Escolar Documentos
Profissional Documentos
Cultura Documentos
02 ISO 27005 Exemplificada
02 ISO 27005 Exemplificada
Exemplificada
Segurana
Objetiva
Fernando Fonseca
fernando@segurancaobjetiva.com
Agenda
Case: Vrus Funlove em grande rede
Normas e a Srie 27000
Riscos
Segurana
Objetiva
Normas
O que norma?
Descrio
Estgio
FDIS
27001
Publicada 2005
Publicada 2005
DIS
Publicada 2008
Segurana
Objetiva
DIS
Publicada 2007
WD
Riscos
Risco o efeito da incerteza nos objetivos. ISO Guide 73
Uma expectativa de perda expressada como a
Segurana
Objetiva
Percepo de Risco
Maneira como a parte envolvida percebe o risco
A percepo reflete as necessidades, problemas e
Segurana
Objetiva
Definio do Contexto
Entrada: Todas as informaes relevantes
Definio de escopo e limites
Coleta de dados
Segurana
Objetiva
Escopo
Conjunto de ativos, ameaas e vulnerabilidades que
Segurana
Objetiva
Coleta de Dados
Coletar atravs dos questionrios,
Segurana
Objetiva
Anlise de Riscos
Identificao de Riscos
Estimativa de Riscos
Avaliao de Riscos
Ponto de deciso 1
Avaliao Satisfatria?
No
Sim
Tratamento do Risco
Ponto de deciso 2
Tratamento Satisfatrio?
Segurana
Objetiva
No
Sim
Aceitao do Risco
Atividades de
tratamento tambm
Anlise/Avaliao de Riscos
Comunicao do Risco
Atividades de
anlise/avaliao
podem ser realizadas
mais de uma vez
Definio do Contexto
Anlise/Avaliao de Riscos
Identificao dos Riscos
Estimativa de Riscos
Definio do Contexto
Anlise/Avaliao de Riscos
Anlise de Riscos
Identificao de Riscos
Avaliao de Riscos
Estimativa de Riscos
Avaliao de Riscos
Segurana
Objetiva
Tratamento do Risco
Iniciado somente se a
avaliao for
Ponto de deciso 1
Avaliao Satisfatria?
na avaliao de riscos
Sim
Tratamento do Risco
Opes de Tratamento do Risco
satisfatria
Utiliza a ao definida
No
Reduzir
o Risco
Reter
do Risco
Evitar
o Risco
Riscos Residuais
Ponto de deciso 2
Tratamento Satisfatrio?
No
Sim
Aceitao do Risco
Segurana
Objetiva
Transferir
o Risco
Tempos de paz
Segurana
Objetiva
Tempos de paz
Critrios de impacto:
Impacto? Isso no vai acontecer, fique tranquilo...
Aceitao de riscos: Se acontecer algo, a culpa do
gerente de TI.
Segurana
Objetiva
Tiroteio de Cegos
Segurana
Objetiva
Tiroteio de Cegos
Definio do Contexto:
Escopo: estaes e servidores da rede Windows
Aproximadamente 10.000 estaes (a maioria
Windows 95 e 98) e 500 servidores Windows NT
4.0
.
Segurana
Objetiva
Tiroteio de Cegos
Definio do Contexto:
Apesar de usarmos um antivrus X, estamos com
uma infeco em 80% do parque de estaes pelo
vrus Funlove;
Segurana
Objetiva
Tiroteio de Cegos
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de
gerenciamento e considerado mediano por especialistas
Vulnerabilidades: Antivrus no consegue bloquear ataque do
Funlove
Segurana
Objetiva
Tiroteio de Cegos
Opo de tratamento:
Erradicar o vrus
Fazer um mutiro, desconectar
Ponto de deciso 1
Avaliao Satisfatria?
Sim
Tratamento do Risco
Opes de Tratamento do Risco
Reduzir o Risco
Erradicar o vrus atravs de mutiro
Riscos Residuais
Ponto de deciso 2
Tratamento Satisfatrio?
No
Sim
Aceitao do Risco
Segurana
Objetiva
Tiroteio de Cegos
Tratamento do risco
Definio do Contexto
Tratamento no satisfatrio
Nova infeco em nvel nacional dias
depois
Tratamento do Risco
No
Ponto de deciso 2
Tratamento Satisfatrio?
Sim
Segurana
Objetiva
Aceitao do Risco
Tiroteio de Cegos
Redefinio do Contexto:
Apesar do mutiro, o vrus persiste na rede.
O Antivrus incapaz de proteger as estaes
Segurana
Objetiva
Tiroteio de Cegos
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de
gerenciamento e considerado medocre pela crtica
Vulnerabilidades: Antivrus no consegue bloquear ataque do
Funlove
Segurana
Objetiva
Tiroteio de Cegos
Tratamento do risco
Substituir o Antivrus
Ponto de deciso 1
Avaliao Satisfatria?
Sim
Tratamento do Risco
Opes de Tratamento do Risco
Reduzir o Risco
Erradicar o vrus atravs de mutiro
Riscos Residuais
Ponto de deciso 2
Tratamento Satisfatrio?
No
Sim
Aceitao do Risco
Segurana
Objetiva
Tiroteio de Cegos
Tratamento do risco
Definio do Contexto
Tratamento no satisfatrio
Os novos antivrus no evitaram a
propagao do vrus.
Tratamento do Risco
No
Ponto de deciso 2
Tratamento Satisfatrio?
Sim
Segurana
Objetiva
Aceitao do Risco
A Arte da Guerra
Conhea seu inimigo
Segurana
Objetiva
A Arte da Guerra
Redefinio do Contexto:
Uma regional resolveu manter o antivrus x e estudar o
agente de ameaa: O vrus Funlove;
Tiroteio de Cegos
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de
gerenciamento e considerado medocre pela crtica
Vulnerabilidades: Compartilhamentos;
Segurana
Objetiva
A Arte da Guerra
Plano de tratamento
Instalar um file server com Windows 2000 e proibir o
compartilhamento de pastas em estaes.
Segurana
Objetiva
A Arte da Guerra
Tratamento do risco
Instalao do File Server
Busca de compartilhamentos na rede
A Arte da Guerra
Tratamento Satisfatrio
A Regional conseguiu praticamente eliminar o vrus de suas
estaes, e apesar disso continuava a receber tentativas de
Tratamento do Risco
Ponto de deciso 2
Tratamento Satisfatrio?
Sim
Segurana
Objetiva
Aceitao do Risco
A Arte da Guerra
Aceitao do Risco
Risco Residual: Alguns usurios
Comunicao do Risco
Tratamento do Risco
Ponto de deciso 2
Tratamento Satisfatrio?
Sim
Segurana
Objetiva
Aceitao do Risco
Concluso
Segurana
Objetiva
Concluso
Vrus poderia ser eliminado (eficcia) com custo muito
Dvidas?
Segurana
Objetiva
Fernando Fonseca
fernando@segurancaobjetiva.com