Às

20
ho
ra
s

Ameaças e Riscos
Informação e Segurança
 Arquitetura da informação

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• Segurança da Informação está intimamente relacionada com a Arquitetura da Informação.

• A Arquitetura da Informação é o processo que é focado na configuração da provisão da informação dentro de

uma organização.

• A Segurança da Informação pode ajudar a garantir que os requisitos de provisão de informações definidos
sejam realizados na Arquitetura de Informações

• A Arquitetura da Informação é focada principalmente na realização da necessidade de informações de uma

organização e na maneira como isso pode ser organizado. A Segurança da Informação pode apoiar este
processo, garantindo a Confidencialidade, Integridade e Disponibilidade da informação.
 Processo operacionais e informações

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• Um processo operacional é o processo que está no coração do negócio

• Em um processo operacional, as pessoas trabalham em um produto ou serviço para um cliente
• Um processo operacional possui os seguintes componentes principais:
• Entradas
• Atividades
• Saídas

• Existem vários tipos de processos operacionais:

• O processo primário
• Fabricação de uma bicicleta ou gerenciamento de dinheiro

• Processos orientadores
• Planejando a estratégia da empresa

• Processos de apoio
• Compras, Vendas ou RH
 Processo operacionais e informações

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• A informação tornou-se um importante fator de produção na execução de processos operacionais.

• Um dos métodos para determinar o valor da informação é verificar o papel da informação nos vários
processos operacionais.

• Cada processo operacional define requisitos específicos para o fornecimento de informações.

• Existem processos que dependem muito da disponibilidade de informação

• O site da empresa

• Outros processos são mais dependentes da exatidão absoluta da informação

• Os preços dos produtos
 Análises da informação

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• A análise da informação fornece uma visão clara de como uma organização lida com as informações - como as
informações "fluem" através da organização. Por exemplo:

• Um convidado registra-se em um hotel através do site;

• Essas informações são repassadas para o departamento de administração, que então aloca uma sala;
• A recepção sabe que o hóspede chegará hoje;
• O departamento de limpeza sabe que o quarto deve estar limpo para a chegada do hóspede;

• Em todas essas etapas, é importante que as informações sejam confiáveis;

• Os resultados de uma análise da informação podem ser usados para projetar um Sistema de Informações
 Gerenciamento da informação

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• O gerenciamento da informação define e dirige a política relativa à prestação de informações de uma

organização.

• Dentro deste sistema, um Gerente de Informações pode fazer uso da Arquitetura da Informação e uma
Análise da Informação.

• O gerenciamento de informações envolve muito mais do que o processamento automatizado de informações

realizado por uma organização.

• Em muitos casos, a comunicação externa e a comunicação com a mídia fazem parte da estratégia de
Gerenciamento da Informação.
 Informática

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• O termo se relaciona com a ciência da lógica usada em trazer estrutura para informação e sistemas.

• É importante entender que a informática pode ser usada para desenvolver programas
 O que aprendemos hoje?

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• As várias formas de informação e sistemas de informação

• O trio:
• Confidencialidade
• Integridade
• Disponibilidade

• Como a Segurança da Informação é importante para:

• Os Processos Operacionais
• A arquitetura da informação
• Gestão de Informação
Ameaças e Riscos
 O que é uma ameaça?

ISO/IEC Termo definido no document de vocabulário da norma

27000:2012

Uma causa potencial de um incidente indesejado, que

pode resultar em danos a um sistema ou organização
 Ameaças e medidas de segurança da informação

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• No caso de efeitos indesejados de segurança da informação, as ameaças são mapeadas sempre que possíveis

• Em Segurança da Informação, é determinado se algo deve ser feito para evitar esses efeitos

• Segurança da Informação determina quais medidas de segurança devem ser tomadas para evitar esses efeitos
 Risco

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Uma combinação da probabilidade de um

evento e sua consequência
 Risco

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• É o efeito da incerteza sobre os objetivos e é frequentemente caracterizado pela referência a possíveis

eventos e consequências, ou uma combinação destes.

• O risco à segurança das informações está associado ao potencial de que as ameaças explorem
vulnerabilidades de um ativo de informações ou grupo de ativos de informações e, assim, causem danos a
uma organização.
 Análise de Risco

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Um uso sistemático de informações para

identificar fontes e estimar o risco
 Análise de Riscos

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• A metodologia/processo para nos ajudar a adquirir percepção/compreensão dos riscos que uma organização
está enfrentando e precisa se proteger.

• Fornece a base para avaliação de risco e decisões sobre tratamento de risco.

Nota: Os riscos têm proprietários designados que também devem estar envolvidos na Análise de Risco e nas
avaliações.
 Ameaças, Riscos e Análise dos Riscos

BEST De acordo com ITIL®

PRACTICE

Ativo Ameaça Vulnerabilidade

Risk
Analysis
Risco

Risk Contra-medida
Management

Quando uma ameaça se materializa, surge um risco para a organização. Tanto a extensão do risco quanto a avaliação da
administração determinam se as medidas devem ser tomadas para minimizar o risco e o que elas podem ser.
 Avaliação de Riscos

BEST De acordo com ITIL®

PRACTICE

A avaliação de riscos deve incluir a abordagem sistemática de estimar a magnitude dos riscos (análise de riscos) e
o processo de comparação dos critérios estimados de riscos contra riscos para determinar a significância dos
riscos (avaliação de riscos).

Avaliação de Risco é a soma total de:

• Avaliação de Ativos e Avaliação

• Avaliação e Avaliação de Ameaças
• Avaliação de vulnerabilidade

Avaliação de Risco (ISO / IEC 27000: 2012)

• processo global de identificação de risco, análise de risco e avaliação de risco
 Incidentes de segurança da informação e desastres

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Incidente de Segurança da Informação

• Quando uma ameaça se manifesta
• Exemplo: um hacker consegue entrar na rede da empresa

Desastre de Segurança da Informação

• Um dos incidentes ameaça a continuidade da segurança da informação da empresa
• Exemplo: Um ou mais hackers excluem ou, de outra forma, destroem informações críticas dos ativos de
segurança, causando uma grande perda de acesso às Informações
 Gerenciamento de Riscos

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Gerenciamento de riscos:

O processo de
Ameaças

Para Riscos

Para Medidas de segurança

Uma ferramenta para esclarecer quais ameaças são relevantes para os processos operacionais e para identificar os
riscos associados. O nível de segurança apropriado, junto com as medidas de segurança associadas, pode ser
determinado.
 Análises de Riscos

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Objetivos:
1. Identificar ativos e seu valor
2. Determinar vulnerabilidades e ameaças
3. Determinar o risco de que as ameaças se tornem realidade e interrompam o processo operacional
4. Determinar um equilíbrio entre os custos de um incidente e os custos de uma medida de segurança

Medidas de segurança
são rentáveis,
Medidas de segurança Medidas de segurança
oportuna e eficaz
são muito rigorosos são ineficazes
 Análise de custo-benefício

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Análise de custo-benefício:
• Parte do processo de Análise de Riscos à Segurança da Informação

• Questão:
• Um servidor custa US$ 100.000.
• As medidas de segurança da informação para este servidor custam US $ 150.000.
• Conclusão: Nossas medidas de segurança da informação são muito caras…
• Conclusão certa ou errada?
 Tipos de análises de riscos

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Análise quantitativa de risco:

• Tem como objetivo calcular um valor de risco com base no nível da perda financeira e na probabilidade de
que uma ameaça possa se tornar um incidente de segurança da informação

• O valor de cada elemento em todos os processos operacionais é determinado

• Estes valores podem ser compostos pelos custos das Medidas de Segurança da Informação, bem como pelo
Valor da propriedade em si, incluindo itens como edifícios, hardware, software, informações e impacto nos
negócios.

• O tempo se estende antes que uma Ameaça apareça, a eficácia das Medidas de Segurança da Informação e o
risco de que uma vulnerabilidade será explorada também são elementos a serem considerados

• Uma análise de risco puramente quantitativa é praticamente impossível

 Tipos de análises de riscos

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Análise Qualitativa de Risco:

• Baseado em cenários e situações

• As chances de que uma ameaça se torne realidade são examinadas com base em sentimentos viscerais.

• A análise examina então o processo operacional ao qual a ameaça se relaciona e as medidas de segurança da
informação que já foram tomadas.

• Isso tudo leva a uma visão subjetiva das possíveis ameaças

• Posteriormente, são tomadas medidas para minimizar o risco de segurança da informação.

• O melhor resultado é alcançado realizando a análise em uma sessão de grupo, pois isso leva a uma discussão
que evita a visão de uma única pessoa ou departamento que domina a análise.
 Tipos de medidas de segurança

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Medidas preventivas:
• Destinado a prevenir incidentes de segurança

Medidas de detetive:
• Destinado a detectar incidentes de segurança

Medidas Repressivas:
• Com o objetivo de impedir as consequências dos incidentes de segurança

Medidas corretivas:
• Destinado a recuperar dos danos causados por incidentes de segurança

Comprar seguro:
• Destina-se a comprar seguro contra certos incidentes de segurança, porque
• implementar as medidas de segurança pode ser muito caro
 Tipos de medidas de segurança

BEST De acordo com os fundamentos

PRACTI da segurança da informação
CE reat
Th

Re
du
cti
Ri
Prevention

on
sk
Incident

Detection Insurance Acceptance

Repression

Recovery
 Tipos de ameaças

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Ameaças Humanas:
• Intencional
• Hacking, Propriedade danosa, Destruindo e-mails após ser demitido
• Não intencional
• Excluindo dados e descuidadamente confirmando isso com OK
• Engenharia social
• Enganando as pessoas a fornecer voluntariamente informações confidenciais: phishing

Ameaças não humanas:

• Queda de raios
• Fogo
• Inundações
• Furacões
• Tornados
• Etc.
 Tipos de danos

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Dano Direto
• Roubo

Dano Indireto
• A perda consequencial que pode ocorrer
• Por exemplo: devido a um datacenter inundado, nenhum serviço de TI pode ser fornecido, causando
perda de receita para o negócio.

Expectativa Anual de Perdas (ALE)

• A quantidade de dano - expresso em termos monetários - que pode resultar de um Incidente em um ano
• Por exemplo: em média, 10 laptops são roubados de uma empresa a cada ano

Expectativa de perda única (SLE)

• O dano causado por um único incidente (único)
 Código parte 4/5

hY
 Tipos de estratégias de riscos

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Rolamento de risco:
• Certos riscos são aceitos
• Medidas de segurança são muito caras
• Medidas de segurança excedem o possível dano
• As medidas de segurança tomadas são repressivas por natureza

Risco neutro:
• Os resultados das medidas de segurança tomadas são
• A Ameaça não mais ocorre
• O dano resultante é minimizado
• As medidas de segurança tomadas são uma combinação de Preventivo, Detetive e Repressivo

Evitar o risco:
• As Medidas de Segurança tomadas são tais que a ameaça é neutralizada a ponto de a ameaça não mais levar
a um Incidente.
• Por exemplo: A adição de novo software que faz com que os erros no software antigo não sejam mais
uma ameaça. As medidas de segurança tomadas são preventivas por natureza
 Tratar riscos de segurança da informação

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Possíveis opções para tratamento de risco incluem:

a) Aplicando controles apropriados para reduzir os riscos;

b) Aceitando conscientemente e objetivamente os riscos, desde que eles satisfaçam;

c) Política e critérios da Organização para Aceitação de Riscos;

d) Evitar Riscos ao não permitir ações que causariam a ocorrência dos Riscos;

e) Transferir os riscos associados a outras partes, e. Seguradoras ou Fornecedores.

 Tratar riscos de segurança da informação

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

Os controles devem assegurar que os riscos sejam reduzidos a um nível aceitável, levando em consideração:

a) Requisitos e restrições da legislação e regulamentação nacional e internacional;

b) Objetivos organizacionais;

c) Requisitos operacionais e restrições;

d) Custo de implementação e operação em relação aos riscos sendo reduzidos e permanecendo

proporcional aos requisitos e restrições da organização;

e) A necessidade de equilibrar o investimento na implementação e operação de controles contra os danos

que podem resultar de falhas de segurança
 O que aprendemos hoje?

BEST De acordo com os fundamentos da segurança da informação

PRACTICE

• Termos:
• Ameaças
• Riscos
• Medidas de segurança
• Análise de risco
• Avaliação de risco

• Os tipos de análises de riscos

• Os vários tipos de ameaças e como lidar com eles
• Os vários tipos de danos
• As estratégias de risco que temos disponíveis
• As medidas de segurança podem ser implementadas
 OBRIGADO
George Menezes

www.centraldesk.com.br
Facebook/centraldesk linkedin.com/centraldesk twitter.com/centraldesk