Escolar Documentos
Profissional Documentos
Cultura Documentos
INSTITUTO DE INFORMTICA
CURSO DE ESPECIALIZAO EM TECNOLOGIAS, GERNCIA E
SEGURANA DE REDES DE COMPUTADORES
AGRADECIMENTOS
Agradeo acima de tudo a Deus que, com sua infinita misericrdia, permitiu a
realizao desta obra. Agradeo, com carinho, a minha esposa Eloisa Cludia por ter
permanecido sempre ao meu lado e por suas oraes, e aos meus filhos, Isaas e Isadora,
que, com sabedoria e pacincia, souberam esperar o papai. Por fim, agradeo empresa
TMSA - Tecnologia em Movimentao, em especial aos seus diretores e colaboradores,
cuja oportunidade e crdito foram fundamentais para a concluso deste trabalho.
SUMRIO
BCM
BIA
COBIT
IBGC
IDS
IPS
ITC
ITGI
IT Governance Institute
ITIL
MOF
NIST
OCTAVE
OGC
TIC
LISTA DE FIGURAS
LISTA DE TABELAS
RESUMO
ABSTRACT
This article has the purpose to evidence of practical and applicable way a risks
management methodologies and how its processes are useful to an organization to
assess, to mitigate and to evaluate the risks that can affect your businesses. This
document intent organize best practices of risks management, including norms, patterns
examples of controls, vulnerabilities, threats and references that can be used in the
implementation of management of risk process.
The organizations have been concerned about important role of the information
technology and communication (ITC) to accomplish the business-oriented objectives.
Moreover, the privacy protection laws, financial obligations and the Corporative
Governance have demanded that the organizations manage its ITC infrastructures with
the caution and the effectiveness never before seen, in order to not place at risk itself,
partners, collaborators, customers, suppliers and society, through not accomplishment of
legal and contractual responsibilities.
Manage infrastructures security and the associated commercial values have become
the main challenge of the ITC departments. However, the high levels of integration and
the sharing of aggressive environments of current ITC infrastructures require fast and
necessary incidents response that can import risk of damages to the companies. Most of
the time, the organizations are not sufficiently prepared to react with effectiveness
against the threats, in other words, in the skillful time to prevent that its businesses are
injured.
Characterized for the preservation of information confidentiality, integrity and
availability, the information security protects the organization assets aiming at to the
continuity, reducing damages and increasing the business investments and
opportunities.
The main source that an organization has to identify security requirements is derived
from the risks assessment, which is part of general and continuous risks management
process, whose purpose is to reduce risks the acceptable levels for the organization.
Keywords: risk management, information security, corporative governance,
information
technology
and
communication
governance.
11
1 INTRODUO
12
13
14
Figura 1.5: Fases do ciclo de vida dos servios de TIC e funes de gesto de servio
(BROEKARTS, 2008).
15
16
2 GERENCIAMENTO DE RISCOS
Fundamentos de sucesso
17
2.1.2
Papis principais
18
Etapas do processo
19
20
21
22
Caracterizao do ambiente
23
24
ameaa para uma organizao pode no ser para outra, desta forma, aspectos culturais e
relacionados ao ambiente precisam ser considerados (ABNT, 2008)
Uma lista de possveis fontes de ameaas que podem explorar vulnerabilidades na
infra-estrutura e nos sistemas o produto deste processo.
2.2.3
Identificao de Vulnerabilidades
Testes e simulaes;
Auditorias em cdigos-fonte;
Critrios de Segurana
Capacidade de resposta a incidentes;
Anlise crtica dos controles e indicadores;
Segurana Gerencial
Avaliao de riscos;
Treinamentos tcnicos em segurana;
Definio e segregao de responsabilidades;
Planos de segurana de sistemas ou recursos;
25
Segurana Tcnica
IDS's;
Auditoria de sistemas;
Monitoramento do ambiente de rede;
Sistema de antivrus;
Atualizao de sistemas.
Fonte: STONEBURNER, 2002, p. 18.
Anlise de Controles
Este passo tem como objetivo avaliar os controles existentes ou planejados para
minimizar ou eliminar chances de uma ameaa explorar determinada vulnerabilidade.
Para que se evitem custos e retrabalhos, conveniente que os controles existentes
sejam identificados e avaliados quanto sua a eficcia. Controles existentes podem ser
considerados ineficazes, insuficientes ou no-justificveis, devendo estes ser avaliados
quanto a sua substituio ou manuteno no ambiente (ABNT, 2008).
Informaes de controles podem ser obtidas: pela anlise de documentos dos
processos de gesto de segurana da informao; juntamente com responsveis pela
segurana da informao, responsveis pelas instalaes, segurana predial ou usurios;
e pela averiguao da efetividade de funcionamento dos controles utilizados (ABNT,
2008).
O produto da anlise de controle uma lista de controles utilizados para reduzir a
probabilidade de uma ameaa explorar uma vulnerabilidade ou de reduzir o dano
causado por um evento no desejado.
26
2.2.5
Definio de Probabilidades
Anlise de Impacto
27
A Figura 2.1 mostra uma representao grfica de uma anlise de impacto, que varia
conforme aplicao de planos de contingncia no decorrer do tempo:
Figura 2.7: Representao grfica dos impactos nos negcios (BARTLETT, 2003).
O impacto adverso de um evento pode ser descrito como a perda e/ou degradao da
integridade, disponibilidade ou confidencialidade da informao. Impactos tangveis
podem ser mensurados quantitativamente utilizando-se uma unidade de medida
conhecida, como: perda de desempenhos, custos de manuteno ou tempo gasto para
corrigir problema.
Outros, de difcil mensurao, podem ser definidos
qualitativamente como alto, mdio ou baixo impacto, classificados conforme grandeza
dos custos pela perda dos ativos ou recursos, significncia do dano em relao misso
ou reputao da empresa, ou prejuzos a vida humana (STONEBURNER, 2002).
As abordagens quantitativa e qualitativa apresentam benefcios e inconvenincias
que precisam ser consideradas na avaliao de riscos. A organizao deve optar pelo
uso individual ou por combinao de ambas, conforme seus requisitos e nveis de
exigncia.
Tabela 2.2: Vantagens e desvantagens das abordagens quantitativa e qualitativa
Quantitativa
Vantagens
Qualitativa
Os riscos e os ativos so
avaliados de acordo com o
impacto financeiro;
Permite a visibilidade e a
compreenso da
classificao de riscos;
Os resultados facilitam o
gerenciamento de riscos
graas ao retorno do
investimento em segurana;
Maior facilidade de
chegar a um consenso;
No necessrio
quantificar a freqncia
da ameaa;
No necessrio
determinar os valores
financeiros dos ativos;
Maior facilidade de
envolver pessoas que
no sejam especialistas
em segurana ou
28
computadores.
Os valores do impacto
atribudo ao risco podem ser
baseados na opinio
subjetiva dos participantes;
Dificuldade de justificar
o investimento na
implementao de
controles, pois no h
valores bsicos para
realizar a anlise de
custo/benefcio;
Os resultados dependem
da qualidade da equipe
de gerenciamento de
riscos formada.
A definio dos riscos pode ser expressa por uma combinao de trs argumentos: a
possibilidade de explorao de uma vulnerabilidade; o impacto ao negcio devido
ocorrncia de um evento adverso; e pela efetividade do controles de segurana
utilizados para reduzir ou eliminar riscos (STONEBURNER, 2002).
O nvel e a escala do risco podem ser demonstrados a partir de uma matriz, onde os
argumentos supracitados so cruzados de modo a mensurar um determinado risco. A
Figura 2.8 mostra um exemplo bsico de uma classificao de risco levando em conta a
abordagem qualitativa do impacto ao negcio e da probabilidade de ocorrncia de um
evento indesejado.
29
Recomendaes de Controle
Como o controle pode ser auditado e monitorado para garantir sua efetividade?
Existem outras aes que podem ser tomadas para gerenciar o risco?
30
Preveno de riscos
Separao de tarefas e
restries de privilgios;
Documentao de planos e
procedimentos de
segurana;
Treinamentos de
segurana e campanhas de
conscientizao de
usurios;
Sistemas e processos para
fornecimento e
cancelamento de usurios;
Processos para conceder
acessos a contratados,
fornecedores, parceiros e
clientes.
Operacional
Tecnolgico
Autenticao: processo
de validao de
credenciais;
Autorizao: processo
de concesso de acesso
a determinadas
informaes, servios
ou funcionalidades;
Sistemas de fornecimento
de energia redundantes;
Sistemas de proteo
contra incndio;
Sistemas de controle de
temperatura e umidade;
Controle de acesso mdia
e procedimentos de
descarte;
Sistemas de backup e com
opo de armazenamento
externo.
No-repdio: tcnica
usada para impedir
negao de autoria;
Controle de acesso:
mecanismo para limitar
o acesso com base na
identidade ou na
participao em grupos
predefinidos;
Comunicaes
protegidas por sesses
criptografadas.
31
Gerenciamento de riscos
Deteco/Recuperao de riscos
Aplicao contnua do
processo gesto de riscos;
Anlises contnuas de
verificao dos controles;
Auditorias peridicas de
configurao e integridade
dos sistemas;
Investigao de histrico
pessoal e profissional dos
futuros funcionrios;
Segurana fsica,
defendendo a organizao
contra invasores que
tentam acessar suas
instalaes;
Segurana ambiental,
protegendo a organizao
contra ameaas ambientais
como inundaes e
incndios.
Sistemas de auditoria e
monitorao de
sistemas;
Programas antivrus;
Ferramentas de
verificao de
integridade de sistemas.
Estabelecimento de
rodzio de tarefas para
identificar aes malintencionadas.
Planejamento de resposta a
incidentes, possibilitando
rpida reao e
recuperao de violaes
de segurana,
minimizando o impacto e
impedindo o alastramento
a outros sistemas;
Planejamento de
continuidade dos negcios,
permitindo que a
organizao se recupere de
eventos catastrficos que
afetam uma grande parte
da infra-estrutura de TIC.
Ferramentas de
administrao de
segurana de sistemas
operacionais e
aplicativos comerciais;
Criptografia;
Identificao de
usurios e processos
exclusivos;
Protees inerentes ao
sistema, desenvolvidas
dentro dos sistemas
para proteger as
informaes nele
processadas ou
armazenadas.
32
33
Figura 2.11: Viso geral da fase de suporte s decises do Security Risk Management
Guide (DILLARD, 2004).
A metodologia de mitigao de risco abaixo descreve uma abordagem de como uma
organizao pode proceder para escolher e utilizar controles (STONEBURNER, 2002):
34
2.3.2.1Priorizao de Aes
Entrada: os nveis dos riscos definidos na etapa de avaliao de riscos.
Ao: organizar as aes, dando
impacto/probabilidade seja significativa.
prioridade
aos
riscos
cuja
relao
35
36
37
3 CONCLUSO
A dependncia tecnolgica das organizaes nos tempos atuais fez com que um
ramo da Governana Corporativa migrasse para dentro dos departamentos de
informtica. A sustentabilidade dos negcios atravs dos pilares da infra-estrutura
tecnolgica incumbncia da Governana de TIC, que tem no Gerenciamento de Riscos
em Segurana em Segurana da Informao seu balizador de decises e guia de aes
de segurana.
O processo de gerenciamento de riscos em sistemas de tecnologia de informao e
comunicao responsabilidade direta da alta direo, que tem a misso de fazer com
que organizao atenda s expectativas da sociedade que dela depende.
O sucesso do ciclo de gerenciamento de riscos subordinado intrnseco cultura
organizacional. So papeis dos acionistas o apoio e o fomento ao programa de gesto de
riscos de segurana. Cada unidade de negcio, departamento e usurio pea
fundamental de um processo que necessita ser continuamente multiplicado e melhorado.
Este artigo focou-se em destacar, seno indicar, as boas prticas de gerenciamento
de riscos disponveis, e organiz-las de tal forma que possibilite sua aplicao dentro
das organizaes. Foram disponibilizadas, tambm, farta documentao de apoio nos
ANEXOS e APNDICES, visando auxiliar s equipes de gesto de riscos.
38
REFERNCIAS
39
http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=46288
Acesso em: nov. 2008.
>.
40
GLOSSRIO
41
42
43
A Tabela A.1 contm exemplos de ameaas tpicas que pode ser utilizada no
processo de avaliao de ameaas. Ameaas podem ser: (I) intencionais, que indica as
aes intencionais direcionadas contra os ativos da informao; (A) acidentais, que
indica as aes de origem humana que podem comprometer acidentalmente e os ativos
da organizao; ou de origem (N) natural ou ambiental, que indica incidentes que no
so provocados pela ao dos seres humanos (ABNT, 2008):
Tabela A.1: Exemplos de ameaas comuns
Tipo
Dano Fsico
Eventos naturais
Paralisao de
servios essenciais
Distrbio causado
por radiao
Comprometimento
da informao
Ameaa
Fogo
gua
Poluio
Acidente grave
Destruio de equipamento ou mdia
Poeira, corroso ou congelamento
Fenmeno climtico
Fenmeno ssmico
Fenmeno vulcnico
Fenmeno meteorolgico
Inundao
Falha do condicionador de ar
Interrupo no suprimento de energia
Falha do equipamento de telecomunicaes
Radiao eletromagntica
Radiao trmica
Pulsos eletromagnticos
Interceptao de sinais
Espionagem distncia
Escuta no autorizada
Furto de mdia ou documentos
Furto de equipamentos
Recuperao de mdia reciclada ou descartada
Divulgao indevida
Dados de fones no confiveis
Alterao do hardware
Alterao do software
Determinao da localizao
Origem
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
A, I, N
N
N
N
N
N
A, I
A, I, N
A, I
A, I, N
A, I, N
A, I, N
I
I
I
I
I
I
A, I
A, I
I
A, I
I
44
Falhas tcnicas
Aes no
autorizadas
Comprometimento
de funes
Falha de equipamento
Defeito de equipamento
Saturao do sistema de informao
Defeito de software
Violao das condies de uso do sistema de
informao que possibilitam sua manuteno
Uso no autorizado de equipamento
Cpia ilegal de software
Uso de cpias de software falsificadas ou ilegais
Comprometimento dos dados
Processamento ilegal dos dados
Erro durante o uso
Forjamento de direitos
Abuso de diretos
Repdio de aes
Indisponibilidade de recursos humanos
Fonte: ABNT, 2008, p. 39-40.
A
A
A, I
A
A, I
I
I
A, I
I
I
A
A, I
I
I
A, I, N
Hacher, cracker
Criminosos
digitais
Motivao
Desafio
Egocentrismo
Protesto
Rebeldia
Status
Dinheiro
Destruio de informaes
Acesso a dados sigilosos
Divulgao ilegal de informaes
Ganho monetrio
Alteraes no autorizadas de
dados
Possveis Conseqncias
Terroristas
Chantagem
Destruio
Vingana
Explorao
Ganho poltico
Hacking;
Engenharia social;
Negao de servio;
Pichao de sites;
Invaso de sistemas,
infiltraes;
Acesso no autorizado.
Atos virtuais
fraudulentos
(interceptao de
dados, ataque homemno-meio, IP spoofing,
etc.);
Intruso de sistemas.
Suborno por
informao;
Ataques a sistemas
(negao de servio);
Ataques com bombas;
Guerra de informao;
Ataques a sistemas
(negao de servio
distribudo);
45
Cobertura da mdia
Espies
Pessoas: mal
treinadas,
insatisfeitas, malintencionadas,
negligentes,
imprudentes,
desonestas,
demitidas.
Vantagem competitiva
Espionagem econmica
Curiosidade
Egocentrismo
Informaes para servio de
Inteligncia
Ganhos financeiros
Vingana
Aes no intencionais ou omisses
(erro na entrada de dados, erro na
programao).
Invaso e dominao
de sistemas;
Alterao de sistemas.
Garantir vantagem de
um posicionamento
defensivo;
Garantir uma vantagem
poltica;
Explorao econmica;
Furto de informaes;
Violao da
privacidade das
pessoas;
Engenharia social;
Invaso de sistemas;
Invaso de privacidade;
Acessos no
autorizados em
sistemas (acesso a
informao restrita, de
propriedade exclusiva,
e/ou relativa
tecnologia).
Agresso a funcionrio;
Chantagem;
Busca de informao
sensvel;
Abuso dos recursos
computacionais;
Fraudes;
Furto de ativos;
Suborno de
informao;
Incluso de dados
falsos;
Corrupo de dados;
Interceptao de
informao;
Desvio de informao;
Uso de programas ou
cdigos maliciosos;
Sabotagens;
Invaso de sistemas;
Acessos no
autorizados a sistemas.
46
Hardware
Exemplos de vulnerabilidades
Manuteno insuficiente ou instalao
defeituosa de mdia de armazenamento
Software
Exemplos de ameaas
Violao das condies de
uso do sistema de
informao que
possibilitam sua
manuteno
Destruio de
equipamento ou mdia
Poeira, corroso,
congelamento.
Radiao eletromagntica
Erro durante o uso
Interrupo do suprimento
de energia
Fenmeno meteorolgico
Furto de mdia ou
documentos
Furto de mdia ou
documentos
Furto de mdias ou
documentos
Abuso de direitos
Abuso de diretos
Abuso de direitos
Abuso de direitos
47
Rede
Recursos
humanos
No identificao e no autenticao do
emissor ou receptor
Arquitetura insegura da rede
Transferncias de senhas em claro
Gerenciamento de rede inadequado,
quanto configurao de roteamentos
Conexes de redes pblicas
desprotegidas
Ausncia de recursos humanos
Abuso de direitos
Abuso de diretos
Comprometimento dos
dados
Comprometimento dos
dados
Erro durante uso
Erro durante uso
Erro durante uso
Erro durante uso
Forjamento de direitos
Forjamento de diretos
Forjamento de direitos
Processamento ilegal de
dados
Defeito de software
Defeito de software
Defeito de software
Alterao do software
Alterao do software
Furto de mdia ou
documentos
Uso no autorizado de
equipamento
Repdio de aes
Escuta no autorizada
Escuta no autorizada
Falha do equipamento de
telecomunicao
Falha do equipamento de
telecomunicao
Forjamento de diretos
Espionagem distncia
Espionagem a distncia
Saturao do sistema de
informao
Uso no autorizado de
equipamento
Indisponibilidade de
recursos humanos
48
Local ou
instalaes
Procedimentos de recrutamento
inadequados
Treinamento insuficiente em segurana
Uso incorreto de software e hardware
Falta de conscientizao em segurana
Inexistncia de mecanismos de
monitoramento
Trabalho no supervisionado de pessoal
de limpeza ou de terceirizados
Inexistncia de polticas pra o uso
correto de meios de telecomunicao e
de troca de mensagens
Uso inadequado de mecanismos de
controle de acesso fsico a locais
sensveis
Localizao em rea suscetvel a
inundaes
Fornecimento de energia instvel
Indisponibilidade de
recursos humanos
Erro durante o uso
Erro durante o uso
Erro durante o uso
Processamento ilegal dos
dados
Furto de mdia ou
documentos
Uso no autorizado de
recurso
Destruio de
equipamento ou mdia
Inundao
Interrupo de suprimento
de energia
Inexistncia de mecanismos de proteo Furto de equipamentos
fsica no prdio portas e janelas
Inexistncia de um procedimento
Abuso de direitos
formal para o registro de remoo de
usurios
Inexistncia de processo formal para a
Abuso de direitos
anlise crtica dos direitos de acesso
Provises de segurana insuficientes o
Abuso de direitos
inexistentes em contratos com clientes
e/ou terceiros
Inexistncia de procedimentos de
Abuso de direitos
monitoramento das instalaes de
processamento de informaes
Inexistncia de auditorias peridicas
Abuso de direitos
Inexistncia de procedimentos para a
Abuso de direitos
Organizao identificao e anlise/avaliao de
riscos
Inexistncia de relatos de falha nos
Abuso de direitos
arquivos de auditoria das atividades de
administradores e operaes
Resposta inadequada do servio de
Violao das condies de
manuteno
uso do sistema de
informao
Acordo de nvel de servio (SLA)
Violao das condies de
inexistncia ou ineficaz
uso do sistema de
informao
Controle de mudanas inexistente ou
Violao das condies de
ineficaz
uso do sistema de
informao
49
Comprometimento dos
dados
Repdio de aes
50
Acordos de
confidencialidade
51
Classificao da informao
Objetivo: assegurar que a informao receba um nvel adequado de proteo.
Controle
Recomendaes
de classificao
Termos e
condies de
contratao
Durante a contratao
Objetivo: assegurar que os funcionrios, fornecedores e terceiros esto
conscientes das ameaas e preocupaes relativas segurana da informao, suas
responsabilidades e obrigaes, e esto preparados para apoiar a poltica de
segurana da informao durante seus trabalhos para reduzir riscos operacionais.
Controle
A direo deve solicitar aos funcionrios, fornecedores
Responsabilidades
e
terceiros
que pratiquem a segurana da informao de
da direo
acordo com o que foi definido nas polticas e
procedimentos da organizao.
Conscientizao,
educao e
Controle
Todos os funcionrios, e onde quando pertinente
52
treinamento
Processo
disciplinar
Devoluo de
ativos
Retirada de
direitos de acesso
reas seguras
Objetivo: prevenir acesso fsico no autorizado, danos e interferncias com as
instalaes e informaes da organizao.
Controle
Controle de
entrada fsica
Proteo contra
Devem ser projetadas e aplicadas protees fsicas
ameaas externas e do contra incndio, exploses, perturbaes da ordem pblica
meio ambiente
e outras formas de desastres naturais ou causados pelo
homem.
Segurana de equipamentos
Objetivo: impedir perdas, danos, furto ou comprometimento de ativos e
53
Segurana do
cabeamento
Controle
Sistemas de gerenciamento de senhas devem ser
interativos e garantir senhas de qualidade.
Controle
Terminais inativos devem ser desconectados aps
perodo definido de inatividade.
54
CAIS - Centro de
<http://www.rnp.br/cais>
Secunia <http://www.secunia.com>
Computer
Atendimento
Emergency
a
Readiness
Incidentes
de
Team
Segurana
55
56