Aula_08_SIN_ 2020_2

Prévia do material em texto

Segurança da Informação
Professor: André Sobral
e-mail: asobral@unicarioca.edu.br
Análise e Desenvolvimento de Sistemas
Ciência da Computação
Engenharia da Computação
Redes de Computadores
Segurança da Informação
SGRSI
 Introdução:
 SGRSI (Sistema de Gestão de Riscos de Segurança da 
Informação).
 O modelo de gestão de riscos de segurança é 
baseado na abordagem da norma ABNT NBR ISO/IEC 
27005:2019 publicada em 24/10/19.
Objetivo: Este documento fornece diretrizes para o processo 
de gestão de riscos de segurança da informação.
Segurança da Informação
SGRSI
 Introdução:
 Sistema de Gestão:
Definição: é um sistema para estabelecer política e objetivos, e 
para atingir estes objetivos utilizando:
• A estrutura organizacional;
• Processos sistemáticos e recursos associados;
• Metodologia de medição e avaliação;
• Processo de análise crítica para assegurar que os 
problemas são corrigidos e as oportunidades de melhoria 
são identificadas e implementadas quando necessário.
Segurança da Informação
SGRSI
 Introdução:
 Risco:
Definição: todo e qualquer tipo de situação (ou evento) que 
constitui oportunidade de prejudicar o sucesso de um 
empreendimento.
(BEAL, Adriana. Segurança da Informação – Princípios e Melhores Práticas para a 
Proteção dos Ativos de Informação nas Organizações.)
Segurança da Informação
SGRSI
 Introdução:
 Contexto do Risco:
• Para as empresas do ramo do 
comércio/indústria, o risco é visto 
como a exposição às perdas 
baseada nas frequências estimadas e 
custo de concorrência.
• Já em um organização da área de 
saúde, o risco é visto como a 
possibilidade de danos à dimensão 
física, psíquica, moral, intelectual, 
social, cultural.
Segurança da Informação
SGRSI
 Introdução:
 Termos e definições:
• Ativo: é “Qualquer coisa que tenha valor para a organização.”
• Ameaça: é a “causa potencial de um incidente indesejado, 
que pode resultar em dano para um sistema ou organização.”
• Incidente indesejado: é “quando uma ameaça se concretiza.”
• Vulnerabilidade: é uma “fragilidade de um ativo ou grupo de 
ativos que pode ser explorada por uma ou mais ameaças.”
• Risco: é a “probabilidade de uma ameaça explorar uma (ou 
várias) vulnerabilidades causando prejuízos. Os riscos estão 
sempre associados à ocorrência de algum incidente 
indesejado.
Segurança da Informação
SGRSI
 Introdução:
 Para estimar um risco precisamos atribuir valores à:
• Probabilidades (ocorrência da 
ameaça medida através da 
combinação da sua frequência 
com a avaliação das 
vulnerabilidades) 
• Consequências (trazidas pela 
ocorrência do incidente -impacto);
Segurança da Informação
SGRSI
 Introdução:
 Gestão de Riscos:
• O fato o fato de que não existe segurança total ou completa.
• O que torna algo seguro ou não, está muito mais ligado à 
gerência de uma série de fatores.
• No âmbito da segurança da informação, a gestão de riscos é 
utilizada com o intuito de prevenir incidentes e melhorar o 
nível de segurança das informações.
• É por meio deste processo que os riscos são identificados e 
tratados de forma sistemática e contínua.
Segurança da Informação
SGRSI
 Gestão de Riscos:
 Etapas:
Monitoramento e 
Análise Crítica do 
Sistema de Gestão
Check
Estabelecimento do 
Sistema de Gestão
Plan
Manutenção e 
Melhoria do 
Sistema de Gestão
Act
Implementação e 
Operação do 
Sistema de Gestão
Do
P
D
C
A
O QUE É O CICLO PDCA?
O Ciclo PDCA foi idealizado por Shewhart mais tarde aplicado por Demingno uso de estatísticas e
métodos de amostragem.
Segurança da Informação
SGRSI
 Gestão de Riscos
 Planejamento:
• Definir Escopo e Limites do SGSI 
• Definir a metodologia para a avaliação e tratamento de 
riscos 
• Identificar e classificar os riscos 
• Identificar e classificar as alternativas para tratamento 
dos riscos 
• Identificar riscos residuais não cobertos 
• Formular um plano de ação 
Segurança da Informação
SGRSI
 Gestão de Riscos
 Execução:
• Implantar o plano de tratamento de riscos 
• Implantar os controles definidos 
• Implantar os programas de treinamento e 
conscientização dos usuários 
• Gerenciar o SGSI 
Segurança da Informação
SGRSI
 Gestão de Riscos
 Verificar:
• Monitorar controles existentes 
• Realizar revisões periódicas (Auditoria Interna) 
• Analisar efetividade dos controles existentes 
• Verificar novos riscos e nível dos riscos residuais 
Segurança da Informação
SGRSI
 Gestão de Riscos
 Melhorar:
• Implementar melhorias necessárias 
• Comunicar ações 
• Garantir que as mudanças atingiram resultado 
esperado 
Segurança da Informação
SGRSI
 Análise e avaliação de riscos
 Existem várias metodologias desenvolvidas para 
a realização de análise e avaliação do risco, que 
costumam ser classificadas como :
• Quantitativa: concentra-se em dados factuais e 
mensuráveis para calcular os valores de 
probabilidade e impacto.
• Qualitativa: concentra-se na percepção das 
partes interessadas sobre a probabilidade de um 
risco ocorrer e seu impacto (subjetiva).
Segurança da Informação
SGRSI
 Análise e avaliação de riscos
 Exemplo Análise Qualitativa:
• Matriz de Riscos: chance de ocorrência e uma 
descrição
Segurança da Informação
SGRSI
 Análise e avaliação de riscos
 Exemplo Análise Qualitativa:
• Matriz de Riscos: atendimento dos objetivos 
estratégicos da organização. 
Segurança da Informação
SGRSI
 Análise e avaliação de riscos
 Exemplo Análise Qualitativa:
• Matriz de Riscos:
• Risco Inerente = Probabilidade x Impacto
Segurança da Informação
SGRSI
 NBR 27005
 Fluxograma geral do processo de gestão de riscos de 
segurança da informação, GRSI, adotado pela 27005.:
Segurança da Informação
SGRSI
 NBR 27005
 Definição do contexto: fase de preparação para 
implementação da gestão de riscos, que envolve 
principalmente a definição de três aspectos: 
• critérios básicos para GRSI, 
• escopo e limites do GRSI; e 
• organização que vai operar a GRSI;
Segurança da Informação
SGRSI
 NBR 27005
 Apreciação do Risco: é a fase mais intensa de coleta 
e tratamento de informações. Envolve:
• Análise do Risco: compreende
• Identificação do Risco: é o processo de 
encontrar, listar e caracterizar os elementos ou 
fatores dos riscos;
• Estimativa do Risco: determina a magnitude ou 
nível de cada risco individual, e pode empregar 
métodos quantitativos e (ou) qualitativos (matriz 
de riscos).
Segurança da Informação
SGRSI
 NBR 27005
 Apreciação do Risco: é a fase mais intensa de coleta 
e tratamento de informações. Envolve:
• Avaliação do Risco:
• compreende a priorização de cada risco dentro 
do conjunto dos riscos estimados, conforme os 
critérios de avaliação e os objetivos de 
segurança relevantes para a organização.
Segurança da Informação
SGRSI
 NBR 27005
 Tratamento do risco: fase que envolve a decisão 
entre reter, evitar, transferir (compartilhar) ou reduzir os 
riscos;
 Aceitação do risco: fase que compreende o registro 
formal da decisão pelo aceite dos riscos residuais 
existentes na organização;
• Riscos residuais: ocorre quando o custo de proteção 
contra um determinado risco não vala a pena. Aceitar o 
risco é uma das maneiras de tratá-lo.
Segurança da Informação
SGRSI
 NBR 27005
 Comunicação do risco: conjunto de atividades 
continuamente executadas e que envolve a troca de 
informações sobre riscos entre os tomadores de decisão 
e todos os envolvidos na organização.
 Monitoramento e revisão do risco: conjunto de 
atividades continuamente executadas e que envolve o 
monitoramento dos diversos fatores de caracterização do 
risco, a fim de identificar quaisquer mudanças no contexto 
da organização,
Segurança da Informação
SGRSI
 Equação de Risco
O risco é a probabilidade de que agentes, que são as 
ameaças, explorem vulnerabilidades, expondo os ativos 
a perdas de confidencialidade, integridade e 
disponibilidade, e causando impacto nos negócios. 
 Estes impactossão limitados por medidas de 
segurança que protegem os ativos, impedindo que as 
ameaças explorem as vulnerabilidades, diminuindo , 
assim o risco. 
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Escopo:
• Estações e servidores da rede Windows -
aproximadamente 10.000 estações (a maioria 
Windows 7) e 500 servidores Windows Server 2016.
 Incidente:
• Apesar de usarmos um antivírus “X”, estamos com 
uma infecção em 80% do parque de estações pelo 
vírus “Funlove”;
Nota: A Infecção persiste por mais de um mês
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Análise/Avaliação:
• Ameaça: perda de dados e indisponibilidade.
• Controles existentes: Antivírus sem console de 
gerenciamento e considerado “mediano” por 
especialistas
• Vulnerabilidades: Antivírus não consegue bloquear 
ataque do “Funlove”
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Opção de tratamento:
• Erradicação do Vírus
• Fazer um mutirão, desconectar todas estações no 
Brasil e desinfetá-las offline.
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Tratamento do risco:
• Após um final de semana com pessoas em todas as 
cidades do Brasil, todas as estações e servidores 
foram “limpos”.
 Tratamento não satisfatório
• Nova infecção em nível nacional dias depois.
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Tratamento do risco:
• Substituir o Antivírus.
• Cada regional iniciou um processo emergencial de 
compra, sendo que algumas optaram pelo 
fabricante “y” e outros pelo “z”.
 Tratamento não satisfatório:
• Os novos antivírus não evitaram a propagação do 
vírus.
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Redefinição de Contexto:
• Uma regional resolveu manter o antivírus “x” e 
estudar o agente de ameaça: O vírus “Funlove”;
• Parque com milhares de estações compartilhando 
dados entre si sem controle de acesso adequado;
• Vírus com características de “Worm” infectando 
arquivos executáveis através de 
compartilhamentos.
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Análise/Avaliação:
• Ameaça: perda de dados e indisponibilidade.
• Controles existentes: Antivírus sem console de 
gerenciamento 
• Vulnerabilidades: Compartilhamentos;
• Alta probabilidade de novos vírus atacarem a 
mesma vulnerabilidade com um “payload” mais 
destrutivo.
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Plano de tratamento:
• Solução analisada e homologada pela equipe 
técnica: ePolicy Orchestrator (ePOTM)
• Custo do investimento:
• Contrato corporativo – valor subsidiado e 
suporte diferenciado;
• Custo do servidor mais estações: R$ 25.716,85 
por dois anos.
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Tratamento do risco:
• Instalação do File Server
• Atribuição de permissões adequadas
• Monitorar compartilhamentos na rede
• Treinamento de funcionários
• Palestra de conscientização
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Tratamento satisfatório:
• A Regional conseguiu praticamente eliminar o vírus 
de suas estações, e apesar disso continuava a 
receber tentativas de infecção vindas de outras 
regionais
• Solução foi replicada para outras regionais
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Aceitação do risco:
• Risco Residual: Alguns usuários poderiam 
compartilhar arquivos, e ser infectado antes que a 
área de TI agisse.
• O Risco foi considerado aceitável
Segurança da Informação
SGRSI
 Exemplo de aplicação de um SGRSI:
 Conclusão:
• Vírus poderia ser eliminado (eficácia) com custo 
muito menor (eficiência) se fosse feita uma análise 
de risco visando entender as ameaças e 
vulnerabilidades
• Após o tratamento adequado a organização ficou 
imune a vírus semelhantes e provavelmente mais 
agressivos.
Próxima Aula
 Políticas de Segurança:
• 27001 e 27002
Segurança da Informação