Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurana da Informao
Aula 02
Gesto de Segurana da Informao
Prof. Joo Henrique Kleinschmidt
Gerenciamento e Avaliao de
Riscos
Terminologia
Risco
Ataque
Vulnerabilidade
Incidente
Ameaa
Exploit code
Exemplos de Ameaas
Pessoas chaves para uma organizao
Ferimento, morte
Servidores de arquivos
Ataques DoS
Equipamentos de produo
Desastre natural
Exemplos de Vulnerabilidades
Pessoas chaves para uma organizao
Sem controle de acesso
Servidores de arquivos
Aplicao incorreta de correes (patches)
Equipamentos de produo
Controles fracos de acesso fsicos
Gerenciamento de Riscos
Estruturas de SI nas organizaes so criadas
para gerenciador riscos
Gerenciar riscos uma das responsabilidades dos
gestores da organizao
Todos os programas de gerenciamento de riscos
so baseados em dois processos
Identificao e avaliao de riscos
Controle (minimizao) de riscos
Conhecimento do Ambiente
Identificar, examinar e compreender
A informao e como ela processada, armazenada e
transmitida
Conhecimento do inimigo
Identificar, examinar e compreender
As ameaas
Gerenciamento de Riscos
O processo de identificar, medir, controlar e
minimizar os riscos de segurana a um nvel
proporcional ao valor dos ativos protegidos
(NIST)
Conjunto de atividades coordenadas para
direcionar e controlar um organizao com
relao a riscos de SI (BS 7799-2)
Processo de identificao, controle e
minimizao ou eliminao dos riscos de
segurana que podem afetar os sistemas de
informao, a um custo aceitvel (ISO 17799)
Ciclo de vida
Gerenciamento de Riscos
Identificar
reas
de risco
Reavaliar
os riscos
Implementar
aes de
gerenciamento
de riscos
Ciclo de
Gerenciamento
de Riscos
Avaliar
riscos
Desenvolver
plano de
gerenciamento
de riscos
Avaliao
de riscos
Controle
(minimizao)
de riscos
Anlise de riscos
Uso sistemtico da informao para identificar as fontes de riscos e
para estimar o risco
Avaliao de riscos
Processo de comparar os riscos estimados com determinados
critrios de riscos para determinar a significncia dos riscos
Estimativa de riscos
Processo global de anlise e avaliao de riscos
Tratamento de riscos
Aceitao de riscos
ISO/IEC Guide 73
Harmonizao dos termos que compem os
documentos de especificao da segurana
Deu fim dificuldade no entendimento de
termos como ameaas, vulnerabilidades,
controles, probabilidade, impacto, consequncias
Gesto de riscos
Anlise do Risco
Critrios de Risco
Avaliao do Risco
Tratamento do Risco
Comunicao do Risco
Monitorar e revisar
Comunicar e consultar
Gerenciamento de Riscos
Chave para o sucesso
Compromisso da diretoria
Suporte e participao da TI
Competncia da equipe de avaliao de
riscos
Conscincia e cooperao dos usurios
Ferramentas para
Avaliao de Riscos (AR)
Avaliao de riscos pode ser feita manualmente,
usando formulrios, questionrios e planilhas
Em geral, em 80% dos casos, pode ser feita com
o uso de planilhas bem projetadas
Situaes em que pode ser til usar ferramentas
O volume de riscos grande demais
Necessidade de que as alteraes nos resultados da
anlise de riscos tenha controle de acesso rgido
Gerenciamento de Riscos
Guia do NIST Publicao NIST 800-30
Risk Management Guide for
Information Technology Systems
Julho de 2002
Objetivo: A base para o desenvolvimento de um
programa de gerenciamento de riscos efetivo,
contendo as definies e orientao prtica
necessria para avaliar e minimizar os riscos
identificados nos sistemas de TI
csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
Procedimentos bsicos
Avaliao de Riscos Quais so os riscos?
Minimizao de Riscos O que fazer para tratar
os riscos?
Avaliao Qual foi o resultado alcanado?
Estimativa de Riscos
Passo 1: Caracterizao do sistema
Passo 2: Identificao das ameaas
Passo 3: Identificao de vulnerabilidades
Passo 4: Anlise de controles
Passo 5: Determinao das possibilidades
Passo 6: Anlise de impacto
Passo 7: Determinao dos riscos
Passo 8: Recomendaes de controles
Passo 9: Documentao
Estimativa de Riscos
Passo 1: Caracterizao do sistema
O que h para gerenciar?
Como a TI est integrada no processo?
Estimativa de Riscos
Passo 5: Determinao das possibilidades
Alta
Mdia
Baixa
Estimativa de Riscos
Passo 6: Anlise de Impacto
A explorao da vulnerabilidade pode resultar em:
Alta
Estimativa de Riscos
Passo 7: Determinao dos riscos
Impacto
Possibilidade
da ameaa
Alta (1.0)
Mdia (0.5)
Baixa (0.1)
Baixo
Mdio
Alto
(10)
(50)
(100)
Baixo
Mdio
Alto
10 X 1.0 = 10
50 X 1.0 = 50
Baixo
Mdio
Mdio
10 X 0.5 = 5
50 X 0.5 = 25
100 X 0.5 = 50
Baixo
Baixo
Baixo
10 X 0.1 = 1
50 X 0.1 = 5
100 X 0.1 = 10
Escala de Risco: Alto ( >50 a 100); Mdio ( >10 a 50); Baixo (1 a 10)
Estimativa de Riscos
Passo 7: Determinao dos riscos
Nvel do Risco
Alto
Mdio
Baixo
Minimizao de Riscos
Minimizao de Riscos
Opes de minimizao
Adoo/aceitao do Risco
Aceitar o risco potencial
Anulao do Risco
Alterao da maneira como o sistema utilizado
Remoo da vulnerabilidade ou possibilidade de explorao
Limitao do Risco
Estabelecimento de limites no sistema, para detectar e reagir
rapidamente
Transferncia do Risco
Para algum que paga por ele (ex: seguro)
Projeto
Sistema
Falha ou
fraqueza?
SIM
Impacto na SIM
misso?
Risco
Existe
Nenhum
Risco
Custo do
atacante >
ganho?
NO
NO
Nenhum
Risco
&
NO
NO
Nenhum
Risco
Vulnerabilidade
existe
SIM
Perda
Estimada >
Limiar?
NO
NO
Aceitar Risco
Aceitar Risco
SIM
Risco
Inaceitvel
Minimizao de Riscos
Implementao de Controles
Tcnico (Suporte, preveno, deteco &
recuperao)
Controle novo
ou melhor
Inclui controle
direcionado
Risco Residual
Reduz a magnitude
do impacto
Contexto do ISMS
Associao XYZ: engenharia
12 locais conectados atravs de VPN
Objetivo:
Fazer o ISMS para o gateway principal
LAN da Matriz
Rede de Gerenciamento
Rede privada da empresa (atravs do ISP)
Rede de acesso remoto (VPN)
Rede pblica (DMZ): servidores web
Escopo do ISMS
Acesso Internet aos usurios internos
Web, email
Avaliao de riscos
Conduz o processo de desenvolvimento do ISMS
As atividades seguintes dependem da avaliao
Componentes do plano
Work Breakdown Structure (WBS)
Lista de tarefas e sub-tarefas (as vezes em forma de rvore)
Informaes: integridade
Ataque de hackers da Internet
Informaes: confidencialidade
Ataque de hackers da Internet
Poltica de contingncia
Poltica de uso aceitvel
ISMS: Fase Do
Baseado nos requisitos da fase Plan, essa fase
implementa os controles selecionados
Uso da tcnica de Anlise de Insuficincia
gap analysis
ISMS: Fase Do
Problema: IDS inexistente
A avaliao e riscos detectou a necessidade de
um controle para monitorar intruses de rede
Ao
Projetar uma soluo de NIDS e desenvolver e
implementar processos para fazer o monitoramento
Passos