Você está na página 1de 16

PÓS-GRADUAÇÃO EM

CIBERSEGURANÇA

CIBERHACKING
PROFESSORA ANDRÉA THOMÉ
AULA 1
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

CONCEITOS DE SEGURANÇA DA
INFORMAÇÃO

O processo que envolve segurança da informação tem o objetivo de proteger


a informação e os demais ativos organizacionais de vários tipos de ameaças.
A ideia é garantir a continuidade do negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio.

A informação tem um ciclo de vida, que precisa de proteção do começo ao


fim. Veja:

Geração Manutenção Manuseio Armazenamento Transmissão

Tudo isso sempre levando em conta três grandes fundamentos:

• confidencialidade – garantia de que informações estejam protegidas


de acesso não autorizado, perda, danos ou uso impróprio;

• integridade – garantia de que a informação seja protegida de


modificações não autorizadas e seja confiável, exata e completa;

• disponibilidade – garantir de que as informações (bem como os


ativos que a suportam) estejam disponíveis para pessoas autorizadas
a visualizá-las, utilizá-las e processá-las.

ATENÇÃO!

É muito comum que apenas o item “confidencialidade” receba


segurança. No entanto, é fundamental que os outros dois
fundamentos (integridade e disponibilidade) recebam atenção
na mesma medida.
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

PRINCIPAIS ARTEFATOS DA SI

O primeiro artefato é garantir o ciclo PDCA (plan, do, check, act), ou seja, ter
um bom planejamento, direcionar a execução, fazer monitoração e, com os
aprendizados, proporcionar melhoria contínua.

Para que esse ciclo funcione adequadamente, é preciso estar baseado


em um arcabouço normativo (políticas, normas e procedimentos) e ter
ferramentas de controle. Além disso, é fundamental dispor de ferramentas e
mecanismos tecnológicos bem configurados para não gerar a falsa sensação
de segurança.

Métricas e indicadores não só fortalecem a monitoração do PDCA. Com eles,


é possível saber para onde a informação está indo e qual o desempenho do
processo. As projeções servem para entender como os controles, a segurança
e as ameaças se comportariam em uma linha do tempo e, com isso, tentar
se antecipar às ocorrências.

Treinamento, capacitação e conscientização são fundamentais para os


especialistas e também para os usuários. Segurança da informação tem a
ver, principalmente, com pessoas. Elas precisam estar envolvidas.

COMO IDENTIFICAR RISCOS?

Antes de tudo, é preciso entender o que proteger. Em uma empresa, é


chamado de “ativo” tudo aquilo que tem valor. Esses ativos podem estar em
quaisquer formas.

Equipamentos
Serviços Sistemas computadorizado
Computadores, equipamentos
de comunicação de dados,
Processamento de dados, Aplicativos, sistemas básicos,
mídias (fitas e discos),
comunicação e fornecimento ferramentas de
equipamentos de
de energia. desenvolvimento.
fornecimento de energia
alternativa, cofres.

Documentos Pessoas
Imagem e reputação da
Contratos, demonstrações Funcionários, terceiros e organização
financeiras. clientes.
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

Ao identificar os ativos, é hora de pensar em vulnerabilidades, ou seja, as


fraquezas associadas aos ativos da organização. Exemplos: treinamento
insuficiente; erros de configuração de dispositivos e serviços; procedimentos
falhos ou inexistentes de auditoria; documentação pobre sobre software;
políticas inadequadas de segurança; segurança física e lógica inadequadas;
e vulnerabilidades de software, arquitetura e aplicações.

No entanto, é preciso uma terceira variável que explore uma vulnerabilidade


para gerar algum tipo de impacto adverso: ameaça. Podem ser pessoas,
códigos, softwares ou eventos de quaisquer tipos. Veja:

• atacantes – softwares maliciosos;

• fenômenos da natureza;

• uma data no calendário.

Com essas três variáveis (ativos, vulnerabilidades e ameaças) é possível


começar a pensar em segurança da informação.

CUIDADOS COM AS INFORMAÇÕES

As motivações para os atacantes são diversas: aprendizagem; curiosidade ou


busca de emoção; espionagem doméstica ou industrial; ganho financeiro;
idealismo; necessidade de aceitação ou respeito; e vingança.

Muitas vezes, os riscos são gerados pelo próprio usuário. Confira algumas
zonas propícias para ameaças:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

Além das motivações dos atacantes, é importante considerar um trio de


aspectos que, se conjugados, pode caracterizar uma fraude. No triângulo da
fraude, de Donald R. Cressey, isso fica claro:

Diante de todas as possibilidades, nuances e variáveis, apresentam-se os


riscos. Riscos são possibilidades de um ativo se sujeitar a fatores e incidentes
que possam resultar em perdas ou danos, comprometendo a continuidade
das atividades e planejamento de uma organização.

Fatores e incidentes Perdas ou danos


• Vulnerabilidades (fraquezas na • Consequências
segurança)
• Fraudes
• Ameaças (ocorrência de
exploração de uma vulnerabilidade) • Incidentes
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

A ISO 27005 revela a correlação dessas variáveis:

A ISO 27005 ainda define o fluxo para se faça a gestão dos riscos
adequadamente:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

A ISO 27002 propõe um conjunto de processos que permite que se melhore


a maturidade da segurança.

• Política de segurança da informação

• Organização da segurança da informação

• Gerenciamento de ativos

• Segurança em recursos humanos

• Controle de acesso

• Criptografia

• Segurança física e do ambiente

• Segurança das operações

• Comunicação de segurança

• Aquisição, desenvolvimento e manutenção de segurança da


informação

• Relacionamento com fornecedor

• Gerenciamento de incidentes de segurança da informação

• Aspectos da informação no BCM

• Conformidade
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

Quanto menor a maturidade dos processos e controles, mais chances de


riscos:

Quanto mais riscos descontrolados, mais situações adversas são vivenciadas:


FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

CONEXÃO DA SEGURANÇA COM O


NEGÓCIO

Se os riscos impactam os ativos, que pertencem a processos


organizacionais, logo, esses mesmos riscos são capazes de colocar em
risco os objetivos do negócio. Por isso, a importância de ter um plano
estratégico de segurança por nível de risco, mas que também considere
a criticidade dos ativos envolvidos.

DESAFIOS PARA O PLANEJAMENTO ESTRATÉGICO

Os processos organizacionais devem pautar a priorização das ações em


segurança da informação. Para isso, responda essas questões:

• Quais são esses processos organizacionais?

• Qual é a criticidade de cada um?

• Quais são seus ativos críticos?

• Quais são os requisitos de compliance?

• É necessária proteção em que nível?

• Qual o risco associado a processos e ativos?

• Quais padrões de mercado melhor refletem as necessidades do


FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

negócio?

• Quais as dimensões organizacionais – tamanho e estrutura?

• Qual a estrutura organizacional de segurança da informação?

O modelo europeu das três linhas de defesa define que a primeira camada
de proteção são as áreas de negócio. A segunda camada é formada por todas
as áreas de controle e a terceira é a auditoria.

Há outras medidas de proteção a serem investigadas e que também


estão no rol de desafios para o planejamento estratégico de segurança da
informação. Entenda:

• Quais já existem?

• Qual é o budget estimado para SI?

• Quais são os controles alternativos?

• Quais são as facilidade de uso?

• Qual é o nível de transparência ao usuário?

• Qual é a independência do usuário?

• Quais são as funcionalidades – prevenção, detecção, reativação.

O custo do controle jamais pode ser maior que o valor do ativo, a redução de
riscos, os requerimentos do negócio e as perdas e os danos por incidentes
de SI.
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

COMO BUSCAR INVESTIMENTO?

É preciso ter muito claro os ativos que se quer proteger, qual o nível de
criticidade deles, os riscos aos quais estão expostos, as fraquezas que
apresentam, as ameaças que podem explorar essas fraquezas e os controles
existentes. Com isso, é possível chegar a uma avaliação de riscos.

Lembrando que investimento faz uma chamada para seu retorno. Ou seja,
os benefícios, que são as proteções para os negócios, devem ser calculados
como retorno. Outros argumentos podem ajudar a justificar o investimento.
Veja:

• sustentabilidade;

• governança corporativa;

• gestão de riscos corporativos - estratégicos, táticos e operacionais;

• excelência operacional;

• redução de custos e despesas;

• aumento de receita;

• aumento da margem de lucro;

• melhora na satisfação dos clientes;

• otimização de qualidade;

• otimização do compliance.
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

Vale ressaltar que os requisitos de compliance são importantes para


considerar o plano estratégico de segurança.

GOVERNANÇA CORPORATIVA E SI

Antes de tudo, é preciso ficar claro que governança corporativa não é


uma área e sim uma estrutura, composta por comitês (em geral, auditoria,
finanças, pessoas, riscos e sustentabilidade).

Como a governança corporativa influencia a segurança e como a segurança


deveria se conectar ao modelo de governança corporativa? A seguir, o
modelo proposto pelo Instituto Brasileiro de Governança Corporativa (IBGC),
com os código das melhores práticas de governança corporativa:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

A publicação “Papéis e Responsabilidades


do Conselho na Gestão de Riscos
Cibernéticos”, do IBGC, enfatiza que o
cuidado com o risco cibernético deve ser
constante e envolver os conselheiros de
administração.

GOVERNANÇA EM SEGURANÇA DA INFORMAÇÃO

O framework que define melhor a gestão de segurança da informação é o


da ISO 27001. Confira:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

A ISO 27014 traz um modelo para a governança em segurança da informação.


Nele, fica claro como demonstrar como a gestão de SI está sendo feita para
organismos mais altos em termos de alta administração e conselho:
FIA ONLINE - PÓS-GRADUAÇÃO EM CIBERSEGURANÇA

A seguir, analise a integração dos dois modelos citados acima:

Uma das publicações do IT Governance Institute (ITGI) propõe cinco


disciplinas para estruturar a segurança em governança: