Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação Professor: André Sobral e-mail: asobral@unicarioca.edu.br Análise e Desenvolvimento de Sistemas Ciência da Computação Engenharia da Computação Redes de Computadores Segurança da Informação SGRSI Introdução: SGRSI (Sistema de Gestão de Riscos de Segurança da Informação). O modelo de gestão de riscos de segurança é baseado na abordagem da norma ABNT NBR ISO/IEC 27005:2019 publicada em 24/10/19. Objetivo: Este documento fornece diretrizes para o processo de gestão de riscos de segurança da informação. Segurança da Informação SGRSI Introdução: Sistema de Gestão: Definição: é um sistema para estabelecer política e objetivos, e para atingir estes objetivos utilizando: • A estrutura organizacional; • Processos sistemáticos e recursos associados; • Metodologia de medição e avaliação; • Processo de análise crítica para assegurar que os problemas são corrigidos e as oportunidades de melhoria são identificadas e implementadas quando necessário. Segurança da Informação SGRSI Introdução: Risco: Definição: todo e qualquer tipo de situação (ou evento) que constitui oportunidade de prejudicar o sucesso de um empreendimento. (BEAL, Adriana. Segurança da Informação – Princípios e Melhores Práticas para a Proteção dos Ativos de Informação nas Organizações.) Segurança da Informação SGRSI Introdução: Contexto do Risco: • Para as empresas do ramo do comércio/indústria, o risco é visto como a exposição às perdas baseada nas frequências estimadas e custo de concorrência. • Já em um organização da área de saúde, o risco é visto como a possibilidade de danos à dimensão física, psíquica, moral, intelectual, social, cultural. Segurança da Informação SGRSI Introdução: Termos e definições: • Ativo: é “Qualquer coisa que tenha valor para a organização.” • Ameaça: é a “causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.” • Incidente indesejado: é “quando uma ameaça se concretiza.” • Vulnerabilidade: é uma “fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.” • Risco: é a “probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos. Os riscos estão sempre associados à ocorrência de algum incidente indesejado. Segurança da Informação SGRSI Introdução: Para estimar um risco precisamos atribuir valores à: • Probabilidades (ocorrência da ameaça medida através da combinação da sua frequência com a avaliação das vulnerabilidades) • Consequências (trazidas pela ocorrência do incidente -impacto); Segurança da Informação SGRSI Introdução: Gestão de Riscos: • O fato o fato de que não existe segurança total ou completa. • O que torna algo seguro ou não, está muito mais ligado à gerência de uma série de fatores. • No âmbito da segurança da informação, a gestão de riscos é utilizada com o intuito de prevenir incidentes e melhorar o nível de segurança das informações. • É por meio deste processo que os riscos são identificados e tratados de forma sistemática e contínua. Segurança da Informação SGRSI Gestão de Riscos: Etapas: Monitoramento e Análise Crítica do Sistema de Gestão Check Estabelecimento do Sistema de Gestão Plan Manutenção e Melhoria do Sistema de Gestão Act Implementação e Operação do Sistema de Gestão Do P D C A O QUE É O CICLO PDCA? O Ciclo PDCA foi idealizado por Shewhart mais tarde aplicado por Demingno uso de estatísticas e métodos de amostragem. Segurança da Informação SGRSI Gestão de Riscos Planejamento: • Definir Escopo e Limites do SGSI • Definir a metodologia para a avaliação e tratamento de riscos • Identificar e classificar os riscos • Identificar e classificar as alternativas para tratamento dos riscos • Identificar riscos residuais não cobertos • Formular um plano de ação Segurança da Informação SGRSI Gestão de Riscos Execução: • Implantar o plano de tratamento de riscos • Implantar os controles definidos • Implantar os programas de treinamento e conscientização dos usuários • Gerenciar o SGSI Segurança da Informação SGRSI Gestão de Riscos Verificar: • Monitorar controles existentes • Realizar revisões periódicas (Auditoria Interna) • Analisar efetividade dos controles existentes • Verificar novos riscos e nível dos riscos residuais Segurança da Informação SGRSI Gestão de Riscos Melhorar: • Implementar melhorias necessárias • Comunicar ações • Garantir que as mudanças atingiram resultado esperado Segurança da Informação SGRSI Análise e avaliação de riscos Existem várias metodologias desenvolvidas para a realização de análise e avaliação do risco, que costumam ser classificadas como : • Quantitativa: concentra-se em dados factuais e mensuráveis para calcular os valores de probabilidade e impacto. • Qualitativa: concentra-se na percepção das partes interessadas sobre a probabilidade de um risco ocorrer e seu impacto (subjetiva). Segurança da Informação SGRSI Análise e avaliação de riscos Exemplo Análise Qualitativa: • Matriz de Riscos: chance de ocorrência e uma descrição Segurança da Informação SGRSI Análise e avaliação de riscos Exemplo Análise Qualitativa: • Matriz de Riscos: atendimento dos objetivos estratégicos da organização. Segurança da Informação SGRSI Análise e avaliação de riscos Exemplo Análise Qualitativa: • Matriz de Riscos: • Risco Inerente = Probabilidade x Impacto Segurança da Informação SGRSI NBR 27005 Fluxograma geral do processo de gestão de riscos de segurança da informação, GRSI, adotado pela 27005.: Segurança da Informação SGRSI NBR 27005 Definição do contexto: fase de preparação para implementação da gestão de riscos, que envolve principalmente a definição de três aspectos: • critérios básicos para GRSI, • escopo e limites do GRSI; e • organização que vai operar a GRSI; Segurança da Informação SGRSI NBR 27005 Apreciação do Risco: é a fase mais intensa de coleta e tratamento de informações. Envolve: • Análise do Risco: compreende • Identificação do Risco: é o processo de encontrar, listar e caracterizar os elementos ou fatores dos riscos; • Estimativa do Risco: determina a magnitude ou nível de cada risco individual, e pode empregar métodos quantitativos e (ou) qualitativos (matriz de riscos). Segurança da Informação SGRSI NBR 27005 Apreciação do Risco: é a fase mais intensa de coleta e tratamento de informações. Envolve: • Avaliação do Risco: • compreende a priorização de cada risco dentro do conjunto dos riscos estimados, conforme os critérios de avaliação e os objetivos de segurança relevantes para a organização. Segurança da Informação SGRSI NBR 27005 Tratamento do risco: fase que envolve a decisão entre reter, evitar, transferir (compartilhar) ou reduzir os riscos; Aceitação do risco: fase que compreende o registro formal da decisão pelo aceite dos riscos residuais existentes na organização; • Riscos residuais: ocorre quando o custo de proteção contra um determinado risco não vala a pena. Aceitar o risco é uma das maneiras de tratá-lo. Segurança da Informação SGRSI NBR 27005 Comunicação do risco: conjunto de atividades continuamente executadas e que envolve a troca de informações sobre riscos entre os tomadores de decisão e todos os envolvidos na organização. Monitoramento e revisão do risco: conjunto de atividades continuamente executadas e que envolve o monitoramento dos diversos fatores de caracterização do risco, a fim de identificar quaisquer mudanças no contexto da organização, Segurança da Informação SGRSI Equação de Risco O risco é a probabilidade de que agentes, que são as ameaças, explorem vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, e causando impacto nos negócios. Estes impactossão limitados por medidas de segurança que protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo , assim o risco. Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Escopo: • Estações e servidores da rede Windows - aproximadamente 10.000 estações (a maioria Windows 7) e 500 servidores Windows Server 2016. Incidente: • Apesar de usarmos um antivírus “X”, estamos com uma infecção em 80% do parque de estações pelo vírus “Funlove”; Nota: A Infecção persiste por mais de um mês Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Análise/Avaliação: • Ameaça: perda de dados e indisponibilidade. • Controles existentes: Antivírus sem console de gerenciamento e considerado “mediano” por especialistas • Vulnerabilidades: Antivírus não consegue bloquear ataque do “Funlove” Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Opção de tratamento: • Erradicação do Vírus • Fazer um mutirão, desconectar todas estações no Brasil e desinfetá-las offline. Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Tratamento do risco: • Após um final de semana com pessoas em todas as cidades do Brasil, todas as estações e servidores foram “limpos”. Tratamento não satisfatório • Nova infecção em nível nacional dias depois. Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Tratamento do risco: • Substituir o Antivírus. • Cada regional iniciou um processo emergencial de compra, sendo que algumas optaram pelo fabricante “y” e outros pelo “z”. Tratamento não satisfatório: • Os novos antivírus não evitaram a propagação do vírus. Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Redefinição de Contexto: • Uma regional resolveu manter o antivírus “x” e estudar o agente de ameaça: O vírus “Funlove”; • Parque com milhares de estações compartilhando dados entre si sem controle de acesso adequado; • Vírus com características de “Worm” infectando arquivos executáveis através de compartilhamentos. Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Análise/Avaliação: • Ameaça: perda de dados e indisponibilidade. • Controles existentes: Antivírus sem console de gerenciamento • Vulnerabilidades: Compartilhamentos; • Alta probabilidade de novos vírus atacarem a mesma vulnerabilidade com um “payload” mais destrutivo. Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Plano de tratamento: • Solução analisada e homologada pela equipe técnica: ePolicy Orchestrator (ePOTM) • Custo do investimento: • Contrato corporativo – valor subsidiado e suporte diferenciado; • Custo do servidor mais estações: R$ 25.716,85 por dois anos. Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Tratamento do risco: • Instalação do File Server • Atribuição de permissões adequadas • Monitorar compartilhamentos na rede • Treinamento de funcionários • Palestra de conscientização Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Tratamento satisfatório: • A Regional conseguiu praticamente eliminar o vírus de suas estações, e apesar disso continuava a receber tentativas de infecção vindas de outras regionais • Solução foi replicada para outras regionais Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Aceitação do risco: • Risco Residual: Alguns usuários poderiam compartilhar arquivos, e ser infectado antes que a área de TI agisse. • O Risco foi considerado aceitável Segurança da Informação SGRSI Exemplo de aplicação de um SGRSI: Conclusão: • Vírus poderia ser eliminado (eficácia) com custo muito menor (eficiência) se fosse feita uma análise de risco visando entender as ameaças e vulnerabilidades • Após o tratamento adequado a organização ficou imune a vírus semelhantes e provavelmente mais agressivos. Próxima Aula Políticas de Segurança: • 27001 e 27002 Segurança da Informação
Compartilhar