gerenciamento de risco

Prévia do material em texto

GERENCIAMENTO DE RISCO
 
Gerenciamento de Risco
● Consideramos o seguinte cenário:
– Tem-se uma Rede de grande porte, com diversos
pontos de acesso: 
● Internet, Filiais, Extranet.
 
Gerenciamento de Risco
● Há diversos tipos de Ameaças:
– Falha humana intencional;
– Falha humana não-intencional;
– Acidentes;
– Desastres naturais e ocorrências inesperadas.
 
Gerenciamento de Risco
● Imaginemos também:
– A Rede de nossas filiais está abaixo de um Firewall;
– Possui Banco de Dados;
– Servidor de Autenticação;
– Hospedagem de sub-redes de Vendas, Estoque e
Contabilidade.
 
Gerenciamento de Risco
● Qual a probabilidade de algo ruim acontecer?
● Quais as soluções e custos envolvidos (Custo
X Benefício) para gerenciarmos o risco a um
nível de exposição aceitável?
 
Gerenciamento de Risco
RISCO PROBABILIDADE
Risco Baixíssimo Virtualmente impossível
Risco Baixo Pode ocorrer uma vez em 40 anos (ou
a cada 4 anos, uma vez ao ano)
Risco Médio Pode ocorrer uma vez em 100 dias
(ou uma vez a cada 10 dias)
Risco Alto Pode ocorrer uma vez por dia
(ou 10 vezes por dia)
 
Gerenciamento de Risco
● Riscos e Ameaças:
– Ameaças e Consequências de Falha Humana
Intencional
– AMEAÇAS CONSEQUÊNCIAS
Acesso irrestrito a documentos
eletrônicos
Alteração, destruição indevida
ou roubo de informações
Hackers, Crackers, Criminosos
Profissionais
Custos de Backups e
recuperação de dados
Vírus Interrupção dos negócios
Espionagem industrial Vazamento de informações
para concorrentes
 
Gerenciamento de Risco
● Riscos e Ameaças:
– Ameaças e Consequências de Falha Humana Não
Intencional
– AMEAÇAS CONSEQUÊNCIAS
Operador, Técnico Incapaz Paradas
Falhas no controle de entrada
de dados
Retrabalhos
Pessoal desmotivado Perda de capital intelectual
 
Gerenciamento de Risco
● Riscos e Ameaças:
– Ameaças e Consequências de Acidentes
AMEAÇAS CONSEQUÊNCIAS
Falha no ar-condicionado Paradas
Desmoronamento do edifício Perda de dados
Destruição de dados, discos,
documentos, relatórios
Perda financeira
Rompimento de canos d'água
ou esgoto
Informações imprecisas
 
Gerenciamento de Risco
● Riscos e Ameaças:
– Ameaças e Consequências de Desastres Naturais
e Ocorrências Inesperadas
AMEAÇAS CONSEQUÊNCIAS
Umidade Danos a equipamentos
Enchentes Ferimentos, perda de vidas
Trovões Perda financeira
Variação de energia Interrupção dos negócios
 
Gerenciamento de Risco
● Metodologia Octave
– Pública/gratuita para a realização de Análise de
Risco – Avaliação de Ameaças, Ativos e
Vulnerabilidades Críticas.
 
Gerenciamento de Risco
● O que avaliar em uma Análise de Risco de TI?
– Ativos relacionados de informação (como: sistemas
e infraestrutura de TI) importantes à organização.
– Foco na análise dos riscos nos ativos críticos,
suportam diretamente ou indiretamente a atividade-
alvo da organização.
– Relacionamentos entre os ativos críticos, as
ameaças e vulnerabilidades (organizacionais e
técnicas).
 
Gerenciamento de Risco
● O que avaliar em uma Análise de Risco de TI?
– Se uma senha de administrador (ativo crítico), for
divulgada ou obtida indevidamente
(vulnerabilidade), cai em mãos erradas (ameaça) e
permite acesso indevido ao sistema (impacto).
– Avaliar grau de exposição dos ativos em contexto
operacional;
– Estratégia de proteção para melhoria dos
processos.
 
Gerenciamento de Risco
● O que avaliar em uma Análise de Risco de TI?
– Razão de Custo X Benefício, onde a
implementação do controle seja sempre inferior ao
montante das perdas ocasionadas pela ausência
do mesmo.
– Após identificar ameaças potenciais, deve ser
reduzida.
– Alocação de forma adequada dos seus recursos às
medidas de segurança que se dirigem aos riscos
identificados.
 
Gerenciamento de Risco
● Ideal implementar controles necessários para
80% dos principais riscos do negócio.
● A porcentagem restante mais cara e de baixa
probabilidade seriam assumidos como risco
inerente.
● Pode-se transferir para terceiros:
– Acordo de Nível de Serviço com Terceiros – SLA
(Service Level Agreement).
 
Gerenciamento de Risco
● Exemplos de Medidas de Segurança com base
nas Ameaças Potenciais:
TODAS AS CATEGORIAS
Sensores e alarmes
No-Break, geradores
Plano de continuidade de
negócio
Circuito interno de TV
TODAS AS CATEGORIAS
Backups peródicos
Auditorias externas periódicas
 Acompanhamento visitantes
Visitas de especialistas
prevenção de incêndio
 
Gerenciamento de Risco
● Exemplos de Medidas de Segurança com base
nas Ameaças Potenciais:
TODAS AS CATEGORIAS
Dispositivos de prevenção e
supressão de incêndio
Cofre a prova de incêndio
Políticas de RH,
conscientização e treinamento
Apólice de seguro
TODAS AS CATEGORIAS
Auditoria interna de tecnologia
Monitoramento de tráfego de
rede
Armazenamento externo de
dados
Extintores de incêndio
 
Gerenciamento de Risco
● Exemplos de Medidas de Segurança com base
nas Ameaças Potenciais:
TODAS AS CATEGORIAS
Grupo de resposta a incidentes
Procedimentos de contingência
Administrador de Segurança
Segurança patrimonial
 
Gerenciamento de Risco
● Exemplos de Medidas de Segurança com base
nas Ameaças Potenciais:
FALHA HUMANA
INTENCIONAL
Antivírus
Software e Hardware para
controle de acesso
Biometria (digitais, íris, voz,
face)
Modems de Callback
FALHA HUMANA
INTENCIONAL
Patrulha com apoio canino
Acesso via crachá
Autoridade certificadora –
Cartório digital
Punições a não conformidades
 
Gerenciamento de Risco
● Exemplos de Medidas de Segurança com base
nas Ameaças Potenciais:
FALHA HUMANA
INTENCIONAL
Monitores de conteúdo de
mensagens/acesso web
Craves criptográficas
Cercas elétricas
Firewall (hardware/software)
FALHA HUMANA
INTENCIONAL
Auditoria forense (anti-fraude)
IDS – Software de Monitoração
de Intrusos na Rede
IPS – Software de Prevenção
de Intrusos na Rede
Bloqueio de Sessão em
Terminais/Sensores de
Movimento
 
Gerenciamento de Risco
● Exemplos de Medidas de Segurança com base
nas Ameaças Potenciais:
FALHA HUMANA NÃO
INTENCIONAL
Código de ética corporativo
Controles ambientais (ar-
condicionado, umidificadores
de ar)
Recepcionistas
 
Gerenciamento de Risco
● Exemplos de Medidas de Segurança com base
nas Ameaças Potenciais:
ACIDENTES
Controles Ambientais
Rotinas de reinicio a paradas
Sensores de movimento
Manutenção preventiva
ACIDENTES
Dispositivos de detecção e
drenagem de água
No-break
Geradores
 
Gerenciamento de Risco
● Exemplos de Medidas de Segurança com base
nas Ameaças Potenciais:
DESASTRES NATURAIS E
OCORRÊNCIAS
INESPERADAS
Controles ambientais
Dispositivos de deteção e
drenagem de água
No-break, geradores
Dispositivos de prevenção e
Supressão de Incêndio
 
Gerenciamento de Risco
● Exercício:
– Contextualizar Riscos e Ameaças de Sistemas
distintos ERP:
● Contabilidade (demonstrações financeiras)
● RH (controle de pessoal)
● Faturamento (controle de vendas faturadas)
● Estoque (controle de estoque)
● Contas a pagar/receber (controle de fluxo de caixa)
 
Gerenciamento de Risco
● Exemplo: Estoque
●Grupo
de
Proces
sos
Proces
so
Sub
Proces
so
Risco Impact
o
DISPO
NIBILID
ADE
CONFI
DENCI
ALIDA
DE
INTEG
RIDAD
E
OUTRO
S
Adminis
trativos
Control
e de
Estoqu
e
Alta e
baixa
de
estoque
Inconsi
stência
de
informa
ções de
estoque
Atraso
nas
entrega
s,
reclama
ções de
clientes
24
horas, 7
dias por
semana
Informa
ções
devem
perman
ecer
confide
nciais
para
concorr
entesSoment
e
pessoal
autoriza
do pode
ter
acesso
	Slide 1
	Slide 2
	Slide 3
	Slide 4
	Slide 5
	Slide 6
	Slide 7
	Slide 8
	Slide 9
	Slide 10
	Slide 11
	Slide 12
	Slide 13
	Slide 14
	Slide 15
	Slide 16
	Slide 17
	Slide 18
	Slide 19
	Slide 20
	Slide 21
	Slide 22
	Slide 23
	Slide 24
	Slide 25