Você está na página 1de 103

PS-GRADUAO EM SEGURANA DA INFORMAO

Tecnologia da Informao: Gesto em Segurana da Informao


Emir Mansur Smaka

Instrutor
Formao acadmica:
Graduado em Processamento de Dados (FES-MS). MBA em Gesto de Negcios (FGVRJ). Mestrado em Cincia da Informao (PUCCAMP).

ESTAMOS SEGUROS????

Sociedade do Conhecimento e da Informao


Um governo do povo, sem informao para o povo ou sem os meios para que ele a obtenha, no nada mais do que o prlogo de uma farsa ou de uma tragdia ou talvez de ambas. A informao deve sempre governar sobre a ignorncia, e o povo que quer ser seu prprio governante deve armar-se com o poder que a informao proporciona.
(JAMES MADISON, QUARTO PRESIDENTE DOS E.U.A.)

Sociedade do Conhecimento e da Informao


Previso do surgimento de uma sociedade informatizada surge em 1963 na universidade de Kyoto A principal caracterstica desta sociedade ter os processos de gesto da informao e do conhecimento como pontos centrais
(German, 2000)

Christiano German

Sociedade do Conhecimento e da Informao


A nossa sociedade vem passando por uma transformao, saindo do estado de sociedade industrial para um estado de sociedade ps-industrial
(Druker, 1993)
Manuel Castells

Estamos vivenciando um tempo de mudanas, ou um intervalo na histria. Intervalo este cuja caracterstica a transformao de nossa cultura material pelos mecanismos de um novo paradigma tecnolgico que se organiza em torno da tecnologia da informao
(Castells, 1999)

Peter Drucker

Sociedade do Conhecimento e da Informao


(...) Uma sociedade na qual a qualidade de vida, bem como as perspectivas de transformao social e de desenvolvimento econmico, dependem crescentemente da informao e da sua explorao. Em tal sociedade, os padres de vida, trabalho e lazer, o sistema educacional e o posicionamento no mercado so todos influenciados marcadamente por avanos na informao e no conhecimento. Isso evidencia em um crescente acmulo de produtos e servios de elevado grau de intensidade de informao, difundidos por um extenso leque de meios de comunicao, muitos dos quais de natureza eletrnica (...) (German, 1999, p. 15)

Christiano German

Sociedade do Conhecimento e da Informao


(...) O fator decisivo no surgimento dessa nova sociedade foi a evoluo das tecnologias de informao e de comunicao (...) a revoluo das tecnologias da informao e da comunicao (T.I.C.) Proporcionaram sociedade capitalista a reestruturao que a Perestroyka, na Rssia de Gorbachev, no conseguiu realizar na sociedade comunista, terminando assim por implodir este modelo. (Castells, 1999)

Manuel Castells

Sociedade do Conhecimento e da Informao


Dentro de poucos anos, com receptores to pequenos que nenhuma polcia secreta poder impedir seu uso dentro das casas e satlites transmitindo programas a todos os pontos do globo, a informao, para melhor ou para pior, ter se tornado verdadeiramente transnacional e alm do controle de qualquer pas. (Druker, 1993, p. 105).

Peter Drucker

Sociedade do Conhecimento e da Informao


Em meados do sculo XVII o frade Paolo Sarpi, ento conselheiro do governo de Veneza, era defensor da idia de que difundir a informao era uma arma estratgica para a poltica, mais eficaz do que suprimi-la (Burke, 2003).

Peter Burke

Conceitos Importantes
CONFIDENCIALIDADE

SEG U RAN A DA INFORMAO


DISPONIBILIDADE INTEGRIDADE

S E G U RAN A
CICLO DE VIDA DA INFORMAO

IN F O R MA O

Conceitos Importantes
IN F O R MA O

A Questo da Informao
Informao: estruturas significantes. Produo da informao: atividades relacionadas reunio, seleo, codificao, reduo, classificao e armazenamento da informao. Estoques de informao

Conceitos Importantes
IN F O R MA O

A Questo da Informao
A produo da informao segue padres de produtividade , relacionados a decises polticas e econmicas. Quem detm a propriedade dos estoques de informao determina sua distribuio e condiciona, potencialmente, a produo do conhecimento

Conceitos Importantes
Viso Sistmica Processos de Negcio

NEGCIO
Viso Empresarial Desenvolvimento de Negcios Desenvolvimento de Solues Execuo de Servios Gesto do Conhecimento Apoio Gesto Aplicaes Infra-estrutura Fsica, Tecnolgica e Humana ...
Fonte: SMOLA, 2003

IN F O R MA O

Processo de Negcio

Informao
Ativo Tecnolgico Processo de Negcio Ativo Fsico Ativo Fsico Processo de Negcio Ativo Tecnolgico Processo de Negcio Ativo Fsico

Ativo Humano

Fonte: SMOLA, 2003

CICLO DE VIDA DA INFORMAO

Conceitos Importantes

MANUSEIO:
Momento em que a informao criada e manipulada, seja ao folhear um mao de papis, ao digitar informaes recm-geradas, ou, ainda, ao utilizar sua senha de acesso para autenticao.

ARMAZENAMENTO:
Momento em que a informao armazenada, seja em um banco de dados compartilhado, em uma anotao de papel, ou, ainda, em uma mdia magntica ou tica depositada na gaveta da mesa de trabalho.

TRANSPORTE:
Momento em que a informao transportada, seja ao encaminhar informaes por correio eletrnico (e-mail), ao postar um documento via fax, ou, ainda, ao falar ao telefone uma informao confidencial.

DESCARTE:
Momento em que a informao descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrnico, ou ainda, ao descartar um CD-ROM usado.

CICLO DE VIDA DA INFORMAO

Conceitos Importantes

IMAGINE...... Voc gera, em reunio, uma nova definio: informao estratgica confidencial. A mesma anotada em papel e armazenada posteriormente em um cofre adequado. No momento imediatamente posterior, voc delega secretria que digite tal informao e a envie por correio eletrnico aos envolvidos. Pense agora que, depois de completada a tarefa, a secretria proceda o descarte da informao, jogando o papel na lixeira mais prxima.

Quais so as principais vulnerabilidades envolvidas:

CICLO DE VIDA DA INFORMAO

Conceitos Importantes

Conceitos Importantes
S E G U RAN A

segurana. S. f. 2. Estado, qualidade ou condio de seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convico.

Conceitos Importantes
seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitvel, incontestvel. 10. Eficaz, eficiente.
S E G U RAN A

Conceitos Importantes
SEG U RAN A DA INFORMAO

Protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio.
NBR ISO/IEC 17799, 2001.

Conceitos Importantes
CONFIDENCIALIDADE

SEG U RAN A DA INFORMAO

Garantia de que o acesso informao seja obtido somente por pessoas autorizadas.
NBR ISO/IEC 17799, 2001.

Conceitos Importantes
SEG U RAN A DA INFORMAO
INTEGRIDADE

Salvaguarda da exatido e completeza da informao e dos mtodos de processamento.


NBR ISO/IEC 17799, 2001.

Conceitos Importantes
Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.
NBR ISO/IEC 17799, 2001.
DISPONIBILIDADE

SEG U RAN A DA INFORMAO

Fatores Crticos de Sucesso - Gesto Integrada -Conscientizao da alta Administrao -Normas e Procedimentos -Implementao, certificao e administrao -Viso Estratgica -Mudana de Processos -Controle Centralizado -Problema Generalizado -Ao Corporativa -Conformidade Aproveitamento dos 3 modelos mentais anteriores

Experincias Bug do Ano 2000 Software de Gesto ERP Qualidade ISO 9000 Gesto Corporativa de Segurana da Informao Fonte: SMOLA, 2003 Temporais

Plano de Segurana da Informao:

Gesto da Segurana da Informao

Gesto da Segurana da Informao


Plano de Segurana da Informao: a) Poltica de segurana, objetivos e atividades, que reflitam os objetivos do negcio;

Gesto da Segurana da Informao


Plano de Segurana da Informao: b) Um enfoque para a implementao da segurana que seja consistente com a cultura organizacional;

Gesto da Segurana da Informao


Plano de Segurana da Informao: c) Comprometimento e apoio visvel da direo;

Gesto da Segurana da Informao


Plano de Segurana da Informao: d) Um bom entendimento dos requisitos de segurana, avaliao de risco e gerenciamento de risco;

Gesto da Segurana da Informao


Plano de Segurana da Informao: e) Divulgao eficiente da segurana para todos os gestores e funcionrios;

Gesto da Segurana da Informao


Plano de Segurana da Informao: f) Distribuio das diretrizes sobre as normas e polticas de segurana da informao para todos os funcionrios e fornecedores;

Gesto da Segurana da Informao


Plano de Segurana da Informao: g) Proporcionar educao e treinamento adequados;

Gesto da Segurana da Informao


h) Um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de segurana da informao e obteno de sugestes para a melhoria.

Plano de Segurana da Informao:

Gesto da Segurana da Informao


Espessura correspondente ao nvel de segurana Espessura correspondente ao nvel de segurana Espessura correspondente ao nvel de segurana

Negcio

Negcio

Negcio

Sem investimento Investimento isolado Baixo nvel de segurana do negcio Aumento relativo do nvel de segurana do negcio Falsa sensao de segurana Investimento integrado Aumento real do nvel de segurana do negcio Reduo dos riscos
Fonte: SMOLA, 2003

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Anlise crtica e aprovao da poltica da segurana da informao e das responsabilidades envolvidas Aprovao das principais iniciativas para aumentar o nvel da segurana da informao

Responsabilidades

Monitorao das principais mudanas na exposio dos ativos das informaes s principais ameaas

Anlise crtica e monitorao de incidentes de segurana da informao

Gesto da Segurana da Informao


Comit Executivo de Segurana da Informao
Formao Interdisciplinar Definir responsabilidades

A criao dos comits de Segurana da Informao

Organizar, concentrar e planejar

Constitudo por pessoas pertencentes aos principais processos de negcio

de planejamento, execuo, monitorao Garantir posicionamento estratgico

Plano estratgico de Segurana da Informao Polticas Macro de Segurana PCN

Gesto da Segurana da Informao


Estrutura bsica da Segurana da Informao nas Organizaes
Comit Executivo de Segurana da Informao
SECURITY OFFICE
Liderana do Comit Executivo; Atua como executor das atividades do Comit Executivo; Interage com os Comits Setoriais; Perfil tcnico aprofundado e viso corporativa; Funciona como mediador, questionador, analisador de ameaas, riscos, impactos e do conseqente estudo de viabilidade dos prximos passos.

Comits Setoriais
Devem aplicar as medidas de segurana no mbito dos processos de negcio; Responsveis por medir os resultados, reportar novas necessidades e situaes que exponham a informao;.

ISO/IEC 17799, 2001

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Gera um mapa de relacionamento entre processos de negcio e infra-estrutura Processos de Negcio

Plano Diretor de Segurana da Informao

PN 1

PN 2

PN 3

PN n

Aplicaes

Infra-estrutura Fsica Tecnolgica Humana

Ativo 1

Ativo 2

Ativo 3

Ativo n

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao

ativos fsicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de comunicao (roteadores, PABXs, fax, secretrias eletrnicas), mdia magntica (fitas e discos), outros equipamentos tcnicos (no-breaks, ar-condicionado), moblia, acomodaes; servios: computao e servios de comunicao, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade, refrigerao;

Plano Diretor de Segurana da Informao

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao

Plano Diretor de Segurana da Informao

ativos de informao: base de dados e arquivos, documentao de sistema, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade, procedimentos de recuperao, informaes armazenadas; ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Identificao dos Processos de Negcio Mapeamento da Relevncia Estudo de Impactos CIDAL

Plano Diretor de Segurana da Informao

Estudo de Prioridades GUT

Estudo de Permetros

Estudo de Atividades

Os seis passos bsicos para a elaborao do Plano

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Identificao dos Processos de Negcio
Clientes Atendidos Receita Margem

Plano Diretor de Segurana da Informao


Fator Conformidade Estratgico Legal N

PN 1

PN 2

PN 3

PN n

Peso

$ multa

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Identificao dos Processos de Negcio

Plano Diretor de Segurana da Informao

Resultado esperado desta etapa:


Mapeamento dos Processos de Negcios crticos para a operao da empresa; Identificao dos gestores chaves dos processos mapeados; Incio da integrao e comprometimento dos gestores chaves envolvidos; Incio do entendimento sobre o funcionamento do negcio.

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Mapeamento da Relevncia
ESCALA AUXLIO DE INTERPRETAO

Plano Diretor de Segurana da Informao


Envolve o atingimento gerencivel do Processo de Negcio podendo provocar impactos praticamente irrelevantes Envolve o atingimento gerencivel do Processo de Negcio podendo provocar impactos apenas considerveis Envolve o atingimento gerencivel do Processo de Negcio podendo provocar impactos parcialmente significativos Envolve a paralisao do Processo de Negcio podendo provocar impactos muito significativos Envolve o comprometimento do Processo de Negcio podendo provocar impactos incalculveis na recuperao e na continuidade do negcio

NO CONSIDERVEL

RELEVANTE

IMPORTANTE

CRTICO

VITAL

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Mapeamento da Relevncia

Plano Diretor de Segurana da Informao

Resultado esperado desta etapa:


Mapeamento da relevncia dos Processos de Negcios crticos; Envolvimento dos gestores com viso holstica do negcio; Percepo dos fatores importantes considerados pelos gestores envolvidos;

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


CONFIDENCIALIDADE DISPONIBILIDADE

Estudo de Impactos CIDAL

Plano Diretor de Segurana da Informao


AUTENTICIDADE INTEGRIDADE PN 1 LEGALIDADE

1 No Considervel 2 Relevante 3 Importante 4 Crtico 5 Vital

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Estudo de Impactos CIDAL

Plano Diretor de Segurana da Informao

Resultado esperado desta etapa:


Classificao de sensibilidade CIDAL de cada Processo de Negcio; Envolvimento dos gestores com viso holstica de processos especficos; Percepo dos fatores importantes considerados pelos gestores envolvidos;

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Estudo de Prioridades GUT GRAVIDADE:

Plano Diretor de Segurana da Informao

Seria muito grave para o processo de negcio em anlise se algum fato atingisse qualquer um dos conceitos e aspectos, provocando a quebra da segurana da informao? URGNCIA: Havendo quebra da segurana da informao, independentemente do conceito ou aspecto atingidos, qual seria a urgncia em solucionar os efeitos do ocorrido e em reduzir os riscos no processo de negcio em anlise?

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Estudo de Prioridades GUT

Plano Diretor de Segurana da Informao

TENDNCIA: Considerando os planos de curto, mdio e longo prazos associados evoluo do processo do negcio em anlise, qual seria sua tendncia dos riscos de segurana se nenhuma atividade preventiva ou corretiva fosse aplicada?

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Estudo de Prioridades GUT

Plano Diretor de Segurana da Informao


Urgncia
1. Sem pressa 2. Tolerante espera 3. O mais cedo possvel 4. Com alguma urgncia 5. Imediatamente

Gravidade
1. Sem gravidade 2. Baixa gravidade 3. Mdia gravidade 4. Alta gravidade 5. Altssima gravidade

Tendncia
1. No vai agravar 2. Vai agravar a longo prazo 3. Vai agravar a mdio prazo 4. Vai agravar a curto prazo 5. Vai agravar imediatamente

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Estudo de Prioridades GUT

Plano Diretor de Segurana da Informao

Resultado esperado desta etapa:


Mapeamento da prioridade de cada Processo de Negcio; Percepo das caractersticas de cada processo em funo das dimenses do GUT.

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Estudo de Permetros
Agrupamento de um ou mais processos de negcio por similaridade de ativos

Plano Diretor de Segurana da Informao


Processo de Negcio 5 Processo de Negcio 1 Processo de Negcio 6

Processo de Negcio 2

Processo de Negcio 4

Agrupamento de um ou mais processos de negcio por similaridade de ativos

Processo de Negcio 7

Processo de Negcio 3

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Estudo de Permetros

Plano Diretor de Segurana da Informao

Resultado esperado desta etapa:


Mapeamento dos ativos; Mapeamento da relao entre ativos e processos de negcio.

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Estudo de Atividades

Plano Diretor de Segurana da Informao


PLANEJAMENTO DAS AES
1. Ocorrem em ambientes e permetros distintos 2. Esto em conformidade com as diretrizes de Segurana 3. So coordenadas 4. Propostas pelo modelo de gesto da Segurana

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao


Estudo de Atividades

Plano Diretor de Segurana da Informao

Resultado esperado desta etapa:


Mapeamento dos ativos; Mapeamento da relao entre ativos e processos de negcio.

Anlise de Vulnerabilidades, Ameaas e Riscos


Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem: a) proteo de dados e privacidade de informaes pessoais; b) salvaguarda de registros organizacionais; c) direitos de propriedade intelectual. (NBR ISO/IEC 17799, 2001, p. 3)

Anlise de Vulnerabilidades, Ameaas e Riscos


Os controles considerados como melhores prticas para a segurana da informao incluem: a) documento da poltica de segurana da informao; b) definio das responsabilidades na segurana da informao; a) educao e treinamento em segurana da informao; d) relatrio dos incidentes de segurana; e) gesto da continuidade do negcio. (NBR ISO/IEC 17799, 2001, p. 3)

Anlise de Vulnerabilidades
A anlise das ameaas para um ambiente de tecnologia da informao, deve incluir uma anlise das vulnerabilidades associadas ao ambiente dos sistemas. O objetivo desta etapa desenvolver uma lista das vulnerabilidades dos sistemas, que podem ser exploradas pelas ameaas em potencial. (NIST Special Publication 800-30, 2001, p. 15)

Anlise de Vulnerabilidades
A vulnerabilidade um ponto no qual o sistema suscetvel a ataque. Por exemplo:
as pessoas que operam e usam os ativos de informao (elas foram treinadas adequadamente?); a conexo do sistema Internet (as comunicaes so criptografadas?); e o fato do prdio estar em uma rea sujeita a inundaes (o ativo de informao est no piso trreo do prdio?).

Anlise de Vulnerabilidades
Vulnerabilidade: Uma falha ou fraqueza encontrada no projeto, implementao, procedimentos ou controles internos dos dispositivos de segurana de um sistema de informao, que podem ser explorados (intencional ou acidentalmente) e resultar em uma quebra ou violao das polticas de segurana da informao (NIST Special Publication 800-30, 2001, p. 15).

Anlise de Vulnerabilidades
Classificao das Vulnerabilidades
As vulnerabilidades as quais os sistemas de informao esto sujeitos podem ser classificadas em: fsicas; naturais; de hardware e software; de mdia; por emanao; de comunicao; e humanas.

Anlise de Vulnerabilidades
Vulnerabilidades Fsicas
Os prdios e salas que mantm o sistema so vulnerveis podendo ser invadidos, por exemplo, atravs de arrombamento.

Anlise de Vulnerabilidades
Vulnerabilidades Naturais
Computadores so extremamente vulnerveis a desastres de ordem natural e s ameaas ambientais. Desastres como fogo, inundao, terremoto e perda de energia podem danificar computadores ou destruir dados. Poeira, umidade ou condies de temperatura inadequadas tambm podem causar estragos.

Anlise de Vulnerabilidades
Vulnerabilidades de Hardware e Software
Falhas de hardware e software podem comprometer toda a segurana de um sistema. Falhas de software ou bugs podem abrir buracos ou portas no sistema, ou ainda, faz-lo comportar-se de forma imprevista. Mesmo que individualmente os componentes de hardware e software sejam seguros, a sua instalao ou conexo inadequadas pode comprometer a segurana do sistema.

Anlise de Vulnerabilidades
Vulnerabilidades de Mdia Discos, fitas e material impresso pode ser facilmente roubado ou danificado. Informaes sensveis podem ser mantidas em discos ou fitas mesmo aps terem sido logicamente removidas, mas no fisicamente apagadas.

Anlise de Vulnerabilidades
Vulnerabilidades por Emanao Todo equipamento eletrnico emite radiao eltrica e eletromagntica. Os sinais emitidos por computadores, equipamentos de rede e monitores podem ser captados e decifrados permitindo a obteno das informaes contidas no sistema ou a inferncia sobre seu contedo.

Anlise de Vulnerabilidades
Vulnerabilidades de Comunicao Mensagens em trnsito podem ser interceptadas, desviadas ou forjadas. Linhas de comunicao podem ser escutadas ou interrompidas.

Anlise de Vulnerabilidades
Vulnerabilidades Humanas
As pessoas que administram e usam o sistema representam sua maior vulnerabilidade. Normalmente a segurana de todo o sistema est sob o controle do administrador do sistema. Os usurios, operadores ou administradores do sistema podem cometer erros que comprometam o sistema ou ainda, podem ser subornados ou coagidos a cometer atos danosos.

Anlise de Vulnerabilidades
Ativos de Informao

Servios de Segurana
Confidencialidade Vulnerabilidades Integridade Disponibilidade

... ... Vulnerabilidades ... ... Vulnerabilidades ... ...

Anlise de Vulnerabilidades
Perda de Integridade: a integridade perdida caso alteraes no-autorizadas sejam realizadas em dados ou informaes constantes em sistemas de T.I., por aes intencionais ou no-intencionais. O uso continuado dos dados e/ou informaes afetados poder acarretar impreciso de informaes geradas e conseqente tomada de decises errnea.

Anlise de Vulnerabilidades
Perda de Disponibilidade: se um sistema de T.I., considerado de misso crtica torna-se indisponvel para o seu usurio final, o objetivo principal (a misso) da organizao poder estar comprometida. A perda da funcionalidade e da operacionalidade de um sistema de informao pode resultar na baixa da produtividade de uma equipe de trabalho, comprometendo a misso da organizao.

Anlise de Vulnerabilidades
Perda de Confidencialidade: o impacto da descoberta no autorizada, de informaes confidenciais pode colocar em risco toda uma organizao. A revelao de tais informaes, intencionais ou no, podem causar danos que vo desde o constrangimento pblico, podendo gerar at mesmo aes de cunho legal contra a organizao (NIST Special Publication 800-30, 2001, p. 28).

Anlise das Ameaas


Princpios Bsicos
Consiste em possveis perigos para os ativos de informao O perigo pode ser originado por:
uma pessoa (um espio, um criminoso profissional, um hacker ou mesmo um funcionrio mal intencionado); uma coisa (uma pea de hardware ou software defeituosa); ou um evento (fogo, queda de energia, uma inundao ou terremoto).

Anlise das Ameaas


Classificao das Ameaas
As ameaas que podem ser oferecidas pelo ambiente ao qual o sistema est exposto podem ser classificadas em:
naturais e fsicas; no-intencionais; e intencionais.

Anlise das Ameaas


Ameaas Naturais e Fsicas
So ameaas s quais todos os equipamentos ou instalaes fsicas de uma organizao podem estar sujeitas: fogo, inundaes, quedas de energia. Normalmente difcil evitar a ocorrncia de tais eventos. Pode-se minimizar as chances de que o estrago seja severo, e tambm fazer o planejamento para a recuperao aps a ocorrncia de um desastre de ordem natural.

Anlise das Ameaas


Ameaas No Intencionais
So os perigos trazidos pela ignorncia. Por exemplo:
um usurio ou administrador de um ativo de informao que no tenha sido treinado; que no tenha lido a documentao; ou que no tenha entendido a importncia do cumprimento das regras de segurana estabelecidas.

A maior parte dos danos causados nos sistemas de informao surgem pela ignorncia dos seus usurios ou administradores e no por aes maliciosas.

Anlise das Ameaas


Ameaas Intencionais
So as ameaas que viram notcias de jornal e sobre as quais os produtos de segurana melhor podem atuar. As ameaas intencionais podem surgir a partir de dois tipos de viles: internos ou externos. Viles externos incluem:
Criminosos profissionais Hackers Terroristas Empresas competidoras

Anlise das Ameaas


Ameaas Intencionais
Viles externos podem ter acesso a um sistema de vrias formas: arrombamento, falsificao de documentos de identificao, atravs de modems ou conexes de rede ou ainda atravs do suborno ou coao de pessoal interno. A maior parte dos problemas de segurana so provocados por viles internos: Os inimigos j esto dentro da nossa organizao -- ns os contratamos!

Anlise das Ameaas


Determinao das Ameaas
Ativos de Informao

Servios de Segurana
Confidencialidade Ameaas Integridade Disponibilidade

... ... Ameaas ... ... Ameaas ... ...

Anlise dos Riscos


Princpios Bsicos
A probabilidade de uma determinada ameaa vir a explorar uma vulnerabilidade existente, consiste em um risco para o ativo de informao envolvido.

Anlise dos Riscos


Princpios Bsicos
Uma vez tendo sido identificadas as vulnerabilidades do ambiente e as ameaas potenciais, possvel quantificar a probabilidade de ocorrncia dos riscos existentes. A complexidade desta atividade funo do nvel de detalhamento desejado.

Anlise dos Riscos


Classificao dos Riscos
Nvel de ocorrncia da Probabilidade
Alto

Definio

A origem da ameaa est altamente motivada e suficientemente capaz, e os controles para proteger a vulnerabilidade envolvida so ineficientes. A origem da ameaa est motivada e tem capacidade, mas os controles para proteo da vulnerabilidade envolvida podem impedir sua explorao. A origem da ameaa tem baixa motivao ou baixa capacidade, ou ainda, os controles existentes para proteo da vulnerabilidade envolvida so 800-30, 2001. Fonte: NIST Special Publication suficientemente capazes de impedir sua explorao.

Mdio

Baixo

Anlise dos Riscos


Reviso Constante dos Riscos
O trabalho de anlise de risco deve ser feito constantemente. Novas ameaas podem surgir, vulnerabilidades no identificadas em primeiras anlises podem ser notadas em revises futuras, e as probabilidades de ocorrncia das ameaas podem ser alteradas. Sempre que forem feitas mudanas significativas no sistema, uma nova anlise de risco deve ser feita.

Anlise dos Riscos


Riscos no podem ser Eliminados
Os riscos podem ser identificados, quantificados e ento reduzidos, mas no possvel elimin-los completamente. No importa quo seguro se faa um sistema, sua segurana sempre poder ser quebrada dados suficientes recursos, tempo, motivao e dinheiro.

Anlise dos Riscos


=
Bens ou Recursos

Vulnerabilidades Ameaas Riscos

...

...

Anlise de Vulnerabilidades, Ameaas e Riscos

Anlise de Custo/Benefcio
Aps se completar a anlise de risco, necessria a realizao de uma Anlise de Custo-Benefcio. Esta anlise consiste na determinao do custo gerado caso uma ameaa se concretize, denominado Custo da Perda, e na determinao do custo do estabelecimento de mecanismos de defesa contra a ameaa, denominado Custo da Proteo.

Anlise de Custo/Benefcio
O Custo da Perda
O clculo de custos uma tarefa complicada. Um clculo simples pode considerar apenas o custo de reparo ou substituio de um item. Clculos mais complexos podem considerar o custo de se ter o equipamento fora de uso, o custo de treinamento adicional, o custo do estabelecimento de novos procedimentos e o custo devido m publicidade.

Anlise de Custo/Benefcio
O Custo da Perda
Na prtica podem ser estabelecidos nveis de custo para a quantificao de um determinado item afetado pela ocorrncia de uma ameaa.
Por exemplo, a perda de uma dezena de fitas magnticas pode representar um custo abaixo de $500. No entanto, a ocorrncia de um incndio na sala dos computadores pode significar um custo maior que $1.000.000.

Anlise de Custo/Benefcio
O Custo da Perda
Alguns itens ainda podem ser classificados como irreparveis ou insubstituveis.
Por exemplo, a perda de todas as fitas dos backups efetuados no sistema ou a sada do funcionrio que conhecia os detalhes do sistema.

Anlise de Custo/Benefcio
O Custo da Proteo
Deve ser considerado o custo associado utilizao de mecanismos de segurana que evitem ou minimizem a ocorrncia de danos decorrentes das ameaas. Por exemplo, o custo da perda no caso de uma falha momentnea no sistema de energia pode ser apenas relativo ao tempo em que os usurios ficaram parados. No entanto, o custo da proteo pode ser o da aquisio de um sistema ininterrupto de energia.

Anlise de Custo/Benefcio
>> ?
Bens ou Recursos

Riscos Custo da Perda Custo da Proteo

...

...

Conscientizao, Treinamento e Educao


Os rgos e agncias federais no podem assegurar a proteo da integridade, confidencialidade e disponibilidade da informao em ambientes de sistemas de informao com alta disponibilidade em redes de comunicao de dados, sem assegurar que cada pessoa envolvida entenda suas funes e responsabilidades e esteja adequadamente capacitada e treinada para as suas execues (NIST Special Publication 800-16, 1998, p. 3).

Conscientizao, Treinamento e Educao


(...) os programas de conscientizao so especialmente complexos pelo motivo de estarmos trabalhando com mudanas de comportamento das pessoas. Na maioria das vezes nos deparamos com situaes nas quais os funcionrios transferem para o ambiente de trabalho muitos dos conceitos e valores utilizados na sua vida particular, inclusive seus hbitos domsticos. (MARINHO, 2003)

Conscientizao, Treinamento e Educao

Conscientizao, Treinamento e Educao


INICIANTE

CONSCIENTIZAO

TREINAMENTO

INTERMEDIRIO

EDUCAO

AVANADO

Gesto da Segurana da Informao


Objetivo: Prover direo uma orientao e apoio para a segurana da informao.

Convm que a direo

estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao.
ISO/IEC 17799, 2001

Gesto da Segurana da Informao


a) Definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao; Declarao de comprometimento da alta direo, apoiando as metas e princpios da segurana da informao;

b)

ISO/IEC 17799, 2001

Gesto da Segurana da Informao


c) Breve explanao das polticas, princpios, padres e requisitos de conformidade de importncia especfica para a organizao; Definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana;

d)

ISO/IEC 17799, 2001

Gesto da Segurana da Informao


e) Referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.

ISO/IEC 17799, 2001

Trabalho de Concluso do Mdulo


1. 2. 3. IDENTIFICAR (NO MNIMO) 04 PROCESSOS DE NEGCIO EM UMA EMPRESA/ORGANIZAO REAL. RELACIONAR OS ATIVOS DE INFORMAO ASSOCIADOS AOS PROCESSOS DE NEGCIO. DESENVOLVER: a) b) c) 4. 5. 6. 7. 8. MAPEAMENTO DA RELAVNCIA ESTUDO DE IMPACTO CIDAL ESTUDO DE PRIORIDADES GUT

IDENTIFICAR AS VULNERABILIDADES RELACIONADAS AOS ATIVOS DE INFORMAO IDENTIFICADOS NOS PROCESSOS DE NEGCIO. REALIZAR, PARA CADA ATIVO DE INFORMAO, A DETERMINAO DAS AMEAAS. RELACIONAR AS AMEAAS IDENTIFICADAS S VULNERABILIDADES QUE POSSAM SER EXPLORADAS. REALIZAR A ANLISE DOS RISCOS ENVOLVIDOS. CONCLUIR PROPONDO UM CONJUNTO DE AES ESTRATGICAS EM SEGURANA DA INFORMAO PARA MINIMIZAR OS RISCOS (CONSIDERADOS ALTOS) .