Cyber-Hacking- FIA ONLINE - Aula1 - Andrea Thome

Prévia do material em texto

PÓS-GRADUAÇÃO EM 
CIBERSEGURANÇA
PROFESSORA ANDRÉA THOMÉ
AULA 1
CIBERHACKING
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
CONCEITOS DE SEGURANÇA DA 
INFORMAÇÃO
O processo que envolve segurança da informação tem o objetivo de proteger 
a informação e os demais ativos organizacionais de vários tipos de ameaças. 
A ideia é garantir a continuidade do negócio, maximizar o retorno sobre os 
investimentos e as oportunidades de negócio.
A informação tem um ciclo de vida, que precisa de proteção do começo ao 
fim. Veja:
Manutenção ArmazenamentoManuseioGeração Transmissão
Tudo isso sempre levando em conta três grandes fundamentos:
• confidencialidade – garantia de que informações estejam protegidas 
de acesso não autorizado, perda, danos ou uso impróprio;
• integridade – garantia de que a informação seja protegida de 
modificações não autorizadas e seja confiável, exata e completa;
• disponibilidade – garantir de que as informações (bem como os 
ativos que a suportam) estejam disponíveis para pessoas autorizadas 
a visualizá-las, utilizá-las e processá-las.
ATENÇÃO!
É muito comum que apenas o item “confidencialidade” receba 
segurança. No entanto, é fundamental que os outros dois 
fundamentos (integridade e disponibilidade) recebam atenção 
na mesma medida.
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
PRINCIPAIS ARTEFATOS DA SI
O primeiro artefato é garantir o ciclo PDCA (plan, do, check, act), ou seja, ter 
um bom planejamento, direcionar a execução, fazer monitoração e, com os 
aprendizados, proporcionar melhoria contínua.
Para que esse ciclo funcione adequadamente, é preciso estar baseado 
em um arcabouço normativo (políticas, normas e procedimentos) e ter 
ferramentas de controle. Além disso, é fundamental dispor de ferramentas e 
mecanismos tecnológicos bem configurados para não gerar a falsa sensação 
de segurança.
Métricas e indicadores não só fortalecem a monitoração do PDCA. Com eles, 
é possível saber para onde a informação está indo e qual o desempenho do 
processo. As projeções servem para entender como os controles, a segurança 
e as ameaças se comportariam em uma linha do tempo e, com isso, tentar 
se antecipar às ocorrências.
Treinamento, capacitação e conscientização são fundamentais para os 
especialistas e também para os usuários. Segurança da informação tem a 
ver, principalmente, com pessoas. Elas precisam estar envolvidas.
COMO IDENTIFICAR RISCOS?
Antes de tudo, é preciso entender o que proteger. Em uma empresa, é 
chamado de “ativo” tudo aquilo que tem valor. Esses ativos podem estar em 
quaisquer formas.
Equipamentos
Computadores, equipamentos 
de comunicação de dados, 
mídias (fitas e discos), 
equipamentos de 
fornecimento de energia 
alternativa, cofres.
Sistemas computadorizado
Aplicativos, sistemas básicos, 
ferramentas de 
desenvolvimento.
Serviços
Processamento de dados, 
comunicação e fornecimento 
de energia.
Imagem e reputação da 
organização
Pessoas
Funcionários, terceiros e 
clientes.
Documentos
Contratos, demonstrações 
financeiras.
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
Ao identificar os ativos, é hora de pensar em vulnerabilidades, ou seja, as 
fraquezas associadas aos ativos da organização. Exemplos: treinamento 
insuficiente; erros de configuração de dispositivos e serviços; procedimentos 
falhos ou inexistentes de auditoria; documentação pobre sobre software; 
políticas inadequadas de segurança; segurança física e lógica inadequadas; 
e vulnerabilidades de software, arquitetura e aplicações.
No entanto, é preciso uma terceira variável que explore uma vulnerabilidade 
para gerar algum tipo de impacto adverso: ameaça. Podem ser pessoas, 
códigos, softwares ou eventos de quaisquer tipos. Veja:
• atacantes – softwares maliciosos;
• fenômenos da natureza;
• uma data no calendário.
Com essas três variáveis (ativos, vulnerabilidades e ameaças) é possível 
começar a pensar em segurança da informação.
CUIDADOS COM AS INFORMAÇÕES
As motivações para os atacantes são diversas: aprendizagem; curiosidade ou 
busca de emoção; espionagem doméstica ou industrial; ganho financeiro; 
idealismo; necessidade de aceitação ou respeito; e vingança.
Muitas vezes, os riscos são gerados pelo próprio usuário. Confira algumas 
zonas propícias para ameaças:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
Além das motivações dos atacantes, é importante considerar um trio de 
aspectos que, se conjugados, pode caracterizar uma fraude. No triângulo da 
fraude, de Donald R. Cressey, isso fica claro:
Diante de todas as possibilidades, nuances e variáveis, apresentam-se os 
riscos. Riscos são possibilidades de um ativo se sujeitar a fatores e incidentes 
que possam resultar em perdas ou danos, comprometendo a continuidade 
das atividades e planejamento de uma organização.
Fatores e incidentes Perdas ou danos
• Vulnerabilidades (fraquezas na 
segurança)
• Ameaças (ocorrência de 
exploração de uma vulnerabilidade)
• Consequências
• Fraudes
• Incidentes
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
A ISO 27005 revela a correlação dessas variáveis:
A ISO 27005 ainda define o fluxo para se faça a gestão dos riscos 
adequadamente:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
A ISO 27002 propõe um conjunto de processos que permite que se melhore 
a maturidade da segurança.
• Política de segurança da informação
• Organização da segurança da informação
• Gerenciamento de ativos
• Segurança em recursos humanos
• Controle de acesso
• Criptografia
• Segurança física e do ambiente
• Segurança das operações
• Comunicação de segurança
• Aquisição, desenvolvimento e manutenção de segurança da 
informação
• Relacionamento com fornecedor
• Gerenciamento de incidentes de segurança da informação
• Aspectos da informação no BCM
• Conformidade
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
Quanto menor a maturidade dos processos e controles, mais chances de 
riscos:
Quanto mais riscos descontrolados, mais situações adversas são vivenciadas:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
CONEXÃO DA SEGURANÇA COM O 
NEGÓCIO
Se os riscos impactam os ativos, que pertencem a processos 
organizacionais, logo, esses mesmos riscos são capazes de colocar em 
risco os objetivos do negócio. Por isso, a importância de ter um plano 
estratégico de segurança por nível de risco, mas que também considere 
a criticidade dos ativos envolvidos.
DESAFIOS PARA O PLANEJAMENTO ESTRATÉGICO
Os processos organizacionais devem pautar a priorização das ações em 
segurança da informação. Para isso, responda essas questões:
• Quais são esses processos organizacionais?
• Qual é a criticidade de cada um?
• Quais são seus ativos críticos?
• Quais são os requisitos de compliance?
• É necessária proteção em que nível?
• Qual o risco associado a processos e ativos?
• Quais padrões de mercado melhor refletem as necessidades do 
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
negócio?
• Quais as dimensões organizacionais – tamanho e estrutura?
• Qual a estrutura organizacional de segurança da informação?
O modelo europeu das três linhas de defesa define que a primeira camada 
de proteção são as áreas de negócio. A segunda camada é formada por todas 
as áreas de controle e a terceira é a auditoria.
Há outras medidas de proteção a serem investigadas e que também 
estão no rol de desafios para o planejamento estratégico de segurança da 
informação. Entenda:
• Quais já existem?
• Qual é o budget estimado para SI?
• Quais são os controles alternativos?
• Quais são as facilidade de uso?
• Qual é o nível de transparência ao usuário?
• Qual é a independência do usuário?
• Quais são as funcionalidades – prevenção, detecção, reativação.
O custo do controle jamais pode ser maior que o valor do ativo, a redução de 
riscos, os requerimentos do negócio e as perdas e os danos por incidentes 
de SI.
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
COMO BUSCAR INVESTIMENTO?
É preciso ter muito claro os ativos que se quer proteger, qual o nível de 
criticidadedeles, os riscos aos quais estão expostos, as fraquezas que 
apresentam, as ameaças que podem explorar essas fraquezas e os controles 
existentes. Com isso, é possível chegar a uma avaliação de riscos.
Lembrando que investimento faz uma chamada para seu retorno. Ou seja, 
os benefícios, que são as proteções para os negócios, devem ser calculados 
como retorno. Outros argumentos podem ajudar a justificar o investimento. 
Veja:
• sustentabilidade;
• governança corporativa;
• gestão de riscos corporativos - estratégicos, táticos e operacionais;
• excelência operacional;
• redução de custos e despesas;
• aumento de receita;
• aumento da margem de lucro;
• melhora na satisfação dos clientes;
• otimização de qualidade;
• otimização do compliance.
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
Vale ressaltar que os requisitos de compliance são importantes para 
considerar o plano estratégico de segurança.
GOVERNANÇA CORPORATIVA E SI
Antes de tudo, é preciso ficar claro que governança corporativa não é 
uma área e sim uma estrutura, composta por comitês (em geral, auditoria, 
finanças, pessoas, riscos e sustentabilidade).
Como a governança corporativa influencia a segurança e como a segurança 
deveria se conectar ao modelo de governança corporativa? A seguir, o 
modelo proposto pelo Instituto Brasileiro de Governança Corporativa (IBGC), 
com os código das melhores práticas de governança corporativa:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
A publicação “Papéis e Responsabilidades 
do Conselho na Gestão de Riscos 
Cibernéticos”, do IBGC, enfatiza que o 
cuidado com o risco cibernético deve ser 
constante e envolver os conselheiros de 
administração.
GOVERNANÇA EM SEGURANÇA DA INFORMAÇÃO
O framework que define melhor a gestão de segurança da informação é o 
da ISO 27001. Confira:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
A ISO 27014 traz um modelo para a governança em segurança da informação. 
Nele, fica claro como demonstrar como a gestão de SI está sendo feita para 
organismos mais altos em termos de alta administração e conselho:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA
A seguir, analise a integração dos dois modelos citados acima:
Uma das publicações do IT Governance Institute (ITGI) propõe cinco 
disciplinas para estruturar a segurança em governança: