Módulo 3 – Conceitos

Riscos de Segurança, Processos de Avaliação e

Tratamento do Risco, Sistema de Gestão,
Sistema de Gestão de Segurança da Informação.
Riscos de Segurança

Um risco de segurança é o potencial que uma dada ameaça irá explorar

vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos

Exemplos...?

Nem sempre TI!

Os riscos podem ser técnicos de
equipamentos de pessoas e de
procedimentos.
Exemplos de Riscos de Segurança

Interrupção da continuidade do negócio

Indisponibilidade da informação

Perda da integridade dos dados

Perda ou roubo de informação

Perda do controle do serviço

Perda de credibilidade e imagem

Perda da confidencialidade de dados

Etc.
Processo de Tratamento do Risco

Evitar o risco

Transferir o risco (p. ex. seguro)

Reduzir as vulnerabilidades

Reduzir as ameaças

Reduzir os possíveis impactos

Detectar eventos indesejados, reagir e
recuperar

Aceitar o risco (residual)
Exercício

Continuando o exercício anterior (MÓDULO 2): identifique os riscos de segurança, do seu

ponto de vista, para os 3 ativos para os quais você identificou: vulnerabilidades, ameaças
e probabilidades das ameaças atingirem as vulnerabilidades.

As respostas dependem de critérios pessoais por isso é importante que o profissional que
esteja realizando a análise busque padronizar seus conceitos antes de finalizar o
tratamento de riscos
Exercício resposta
Descrição Disponibilid. Integrid. Confidencial. Valor Comentário Vulnerabilidade Ameaças Probabilid Riscos
Metodo- Acarreta Não há pessoal Roubo,
logia dano, mas o de Segurança, Divulgação
processo Não há critérios
pode ser de contratação
executado para o pessoal
de apoio.

Servidor Peça chave Antivírus, Contaminaç

do processo desatualizado, ão por Vírus,
Backup Ataque de
inadequado e Hacker
Patches
Desatualizados

Servidor Peça chave Antivírus,

do processo desatualizado,
Backup
inadequado e
Patches
Desatualizados
Controles

A segurança eficaz normalmente requer a combinação das seguintes ações:

Detecção

Desencorajamento

Prevenção

Limitação

Correção

Recuperação

Monitoramento

Conscientização
Controles

Após a identificação dos riscos é necessário identificar os controles já existentes

na organização e verificar se o risco resultante após a utilização destes
controles é aceitável e só então deve-se avaliar a necessidade de novos
controles.
A norma ISO 17799 e a norma ISO 27001 identificam 133 controles que a
organização pode implementar, mas a organização não deve se restringir a
estes outros controles podem ser identificados.
Exemplo de controles da norma ISO 17799 e a norma ISO 27001 – Anexo A:

A.11.5 Controle de Acesso ao sistema operacional

Procedimentos seguros de entrada no sistema (log on)

Identificação e autenticação de usuário

Sistema de gerenciamento de senha

Uso de utilitários de sistema

Desconexão de terminal por inatividade

Limitação de horário de conexão
Avaliação de Risco e Controles

Ativos
Têm
Impacto Potencial
no Negócio
Valor
Porque têm Portanto é
valor são necessário
que se
defina
Vulneráveis
E por isso Requisitos de
podem ser Segurança
atacados por
Ameaças E

E correm

Controles
Riscos
Podendo provocar
 Processos de Avaliação e Tratamento do Risco

Avaliação de risco

Identificação e valorização dos ativos

Identificação das vulnerabilidades

Identificação das ameaças

Avaliação de impactos que a perda de confidencialidade, integridade e
disponibilidade nos ativos pode causar

Análise e avaliação dos riscos

Priorização dos riscos

Tratamento de risco

Definição do grau de garantia

Revisão de controles existentes

Identificação de novos controles

Implementação dos novos controles

Aceitação do risco residual

A cláusula 4.2.1 da ISO/IEC 27001:2005 estabelece:

Que uma avaliação de risco seja realizada para identificar ameaças aos ativos
 Exercício
Continuando o exercício anterior onde foram identificados os riscos para 1 destes ativos
agora identifique do seu ponto de vista e dentro do seu conhecimento controles que
poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou
eliminar cada um destes riscos.
Resposta

Vamos considerar um servidor como exemplo, resgatando a análise do exercício anterior

teremos:

Descrição Disponibilid. Integrid. Confidencial. Valo Comentário Vulnerabilidade Ameaças Probabili Riscos
r d
Servidor Peça Antivírus, Contamina
chave do desatualizado ção por
processo , Backup Vírus,
inadequado e Ataque de
Patches Hacker
Desatualizad
os

E alguns controles possíveis serão apresentados no próximo slide >>>

Resposta
Controle Aplicação do Controle

Criar procedimento
automático para atualização
Criar Política adequada
para tratar o problema
Terceirizar a manutenção e
Controle contra Software atualização do sistema anti -
Malicioso vírus
Criar procedimento de
Backup
Controlar a disponibilidade
de espaço
Terceirizar procedimento de
Housekeeping backup
Criar procedimento para
atualização de patches
Terceirizar a informação e
Desenvolvimento e atualização dos softwares
Manutenção de Sistema Adquirir software IDS
O que é um Sistema de Gestão?
Definição de Sistema de Gestão
Um sistema de gestão é um sistema para estabelecer política e objetivos e
para atingir estes objetivos, utilizando:

A estrutura organizacional

Processos sistemáticos e recursos associados

Metodologia de medição e avaliação

Processo de análise crítica para assegurar que os problemas são corrigidos e
as oportunidades de melhoria são identificadas e implementadas quando
necessário

O que é monitorado pode ser medido

e o que é medido pode ser gerenciado
Elementos de um Sistema de Gestão

Política (demonstração de compromisso e princípios para ação)

Planejamento (identificação das necessidades, recursos, estrutura e
responsabilidades)

Implementação e operação (construção da consciência organizacional e
treinamento)

Avaliação de Desempenho (monitoramento e medição, auditoria e tratamento
de não-conformidades)

Melhoria (ação preventiva e corretiva, melhoria contínua)

Análise Crítica pela Direção
Normas de Sistemas de Gestão

ISO/IEC 27001 – Segurança da Informação

ISO/IEC 20000 – Gestão em TI

ISO 9001 - Qualidade

ISO 14001 - Ambiental

OHSAS 18001 – Segurança e Saúde Ocupacional

TL 9000 - Telecomunicações

TS 16949 - Automotiva

SAE AS 9100 – Aerospacial

ISO 22001 - Alimentos
Sistema de Gestão de Segurança da Informação

SGSI

Parte do sistema de gestão, baseado no enfoque de risco nos negócios, para
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a
segurança da informação
Projeto e Implementação

Influenciados pelas necessidades e objetivos dos negócios, resultando em
requisitos de segurança, processos utilizados, tamanho e estrutura da
organização. Espera-se que o SGSI e os sistemas de apoio mudem com o
tempo.
Fatores Críticos do Sucesso

Comprometimento e apoio visível de todos os níveis da direção

Provisão de recursos para as atividades de gerenciamento da segurança da
informação

Divulgação, conscientização, educação e treinamento adequados

Política de segurança da informação, objetivos e atividades que refletindo os
objetivos do negócio

Bom entendimento dos requisitos de segurança da informação, avaliação de risco
e gerenciamento de risco
Fatores Críticos do Sucesso

Implementação, manutenção, monitoramento, e melhoria da segurança da

informação consistente com a cultura organizacional

Estabelecer um processo eficaz de gestão de incidentes de segurança da
informação

Implementação de um sistema de medição que seja usado para avaliar o
desempenho da gestão da segurança da informação e obtenção de
sugestões para a melhoria
Exercício
Indique se é verdadeiro ou falso:
1) ( ) Um sistema de gestão é um sistema para estabelecer política e objetivos
e para atingir estes objetivos
2) ( ) Análise crítica não é um elemento de um sistema de gestão
3) ( ) Um SGSI não deve mudar com o tempo
4) ( ) A estrutura da ISO 27001 está baseada no PDCA
5) ( ) Salvaguardar a confidencialidade, integridade,
e disponibilidade da informação escrita, falada e eletrônica é o objetivo da
ISO 27001
6) ( ) As necessidades do negócio influenciam o projeto e a implantação de um
SGSI
7) ( ) O SGSI é parte do sistema de gestão global da organização
Resposta
Indique se é verdadeiro ou falso:
1) ( V ) Um sistema de gestão é um sistema para estabelecer política e
objetivos e para atingir estes objetivos
2) ( F ) Análise crítica não é um elemento de um sistema de gestão
3) ( F ) Um SGSI não deve mudar com o tempo
4) ( V ) A estrutura da ISO 27001 está baseada no PDCA
5) ( V ) Salvaguardar a confidencialidade, integridade,
e disponibilidade da informação escrita, falada e eletrônica é o objetivo da
ISO 27001
6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de
um SGSI
7) ( V ) O SGSI é parte do sistema de gestão global da organização
Fim do Módulo 3