Segurana

Objetiva
Fernando Fonseca
fernando@segurancaobjetiva.com
ISO/IEC 27005
Exemplificada
Segurana
Objetiva
2
Case: Vrus Funlove emgrande rede
Normas e a Srie 27000
Riscos
O Sistema de gesto da ISO 27005
Soluo Tiroteio de Cegos
Soluo A Arte da Guerra
Concluso
Agenda
Segurana
Objetiva
Para ilustrar o processo de gesto de riscos segundo a ISO
27005, utilizaremos um case de uma empresa com presena em
todo o Brasil e administraes regionais com relativa
independncia na tomada de decises.
A empresa possui um gerente de TI e um domnio em cada
regio do Brasil, mas todas as unidades (1 ou mais por estado)
so interligadas na mesma rede frame-relay
Case: Vrus Funlove em grande rede
Segurana
Objetiva
O que norma?
um documento estabelecido por consenso e aprovado por um
organismo reconhecido, que fornece, para uso comum e
repetitivo, regras, diretrizes ou caractersticas para atividades
ou seus resultados, visando obteno de um grau timo de
ordenao em um dado contexto.
Definio internacional - Fonte: ABNT
Normas
Segurana
Objetiva
Norma Descrio Estgio
27000
Viso Geral e Vocabulrio
FDIS
27001 Requisitos de Sistemas de Gesto de Segurana da Informao Publicada 2005
27002 Cdigo de prtica para Gesto da Segurana da Informao Publicada 2005
27003
Diretrizes para Implementao de Sistemas de Gesto de
Segurana da Informao DIS
27004 Mtricas de Sistemas de Gesto de Segurana da Informao DIS
27005 Gesto de Riscos de Segurana da Informao Publicada 2008
27006
Requisitos para Acreditao das Partes - Sistemas de Gesto
de Segurana da Informao Publicada 2007
27007
Diretrizes para auditar Sistemas de Gesto de Segurana da
Informao WD
Srie ISO 27000
Segurana
Objetiva
Risco o efeito da incerteza nos objetivos. ISO Guide 73
Riscos
Uma expectativa de perda expressada como a
probabilidade de que uma ameaa em particular ir
explorar uma vulnerabilidade em particular com um
resultado danoso em particular.
RFC 2828 (Internet Security Glossary)
Segurana
Objetiva
A percepo de um risco pode
diferir dos dados reais e objetivos
relacionados a este risco.
Percepo de Risco
Maneira como a parte envolvida percebe o risco
A percepo reflete as necessidades, problemas e
conhecimento da parte envolvida.
Segurana
Objetiva
Definio do Contexto
Entrada: Todas as informaes relevantes
Definio de escopo e limites
Coleta de dados
Segurana
Objetiva
Conjunto de ativos, ameaas e vulnerabilidades que
sero cobertos pelo Sistema de Gesto de Risco
Escopo
Segurana
Objetiva
Coletar atravs dos questionrios,
entrevistas e outras ferramentas
informaes sobre o ambiente,
ameaas, protees existentes
Coleta de Dados
Segurana
Objetiva
Sistema de gesto da ISO 27005
Atividades de
anlise/avaliao
podem ser realizadas
mais de uma vez
Atividades de
tratamento tambm
Definio do Contexto
Anlise/Avaliao de Riscos
Anlise de Riscos
Identificao de Riscos
Estimativa de Riscos
Avaliao de Riscos
Tratamento do Risco
Aceitao do Risco
C
o
m
u
n
i
c
a

o

d
o

R
i
s
c
o
M
o
n
i
t
o
r
a
m
e
n
t
o

e

A
n

l
i
s
e

C
r

t
i
c
a


d
e

R
i
s
c
o
s
Ponto de deciso 1
Avaliao Satisfatria?
Ponto de deciso 2
Tratamento Satisfatrio?
No
Sim
No
Sim
Segurana
Objetiva
Identificao dos Riscos
Estimativa de Riscos
Avaliao de Riscos
Anlise/Avaliao de Riscos
Anlise/Avaliao de Riscos
Anlise de Riscos
Identificao de Riscos
Estimativa de Riscos
Avaliao de Riscos
Definio do Contexto
Segurana
Objetiva
Tratamento do Risco
Iniciado somente se a
avaliao for
satisfatria
Utiliza a ao definida
na avaliao de riscos
Tratamento do Risco
Ponto de deciso 1
Avaliao Satisfatria?
No
Sim
Opes de Tratamento do Risco
Reduzir
o Risco
Reter
do Risco
Evitar
o Risco
Transferir
o Risco
Riscos Residuais
Aceitao do Risco
Ponto de deciso 2
Tratamento Satisfatrio?
No
Sim
Segurana
Objetiva
Tempos de paz
Segurana
Objetiva
Critrios de impacto:
Impacto? Isso no vai acontecer, fique tranquilo...
Aceitao de riscos: Se acontecer algo, a culpa do
gerente de TI.
Tempos de paz
Segurana
Objetiva
Tiroteio de Cegos
Segurana
Objetiva
Definio do Contexto:
Escopo: estaes e servidores da rede Windows
Aproximadamente 10.000 estaes (a maioria
Windows 95 e 98) e 500 servidores Windows NT
4.0
.
Tiroteio de Cegos
Segurana
Objetiva
Definio do Contexto:
Apesar de usarmos um antivrus X, estamos com
uma infeco em 80% do parque de estaes pelo
vrus Funlove;
Nota: A Infeco persiste por mais de um ms
Tiroteio de Cegos
Segurana
Objetiva
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de
gerenciamento e considerado mediano por especialistas
Vulnerabilidades: Antivrus no consegue bloquear ataque do
Funlove
Tiroteio de Cegos
Segurana
Objetiva
Opo de tratamento:
Erradicar o vrus
Fazer um mutiro, desconectar
todas estaes no Brasil e
desinfet-las offline.
Tiroteio de Cegos
Tratamento do Risco
Ponto de deciso 1
Avaliao Satisfatria?
Sim
Opes de Tratamento do Risco
Reduzir o Risco
Erradicar o vrus atravs de mutiro
Riscos Residuais
Aceitao do Risco
Ponto de deciso 2
Tratamento Satisfatrio?
No
Sim
Segurana
Objetiva
Tratamento do risco
Aps um final de semana com pessoas
em todas as cidades do Brasil, todas as
estaes e servidores foram limpas
Tratamento no satisfatrio
Nova infeco em nvel nacional dias
depois
Tiroteio de Cegos
Aceitao do Risco
No
Sim
Ponto de deciso 2
Tratamento Satisfatrio?
Definio do Contexto
Tratamento do Risco
Segurana
Objetiva
Redefinio do Contexto:
Apesar do mutiro, o vrus persiste na rede.
O Antivrus incapaz de proteger as estaes
Tiroteio de Cegos
Segurana
Objetiva
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de
gerenciamento e considerado medocre pela crtica
Vulnerabilidades: Antivrus no consegue bloquear ataque do
Funlove
Tiroteio de Cegos
Segurana
Objetiva
Tratamento do risco
Substituir o Antivrus
Tiroteio de Cegos
Tratamento do Risco
Ponto de deciso 1
Avaliao Satisfatria?
Sim
Opes de Tratamento do Risco
Reduzir o Risco
Erradicar o vrus atravs de mutiro
Riscos Residuais
Aceitao do Risco
Ponto de deciso 2
Tratamento Satisfatrio?
No
Sim
Segurana
Objetiva
Tratamento do risco
Cada regional iniciou um processo emergencial de
compra, sendo que algumas optaram pelo
fabricante y e outros pelo z.
Tiroteio de Cegos
Aceitao do Risco
No
Sim
Ponto de deciso 2
Tratamento Satisfatrio?
Definio do Contexto
Tratamento do Risco
Tratamento no satisfatrio
Os novos antivrus no evitaram a
propagao do vrus.
Segurana
Objetiva
A Arte da Guerra
Conhea seu inimigo
Segurana
Objetiva
Redefinio do Contexto:
Uma regional resolveu manter o antivrus x e estudar o
agente de ameaa: O vrus Funlove;
Parque com milhares de estaes Windows 95 e 98
compartilhando dados entre si sem controle de acesso
adequado;
Vrus com caractersticas de Worm infectando
executveis atravs de compartilhamentos
A Arte da Guerra
Segurana
Objetiva
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de
gerenciamento e considerado medocre pela crtica
Vulnerabilidades: Compartilhamentos;
Alta probabilidade de novos vrus atacarem a mesma
vulnerabilidade comum payload mais destrutivo.
Tiroteio de Cegos
Segurana
Objetiva
Plano de tratamento
Instalar um file server com Windows 2000 e proibir o
compartilhamento de pastas em estaes.
Alterar permisses NTFS em todos executveis em pastas
compartilhadas, deixando direito de escrita somente nos
arquivos de dados. Ex: DBF
A Arte da Guerra
Segurana
Objetiva
Tratamento do risco
Instalao do File Server
Busca de compartilhamentos na rede
Transferncia dos programas para o File Server
Atribuio de permisses NTFS adequadas
Monitorar compartilhamentos na rede
Palestra de conscientizao
A Arte da Guerra
Segurana
Objetiva
Tratamento Satisfatrio
A Regional conseguiu praticamente eliminar o vrus de suas
estaes, e apesar disso continuava a receber tentativas de
infeco vindas de outras regionais
Soluo foi replicada para outras regionais
A Arte da Guerra
Aceitao do Risco
Sim
Ponto de deciso 2
Tratamento Satisfatrio?
Tratamento do Risco
Segurana
Objetiva
Aceitao do Risco
Risco Residual: Alguns usurios
poderiam contrariar a nova
poltica, compartilhar pastas em
seu Windows, e ser infectado
antes que a rea de TI agisse.
O Risco foi considerado aceitvel
A Arte da Guerra
Aceitao do Risco
Sim
Ponto de deciso 2
Tratamento Satisfatrio?
Tratamento do Risco
C
o
m
u
n
i
c
a

o

d
o

R
i
s
c
o
Segurana
Objetiva
Concluso
Segurana
Objetiva
Vrus poderia ser eliminado (eficcia) com custo muito
menor (eficincia) se fosse feita uma anlise de risco
visando entender as ameaas e vulnerabilidades
Aps o tratamento adequado a organizao ficou imune
a vrus semelhantes porm mais agressivos como o
Ninda e o Sircan
Concluso
Segurana
Objetiva
Fernando Fonseca
fernando@segurancaobjetiva.com
Dvidas?