Escolar Documentos
Profissional Documentos
Cultura Documentos
2009
GESTO DE RISCOS
APLICADA A SISTEMAS DE INFORMAO:
SEGURANA ESTRATGICA DA INFORMAO
Orientador
Prof. Koffi Djima Amouzou
Braslia
2009
GESTO DE RISCOS
APLICADA A SISTEMAS DE INFORMAO:
SEGURANA ESTRATGICA DA INFORMAO
Apresentao
de
monografia
Universidade
AGRADECIMENTOS
DEDICATRIA
RESUMO
O presente estudo aborda um tema sensvel a qualquer empresa
inserida em um mercado competitivo: a Segurana da Informao.
Neste
METODOLOGIA
SUMRIO
INTRODUO
10
21
32
49
CONCLUSO
61
BIBLIOGRAFIA
62
NDICE
69
FOLHA DE AVALIAO
71
INTRODUO
Governo:
Campanha
de
sensibilizao
responsabilizao
de
Telecomunicaes:
Adequao
Normas,
Regulamentaes
10
1.1.
Em
11
tabela
seguir apresenta
alguns
prazos
em
que
DOCUMENTO
Contratos de seguro em geral
Comprovantes de pagamento de aluguis
Dvidas lquidas oriundas da contratao por meio
instrumento pblico ou particular
Documentos comprobatrios do recolhimento
tributos e tarifas
Comprovante
da
prestao
de
servios
profissionais liberais
Documentao trabalhista relacionada ao vnculo
empregatcio
Documentao trabalhista referente aos encargos
previdncia e FGTS
de
PRAZO
1 ano
3 anos
5 anos
de
5 anos
de
5 anos
5 anos
30 anos
seguradas
35 anos segurados
Tabela I Prazos de Guarda de Documentos - Lei n10.406/2002
da
12
A recuperao da informao
13
1.2.
Somos
responsveis tanto pela informao como pelo uso que fazemos dela. Cada
nvel decisrio tem a sua percepo de valor para a informao. Contudo, a
informao como qualquer outro ativo da organizao deve ter um
responsvel,
um
proprietrio,
conforme
expresso
na
NBR
ISO/IEC
Este proprietrio,
14
Uma informao pode ter tal valor estratgico ou papel crtico em uma
organizao que venha a ser classificada de forma tal que apenas o
Presidente, e aqueles que lhe so prximos na organizao, podem tomar
cincia dela. a classificao por hierarquia ou autoridade (VACCA, 2005).
Por tudo isto primordial que as polticas de controle de acesso sejam
bem definidas e contem com o aval e apoio da alta direo. Conflitos entre a
poltica de segurana e as operaes de manuteno contnua e emergncia
que zelem pela continuidade do negcio no devem ser ignorados.
As
1.3.
15
dos
riscos
relacionados
(PRICEWATERHOUSECOOPERS,
2004).
1.4.
16
17
A confiabilidade nas
18
1.5.
19
De qualquer forma, a
20
fornecidos por
O benchmarking se constitui em identificar, otimizar e utilizar o que deu certo em empresas similares.
21
Por que
2.1.
22
Legalidade
Responsabilidade
Autenticidade
Autoridade
No-repdio
Auditoria
2.2.
23
autenticao faz uso de uma informao que se julga que apenas a pessoa
correta possui (NIZAMUTDINOV, 2005).
Aqui
O controle de acesso algo que deve ser sempre revisto. Seja pelo
proprietrio da informao, como j dissemos, seja pelos responsveis pelo
sistema de informao. Um funcionrio demitido no deve ter mantido seu
cdigo de acesso habilitado. Os papis no sistema devem condizer com os
24
2.3.
25
Este aspecto
est definido para os rgos pblicos, mas vale considerar a questo para a
organizao, ainda que ela no tenha relao com questes de segurana
nacional: Por quanto tempo uma informao classificada como secreta dever
manter o seu sigilo?
26
2.4.
3
4
27
28
2.5.
soluo.
29
2.6.
responsabilizao
30
ser avaliado. Uma informao pode ser privativa pelo sistema, contudo podem
existir vulnerabilidades na base de dados que permitam o acesso direto com
direito de gravao fora da aplicao padro.
Se no houver
Inclusive, as concesses e
31
Auditorias
podem ser tanto internas como externas. Seja como for, o uso de frameworks
(estruturas)
Tecnologias Relacionadas) tem sido cada vez mais populares para processos
de TI. Organizaes que esto iniciando em gesto de riscos normalmente o
fazem a partir dos resultados da auditoria (WESTERMAN & HUNTER, 2008).
Por conta disso, recomenda-se a utilizao das melhores prticas aproveitando
o resultado da experincia de outros nesta rea, evitando-se tambm riscos
desnecessrios.
32
Este capitulo no se
33
3.1.
As melhores
ferramentas at ento conhecidas podem ter sido aplicadas, mas nem todas
as vulnerabilidades so conhecidas em um momento especfico no tempo.
As vulnerabilidades so pontos em que o sistema susceptvel a
ataques. Consideramos aqui tambm, alm das fragilidades do sistema, erros
que nele existam. A identificao das vulnerabilidades tcnicas nem sempre
trivial, requerendo, em geral, profundo conhecimento de Tecnologia da
Informao e de Comunicao.
Houve um perodo de bastante divulgao da existncia de ovos de
pscoa dentro de programas de prateleira como as ferramentas do Microsoft
Office e o sistema operacional Windows 95.
34
35
biomtrica.
b) Arquivos de Log alm de se poder apagar os rastros de um ataque, devese cuidar para que os dados de log no comprometam informaes
sigilosas.
c) Arquivos do Cdigo Fonte o acesso ao cdigo fonte pode servir para que
outros
identifiquem
vulnerabilidades
no
percebidas
pelos
desenvolvedores.
3.2.
36
worm (verme).
Tais
3.3.
Hackers e Crackers
37
banco de dados Oracle possui um usurio de nome SYS que funciona como
o gerente do banco e assim segue. Alm de usurios padres existem portas
padres. Estas informaes geralmente so de conhecimento dos hackers e
so brechas que podem ser facilmente testadas. Mas nem todas as brechas
so to fceis.
3.4.
38
3.5.
39
Firewall um dispositivo ou programa que limita o acesso a certos recursos de rede e pode exigir a
autenticao do usurio externo para a liberao do acesso
40
significar perda de certa privacidade do usurio, uma vez que seu perfil e
aes podem estar sendo armazenadas pelo controle.
Apesar de mais difcil, a utilizao de anlise de comportamento do
usurio ou de alterao de padres previstos uma alternativa no caso deste
recurso estar disponvel, porm somente se presta em situaes em que o
perfil do usurio ou da utilizao dos recursos esto mapeados.
Ataques que se aproveitam de vulnerabilidades tcnicas de sistemas
de aplicaes normalmente precisam de algum tipo de ajuda de dentro. Esta
ajuda pode no ser intencional por parte do usurio interno, seja por conta de
comportamento imprprio, seja por conta de curiosidade quanto aos limites de
seus direitos no sistema. Deve fazer parte da poltica e dos procedimentos de
segurana da informao a atualizao constante dos softwares de deteco e
tratamento de ameaas como vrus, cavalos-de-tria, spywares, etc.
Quando possvel para o usurio baixar de programas da Internet, ele
deve estar consciente de que pode estar sendo um portal para ataques. Stios
na Internet que no so confiveis devem fazer parte de lista de bloqueio.
41
42
43
4.1.
Quando um
Programas denominados
A criptografia
simtrica exige feita com uma chave, a qual ser usada para a posterior
decodificao e leitura da informao.
44
operaes.
Com
4.2.
Quando
uma
terceira
entidade
responsvel
pela
garantia
da
45
um provedor de informaes ou um
4.3.
46
O IPsec ainda
47
4.4.
Smartcards
Uma
4.5.
Firewall
48
4.6.
investigao
forense
comparao
entre
backups
pode
49
50
fadada ao fracasso.
5.1.
51
Riscos
A metodologia de
52
Gesto de risco de TI
minimizao de riscos.
5) Otimizado, quando a gesto de risco evoluiu a um estgio em que um
processo estruturado est implantado amplamente na organizao e bem
administrado.
53
5.2.
R/
A
C
R/
A
R/
A
C
R/
A
C
R/
A
A/
C
A/
C
A/
C
A
54
I
C
5.3.
Toda
55
Baseado no valor do
negcio
Baseado em mudanas
da estratgia do do
negcio
valor
A migrao melhorar
o desempenho do
negcio
Baseado em riscos de
tecnologia e RH
risco
A tecnologia atual
precisa ser substituda
para dar suporte nova
estratgia
Existe a possibilidade
de riscos catastrficos
56
5.4.
Estimando os Riscos
Riscos, de modo geral, denominado como apetite pelo risco , que significa
o quanto de risco a alta direo est disposta a correr. As organizaes The
Institute of Risk Management IRM, The Association of Insurance and Risk
Managers AIRMIC e o ALARM, um frum nacional para Gesto de Riscos no
Setor Pblico do Reino Unido, desenvolveram um padro de gesto de riscos
bastante interessante que alinhado com a ISO/IEC Guide 73:2002. Neste
documento o apetite pelo risco, para fins de segurana em sistemas de
informao, melhor situado como tolerncia ao risco, que obtido
avaliando-se:
o valor do risco
Em geral os
57
O Balanced
Riscos
Reduo de custos
Desvalorizao de ativos
58
2) mdia
3) alta
4) j est ocorrendo
De acordo com o resultado da multiplicao dos dois fatores (cujo valor
mximo no exemplo ser 4 x 4 = 16), a tolerncia ao risco ser definida, bem
como as aes a serem tomadas:
Entre 1 e 4 - Gerenciar o risco dentro da unidade de negcio ou
funo.
Entre 5 e 8 - Risco deve ser escalonado para o programa de seguro e
financiamento de riscos.
Entre 9 e 11 - Risco deve ser escalonado tesouraria da corporao.
Entre 12 e 16 - Risco deve ser escalonado gesto de crises ou
gesto executiva da corporao.
Neste exemplo, significa que, se as operaes de investimento
implicarem no risco de surgimento de custos no previstos na ordem de 60K
e probabilidade disto ocorrer for alta, o valor calculado do apetite ou
tolerncia ao risco ser de 2 x 3 = 6, i., entre 5 e 8, de forma que o risco deve
ir esfera do programa de seguro e financiamento de riscos, no podendo ser
tratado apenas dentro da unidade de negcio.
A classificao deve ser to detalhada quanto se julgar necessrio,
podendo ser especfica para cada negcio.
59
5.5.
Relatrios Gerenciais
60
61
CONCLUSO
normatizao
contribui
para
envolvimento
maior
dos
62
BIBLIOGRAFIA
63
BRASIL.
Decreto
64
65
INGLATERRA,
CENTRAL
COMPUTER
AND
TELECOMMUNICATIONS
66
MARSEL.
Hacker
Web
Exploitation
Uncovered.
<http://web.mit.edu/Saltzer/www/publications/protection/index.html>
67
JOHN
R.
Computer
Forensics:
Computer
Crime
Scene
68
USA: Syngress
69
NDICE
FOLHA DE ROSTO
AGRADECIMENTO
DEDICATRIA
RESUMO
METODOLOGIA
SUMRIO
INTRODUO
10
1.1.
10
1.2.
13
1.3.
14
1.4.
15
1.5.
18
21
2.1.
21
2.2.
22
2.3.
24
2.4.
26
2.5.
28
2.6.
29
32
3.1.
33
3.2.
35
3.3.
Hackers e Crackers
36
3.4.
37
3.5.
38
43
4.2.
44
4.3.
45
70
4.4.
Smartcards
47
4.5.
Firewall
47
4.6.
48
49
5.1.
50
5.2.
53
5.3.
54
5.4.
Estimando os Riscos
56
5.5.
Relatrios Gerenciais
59
CONCLUSO
61
BIBLIOGRAFIA
62
NDICE
69
FOLHA DE AVALIAO
71
71
FOLHA DE AVALIAO
Nome da Instituio: Universidade Cndido Mendes Projeto A Vez do
Mestre
Ttulo da Monografia: Gesto de Riscos Aplicada a Sistemas de
Conceito: