontos 
fracos da organização. 
● Por isto a equipe de análise de risco deve ser 
composta por colaboradores de total coniança 
e que, além disso, tenham assinado termos de sigilo 
e conidencialidade.
 
Sistema de Gestão de Segurança da Informação
● Uma vez compreendido os ricos que envolvem os 
ativos de informação, é possível, então, decidir o 
que fazer em relação a esse risco.
● Não é necessário tratar 100% dos riscos, mas 
pelo menos um percentual que responda pela 
diminuição de risco desejada pela organização.
 
Sistema de Gestão de Segurança da Informação
● Podemos responder ao risco basicamente de quatro 
formas: evitar, transferir, reduzir e aceitar.
● A resposta óbvia seria evitar ou reduzir, mas há 
opções bastante razoáveis.
 
Sistema de Gestão de Segurança da Informação
Tratamento dos Riscos – Evitar
● Um das opções de reposta de risco é o de evitar, ou 
seja, não adotar tecnologias ou processos que 
ofereçam riscos ao negócio.
● Avaliando todos os riscos, a conclusão pode ser que o 
novo processo e seus riscos inerentes são inviáveis.
● Então a organização decide simplesmente continuar 
como está, evitando assim completamente os riscos 
mencionados.
 
Sistema de Gestão de Segurança da Informação
Tratamento dos Riscos – Transferir
● Há casos em que a análise de risco recomenda 
transferir esse risco para outra pessoa ou 
organização.
 
Sistema de Gestão de Segurança da Informação
Tratamento dos Riscos – Reduzir
● Reduzir o risco signiica mitigá-lo ou adotar 
procedimentos e implementar mecanismos com 
o objetivo de diminuí-lo. 
● São conhecidos também como controles.
 
Sistema de Gestão de Segurança da Informação
Tratamento dos Riscos – Aceitar
● São riscos relevantes, mas que icam abaixo do 
risco considerado mínimo para propor ações tais 
como: evitar, reduzir ou transferir.
● Há uma diferença entre aceitar e ignorar o risco.
● Ignorar não é uma opção. O importante é saber que o 
risco existe, mesmo que seja baixo.
 
Sistema de Gestão de Segurança da Informação
Declaração de Aplicabilidade
● Existem mais de uma centena de controles que 
podem ser implementados e estes são propostos 
pela norma ISO 27001, cujas boas práticas de 
implementação constam na norma ISO 27002.
● A ISO 27001 determina que controles mínimos 
devam ser considerados. 
● A ISO 27002 orienta na implementação desses 
controles.
 
Sistema de Gestão de Segurança da Informação
● Tendo em mãos a análise de riscos e a lista de 
controles possíveis, poderíamos pensar em duas 
linhas de ação:
● Implementar todos os controles apontados pela análise de 
risco;
● Implementar todos os controles da lista
● O problema da primeira opção é que poderíamos 
estar deixando de analisar a possibilidade de 
controles importantes para a organização, mas 
que por algum motivo não foram indicados pela 
análise de risco.
 
Sistema de Gestão de Segurança da Informação
● O problema da segunda opção é que a ordem de 
implementação não enderece as necessidades 
mais urgentes.
● A solução para isto então é listar os controles 
possíveis e com base na análise de riscos escolher 
aqueles que devem ser implementados primeiro.
● Quando um documento é gerado a partir dessas 
informações, temos uma declaração de 
aplicabilidade.
 
Declaração de Aplicabilidade
 
Referências
CAMPOS, André. Sistema de Segurança da Informação: 
Controlando os Riscos. 1ª ed. São Paulo: Casa do Código, 
2016. 
	Slide 1
	Slide 2
	Slide 3
	Slide 4
	Slide 5
	Slide 6
	Slide 7
	Slide 8
	Slide 9
	Slide 10
	Slide 11
	Slide 12
	Slide 13
	Slide 14
	Slide 15
	Slide 16
	Slide 17
	Slide 18
	Slide 19
	Slide 20
	Slide 21
	Slide 22
	Slide 23
	Slide 24
	Slide 25
	Slide 26
	Slide 27
	Slide 28
	Slide 29
	Slide 30
	Slide 31
	Slide 32
	Slide 33
	Slide 34
	Slide 35
	Slide 36
	Slide 37
	Slide 38