Escolar Documentos
Profissional Documentos
Cultura Documentos
CTeSP em Cibersegurança
Wargamming
1
Standards e frameworks
2
Symantec - Cyber Resilience Blueprint
3
McAfee – Five Steps to Cybersecurity
4
NIST Cybersecurity Framework (1/3)
5
NIST Cybersecurity Framework (2/3)
6
NIST Cybersecurity Framework (3/3)
7
Passos de implementação/melhoria
de um programa de cibersegurança
8
UK Cyber Essencials
9
AIG Cyber Resilience
10
O que é a gestão de risco de
cibersegurança
11
Conceitos-chave
• Risco
• É definido como "um acontecimento incerto ou conjunto de eventos que, se concretizarem, terão um efeito sobre a
realização dos objectivos”. É medido pela combinação da probabilidade de ocorrência de uma ameaça, com a
magnitude do seu impacto sobre os objectivos.
• Gestão de Risco
• É a aplicação sistemática de princípios, numa abordagem de processos para as tarefas de identificação e avaliação de
riscos, perseguindo o planeamento e a implementação de respostas aos riscos.
12
Objectivos
13
Tipos de Controlos
• Preventivos - visa impedir que um eventos de risco ocorra, por exemplo subscrição crédito
bancário a um cliente imensamente endividado.
14
Princípios
• A gestão de risco é focada em incertezas com impacto sobre os objectivos da organização. Como
resultado, as organizações devem prestar muita atenção aos objectivos, para que possa ser
alcançado um equilíbrio adequado entre maximizar as oportunidades e minimizar as ameaças.
• Apetite: A quantidade de risco que uma organização está disposta a aceitar.
• Capacidade: A quantidade máxima de risco que uma organização pode suportar.
15
Caracterização
• Objectivo
• Mais segurança para aplicações com maior risco
• Priorizar os issues mais críticos
• Ferramentas e metodologias
• Tipificar o perfil de segurança, referentes à:
• Dimensão, complexidade, controlos, etc.
• Questionários para obter informações
• Valor do activo, funções disponíveis, utilizadores, ambiente,
ameaças
• Abordagem orientada
• Avaliar probabilidade e consequências dos ataques bem sucedidos.
16
Prioritização
17
4T’s da mitigação de risco
18
Crowe Horwath – 5 atributos críticos de
gestão de risco de ciberseguança
19
PWC– 5 atributos críticos de
gestão de risco de ciberseguança
20
Análise de risco (1/5)
• Trata-se de uma ferramenta de gestão de risco que é utilizada como método de identificação de
vulnerabilidades e ameaças e para medir os possíveis impactos para determinar as contra-
medidas de segurança.
• É algo que ajuda as empresas a estabelecerem prioridades nos riscos, e mostra à gestão a
necessidade de investimento financeiro para desenvolver medidas de protecção.
• A análise de risco tem quatro objectivos principais:
1. Identificar os activos e o seu valor para a organização;
2. Identificar as vulnerabilidades e ameaças;
3. Quantificar a probabilidade e impacto de negócio destas ameaças potenciais;
4. Oferecer o balanço económico entre o impacto da ameaça e o custo da implementação das contra-medidas.
21
Análise de risco (2/5)
22
Análise de risco (3/5)
• Activos
• valor quantitativo
• valor qualitativo
• Valor do Activo = custo de aquisição ou obtenção + custo de desenvolvimento + custo de
manutenção
• Aspectos a considerar na atribuição de valores a activos:
• custos para aquisição ou desenvolvimento do activo;
• custos para manter e proteger o activo;
• valor do activo para os donos e utilizadores;
• valor dos activos para os adversários;
• valor da infraestrutura que foi usada no desenvolvimento da informação;
• preço que terceiros estão dispostos a pagar pelo activo;
• custo de substituir o activo se o mesmo se perder;
• actividades de produção e operacionais afectadas se o activo estiver indisponível;
• aspectos legais se o activo for comprometido;
• utilidade e o papel do activo na organização.
23
Análise de risco (4/5)
24
Análise de risco (5/5)
25
Últimas considerações
26
Referências adicionais acerca dos temas abordados
1. https://www.ten-inc.com/presentations/Symantec-The-Cyber-Resilience-Blueprint.pdf
2. https://www.fujitsu.com/uk/Images/Ten-Steps-response-McAfee-guide-to-implementation-Summer-
2013.pdf
3. https://www.praetorian.com/blog/nist-cybersecurity-framework-vs-nist-special-publication-800-53/
4. https://www.aig.com/content/dam/aig/america-canada/us/documents/business/cyber/cyber-resiliency-
tips-2017.pdf
5. https://www.upguard.com/blog/cyber-security-risk-assessment
6. https://www.mdpi.com/2077-1312/8/10/768/htm
7. http://rules.dnvgl.com/docs/pdf/dnvgl/rp/2017-09/dnvgl-rp-g108.pdf
8. https://www.dau.edu/tools/se-brainbook/Pages/Management%20Processes/Cybersecurity-Risk-
Management-Framework.aspx
27