Baixe o app para aproveitar ainda mais
Prévia do material em texto
PÓS-GRADUAÇÃO EM CIBERSEGURANÇA PROFESSORA ANDRÉA THOMÉ AULA 1 CIBERHACKING FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA CONCEITOS DE SEGURANÇA DA INFORMAÇÃO O processo que envolve segurança da informação tem o objetivo de proteger a informação e os demais ativos organizacionais de vários tipos de ameaças. A ideia é garantir a continuidade do negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A informação tem um ciclo de vida, que precisa de proteção do começo ao fim. Veja: Manutenção ArmazenamentoManuseioGeração Transmissão Tudo isso sempre levando em conta três grandes fundamentos: • confidencialidade – garantia de que informações estejam protegidas de acesso não autorizado, perda, danos ou uso impróprio; • integridade – garantia de que a informação seja protegida de modificações não autorizadas e seja confiável, exata e completa; • disponibilidade – garantir de que as informações (bem como os ativos que a suportam) estejam disponíveis para pessoas autorizadas a visualizá-las, utilizá-las e processá-las. ATENÇÃO! É muito comum que apenas o item “confidencialidade” receba segurança. No entanto, é fundamental que os outros dois fundamentos (integridade e disponibilidade) recebam atenção na mesma medida. FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA PRINCIPAIS ARTEFATOS DA SI O primeiro artefato é garantir o ciclo PDCA (plan, do, check, act), ou seja, ter um bom planejamento, direcionar a execução, fazer monitoração e, com os aprendizados, proporcionar melhoria contínua. Para que esse ciclo funcione adequadamente, é preciso estar baseado em um arcabouço normativo (políticas, normas e procedimentos) e ter ferramentas de controle. Além disso, é fundamental dispor de ferramentas e mecanismos tecnológicos bem configurados para não gerar a falsa sensação de segurança. Métricas e indicadores não só fortalecem a monitoração do PDCA. Com eles, é possível saber para onde a informação está indo e qual o desempenho do processo. As projeções servem para entender como os controles, a segurança e as ameaças se comportariam em uma linha do tempo e, com isso, tentar se antecipar às ocorrências. Treinamento, capacitação e conscientização são fundamentais para os especialistas e também para os usuários. Segurança da informação tem a ver, principalmente, com pessoas. Elas precisam estar envolvidas. COMO IDENTIFICAR RISCOS? Antes de tudo, é preciso entender o que proteger. Em uma empresa, é chamado de “ativo” tudo aquilo que tem valor. Esses ativos podem estar em quaisquer formas. Equipamentos Computadores, equipamentos de comunicação de dados, mídias (fitas e discos), equipamentos de fornecimento de energia alternativa, cofres. Sistemas computadorizado Aplicativos, sistemas básicos, ferramentas de desenvolvimento. Serviços Processamento de dados, comunicação e fornecimento de energia. Imagem e reputação da organização Pessoas Funcionários, terceiros e clientes. Documentos Contratos, demonstrações financeiras. FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA Ao identificar os ativos, é hora de pensar em vulnerabilidades, ou seja, as fraquezas associadas aos ativos da organização. Exemplos: treinamento insuficiente; erros de configuração de dispositivos e serviços; procedimentos falhos ou inexistentes de auditoria; documentação pobre sobre software; políticas inadequadas de segurança; segurança física e lógica inadequadas; e vulnerabilidades de software, arquitetura e aplicações. No entanto, é preciso uma terceira variável que explore uma vulnerabilidade para gerar algum tipo de impacto adverso: ameaça. Podem ser pessoas, códigos, softwares ou eventos de quaisquer tipos. Veja: • atacantes – softwares maliciosos; • fenômenos da natureza; • uma data no calendário. Com essas três variáveis (ativos, vulnerabilidades e ameaças) é possível começar a pensar em segurança da informação. CUIDADOS COM AS INFORMAÇÕES As motivações para os atacantes são diversas: aprendizagem; curiosidade ou busca de emoção; espionagem doméstica ou industrial; ganho financeiro; idealismo; necessidade de aceitação ou respeito; e vingança. Muitas vezes, os riscos são gerados pelo próprio usuário. Confira algumas zonas propícias para ameaças: FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA Além das motivações dos atacantes, é importante considerar um trio de aspectos que, se conjugados, pode caracterizar uma fraude. No triângulo da fraude, de Donald R. Cressey, isso fica claro: Diante de todas as possibilidades, nuances e variáveis, apresentam-se os riscos. Riscos são possibilidades de um ativo se sujeitar a fatores e incidentes que possam resultar em perdas ou danos, comprometendo a continuidade das atividades e planejamento de uma organização. Fatores e incidentes Perdas ou danos • Vulnerabilidades (fraquezas na segurança) • Ameaças (ocorrência de exploração de uma vulnerabilidade) • Consequências • Fraudes • Incidentes FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA A ISO 27005 revela a correlação dessas variáveis: A ISO 27005 ainda define o fluxo para se faça a gestão dos riscos adequadamente: FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA A ISO 27002 propõe um conjunto de processos que permite que se melhore a maturidade da segurança. • Política de segurança da informação • Organização da segurança da informação • Gerenciamento de ativos • Segurança em recursos humanos • Controle de acesso • Criptografia • Segurança física e do ambiente • Segurança das operações • Comunicação de segurança • Aquisição, desenvolvimento e manutenção de segurança da informação • Relacionamento com fornecedor • Gerenciamento de incidentes de segurança da informação • Aspectos da informação no BCM • Conformidade FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA Quanto menor a maturidade dos processos e controles, mais chances de riscos: Quanto mais riscos descontrolados, mais situações adversas são vivenciadas: FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA CONEXÃO DA SEGURANÇA COM O NEGÓCIO Se os riscos impactam os ativos, que pertencem a processos organizacionais, logo, esses mesmos riscos são capazes de colocar em risco os objetivos do negócio. Por isso, a importância de ter um plano estratégico de segurança por nível de risco, mas que também considere a criticidade dos ativos envolvidos. DESAFIOS PARA O PLANEJAMENTO ESTRATÉGICO Os processos organizacionais devem pautar a priorização das ações em segurança da informação. Para isso, responda essas questões: • Quais são esses processos organizacionais? • Qual é a criticidade de cada um? • Quais são seus ativos críticos? • Quais são os requisitos de compliance? • É necessária proteção em que nível? • Qual o risco associado a processos e ativos? • Quais padrões de mercado melhor refletem as necessidades do FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA negócio? • Quais as dimensões organizacionais – tamanho e estrutura? • Qual a estrutura organizacional de segurança da informação? O modelo europeu das três linhas de defesa define que a primeira camada de proteção são as áreas de negócio. A segunda camada é formada por todas as áreas de controle e a terceira é a auditoria. Há outras medidas de proteção a serem investigadas e que também estão no rol de desafios para o planejamento estratégico de segurança da informação. Entenda: • Quais já existem? • Qual é o budget estimado para SI? • Quais são os controles alternativos? • Quais são as facilidade de uso? • Qual é o nível de transparência ao usuário? • Qual é a independência do usuário? • Quais são as funcionalidades – prevenção, detecção, reativação. O custo do controle jamais pode ser maior que o valor do ativo, a redução de riscos, os requerimentos do negócio e as perdas e os danos por incidentes de SI. FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA COMO BUSCAR INVESTIMENTO? É preciso ter muito claro os ativos que se quer proteger, qual o nível de criticidadedeles, os riscos aos quais estão expostos, as fraquezas que apresentam, as ameaças que podem explorar essas fraquezas e os controles existentes. Com isso, é possível chegar a uma avaliação de riscos. Lembrando que investimento faz uma chamada para seu retorno. Ou seja, os benefícios, que são as proteções para os negócios, devem ser calculados como retorno. Outros argumentos podem ajudar a justificar o investimento. Veja: • sustentabilidade; • governança corporativa; • gestão de riscos corporativos - estratégicos, táticos e operacionais; • excelência operacional; • redução de custos e despesas; • aumento de receita; • aumento da margem de lucro; • melhora na satisfação dos clientes; • otimização de qualidade; • otimização do compliance. FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA Vale ressaltar que os requisitos de compliance são importantes para considerar o plano estratégico de segurança. GOVERNANÇA CORPORATIVA E SI Antes de tudo, é preciso ficar claro que governança corporativa não é uma área e sim uma estrutura, composta por comitês (em geral, auditoria, finanças, pessoas, riscos e sustentabilidade). Como a governança corporativa influencia a segurança e como a segurança deveria se conectar ao modelo de governança corporativa? A seguir, o modelo proposto pelo Instituto Brasileiro de Governança Corporativa (IBGC), com os código das melhores práticas de governança corporativa: FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA A publicação “Papéis e Responsabilidades do Conselho na Gestão de Riscos Cibernéticos”, do IBGC, enfatiza que o cuidado com o risco cibernético deve ser constante e envolver os conselheiros de administração. GOVERNANÇA EM SEGURANÇA DA INFORMAÇÃO O framework que define melhor a gestão de segurança da informação é o da ISO 27001. Confira: FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA A ISO 27014 traz um modelo para a governança em segurança da informação. Nele, fica claro como demonstrar como a gestão de SI está sendo feita para organismos mais altos em termos de alta administração e conselho: FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA A seguir, analise a integração dos dois modelos citados acima: Uma das publicações do IT Governance Institute (ITGI) propõe cinco disciplinas para estruturar a segurança em governança:
Compartilhar