Você está na página 1de 23

Módulo 3 – Conceitos

Riscos de Segurança, Processos de Avaliação e


Tratamento do Risco, Sistema de Gestão,
Sistema de Gestão de Segurança da Informação.
Riscos de Segurança

 Um risco de segurança é o potencial que uma dada ameaça irá explorar


vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos
 Exemplos...?

Nem sempre TI!


Os riscos podem ser técnicos de
equipamentos de pessoas e de
procedimentos.
Exemplos de Riscos de Segurança

 Interrupção da continuidade do negócio


 Indisponibilidade da informação
 Perda da integridade dos dados
 Perda ou roubo de informação
 Perda do controle do serviço
 Perda de credibilidade e imagem
 Perda da confidencialidade de dados
 Etc.
Processo de Tratamento do Risco

 Evitar o risco
 Transferir o risco (p. ex. seguro)
 Reduzir as vulnerabilidades
 Reduzir as ameaças
 Reduzir os possíveis impactos
 Detectar eventos indesejados, reagir e
recuperar
 Aceitar o risco (residual)
Exercício

Continuando o exercício anterior (MÓDULO 2): identifique os riscos de segurança, do seu


ponto de vista, para os 3 ativos para os quais você identificou: vulnerabilidades, ameaças
e probabilidades das ameaças atingirem as vulnerabilidades.

As respostas dependem de critérios pessoais por isso é importante que o profissional que
esteja realizando a análise busque padronizar seus conceitos antes de finalizar o
tratamento de riscos
Exercício resposta
Descrição Disponibilid. Integrid. Confidencial. Valor Comentário Vulnerabilidade Ameaças Probabilid Riscos
Metodo- Acarreta Não há pessoal Roubo,
logia dano, mas o de Segurança, Divulgação
processo Não há critérios
pode ser de contratação
executado para o pessoal
de apoio.

Servidor Peça chave Antivírus, Contaminaç


do processo desatualizado, ão por Vírus,
Backup Ataque de
inadequado e Hacker
Patches
Desatualizados

Servidor Peça chave Antivírus,


do processo desatualizado,
Backup
inadequado e
Patches
Desatualizados
Controles

A segurança eficaz normalmente requer a combinação das seguintes ações:


 Detecção
 Desencorajamento
 Prevenção
 Limitação
 Correção
 Recuperação
 Monitoramento
 Conscientização
Controles

Após a identificação dos riscos é necessário identificar os controles já existentes


na organização e verificar se o risco resultante após a utilização destes
controles é aceitável e só então deve-se avaliar a necessidade de novos
controles.
A norma ISO 17799 e a norma ISO 27001 identificam 133 controles que a
organização pode implementar, mas a organização não deve se restringir a
estes outros controles podem ser identificados.
Exemplo de controles da norma ISO 17799 e a norma ISO 27001 – Anexo A:

A.11.5 Controle de Acesso ao sistema operacional

 Procedimentos seguros de entrada no sistema (log on)


 Identificação e autenticação de usuário
 Sistema de gerenciamento de senha
 Uso de utilitários de sistema
 Desconexão de terminal por inatividade
 Limitação de horário de conexão
Avaliação de Risco e Controles

Ativos
Têm
Impacto Potencial
no Negócio
Valor
Porque têm Portanto é
valor são necessário
que se
defina
Vulneráveis
E por isso Requisitos de
podem ser Segurança
atacados por
Ameaças E

E correm

Controles
Riscos
Podendo provocar
Processos de Avaliação e Tratamento do Risco

Avaliação de risco
 Identificação e valorização dos ativos
 Identificação das vulnerabilidades
 Identificação das ameaças
 Avaliação de impactos que a perda de confidencialidade, integridade e
disponibilidade nos ativos pode causar
 Análise e avaliação dos riscos
 Priorização dos riscos

Tratamento de risco
 Definição do grau de garantia
 Revisão de controles existentes
 Identificação de novos controles
 Implementação dos novos controles
 Aceitação do risco residual

A cláusula 4.2.1 da ISO/IEC 27001:2005 estabelece:

Que uma avaliação de risco seja realizada para identificar ameaças aos ativos
Exercício
Continuando o exercício anterior onde foram identificados os riscos para 1 destes ativos
agora identifique do seu ponto de vista e dentro do seu conhecimento controles que
poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou
eliminar cada um destes riscos.
Resposta

Vamos considerar um servidor como exemplo, resgatando a análise do exercício anterior


teremos:

Descrição Disponibilid. Integrid. Confidencial. Valo Comentário Vulnerabilidade Ameaças Probabili Riscos
r d
Servidor Peça Antivírus, Contamina
chave do desatualizado ção por
processo , Backup Vírus,
inadequado e Ataque de
Patches Hacker
Desatualizad
os

E alguns controles possíveis serão apresentados no próximo slide >>>


Resposta
Controle Aplicação do Controle

Criar procedimento
automático para atualização
Criar Política adequada
para tratar o problema
Terceirizar a manutenção e
Controle contra Software atualização do sistema anti -
Malicioso vírus
Criar procedimento de
Backup
Controlar a disponibilidade
de espaço
Terceirizar procedimento de
Housekeeping backup
Criar procedimento para
atualização de patches
Terceirizar a informação e
Desenvolvimento e atualização dos softwares
Manutenção de Sistema Adquirir software IDS
O que é um Sistema de Gestão?
Definição de Sistema de Gestão
Um sistema de gestão é um sistema para estabelecer política e objetivos e
para atingir estes objetivos, utilizando:
 A estrutura organizacional
 Processos sistemáticos e recursos associados
 Metodologia de medição e avaliação
 Processo de análise crítica para assegurar que os problemas são corrigidos e
as oportunidades de melhoria são identificadas e implementadas quando
necessário

O que é monitorado pode ser medido


e o que é medido pode ser gerenciado
Elementos de um Sistema de Gestão

 Política (demonstração de compromisso e princípios para ação)


 Planejamento (identificação das necessidades, recursos, estrutura e
responsabilidades)
 Implementação e operação (construção da consciência organizacional e
treinamento)
 Avaliação de Desempenho (monitoramento e medição, auditoria e tratamento
de não-conformidades)
 Melhoria (ação preventiva e corretiva, melhoria contínua)
 Análise Crítica pela Direção
Normas de Sistemas de Gestão

 ISO/IEC 27001 – Segurança da Informação


 ISO/IEC 20000 – Gestão em TI
 ISO 9001 - Qualidade
 ISO 14001 - Ambiental
 OHSAS 18001 – Segurança e Saúde Ocupacional
 TL 9000 - Telecomunicações
 TS 16949 - Automotiva
 SAE AS 9100 – Aerospacial
 ISO 22001 - Alimentos
Sistema de Gestão de Segurança da Informação

SGSI
 Parte do sistema de gestão, baseado no enfoque de risco nos negócios, para
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a
segurança da informação
Projeto e Implementação
 Influenciados pelas necessidades e objetivos dos negócios, resultando em
requisitos de segurança, processos utilizados, tamanho e estrutura da
organização. Espera-se que o SGSI e os sistemas de apoio mudem com o
tempo.
Fatores Críticos do Sucesso
 Comprometimento e apoio visível de todos os níveis da direção
 Provisão de recursos para as atividades de gerenciamento da segurança da
informação
 Divulgação, conscientização, educação e treinamento adequados
 Política de segurança da informação, objetivos e atividades que refletindo os
objetivos do negócio
 Bom entendimento dos requisitos de segurança da informação, avaliação de risco
e gerenciamento de risco
Fatores Críticos do Sucesso

 Implementação, manutenção, monitoramento, e melhoria da segurança da


informação consistente com a cultura organizacional
 Estabelecer um processo eficaz de gestão de incidentes de segurança da
informação
 Implementação de um sistema de medição que seja usado para avaliar o
desempenho da gestão da segurança da informação e obtenção de
sugestões para a melhoria
Exercício
Indique se é verdadeiro ou falso:
1) ( ) Um sistema de gestão é um sistema para estabelecer política e objetivos
e para atingir estes objetivos
2) ( ) Análise crítica não é um elemento de um sistema de gestão
3) ( ) Um SGSI não deve mudar com o tempo
4) ( ) A estrutura da ISO 27001 está baseada no PDCA
5) ( ) Salvaguardar a confidencialidade, integridade,
e disponibilidade da informação escrita, falada e eletrônica é o objetivo da
ISO 27001
6) ( ) As necessidades do negócio influenciam o projeto e a implantação de um
SGSI
7) ( ) O SGSI é parte do sistema de gestão global da organização
Resposta
Indique se é verdadeiro ou falso:
1) ( V ) Um sistema de gestão é um sistema para estabelecer política e
objetivos e para atingir estes objetivos
2) ( F ) Análise crítica não é um elemento de um sistema de gestão
3) ( F ) Um SGSI não deve mudar com o tempo
4) ( V ) A estrutura da ISO 27001 está baseada no PDCA
5) ( V ) Salvaguardar a confidencialidade, integridade,
e disponibilidade da informação escrita, falada e eletrônica é o objetivo da
ISO 27001
6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de
um SGSI
7) ( V ) O SGSI é parte do sistema de gestão global da organização
Fim do Módulo 3