Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão de Segurança da Informação Mairum Ceoldo Andrade Revisão 2 Conteúdo Ataques 6. à Segurança da Informação Gestão de Riscos em Segurança da 7. Informação (1) Gestão de Riscos em Segurança da 8. Informação (2) Normas em Segurança da Informação9. Segurança da Informação Segundo a 10. NBR ISO/IEC 27001 e 27002 2 O planejamento de um ataque Levantamento de informações Exploração das informações Obtenção do acesso Manutenção do acesso Camuflagem das evidências 3 Tipos de Ataque • Passivo: Monitorar/analisar transmissões –Detecção: • Não há alteração nos dados. • O tráfego de mensagens ocorre num padrão aparentemente normal. • Nem emissor, nem receptor estão cientes que um terceiro leu as mensagens ou observou o padrão de tráfego. • É viável impedir este tipo de ataque. –Medida de segurança • Criptografia. 4 Tipos de Ataque • Ativo: Disfarce/Repetição/Modificação/Negação –Detecção: • Há alteração nos dados. • O tráfego de mensagens ocorre fora de um padrão aparentemente normal. –Medida de segurança • Devido a grande quantidade de vulnerabilidades é muito difícil de impedir ataques ativos. • Foco é na detecção de ataques ativos e recuperação de interrupções ou atrasos. 5 Principais ataques • Negação de serviços • Simulação • Investigação • Scam • Escutas • Senha • Outros ataques • Alteração de site (web defacement) • Engenharia social • Ataque físico às instalações da empresa. • Uso de cavalos de tróia e códigos maliciosos. • Trashing – revirar lixo em busca de informações. • War dialing – liga para vários números de telefone para identificar os que têm modem instalado. 6 Compreendendo os riscos e ameaças organizacionais Riscos 7 Potencial de uma ameaça (evento) se concretizar, através de uma vulnerabilidade e causar impactos. Compreendendo os riscos e ameaças organizacionais Riscos • Você pode: – Aceitar: só se justifica quando o custo de implementação é maior que o impacto que pode causar. – Reduzir: tomar ações com o objetivo para reduzir o risco. – Transferir: transferir o risco para um terceiro, criando compensações, quase sempre menores, sobre as perdas. – Ignorar: contar apenas com a sorte. 8 Avaliação de riscos organizacionais • Avaliação de riscos organizacionais –Caracterização do ambiente –Identificação de ameaças –Identificação de vulnerabilidades –Análise de controles –Análise de probabilidades –Análise de impacto –Definição dos riscos –Recomendações de controle –Documentação dos resultados 9 Avaliação de riscos organizacionais Inventariar os ativos:• Informação:– Softwares:– Hardware:– Serviços– Caracterização do ambiente 10 Avaliação de riscos organizacionais • Natural (enchentes, terremotos, tornados, deslizamento de terra, tempestades de raios, etc.). • Humana (atos dolosos, negligentes, imperitos ou imprudentes de uso de programas maliciosos, de acesso a dados sigilosos, de mau uso dos sistemas, etc.). • Ambiental (falta de energia, poluição, substâncias químicas, etc.). Identificação de ameaças 11 Avaliação de riscos organizacionais Negação de serviços• Simulação• Scam• Escutas• Senha• Engenharia social• Identificação de vulnerabilidades 12 Ataques Avaliação de riscos organizacionais • Avaliar os controles existentes ou planejados para minimizar ou eliminar chances de uma ameaça, explorar determinada vulnerabilidade. • Controles devem ser identificados e avaliados quanto a sua eficácia. • Controles devem ser classificados como: – ineficazes; – insuficientes; – não justificáveis. Análise de controles 13 Avaliação de riscos organizacionais • Altas - quando a fonte de ameaça está altamente estimulada, é capaz de exercer a ameaça e não existem controles preventivos, ou se existem não são efetivos. • Médias - quando a fonte de ameaça está motivada, é capaz de exercer a ameaça, mas os controles utilizados são efetivos, ou seja, não permitem o sucesso da fonte de ameaça. • Baixas - quando as fontes de ameaças carecem de motivação e os controles são efetivos na prevenção da exploração da vulnerabilidade. (STONEBURNER et al, 2002, p. 21). Análise de probabilidades 14 Avaliação de riscos organizacionais • Quantitativamente utilizando-se uma unidade de medida conhecida como: perda de desempenhos, custos de manutenção ou tempo gasto para corrigir problema. • Qualitativamente como alto, médio ou baixo impacto, classificados conforme grandeza dos custos pela perda dos ativos ou recursos, significância do dano em relação à missão ou reputação da empresa, ou prejuízos à vida humana. Análise de impacto 15 Gestão de Risco • Análise de probabilidade; • Análise de Impacto –Quantitativa, Qualitativa • Contramedidas –Preventivas, Corretivas ou Detectivas 16 RISCO = AMEAÇA X VULNERABILIDADES MEDIDA PREVENTIVA Avaliação de riscos organizacionais • Controles: políticas, práticas, procedimentos, estruturas organizacionais e ferramentas de software. • Objetivos de segurança específicos. • Os investimentos balanceados de acordo com os danos aos negócios. • Podem ser: preventivos, corretivos e detectivos. Recomendações de controle 17 Como se proteger? Normas ABNT NBR ISO/IEC 27001 e ISO/IEC 27002 • A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). • Norma 27001 contém objetivos de controle que constam na ISO/IEC 27002. 18 Avaliação de riscos organizacionais • Geração de relatórios para armazenamento • Geração de base de conhecimento histórico • Base para decisões gerenciais e definições de novas políticas, ações, alterações/correções Documentação dos resultados 19 Mitigação de riscos A mitigação do risco é a redução (ou adequação) do risco a valores aceitáveis, sabendo-se que no que se refere à mitigação, o que se deseja evitar não é a ocorrência do fator gerador de risco, mas sua consequência. Eliminação total de riscos é impraticável e/ou quase impossível. 20 Mitigação de riscos • Abordagem reativa – Conter a situação, descobrir as causas e reparar os danos no menor tempo possível. • Abordagem proativa – Redução da probabilidade de um incidente com a utilização de planos de controles. 21 Compreendendo o conceito de norma Norma• é um documento que contém uma descrição técnica, específica e precisa de critérios a serem cumpridos como regras/diretrizes. Uso voluntário e não impõem nenhuma • regulamentação. Aderir a uma norma significa estar em • conformidade global. 22 Compreendendo o conceito de regulamentação Um regulamento técnico • é um documento, adotado por uma autoridade com poder legal para tanto, que contém regras de caráter obrigatório e o qual estabelece requisitos técnicos, seja diretamente, seja pela referência a normas técnicas ou a incorporação do seu conteúdo, no todo ou em parte. 23 Lei Sarbanes-Oxley • Aumentar confiança nos números • Melhorar decisões de investimentos • Proteger investidores • Aprimorar precisão da confiabilidade das informações divulgadas pelas companhias 24 Normas ABNT NBR ISO/IEC 27001 • A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurançada Informação (SGSI). • Todas as indicações devem ser implantadas. 25 NBR ISO/IEC 27001 - Processo 26 Normas ABNT NBR ISO/IEC 27002 • NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da Informação. • “Estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. 27 ITIL • Principal metodologia para Governança de TI. • Gestão de serviços de TI. • Garante a Segurança da Informação nos níveis estratégicos, tático e operacional. 28
Compartilhar