Baixe o app para aproveitar ainda mais
Prévia do material em texto
GERENCIAMENTO DE RISCO Gerenciamento de Risco ● Consideramos o seguinte cenário: – Tem-se uma Rede de grande porte, com diversos pontos de acesso: ● Internet, Filiais, Extranet. Gerenciamento de Risco ● Há diversos tipos de Ameaças: – Falha humana intencional; – Falha humana não-intencional; – Acidentes; – Desastres naturais e ocorrências inesperadas. Gerenciamento de Risco ● Imaginemos também: – A Rede de nossas filiais está abaixo de um Firewall; – Possui Banco de Dados; – Servidor de Autenticação; – Hospedagem de sub-redes de Vendas, Estoque e Contabilidade. Gerenciamento de Risco ● Qual a probabilidade de algo ruim acontecer? ● Quais as soluções e custos envolvidos (Custo X Benefício) para gerenciarmos o risco a um nível de exposição aceitável? Gerenciamento de Risco RISCO PROBABILIDADE Risco Baixíssimo Virtualmente impossível Risco Baixo Pode ocorrer uma vez em 40 anos (ou a cada 4 anos, uma vez ao ano) Risco Médio Pode ocorrer uma vez em 100 dias (ou uma vez a cada 10 dias) Risco Alto Pode ocorrer uma vez por dia (ou 10 vezes por dia) Gerenciamento de Risco ● Riscos e Ameaças: – Ameaças e Consequências de Falha Humana Intencional – AMEAÇAS CONSEQUÊNCIAS Acesso irrestrito a documentos eletrônicos Alteração, destruição indevida ou roubo de informações Hackers, Crackers, Criminosos Profissionais Custos de Backups e recuperação de dados Vírus Interrupção dos negócios Espionagem industrial Vazamento de informações para concorrentes Gerenciamento de Risco ● Riscos e Ameaças: – Ameaças e Consequências de Falha Humana Não Intencional – AMEAÇAS CONSEQUÊNCIAS Operador, Técnico Incapaz Paradas Falhas no controle de entrada de dados Retrabalhos Pessoal desmotivado Perda de capital intelectual Gerenciamento de Risco ● Riscos e Ameaças: – Ameaças e Consequências de Acidentes AMEAÇAS CONSEQUÊNCIAS Falha no ar-condicionado Paradas Desmoronamento do edifício Perda de dados Destruição de dados, discos, documentos, relatórios Perda financeira Rompimento de canos d'água ou esgoto Informações imprecisas Gerenciamento de Risco ● Riscos e Ameaças: – Ameaças e Consequências de Desastres Naturais e Ocorrências Inesperadas AMEAÇAS CONSEQUÊNCIAS Umidade Danos a equipamentos Enchentes Ferimentos, perda de vidas Trovões Perda financeira Variação de energia Interrupção dos negócios Gerenciamento de Risco ● Metodologia Octave – Pública/gratuita para a realização de Análise de Risco – Avaliação de Ameaças, Ativos e Vulnerabilidades Críticas. Gerenciamento de Risco ● O que avaliar em uma Análise de Risco de TI? – Ativos relacionados de informação (como: sistemas e infraestrutura de TI) importantes à organização. – Foco na análise dos riscos nos ativos críticos, suportam diretamente ou indiretamente a atividade- alvo da organização. – Relacionamentos entre os ativos críticos, as ameaças e vulnerabilidades (organizacionais e técnicas). Gerenciamento de Risco ● O que avaliar em uma Análise de Risco de TI? – Se uma senha de administrador (ativo crítico), for divulgada ou obtida indevidamente (vulnerabilidade), cai em mãos erradas (ameaça) e permite acesso indevido ao sistema (impacto). – Avaliar grau de exposição dos ativos em contexto operacional; – Estratégia de proteção para melhoria dos processos. Gerenciamento de Risco ● O que avaliar em uma Análise de Risco de TI? – Razão de Custo X Benefício, onde a implementação do controle seja sempre inferior ao montante das perdas ocasionadas pela ausência do mesmo. – Após identificar ameaças potenciais, deve ser reduzida. – Alocação de forma adequada dos seus recursos às medidas de segurança que se dirigem aos riscos identificados. Gerenciamento de Risco ● Ideal implementar controles necessários para 80% dos principais riscos do negócio. ● A porcentagem restante mais cara e de baixa probabilidade seriam assumidos como risco inerente. ● Pode-se transferir para terceiros: – Acordo de Nível de Serviço com Terceiros – SLA (Service Level Agreement). Gerenciamento de Risco ● Exemplos de Medidas de Segurança com base nas Ameaças Potenciais: TODAS AS CATEGORIAS Sensores e alarmes No-Break, geradores Plano de continuidade de negócio Circuito interno de TV TODAS AS CATEGORIAS Backups peródicos Auditorias externas periódicas Acompanhamento visitantes Visitas de especialistas prevenção de incêndio Gerenciamento de Risco ● Exemplos de Medidas de Segurança com base nas Ameaças Potenciais: TODAS AS CATEGORIAS Dispositivos de prevenção e supressão de incêndio Cofre a prova de incêndio Políticas de RH, conscientização e treinamento Apólice de seguro TODAS AS CATEGORIAS Auditoria interna de tecnologia Monitoramento de tráfego de rede Armazenamento externo de dados Extintores de incêndio Gerenciamento de Risco ● Exemplos de Medidas de Segurança com base nas Ameaças Potenciais: TODAS AS CATEGORIAS Grupo de resposta a incidentes Procedimentos de contingência Administrador de Segurança Segurança patrimonial Gerenciamento de Risco ● Exemplos de Medidas de Segurança com base nas Ameaças Potenciais: FALHA HUMANA INTENCIONAL Antivírus Software e Hardware para controle de acesso Biometria (digitais, íris, voz, face) Modems de Callback FALHA HUMANA INTENCIONAL Patrulha com apoio canino Acesso via crachá Autoridade certificadora – Cartório digital Punições a não conformidades Gerenciamento de Risco ● Exemplos de Medidas de Segurança com base nas Ameaças Potenciais: FALHA HUMANA INTENCIONAL Monitores de conteúdo de mensagens/acesso web Craves criptográficas Cercas elétricas Firewall (hardware/software) FALHA HUMANA INTENCIONAL Auditoria forense (anti-fraude) IDS – Software de Monitoração de Intrusos na Rede IPS – Software de Prevenção de Intrusos na Rede Bloqueio de Sessão em Terminais/Sensores de Movimento Gerenciamento de Risco ● Exemplos de Medidas de Segurança com base nas Ameaças Potenciais: FALHA HUMANA NÃO INTENCIONAL Código de ética corporativo Controles ambientais (ar- condicionado, umidificadores de ar) Recepcionistas Gerenciamento de Risco ● Exemplos de Medidas de Segurança com base nas Ameaças Potenciais: ACIDENTES Controles Ambientais Rotinas de reinicio a paradas Sensores de movimento Manutenção preventiva ACIDENTES Dispositivos de detecção e drenagem de água No-break Geradores Gerenciamento de Risco ● Exemplos de Medidas de Segurança com base nas Ameaças Potenciais: DESASTRES NATURAIS E OCORRÊNCIAS INESPERADAS Controles ambientais Dispositivos de deteção e drenagem de água No-break, geradores Dispositivos de prevenção e Supressão de Incêndio Gerenciamento de Risco ● Exercício: – Contextualizar Riscos e Ameaças de Sistemas distintos ERP: ● Contabilidade (demonstrações financeiras) ● RH (controle de pessoal) ● Faturamento (controle de vendas faturadas) ● Estoque (controle de estoque) ● Contas a pagar/receber (controle de fluxo de caixa) Gerenciamento de Risco ● Exemplo: Estoque ●Grupo de Proces sos Proces so Sub Proces so Risco Impact o DISPO NIBILID ADE CONFI DENCI ALIDA DE INTEG RIDAD E OUTRO S Adminis trativos Control e de Estoqu e Alta e baixa de estoque Inconsi stência de informa ções de estoque Atraso nas entrega s, reclama ções de clientes 24 horas, 7 dias por semana Informa ções devem perman ecer confide nciais para concorr entesSoment e pessoal autoriza do pode ter acesso Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18 Slide 19 Slide 20 Slide 21 Slide 22 Slide 23 Slide 24 Slide 25
Compartilhar