INF-108

Segurana da Informao
Aula 02
Gesto de Segurana da Informao
Prof. Joo Henrique Kleinschmidt

(slides cedidos pelo Prof. Carlos Kamienski - UFABC)

Santo Andr, fevereiro de 2011

Gerenciamento e Avaliao de
Riscos

Terminologia
Risco

Possibilidade de sofrer perda ou dano; perigo

Ataque

acesso a dados ou uso de recursos sem autorizao

execuo de comandos como outro usurio
violao de uma poltica de segurana, etc,

Vulnerabilidade

uma falha que pode permitir a conduo de um ataque

Incidente

A ocorrncia de um ataque; explorao de vulnerabilidades

Ameaa

Qualquer evento que pode causar dano a um sistema ou rede

A existncia de uma vulnerabilidade implica em uma ameaa

Exploit code

Um cdigo preparado para explorar uma vulnerabilidade conhecida

Exemplos de Ameaas
Pessoas chaves para uma organizao
Ferimento, morte

Servidores de arquivos
Ataques DoS

Dados dos alunos

Acesso interno no autorizado

Equipamentos de produo
Desastre natural

Exemplos de Vulnerabilidades
Pessoas chaves para uma organizao
Sem controle de acesso

Servidores de arquivos
Aplicao incorreta de correes (patches)

Dados dos alunos

Terceirizados no averiguados

Equipamentos de produo
Controles fracos de acesso fsicos

Gerenciamento de Riscos
Estruturas de SI nas organizaes so criadas
para gerenciador riscos
Gerenciar riscos uma das responsabilidades dos
gestores da organizao
Todos os programas de gerenciamento de riscos
so baseados em dois processos
Identificao e avaliao de riscos
Controle (minimizao) de riscos

Conhecimento do Ambiente
Identificar, examinar e compreender
A informao e como ela processada, armazenada e
transmitida

Iniciar um programa detalhado de gerenciamento

de riscos
O gerenciamento de riscos um processo
Meios, salvaguardas e controles criados e
implementados no devem ser instale e esquea

Conhecimento do inimigo
Identificar, examinar e compreender
As ameaas

Gestores devem estar preparados

Para identificar as ameaas que oferecem riscos para
a organizao e a segurana dos seus ativos

O gerenciamento de riscos um processo

De avaliar os riscos de uma informao e determinar
como eles podem ser controlados (minimizados)

Gerenciamento de Riscos
O processo de identificar, medir, controlar e
minimizar os riscos de segurana a um nvel
proporcional ao valor dos ativos protegidos
(NIST)
Conjunto de atividades coordenadas para
direcionar e controlar um organizao com
relao a riscos de SI (BS 7799-2)
Processo de identificao, controle e
minimizao ou eliminao dos riscos de
segurana que podem afetar os sistemas de
informao, a um custo aceitvel (ISO 17799)

Ciclo de vida
Gerenciamento de Riscos
Identificar
reas
de risco

Reavaliar
os riscos

Implementar
aes de
gerenciamento
de riscos

Ciclo de
Gerenciamento
de Riscos

Avaliar
riscos

Desenvolver
plano de
gerenciamento
de riscos

Avaliao
de riscos
Controle
(minimizao)
de riscos

Definies ISO 27001

Gerenciamento de riscos

Conjunto de atividades coordenadas para direcionar e controlar um

organizao com relao a riscos de SI

Anlise de riscos
Uso sistemtico da informao para identificar as fontes de riscos e
para estimar o risco

Avaliao de riscos
Processo de comparar os riscos estimados com determinados
critrios de riscos para determinar a significncia dos riscos

Estimativa de riscos
Processo global de anlise e avaliao de riscos

Tratamento de riscos

Processo de seleo e implementao de medidas para modificar o

risco

Aceitao de riscos

Deciso de aceitar um risco

ISO/IEC Guide 73
Harmonizao dos termos que compem os
documentos de especificao da segurana
Deu fim dificuldade no entendimento de
termos como ameaas, vulnerabilidades,
controles, probabilidade, impacto, consequncias
Gesto de riscos
Anlise do Risco
Critrios de Risco
Avaliao do Risco
Tratamento do Risco
Comunicao do Risco

Norma ISO IS 13335

Management of Information and Communication
Technology (MICTS)
Parte 1 Conceitos e Modelos
Parte 2 Tcnicas para Gerenciamento de Riscos
da Informao e de Tecnologia de Comunicao

Padro AS/NZS 4360

Padro da Austrlia e Nova Zelndia para
gerenciamento de riscos (genrico, no s de SI)
Processo AS/NZS 4360
Estabelecer o contexto
Identificar os riscos
Analisar os riscos
Avaliar os riscos
Tratar os riscos

Monitorar e revisar
Comunicar e consultar

Gerenciamento de Riscos
Chave para o sucesso
Compromisso da diretoria
Suporte e participao da TI
Competncia da equipe de avaliao de
riscos
Conscincia e cooperao dos usurios

Avaliao contnua dos riscos crticos

Ferramentas para
Avaliao de Riscos (AR)
Avaliao de riscos pode ser feita manualmente,
usando formulrios, questionrios e planilhas
Em geral, em 80% dos casos, pode ser feita com
o uso de planilhas bem projetadas
Situaes em que pode ser til usar ferramentas
O volume de riscos grande demais
Necessidade de que as alteraes nos resultados da
anlise de riscos tenha controle de acesso rgido

O software se torna o cerne do processo de negcios,

ou seja, existe uma integrao profunda entre o
processo de AR e a ferramenta que o suporta

Gerenciamento de Riscos
Guia do NIST Publicao NIST 800-30
Risk Management Guide for
Information Technology Systems
Julho de 2002
Objetivo: A base para o desenvolvimento de um
programa de gerenciamento de riscos efetivo,
contendo as definies e orientao prtica
necessria para avaliar e minimizar os riscos
identificados nos sistemas de TI
csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

Procedimentos bsicos
Avaliao de Riscos Quais so os riscos?
Minimizao de Riscos O que fazer para tratar
os riscos?
Avaliao Qual foi o resultado alcanado?

Estimativa de Riscos
Passo 1: Caracterizao do sistema
Passo 2: Identificao das ameaas
Passo 3: Identificao de vulnerabilidades
Passo 4: Anlise de controles
Passo 5: Determinao das possibilidades
Passo 6: Anlise de impacto
Passo 7: Determinao dos riscos
Passo 8: Recomendaes de controles
Passo 9: Documentao

Estimativa de Riscos
Passo 1: Caracterizao do sistema
O que h para gerenciar?
Como a TI est integrada no processo?

Passo 2: Identificao das ameaas

Quais fontes de ameaas devem ser consideradas?
(Interna/externa, acidental/intencional, maliciosa/no-maliciosa)

Passo 3: Identificao de vulnerabilidades

Quais falhas/fraquezas podem ser exploradas?

Passo 4: Anlise de controles

Quais so os controles atuais e planejados?

Estimativa de Riscos
Passo 5: Determinao das possibilidades
Alta

Fonte de ameaas altamente motivada e

habilidosa e controles para prevenir explorao
das vulnerabilidades so ineficazes

Mdia

Fonte de ameaas motivada e habilidosa, mas

existem controles que podem impedir a
explorao das vulnerabilidades

Baixa

Fonte de ameaas carente de motivao ou

habilidade ou existem controles para prevenir
a explorao das vulnerabilidades

Estimativa de Riscos
Passo 6: Anlise de Impacto
A explorao da vulnerabilidade pode resultar em:

Alta

(1) perda de grandes ativos resultando em custo altssimo;

(2) violao, dano ou impedimento significativo da/na
misso, reputao ou lucro; (3) morte ou ferimento humano

(1) perda de ativos caros; (2) violao, dano ou impedimento

Mdia da/na misso, reputao ou lucros;
(3) ferimento humano

(1) perda de algum ativo real;

Baixa
(2) influncia visvel na misso, reputao ou lucros

Estimativa de Riscos
Passo 7: Determinao dos riscos
Impacto
Possibilidade
da ameaa
Alta (1.0)
Mdia (0.5)
Baixa (0.1)

Baixo

Mdio

Alto

(10)

(50)

(100)

Baixo

Mdio

Alto

10 X 1.0 = 10

50 X 1.0 = 50

100 X 1.0 = 100

Baixo

Mdio

Mdio

10 X 0.5 = 5

50 X 0.5 = 25

100 X 0.5 = 50

Baixo

Baixo

Baixo

10 X 0.1 = 1

50 X 0.1 = 5

100 X 0.1 = 10

Escala de Risco: Alto ( >50 a 100); Mdio ( >10 a 50); Baixo (1 a 10)

Estimativa de Riscos
Passo 7: Determinao dos riscos
Nvel do Risco

Alto

Mdio

Baixo

Descrio do Risco e Aes Necessrias

Se uma ameaa avaliada como um risco alto, existe
uma necessidade forte de medidas corretivas
Um sistema existente pode continuar a operar, mas o
plano de ao corretiva deve ser implantado o mais
rpido possvel
Se uma ameaa avaliada como um risco mdio, aes
corretivas so necessrias e um plano deve ser
desenvolvido para incorporar essas aes em um
tempo razovel
Se uma ameaa avaliada como um risco baixo, a
organizao deve determinar se aes corretivas so
necessrias ou decidir em aceitar o risco

Risk Assessment (Continued)

Passo 8: Recomendaes de controles
Objetivo: encontrar os controles mais
baratos para garantir operao a pleno vapor
Consideraes:
Eficcia do controle
Legislao, regulamentao e poltica
organizacional
Impacto operacional
Segurana fsica e confiabilidade
Os controles sempre devem ser adequados organizao

Minimizao de Riscos

A diretoria e gerncias devem assegurar que os

controles mais apropriados so implementados
para que a misso da empresa esteja sendo
efetivamente sendo perseguida

Minimizao de Riscos
Opes de minimizao
Adoo/aceitao do Risco
Aceitar o risco potencial

Anulao do Risco
Alterao da maneira como o sistema utilizado
Remoo da vulnerabilidade ou possibilidade de explorao

Limitao do Risco
Estabelecimento de limites no sistema, para detectar e reagir
rapidamente

Transferncia do Risco
Para algum que paga por ele (ex: seguro)

Estratgia para minimizao

de riscos
Fonte
Ameaa

Projeto
Sistema

Falha ou
fraqueza?

SIM

Pode ser SIM

explorada?

Impacto na SIM
misso?

Risco
Existe

Nenhum
Risco

Custo do
atacante >
ganho?
NO

NO
Nenhum
Risco

&

NO

NO
Nenhum
Risco

Vulnerabilidade
existe

SIM

Perda
Estimada >
Limiar?
NO
NO

Aceitar Risco

Aceitar Risco

SIM

Risco
Inaceitvel

Minimizao de Riscos
Implementao de Controles
Tcnico (Suporte, preveno, deteco &
recuperao)

Gerencial (treinamento, planos, procedimentos)

Operacional (fsico, pessoal, backup, ...)

Reduz nmero
de falhas ou erros

Controle novo
ou melhor

Inclui controle
direcionado
Risco Residual

Reduz a magnitude
do impacto

Exemplo de um ISMS para um

gateway de acesso Internet

Contexto do ISMS
Associao XYZ: engenharia
12 locais conectados atravs de VPN

Objetivo:
Fazer o ISMS para o gateway principal

Projeto baseado na norma BS 7799-2

Uso do modelo PDCA

ISMS para acesso Internet

Redes que usam o gateway

Internet
E-Business

LAN da Matriz
Rede de Gerenciamento
Rede privada da empresa (atravs do ISP)
Rede de acesso remoto (VPN)
Rede pblica (DMZ): servidores web

Escopo do ISMS
Acesso Internet aos usurios internos
Web, email

Servios de hospedagem web

Servidores pblicos
Servios privados para os membros da associao
Hospedagem de pginas para os membros

Acesso remoto para acesso via Internet (VPN)

Infra-estrutura de TI
Firewall, servidores na DMZ, etc

Segurana de informaes dos sistemas que tiverem

acesso via Internet
Segurana fsica dos equipamentos
Pessoal do departamento de TI

Situao atual da segurana

Bom projeto tcnico da segurana do gateway
Manuteno e operao dos equipamentos e
software executados de forma ad-hoc
No existem procedimentos e planos para a
operao dos equipamentos

Praticamente sem poltica(s) de segurana

Existem duas polticas de uso aceitvel
Navegao da web
Uso de e-mail

ISMS: Fase Plan

Metodologia para desenvolvimento do ISMS
Passos a serem executados

Avaliao de riscos
Conduz o processo de desenvolvimento do ISMS
As atividades seguintes dependem da avaliao

Desenvolvimento de uma estrutura de

gerenciamento do ISMS
Definio de uma poltica de segurana para o
gateway da associao XYZ

ISMS: Fase Plan

Passos para o desenvolvimento
Passo 1: Plano do projeto
Passo 2: Avaliao (estimativa) de riscos

Passo 3: Estrutura de gerenciamento do ISMS

Baseada na avaliao de riscos

Passo 4: Poltica de segurana

Baseados na avaliao de riscos
Inclui diretrizes e procedimentos

ISMS: Fase Plan

Passo 1: Plano do projeto
O processo de desenvolvimento do ISMS
necessita do envolvimento de todos os grupos
interessados
Clientes, acionistas, fornecedores, funcionrios

Componentes do plano
Work Breakdown Structure (WBS)
Lista de tarefas e sub-tarefas (as vezes em forma de rvore)

Identificao dos envolvidos (stakeholders)

Incio e fim das tarefas do WBS
Riscos do projeto
Aprovao do plano de projeto pela diretoria da XYZ

ISMS: Fase Plan

Passo 2: Avaliao de riscos
Uso da metodologia AS/NZS 4360
Estabelecer o contexto
Identificar riscos
Analisar riscos
Avaliar riscos
Tratar riscos

ISMS: Fase Plan

Passo 2: AS 4360: Identificar
Identificao das ameaas e vulnerabilidades que
podem causar um incidente de segurana
Natureza e fonte do risco
O que pode acontecer ou dar errado?
Como pode acontecer?
Por que pode acontecer?
Quem ou o que pode ser machucado/danificado

O resultado o registro de riscos

ISMS: Fase Plan

Passo 2: AS 4360: Identificar
Servio de Internet: disponibilidade
Dispositivos crticos de rede (roteador, firewall)

Servio de Internet: disponibilidade

Ataque DoS vindo da Internet

Informaes: integridade
Ataque de hackers da Internet

Informaes: confidencialidade
Ataque de hackers da Internet

Infra-estrutura do gateway: integridade

Configurao errada acidental de um dispositivo de imposio de
segurana

ISMS: Fase Plan

Passo 2: AS 4360: Analisar
Critrios de possibilidade de ocorrncia

ISMS: Fase Plan

Passo 2: AS 4360: Analisar
Critrios de conseqncia

ISMS: Fase Plan

Passo 2: AS 4360: Analisar
Critrios de avaliao

ISMS: Fase Plan

Passo 2: AS 4360: Avaliar
Riscos podem variar de Nil at Extreme
Devem ser comparados com os nveis de riscos
aceitveis da fase estabelecer contexto
Tabela de classificao de riscos

ISMS: Fase Plan

Passo 2: Registro de risco

ISMS: Fase Plan

Passo 3: estrutura gerencial
A definio de uma estrutura gerencial deve ser
uma consequncia da avaliao de riscos
Objetivos
Demonstrar o compromisso da diretoria com o ISMS
Demonstrar que a estrutura gerencial faz cumprir o
princpio de separao de responsabilidades nas
operao do gateway

ISMS: Fase Plan

Passo 4: polticas
reas de polticas cobertas pelo ISMS
Poltica de acesso ao gateway
Poltica de segurana fsica
Poltica relativa s pessoas
Poltica de acesso a sistemas
Poltica de controle de configurao
Poltica de gerenciamento de mudanas
Poltica de deteco e resposta a incidentes

Poltica de contingncia
Poltica de uso aceitvel

ISMS: Fase Plan

Estrutura gerencial do ISMS

ISMS: Fase Plan

Polticas de segurana

ISMS: Fase Do
Baseado nos requisitos da fase Plan, essa fase
implementa os controles selecionados
Uso da tcnica de Anlise de Insuficincia
gap analysis

Cada insuficincia (gap) mapeada como um

problema, porque se distancia do planejado
So apresentadas para cada problema:
Ao: para remediar o problema

Passos: para implementar a ao

ISMS: Fase Do
Problema: IDS inexistente
A avaliao e riscos detectou a necessidade de
um controle para monitorar intruses de rede
Ao
Projetar uma soluo de NIDS e desenvolver e
implementar processos para fazer o monitoramento

Passos

Definir NIDS (desenvolver, sw livre, comercial)

Comprar equipamentos
Instalar NIDS
Treinar equipe de monitoramento
Incluir sadas do NIDS no plano de deteco e
resposta a incidentes de segurana

ISMS: Fase Check

Uma lista de verificao deve ser feita para as
atividades de verificar e auditar
Para cada verificao, o objetivo de controle da
contra-medida que est sendo auditada
discutido
Lista de verificao
Descrio da verificao
Objetivo de controle
Razo para auditar
Passos para auditar
Frequncia

ISMS: Fase Check

Lista de verificao

ISMS: Fase Act

Aprimoramento e manuteno do ISMS
A auditoria verifica a no conformidade do
planejado para o praticado com o ISMS
Quando uma no conformidade detectada,
medidas corretivas e/ou preventivas devem ser
tomadas, resultando em um ISMS aprimorado
O objetivo eliminar as no conformidades

ISMS: Fase Act