Gestão da Segurança da InformaçãorevisãoAV2

Prévia do material em texto

Gestão de 
Segurança da 
Informação
Mairum Ceoldo 
Andrade
Revisão 2
Conteúdo
Ataques 6. à Segurança da Informação
Gestão de Riscos em Segurança da 7.
Informação (1)
Gestão de Riscos em Segurança da 8.
Informação (2)
Normas em Segurança da Informação9.
Segurança da Informação Segundo a 10.
NBR ISO/IEC 27001 e 27002 
2
O planejamento de um ataque
Levantamento 
de 
informações
Exploração 
das 
informações
Obtenção do 
acesso
Manutenção 
do acesso
Camuflagem 
das 
evidências
3
Tipos de Ataque
• Passivo: Monitorar/analisar transmissões
–Detecção:
• Não há alteração nos dados.
• O tráfego de mensagens ocorre num padrão 
aparentemente normal.
• Nem emissor, nem receptor estão cientes 
que um terceiro leu as mensagens ou 
observou o padrão de tráfego.
• É viável impedir este tipo de ataque.
–Medida de segurança
• Criptografia.
4
Tipos de Ataque
• Ativo: Disfarce/Repetição/Modificação/Negação
–Detecção:
• Há alteração nos dados.
• O tráfego de mensagens ocorre fora de um 
padrão aparentemente normal.
–Medida de segurança
• Devido a grande quantidade de 
vulnerabilidades é muito difícil de impedir 
ataques ativos.
• Foco é na detecção de ataques ativos e 
recuperação de interrupções ou atrasos.
5
Principais ataques
• Negação de serviços
• Simulação
• Investigação
• Scam
• Escutas
• Senha
• Outros ataques
• Alteração de site (web defacement)
• Engenharia social 
• Ataque físico às instalações da empresa.
• Uso de cavalos de tróia e códigos maliciosos.
• Trashing – revirar lixo em busca de informações.
• War dialing – liga para vários números de telefone
para identificar os que têm modem instalado. 6
Compreendendo os riscos e ameaças 
organizacionais 
Riscos
7
Potencial de uma ameaça (evento) 
se concretizar, através de uma
vulnerabilidade e causar impactos.
Compreendendo os riscos e ameaças 
organizacionais 
Riscos
• Você pode:
– Aceitar: só se justifica quando o custo de 
implementação é maior que o impacto que 
pode causar.
– Reduzir: tomar ações com o objetivo para 
reduzir o risco.
– Transferir: transferir o risco para um terceiro, 
criando compensações, quase sempre 
menores, sobre as perdas.
– Ignorar: contar apenas com a sorte. 8
Avaliação de riscos organizacionais
• Avaliação de riscos organizacionais
–Caracterização do ambiente
–Identificação de ameaças
–Identificação de vulnerabilidades
–Análise de controles
–Análise de probabilidades
–Análise de impacto
–Definição dos riscos
–Recomendações de controle
–Documentação dos resultados
9
Avaliação de riscos organizacionais
Inventariar os ativos:•
Informação:–
Softwares:–
Hardware:–
Serviços–
Caracterização do ambiente
10
Avaliação de riscos organizacionais
• Natural (enchentes, terremotos, tornados, 
deslizamento de terra, tempestades de 
raios, etc.).
• Humana (atos dolosos, negligentes, 
imperitos ou imprudentes de uso de 
programas maliciosos, de acesso a dados 
sigilosos, de mau uso dos sistemas, etc.).
• Ambiental (falta de energia, poluição, 
substâncias químicas, etc.). 
Identificação de ameaças
11
Avaliação de riscos organizacionais
Negação de serviços•
Simulação•
Scam•
Escutas•
Senha•
Engenharia social•
Identificação de vulnerabilidades
12
Ataques
Avaliação de riscos organizacionais
• Avaliar os controles existentes ou 
planejados para minimizar ou eliminar 
chances de uma ameaça, explorar 
determinada vulnerabilidade.
• Controles devem ser identificados e 
avaliados quanto a sua eficácia. 
• Controles devem ser classificados como:
– ineficazes;
– insuficientes;
– não justificáveis.
Análise de controles
13
Avaliação de riscos organizacionais
• Altas - quando a fonte de ameaça está altamente 
estimulada, é capaz de exercer a ameaça e não 
existem controles preventivos, ou se existem não 
são efetivos.
• Médias - quando a fonte de ameaça está 
motivada, é capaz de exercer a ameaça, mas os 
controles utilizados são efetivos, ou seja, não 
permitem o sucesso da fonte de ameaça.
• Baixas - quando as fontes de ameaças carecem 
de motivação e os controles são efetivos na 
prevenção da exploração da vulnerabilidade. 
(STONEBURNER et al, 2002, p. 21). 
Análise de probabilidades
14
Avaliação de riscos organizacionais
• Quantitativamente utilizando-se uma unidade de 
medida conhecida como: perda de desempenhos, 
custos de manutenção ou tempo gasto para 
corrigir problema.
• Qualitativamente como alto, médio ou baixo 
impacto, classificados conforme grandeza dos 
custos pela perda dos ativos ou recursos, 
significância do dano em relação à missão ou 
reputação da empresa, ou prejuízos à vida 
humana.
Análise de impacto
15
Gestão de Risco
• Análise de probabilidade;
• Análise de Impacto
–Quantitativa, Qualitativa
• Contramedidas
–Preventivas, Corretivas ou Detectivas
16
RISCO = AMEAÇA X VULNERABILIDADES
MEDIDA PREVENTIVA
Avaliação de riscos organizacionais
• Controles: políticas, práticas, procedimentos, 
estruturas organizacionais e ferramentas de 
software.
• Objetivos de segurança específicos. 
• Os investimentos balanceados de acordo com os 
danos aos negócios.
• Podem ser: preventivos, corretivos e detectivos.
Recomendações de controle
17
Como se proteger?
Normas ABNT NBR ISO/IEC 27001 e 
ISO/IEC 27002
• A ABNT NBR ISO/IEC 27001 tem como 
objetivo especificar requisitos para o 
estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e 
melhoria de um Sistema de Gestão de 
Segurança da Informação (SGSI). 
• Norma 27001 contém objetivos de controle 
que constam na ISO/IEC 27002.
18
Avaliação de riscos organizacionais
• Geração de relatórios para armazenamento
• Geração de base de conhecimento histórico
• Base para decisões gerenciais e definições 
de novas políticas, ações, 
alterações/correções
Documentação dos resultados
19
Mitigação de riscos 
A mitigação do risco é a redução (ou adequação) 
do risco a valores aceitáveis, sabendo-se que no 
que se refere à mitigação, o que se deseja evitar 
não é a ocorrência do fator gerador de risco, mas 
sua consequência.
Eliminação total de riscos é 
impraticável e/ou quase impossível.
20
Mitigação de riscos 
• Abordagem reativa
– Conter a situação, descobrir as causas e 
reparar os danos no menor tempo possível. 
• Abordagem proativa
– Redução da probabilidade de um incidente 
com a utilização de planos de controles.
21
Compreendendo o conceito de norma
Norma• é um documento que contém uma 
descrição técnica, específica e precisa de 
critérios a serem cumpridos como 
regras/diretrizes. 
Uso voluntário e não impõem nenhuma •
regulamentação. 
Aderir a uma norma significa estar em •
conformidade global.
22
Compreendendo o conceito de 
regulamentação
Um regulamento técnico • é um documento, 
adotado por uma autoridade com poder 
legal para tanto, que contém regras de 
caráter obrigatório e o qual estabelece 
requisitos técnicos, seja diretamente, seja 
pela referência a normas técnicas ou a 
incorporação do seu conteúdo, no todo ou 
em parte. 
23
Lei Sarbanes-Oxley
• Aumentar confiança nos números
• Melhorar decisões de investimentos
• Proteger investidores
• Aprimorar precisão da confiabilidade das 
informações divulgadas pelas companhias
24
Normas ABNT NBR ISO/IEC 27001
• A ABNT NBR ISO/IEC 27001 tem como 
objetivo especificar requisitos para o 
estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e 
melhoria de um Sistema de Gestão de 
Segurançada Informação (SGSI). 
• Todas as indicações devem ser 
implantadas.
25
NBR ISO/IEC 27001 - Processo
26
Normas ABNT NBR ISO/IEC 27002
• NBR ISO/IEC 27002 – Código de Prática
para a Gestão de Segurança da 
Informação. 
• “Estabelecer diretrizes e princípios gerais 
para iniciar, implementar, manter e melhorar 
a gestão de segurança da informação em 
uma organização”.
27
ITIL
• Principal metodologia para Governança de TI.
• Gestão de serviços de TI.
• Garante a Segurança da Informação nos níveis 
estratégicos, tático e operacional.
28