Articulação entre defesa e ataque

(Prevenir, Detetar e Responder)

CTeSP em Cibersegurança

Wargamming

Prof. João Pedro Pavia

 Índice
• Standards e frameworks;
• Gestão de risco de cibersegurança.
Que standards e frameworks
existem

1
Standards e frameworks

2
 Symantec - Cyber Resilience Blueprint

Prepare/Identify Protect Detect Respond Recover

3
McAfee – Five Steps to Cybersecurity

4
 NIST Cybersecurity Framework (1/3)

• Foi desenvolvida com o objectivo de melhorar as infraestresturas críticas no âmbito da

cibersegurança em 2013. Tem como principais características:
• Foco em requisitos de negócio para guiar as actividades de cibersegurança e considera ciber riscos como parte do
processo de gestão de risco da organização;
• A gestão de risco ser um processo contínuo que tem por base a identificação, avaliação e resposta perante o risco.
No entanto, para reagir ao risco as organizações têm que entender qual a probabilidade e o impacto de um
determinado evento ocorrer.;
• Não ter sido desenhada para substituir nenhum processo existente, uma vez que a organização pode usar o seu
processo actual e sobrepô-lo à framework para determinar gaps, e definir um roadmap de melhoria.

5
NIST Cybersecurity Framework (2/3)

6
NIST Cybersecurity Framework (3/3)

7
Passos de implementação/melhoria
de um programa de cibersegurança

8
UK Cyber Essencials

9
AIG Cyber Resilience

10
O que é a gestão de risco de
cibersegurança

11
 Conceitos-chave

• Risco
• É definido como "um acontecimento incerto ou conjunto de eventos que, se concretizarem, terão um efeito sobre a
realização dos objectivos”. É medido pela combinação da probabilidade de ocorrência de uma ameaça, com a
magnitude do seu impacto sobre os objectivos.

• Gestão de Risco
• É a aplicação sistemática de princípios, numa abordagem de processos para as tarefas de identificação e avaliação de
riscos, perseguindo o planeamento e a implementação de respostas aos riscos.

12
 Objectivos

• Evitar riscos resulta na ausência de realização, de progresso e recompensa. A melhor

gestão é sempre suportada por uma gestão de riscos eficaz, contribuindo para:
• Redução de eventos inesperados e surpresas desagradáveis;
• Utilização mais eficiente dos recursos;
• Redução do desperdício;
• Melhor prestação de serviços e da inovação;
• Menor custo;
• Aumento da probabilidade de iniciativas de mudança;
• Maior foco interno em fazer as coisas certas correctamente.

13
 Tipos de Controlos

• Preventivos - visa impedir que um eventos de risco ocorra, por exemplo subscrição crédito
bancário a um cliente imensamente endividado.

• Detetivos – projectado para responder a eventos ocorridos, através de controlos reactivos de

identificação de eventos ou perdas, avaliando causas, p.e.: fraude; violações de controlos ou de
normas.

14
 Princípios

• A gestão de risco é focada em incertezas com impacto sobre os objectivos da organização. Como
resultado, as organizações devem prestar muita atenção aos objectivos, para que possa ser
alcançado um equilíbrio adequado entre maximizar as oportunidades e minimizar as ameaças.
• Apetite: A quantidade de risco que uma organização está disposta a aceitar.
• Capacidade: A quantidade máxima de risco que uma organização pode suportar.

15
 Caracterização

• Objectivo
• Mais segurança para aplicações com maior risco
• Priorizar os issues mais críticos

• Ferramentas e metodologias
• Tipificar o perfil de segurança, referentes à:
• Dimensão, complexidade, controlos, etc.
• Questionários para obter informações
• Valor do activo, funções disponíveis, utilizadores, ambiente,
ameaças
• Abordagem orientada
• Avaliar probabilidade e consequências dos ataques bem sucedidos.

16
Prioritização

17
4T’s da mitigação de risco

18
Crowe Horwath – 5 atributos críticos de
gestão de risco de ciberseguança

19
 PWC– 5 atributos críticos de
gestão de risco de ciberseguança

20
 Análise de risco (1/5)

• Trata-se de uma ferramenta de gestão de risco que é utilizada como método de identificação de
vulnerabilidades e ameaças e para medir os possíveis impactos para determinar as contra-
medidas de segurança.
• É algo que ajuda as empresas a estabelecerem prioridades nos riscos, e mostra à gestão a
necessidade de investimento financeiro para desenvolver medidas de protecção.
• A análise de risco tem quatro objectivos principais:
1. Identificar os activos e o seu valor para a organização;
2. Identificar as vulnerabilidades e ameaças;
3. Quantificar a probabilidade e impacto de negócio destas ameaças potenciais;
4. Oferecer o balanço económico entre o impacto da ameaça e o custo da implementação das contra-medidas.

21
 Análise de risco (2/5)

• Oferece uma comparação custo/benefício:

• compara o custo das medidas tomadas para criar contra-medidas com o custo das perdas;
• A análise de risco ajuda a integrar os objectivos do Programa de Segurança com os objectivos e requisitos de
negócio.
• O valor da informação e dos activos, dependerá:
• das partes envolvidas;
• do trabalho envolvido na sua produção;
• do custo para a manter;
• dos danos resultantes da sua perda ou destruição;
• do tipo de inimigos que pagariam para a obter;
• dos problemas legais podem ser vir a ser enfrentados.
• Se a empresa não souber o valor da sua informação, não sabe quanto investir para a proteger!

22
 Análise de risco (3/5)
• Activos
• valor quantitativo
• valor qualitativo
• Valor do Activo = custo de aquisição ou obtenção + custo de desenvolvimento + custo de
manutenção
• Aspectos a considerar na atribuição de valores a activos:
• custos para aquisição ou desenvolvimento do activo;
• custos para manter e proteger o activo;
• valor do activo para os donos e utilizadores;
• valor dos activos para os adversários;
• valor da infraestrutura que foi usada no desenvolvimento da informação;
• preço que terceiros estão dispostos a pagar pelo activo;
• custo de substituir o activo se o mesmo se perder;
• actividades de produção e operacionais afectadas se o activo estiver indisponível;
• aspectos legais se o activo for comprometido;
• utilidade e o papel do activo na organização.
23
 Análise de risco (4/5)

Risco Total vs. Risco Residual

risco residual = segurança total - segurança garantida pela contramedida

• ameaças x vulnerabilidades x valor activo = risco total
• risco total – (contra-medidas) = risco residual

Nada é 100% seguro!!!

24
Análise de risco (5/5)

25
Últimas considerações

26
Referências adicionais acerca dos temas abordados

1. https://www.ten-inc.com/presentations/Symantec-The-Cyber-Resilience-Blueprint.pdf
2. https://www.fujitsu.com/uk/Images/Ten-Steps-response-McAfee-guide-to-implementation-Summer-
2013.pdf
3. https://www.praetorian.com/blog/nist-cybersecurity-framework-vs-nist-special-publication-800-53/
4. https://www.aig.com/content/dam/aig/america-canada/us/documents/business/cyber/cyber-resiliency-
tips-2017.pdf
5. https://www.upguard.com/blog/cyber-security-risk-assessment
6. https://www.mdpi.com/2077-1312/8/10/768/htm
7. http://rules.dnvgl.com/docs/pdf/dnvgl/rp/2017-09/dnvgl-rp-g108.pdf
8. https://www.dau.edu/tools/se-brainbook/Pages/Management%20Processes/Cybersecurity-Risk-
Management-Framework.aspx

27