Você está na página 1de 14
Gestão de Segurança da Informação Aula 5 – Classificação da Informação e Gestão de Riscos
Gestão de Segurança da Informação Aula 5 – Classificação da Informação e Gestão de Riscos
Gestão de Segurança da Informação Aula 5 – Classificação da Informação e Gestão de Riscos
Gestão de Segurança da
Informação
Aula 5 – Classificação da Informação e Gestão
de Riscos
Prof. Paulo Gontijo
Conteúdo: Classificação da Informação e Gestão de Riscos 1. Breve introdução 2. Classificação da

Conteúdo:

Classificação da Informação e Gestão de Riscos

1.

Breve introdução

2.

Classificação da informação

3.

Identificação de riscos

4.

Tratamento de riscos

Breve introdução Por que priorizar? • De empresas pequenas as grandes, não é possível fazer

Breve introdução

Por que priorizar?

De empresas pequenas as grandes, não é possível fazer tudo de uma só vez

Fazer o que importa e não o que é mais na modaou simples é o que permitirá

sua empresa estar realmente segura

Implantar um firewall de ultima geração, um antivírus robusto e soluções de

detecção ou prevenção de intrusos é importante mas pode ser que sua empresa

precise de algo mais simples e barato para o curto prazo

O dinheiro é sempre limitado

Breve introdução E o que devo fazer para priorizar? Classifique a informação Faça uma análise

Breve introdução

E o que devo fazer para priorizar?

Classifique a informação

Faça uma análise de riscos

Classifique a informação Faça uma análise de riscos Te permitirá saber o que é informação pública
Classifique a informação Faça uma análise de riscos Te permitirá saber o que é informação pública

Te permitirá saber o que é

informação pública e o que é

confidencial, permitindo assim definir controles para proteção

da informação

Te permitirá saber o que tem

mais urgencia e importancia

criando assim sua priorização.

Classificação da informação  Se para toda a informação usarmos os melhores controles (backup, antivírus,

Classificação da informação

Se para toda a informação usarmos os melhores controles (backup, antivírus, controle de acesso, firewall,

auditoria, etc.), o custo e o prazo irão aumentar muito!!!

Portanto:

Realize investimentos em melhoria de controles de

segurança apenas após saber que tipo de proteção dada

informação precisa.

Classificação da Informação A informação pode ser crítica de acordo com algumas variáveis: - Divulgação

Classificação da Informação

A informação pode ser crítica de acordo com algumas

variáveis:

- Divulgação Focar em controle de acesso

- Indisponibilidade Focar em site backup

- Integridade Focar em hash e controle de acesso

- Perda Focar em backup

Classificação da informação O que devo fazer para classificar a informação? 1) Crie o Regulamento

Classificação da informação

O que devo fazer para classificar a

informação?

1)

Crie o Regulamento de Classificação da Informação

2)

Escolha um processo de negócio

3)

Mapeie as informações que suportam o processo

4)

Defina o proprietário e o custodiante da informação

Identificação de riscos  Você protegeria gastaria R$ 1MM para proteger um servidor de impressão?

Identificação de riscos

Você protegeria gastaria R$ 1MM para proteger um

servidor de impressão?

1) Escolha o processo de negócio (ex: atendimento via chat) 2) Identifique os riscos 3) Decida a estratégia: eliminar, mitigar ou aceitar 4) Implante a estratégia

Identificação de riscos Risco Indicador Probabilidade Impacto Grau de Risco Indisponibilidade

Identificação de riscos

Risco

Indicador

Probabilidade

Impacto

Grau de

Risco

Indisponibilidade

Monitor de downtime > 1h

2 (Média)

 

3

(Alto)

6

 

Monitor de

     

Invasão

integridade

1 (Baixa)

 

3

(Alto)

3

Ausência de

       

Operadores

Folha de ponto < 90%

1 (Baixa)

2

(Médio)

2

 

Atendimentos/Min

     

Upgrade de software

pós atualização

1 (Baixa)

2

(Médio)

2

Identificação de riscos Dashboard executivo de risco Report Diretoria 3 6 9 Report Gerencia Report

Identificação de riscos

Dashboard executivo de risco

Report Diretoria 3 6 9 Report Gerencia Report Equipe 2 4 6 1 2 3
Report Diretoria
3
6
9
Report Gerencia
Report Equipe
2
4
6
1
2
3
Priorizando economizamos
Identificação de riscos Risco Probabilidade Impacto Grau de Risco Indisp. Roteador 1 (Baixa) 3 (Alto)

Identificação de riscos

Risco Probabilidade Impacto Grau de Risco Indisp. Roteador 1 (Baixa) 3 (Alto) 3 Indisp. Servidor
Risco
Probabilidade
Impacto
Grau de
Risco
Indisp. Roteador
1
(Baixa)
3 (Alto)
3
Indisp. Servidor
3 (Alta)
3
(Alto)
9
Indisp. Falta Energia
1
(Baixa)
2 (Médio)
2
Indisp. Link
Operadora
1 (Baixa)
3
(Alto)
3
Identificação de riscos Dashboard operacional de risco Prioridade 1 3 6 9 Prioridade 2 Prioridade

Identificação de riscos

Dashboard operacional de risco

Prioridade 1 3 6 9 Prioridade 2 Prioridade 3 2 4 6 1 2 3
Prioridade 1
3
6
9
Prioridade 2
Prioridade 3
2
4
6
1
2
3
Priorizando economizamos
Tratamento de riscos Iremos mitigar, aceitar ou eliminar o risco? Aceitar: Não executar nada Mitigar:

Tratamento de riscos

Tratamento de riscos Iremos mitigar, aceitar ou eliminar o risco? Aceitar: Não executar nada Mitigar: Trocar

Iremos mitigar, aceitar ou eliminar o risco?

Aceitar: Não executar nada

Mitigar: Trocar a fonte ou o HD do servidor

Eliminar: Configurar servidor redundante em Data Center externo

Resumo e conclusões da aula

Resumo e conclusões da aula Nesta aula vimos  A importância da classificação da informação 
Resumo e conclusões da aula Nesta aula vimos  A importância da classificação da informação 

Nesta aula vimos

A importância da classificação da informação

Como identificar e tratar riscos

Como priorizar ações para otimizar investimentos

Na próxima aula veremos

A importância de se desenvolver seguro na primeira vez

O papel do ethical hacker nas organizações

Como implantar criptografia em aplicações