Módulo 3 – Conceitos

Riscos de Segurança, Processos de Avaliação e Tratamento do Risco, Sistema de Gestão, Sistema de Gestão de Segurança da Informação.

Riscos de Segurança
Um risco de segurança é o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos Exemplos...?

Nem sempre TI! Os riscos podem ser técnicos de equipamentos de pessoas e de procedimentos.

Exemplos de Riscos de Segurança
Interrupção da continuidade do negócio Indisponibilidade da informação Perda da integridade dos dados Perda ou roubo de informação Perda do controle do serviço Perda de credibilidade e imagem Perda da confidencialidade de dados Etc.

Processo de Tratamento do Risco
Evitar o risco Transferir o risco (p. ex. seguro) Reduzir as vulnerabilidades Reduzir as ameaças Reduzir os possíveis impactos Detectar eventos indesejados, reagir e recuperar Aceitar o risco (residual)

Exercício
Continuando o exercício anterior (MÓDULO 2): identifique os riscos de segurança, do seu ponto de vista, para os 3 ativos para os quais você identificou: vulnerabilidades, ameaças e probabilidades das ameaças atingirem as vulnerabilidades. As respostas dependem de critérios pessoais por isso é importante que o profissional que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o tratamento de riscos

Exercício resposta
Descrição Metodologia Disponibilid. Integrid. Confidencial. Valor Comentário Acarreta dano, mas o processo pode ser executado Vulnerabilidade Ameaças Probabilid Riscos Não há pessoal Roubo, de Segurança, Divulgação Não há critérios de contratação para o pessoal de apoio.

Servidor

Peça chave Antivírus, do processo desatualizado, Backup inadequado e Patches Desatualizados

Contaminaç ão por Vírus, Ataque de Hacker

Servidor

Peça chave Antivírus, do processo desatualizado, Backup inadequado e Patches Desatualizados

Controles
A segurança eficaz normalmente requer a combinação das seguintes ações: Detecção Desencorajamento Prevenção Limitação Correção Recuperação Monitoramento Conscientização

Controles
Após a identificação dos riscos é necessário identificar os controles já existentes na organização e verificar se o risco resultante após a utilização destes controles é aceitável e só então deve-se avaliar a necessidade de novos controles. A norma ISO 17799 e a norma ISO 27001 identificam 133 controles que a organização pode implementar, mas a organização não deve se restringir a estes outros controles podem ser identificados. Exemplo de controles da norma ISO 17799 e a norma ISO 27001 – Anexo A: A.11.5 Controle de Acesso ao sistema operacional Procedimentos seguros de entrada no sistema (log on) Identificação e autenticação de usuário Sistema de gerenciamento de senha Uso de utilitários de sistema Desconexão de terminal por inatividade Limitação de horário de conexão

Avaliação de Risco e Controles
Ativos
Têm

Valor
Porque têm valor são

Impacto Potencial no Negócio
Portanto é necessário que se defina

Vulneráveis
E por isso podem ser atacados por

Requisitos de Segurança
E

Ameaças
E correm

Riscos

Controles
Podendo provocar

Processos de Avaliação e Tratamento do Risco
Avaliação de risco Identificação e valorização dos ativos Identificação das vulnerabilidades Identificação das ameaças Avaliação de impactos que a perda de confidencialidade, integridade e disponibilidade nos ativos pode causar Análise e avaliação dos riscos Priorização dos riscos Tratamento de risco Definição do grau de garantia Revisão de controles existentes Identificação de novos controles Implementação dos novos controles Aceitação do risco residual A cláusula 4.2.1 da ISO/IEC 27001:2005 estabelece: Que uma avaliação de risco seja realizada para identificar ameaças aos ativos

Exercício
Continuando o exercício anterior onde foram identificados os riscos para 1 destes ativos agora identifique do seu ponto de vista e dentro do seu conhecimento controles que poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou eliminar cada um destes riscos.

Resposta
Vamos considerar um servidor como exemplo, resgatando a análise do exercício anterior teremos:

Descrição Servidor

Disponibilid.

Integrid.

Confidencial.

Valo r

Comentário Peça chave do processo

Vulnerabilidade Antivírus, desatualizado , Backup inadequado e Patches Desatualizad os

Ameaças Contamina ção por Vírus, Ataque de Hacker

Probabili d

Riscos

E alguns controles possíveis serão apresentados no próximo slide >>>

Resposta
Controle Aplicação do Controle Criar procedimento automático para atualização Criar Política adequada para tratar o problema Terceirizar a manutenção e atualização do sistema anti vírus Criar procedimento de Backup Controlar a disponibilidade de espaço Terceirizar procedimento de backup Criar procedimento para atualização de patches Terceirizar a informação e atualização dos softwares Adquirir software IDS

Controle contra Software Malicioso

Housekeeping

Desenvolvimento e Manutenção de Sistema

O que é um Sistema de Gestão?

Definição de Sistema de Gestão
Um sistema de gestão é um sistema para estabelecer política e objetivos e para atingir estes objetivos, utilizando: A estrutura organizacional Processos sistemáticos e recursos associados Metodologia de medição e avaliação Processo de análise crítica para assegurar que os problemas são corrigidos e as oportunidades de melhoria são identificadas e implementadas quando necessário

O que é monitorado pode ser medido e o que é medido pode ser gerenciado

Elementos de um Sistema de Gestão
Política (demonstração de compromisso e princípios para ação) Planejamento (identificação das necessidades, recursos, estrutura e responsabilidades) Implementação e operação (construção da consciência organizacional e treinamento) Avaliação de Desempenho (monitoramento e medição, auditoria e tratamento de não-conformidades) Melhoria (ação preventiva e corretiva, melhoria contínua) Análise Crítica pela Direção

Normas de Sistemas de Gestão
ISO/IEC 27001 – Segurança da Informação ISO/IEC 20000 – Gestão em TI ISO 9001 - Qualidade ISO 14001 - Ambiental OHSAS 18001 – Segurança e Saúde Ocupacional TL 9000 - Telecomunicações TS 16949 - Automotiva SAE AS 9100 – Aerospacial ISO 22001 - Alimentos

Sistema de Gestão de Segurança da Informação
SGSI Parte do sistema de gestão, baseado no enfoque de risco nos negócios, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação Projeto e Implementação Influenciados pelas necessidades e objetivos dos negócios, resultando em requisitos de segurança, processos utilizados, tamanho e estrutura da organização. Espera-se que o SGSI e os sistemas de apoio mudem com o tempo.

Fatores Críticos do Sucesso
Comprometimento e apoio visível de todos os níveis da direção Provisão de recursos para as atividades de gerenciamento da segurança da informação Divulgação, conscientização, educação e treinamento adequados Política de segurança da informação, objetivos e atividades que refletindo os objetivos do negócio Bom entendimento dos requisitos de segurança da informação, avaliação de risco e gerenciamento de risco

Fatores Críticos do Sucesso
Implementação, manutenção, monitoramento, e melhoria da segurança da informação consistente com a cultura organizacional Estabelecer um processo eficaz de gestão de incidentes de segurança da informação Implementação de um sistema de medição que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria

Exercício
Indique se é verdadeiro ou falso: 1) 2) 3) 4) 5) ( ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para atingir estes objetivos ( ) Análise crítica não é um elemento de um sistema de gestão ( ) Um SGSI não deve mudar com o tempo ( ) A estrutura da ISO 27001 está baseada no PDCA ( ) Salvaguardar a confidencialidade, integridade, e disponibilidade da informação escrita, falada e eletrônica é o objetivo da ISO 27001 ( ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI ( ) O SGSI é parte do sistema de gestão global da organização

6) 7)

Resposta
Indique se é verdadeiro ou falso: 1) 2) 3) 4) 5) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para atingir estes objetivos ( F ) Análise crítica não é um elemento de um sistema de gestão ( F ) Um SGSI não deve mudar com o tempo ( V ) A estrutura da ISO 27001 está baseada no PDCA ( V ) Salvaguardar a confidencialidade, integridade, e disponibilidade da informação escrita, falada e eletrônica é o objetivo da ISO 27001 ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI ( V ) O SGSI é parte do sistema de gestão global da organização

6) 7)

Fim do Módulo 3

Sign up to vote on this title
UsefulNot useful