02 ISO 27005 Exemplificada

ISO/IEC 27005
Exemplificada
Segurana
Objetiva
Fernando Fonseca
fernando@segurancaobjetiva.com
Agenda
Case: Vrus Funlove em grande rede
Normas e a Srie 27000
Riscos
O Sistema de gesto da ISO 27005

Soluo Tiroteio de Cegos
Soluo A Arte da Guerra

Concluso
Segurana
Objetiva
Case: Vrus Funlove em grande rede

Para ilustrar o processo de gesto de riscos segundo a ISO
27005, utilizaremos um case de uma empresa com presena em
todo o Brasil e administraes regionais com relativa
independncia na tomada de decises.

A empresa possui um gerente de TI e um domnio em cada
regio do Brasil, mas todas as unidades (1 ou mais por estado)

so interligadas na mesma rede frame-relay
Segurana
Objetiva
Normas
O que norma?
um documento estabelecido por consenso e aprovado por um

organismo reconhecido, que fornece, para uso comum e
repetitivo, regras, diretrizes ou caractersticas para atividades
ou seus resultados, visando obteno de um grau timo de

ordenao em um dado contexto.
Definio internacional - Fonte: ABNT
Segurana
Objetiva
Srie ISO 27000

Norma
Descrio
Estgio
27000 Viso Geral e Vocabulrio
FDIS
27001
Publicada 2005
Requisitos de Sistemas de Gesto de Segurana da Informao
27002 Cdigo de prtica para Gesto da Segurana da Informao

Diretrizes para Implementao de Sistemas de Gesto de
27003 Segurana da Informao
Publicada 2005
27004 Mtricas de Sistemas de Gesto de Segurana da Informao
DIS
27005 Gesto de Riscos de Segurana da Informao
Publicada 2008
Requisitos para Acreditao das Partes - Sistemas de Gesto

27006 de Segurana da Informao
Diretrizes para auditar Sistemas de Gesto de Segurana da
27007 Informao
Segurana
Objetiva
DIS
Publicada 2007
WD
Riscos
Risco o efeito da incerteza nos objetivos. ISO Guide 73
Uma expectativa de perda expressada como a
probabilidade de que uma ameaa em particular ir

explorar uma vulnerabilidade em particular com um
resultado danoso em particular.

RFC 2828 (Internet Security Glossary)
Segurana
Objetiva
Percepo de Risco
Maneira como a parte envolvida percebe o risco
A percepo reflete as necessidades, problemas e
conhecimento da parte envolvida.

A percepo de um risco pode
diferir dos dados reais e objetivos
relacionados a este risco.
Segurana
Objetiva
Definio do Contexto
Entrada: Todas as informaes relevantes
Definio de escopo e limites
Coleta de dados
Segurana
Objetiva
Escopo
Conjunto de ativos, ameaas e vulnerabilidades que
sero cobertos pelo Sistema de Gesto de Risco
Segurana
Objetiva
Coleta de Dados
Coletar atravs dos questionrios,
entrevistas e outras ferramentas

informaes sobre o ambiente,
ameaas, protees existentes
Segurana
Objetiva
Sistema de gesto da ISO 27005
Anlise de Riscos
Identificao de Riscos
Estimativa de Riscos
Avaliao de Riscos
Ponto de deciso 1
Avaliao Satisfatria?
No
Sim
Tratamento do Risco
Ponto de deciso 2
Tratamento Satisfatrio?
Segurana
Objetiva
No
Sim
Aceitao do Risco
Monitoramento e Anlise Crtica de Riscos
Atividades de
tratamento tambm
Anlise/Avaliao de Riscos
Comunicao do Risco
Atividades de
anlise/avaliao
podem ser realizadas
mais de uma vez
Definio do Contexto
Identificao dos Riscos
Definio do Contexto
Anlise de Riscos
Identificao de Riscos
Avaliao de Riscos
Avaliao de Riscos
Segurana
Objetiva
Tratamento do Risco
Iniciado somente se a
avaliao for
Ponto de deciso 1
na avaliao de riscos
Sim
Tratamento do Risco
Opes de Tratamento do Risco
satisfatria
Utiliza a ao definida
No
Reduzir
o Risco
Reter
do Risco
Evitar
o Risco
Riscos Residuais
Ponto de deciso 2
No
Sim
Aceitao do Risco
Segurana
Objetiva
Transferir
o Risco
Tempos de paz
Segurana
Objetiva
Tempos de paz
Critrios de impacto:
Impacto? Isso no vai acontecer, fique tranquilo...
Aceitao de riscos: Se acontecer algo, a culpa do
gerente de TI.
Segurana
Objetiva
Tiroteio de Cegos
Segurana
Objetiva
Tiroteio de Cegos
Definio do Contexto:
Escopo: estaes e servidores da rede Windows
Aproximadamente 10.000 estaes (a maioria
Windows 95 e 98) e 500 servidores Windows NT
4.0
.
Segurana
Objetiva
Tiroteio de Cegos
Definio do Contexto:
Apesar de usarmos um antivrus X, estamos com
uma infeco em 80% do parque de estaes pelo
vrus Funlove;
Nota: A Infeco persiste por mais de um ms
Segurana
Objetiva
Tiroteio de Cegos
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de
gerenciamento e considerado mediano por especialistas
Vulnerabilidades: Antivrus no consegue bloquear ataque do
Funlove
Segurana
Objetiva
Tiroteio de Cegos
Opo de tratamento:
Erradicar o vrus
Fazer um mutiro, desconectar
todas estaes no Brasil e

desinfet-las offline.
Ponto de deciso 1
Sim
Tratamento do Risco
Reduzir o Risco
Erradicar o vrus atravs de mutiro
Riscos Residuais
Ponto de deciso 2
No
Sim
Aceitao do Risco
Segurana
Objetiva
Tiroteio de Cegos
Tratamento do risco
Definio do Contexto
Aps um final de semana com pessoas

em todas as cidades do Brasil, todas as
estaes e servidores foram limpas
Tratamento no satisfatrio
Nova infeco em nvel nacional dias
depois
Tratamento do Risco
No
Ponto de deciso 2
Sim
Segurana
Objetiva
Aceitao do Risco
Tiroteio de Cegos
Redefinio do Contexto:
Apesar do mutiro, o vrus persiste na rede.
O Antivrus incapaz de proteger as estaes
Segurana
Objetiva
Tiroteio de Cegos
Anlise/Avaliao:
gerenciamento e considerado medocre pela crtica
Vulnerabilidades: Antivrus no consegue bloquear ataque do
Funlove
Segurana
Objetiva
Tiroteio de Cegos
Tratamento do risco
Substituir o Antivrus
Ponto de deciso 1
Sim
Tratamento do Risco
Reduzir o Risco
Erradicar o vrus atravs de mutiro
Riscos Residuais
Ponto de deciso 2
No
Sim
Aceitao do Risco
Segurana
Objetiva
Tiroteio de Cegos
Tratamento do risco
Definio do Contexto
Cada regional iniciou um processo emergencial de

compra, sendo que algumas optaram pelo
fabricante y e outros pelo z.
Tratamento no satisfatrio
Os novos antivrus no evitaram a
propagao do vrus.
Tratamento do Risco
No
Ponto de deciso 2
Sim
Segurana
Objetiva
Aceitao do Risco
A Arte da Guerra
Conhea seu inimigo
Segurana
Objetiva
A Arte da Guerra
Redefinio do Contexto:
Uma regional resolveu manter o antivrus x e estudar o
agente de ameaa: O vrus Funlove;
Parque com milhares de estaes Windows 95 e 98

compartilhando dados entre si sem controle de acesso
adequado;
Vrus com caractersticas de Worm infectando
executveis atravs de compartilhamentos
Segurana
Objetiva
Tiroteio de Cegos
Anlise/Avaliao:
gerenciamento e considerado medocre pela crtica
Vulnerabilidades: Compartilhamentos;
Alta probabilidade de novos vrus atacarem a mesma

vulnerabilidade comum payload mais destrutivo.
Segurana
Objetiva
A Arte da Guerra
Plano de tratamento
Instalar um file server com Windows 2000 e proibir o
compartilhamento de pastas em estaes.
Alterar permisses NTFS em todos executveis em pastas

compartilhadas, deixando direito de escrita somente nos
arquivos de dados. Ex: DBF
Segurana
Objetiva
A Arte da Guerra
Tratamento do risco
Instalao do File Server
Busca de compartilhamentos na rede
Transferncia dos programas para o File Server

Atribuio de permisses NTFS adequadas
Monitorar compartilhamentos na rede

Palestra de conscientizao
Segurana
Objetiva
A Arte da Guerra
Tratamento Satisfatrio
A Regional conseguiu praticamente eliminar o vrus de suas
estaes, e apesar disso continuava a receber tentativas de
infeco vindas de outras regionais

Soluo foi replicada para outras regionais
Tratamento do Risco
Ponto de deciso 2
Sim
Segurana
Objetiva
Aceitao do Risco
A Arte da Guerra
Aceitao do Risco
Risco Residual: Alguns usurios
poltica, compartilhar pastas em

seu Windows, e ser infectado
antes que a rea de TI agisse.
O Risco foi considerado aceitvel
Comunicao do Risco
poderiam contrariar a nova
Tratamento do Risco
Ponto de deciso 2
Sim
Segurana
Objetiva
Aceitao do Risco
Concluso
Segurana
Objetiva
Concluso
Vrus poderia ser eliminado (eficcia) com custo muito
menor (eficincia) se fosse feita uma anlise de risco

visando entender as ameaas e vulnerabilidades
Aps o tratamento adequado a organizao ficou imune
a vrus semelhantes porm mais agressivos como o

Ninda e o Sircan
Segurana
Objetiva
Dvidas?
Segurana
Objetiva
Fernando Fonseca
fernando@segurancaobjetiva.com

02 ISO 27005 Exemplificada

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

02 ISO 27005 Exemplificada

Enviado por

Direitos autorais:

Formatos disponíveis

ISO/IEC 27005

O Sistema de gesto da ISO 27005

Soluo A Arte da Guerra

Case: Vrus Funlove em grande rede

independncia na tomada de decises.

regio do Brasil, mas todas as unidades (1 ou mais por estado)

um documento estabelecido por consenso e aprovado por um

ou seus resultados, visando obteno de um grau timo de

Srie ISO 27000

27000 Viso Geral e Vocabulrio

Requisitos de Sistemas de Gesto de Segurana da Informao

27002 Cdigo de prtica para Gesto da Segurana da Informao

27004 Mtricas de Sistemas de Gesto de Segurana da Informao

27005 Gesto de Riscos de Segurana da Informao

Requisitos para Acreditao das Partes - Sistemas de Gesto

probabilidade de que uma ameaa em particular ir

resultado danoso em particular.

conhecimento da parte envolvida.

sero cobertos pelo Sistema de Gesto de Risco

entrevistas e outras ferramentas

ameaas, protees existentes

Sistema de gesto da ISO 27005

Monitoramento e Anlise Crtica de Riscos

Nota: A Infeco persiste por mais de um ms

todas estaes no Brasil e

Aps um final de semana com pessoas

estaes e servidores foram limpas

Cada regional iniciou um processo emergencial de

Parque com milhares de estaes Windows 95 e 98

Alta probabilidade de novos vrus atacarem a mesma

Alterar permisses NTFS em todos executveis em pastas

Transferncia dos programas para o File Server

Monitorar compartilhamentos na rede

infeco vindas de outras regionais

poltica, compartilhar pastas em

poderiam contrariar a nova

menor (eficincia) se fosse feita uma anlise de risco

Aps o tratamento adequado a organizao ficou imune

a vrus semelhantes porm mais agressivos como o

Você também pode gostar