Gestão de Riscos de Segurança da Informação

Gestão de Riscos de Segurança da Informação

Fatec-SP - ADS - Segurança da Informação

7ac5f97f38bdd01e90f14b0eb0411b25?s=128

Nichols Jasper

June 20, 2014
Tweet

Transcript

  1. SEGINF - Segurança da Informação Aula 3 – Gestão de

    Riscos de Segurança da Informação 23.08.2015 1
  2. Riscos no dia a dia • Geralmente, quando se fala

    em correr riscos, pensa-se logo em perdas ou sacrifícios financeiros, mas este é apenas um tipo de risco. • Muitos riscos fazem parte de nosso dia a dia de tal forma, que mal os levamos em consideração e análise, tomando ações inconscientes ou até instintivas. Vejamos um exemplo: • Ao atravessar uma rua, o pedestre deve olhar para ambos os lados e quando não houver tráfego, atravessará. Caso esteja com pressa, pode assumir riscos e atravessar entre os veículos, quando aparecer uma chance. • Se o trânsito estiver pesado, prudentemente, deve se dirigir às áreas de cruzamento de pedestre, garantindo sua passagem com segurança. 23.08.2015 2
  3. Relembrando... • Para entender melhor o conceito de risco é

    bom lembrar alguns conceitos. • Ativo: qualquer coisa que tenha valor para a organização. •O que vale a pena ser protegido. • Ameaça: causa potencial de um incidente indesejável, que pode resultar em dano para um sistema ou organização. •O que pode comprometer a segurança do ativo, danificando-o ou causando prejuízo de alguma forma. • Vulnerabilidade: fraqueza em um grupo de ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaça. •Característica que insere fragilidade em um ativo ou sistema. • Risco é a combinação da probabilidade de um evento e sua consequência no sentido do potencial que dada ameaça tem de explorar as vulnerabilidades de um ativo ou grupo de ativos para causar perdas ou danos aos ativos. • Todas as atividades de uma organização envolvem risco! 23.08.2015 3
  4. Riscos são frutos da Incerteza • Um risco precisa ser

    incerto, vejamos um exemplo: • O homem que se atira à rua do trigésimo andar de um edifício não corre nenhum risco, pois conhece as consequências antes de fazê-lo. • O efeito é altamente previsível e as consequências também. • O paraquedista convive com o risco do seu equipamento falhar, porque o acidente é só uma possibilidade que pode acontecer e ter seu impacto associado. • Neste caso o acidente pode acontecer, mas não há precisão para dizer se irá ou não. • No contexto empresarial há inúmeros riscos e as empresas hoje adotam práticas para tentar gerenciá-los de alguma forma. 23.08.2015 4
  5. Gestão de Riscos • Gestão de risco é a adoção

    de medidas que busquem o equilíbrio entre riscos e custos. • Segundo o ISO/IEC Guide 73* Risco é a combinação da probabilidade de um evento e de seus impacto (consequências). R = P X I • Geralmente, o termo “risco” é utilizado em segurança apenas quando há a possibilidade de consequências negativas. *Gestão de riscos -Vocabulário - Recomendações para uso em normas 23.08.2015 5 Custo Risco Segurança Ideal Custo de tratar o risco X Custo de um Incidente
  6. Gestão de Riscos • Podemos classificar os riscos em: •

    Conhecidos: Podem ser descobertos após uma avaliação cuidadosa do plano do projeto, ambiente técnico e do negócio: • Prazos irreais, escopo mal definido, ambiente de desenvolvimento ruim. • Previsíveis: são percebidos a partir de experiências em projetos anteriores. • Rotatividade de pessoal, comunicação ruim com o cliente, canalização excessiva de esforços para manutenção. • Imprevisíveis: são aqueles difíceis de serem identificados, mas que podem ocorrer. 23.08.2015 6
  7. Relacionamento entre os conceitos 23.08.2015 7 Ameaça Vulnerabilidade Risco Controles

    Controles Risco
  8. Gestão de Risco de Segurança – ISO 27005 • O

    Processo de Gestão de Riscos em Segurança da Informação ocorre conforme a ISO 27005. • Nela são detalhadas atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. 23.08.2015 8
  9. Gestão de Risco de Segurança – ISO 27005 • Estabelecimento

    de Contexto • Avalia os objetivos de segurança organizacional e considera a exposição da organização a riscos em termos amplos. • Estabelece o escopo de ativos que será analisado. • Identificação de ameaças • Validar ameaças potenciais que podem atrapalhar ou impedir um ativo de prover níveis adequados de segurança, comprometendo a confidencialidade, integridade ou disponibilidade. • Deve-se avaliar a motivação, capacidade, recursos, probabilidade de ataque e técnicas de dissuasão existentes para entender melhor as potenciais ameaças. • Identificação deVulnerabilidades • Envolve identificar falhas ou fraquezas no escopo analisado que poderiam ser exploradas por uma ameaça para ajudar a determinar a aplicabilidade de uma dada ameaça à organização e a sua severidade. 23.08.2015 9
  10. Gestão de Risco de Segurança – ISO 27005 • Identificar

    os riscos • O objetivo desse estágio é identificar riscos para os ativos, respondendo a duas perguntas básicas: • Quem ou o que poderia causar dano ao ativo? • Como isso poderia ocorrer? Qual a probabilidade disto acontecer? • Devem ser usadas diversas técnicas, como análise histórica, brainstorming, opinião de arquitetos de segurança, etc. • Analisar Controles de Segurança • Antes de poder especificar a probabilidade de uma ameaça é preciso identificar os controles existentes usados pela organização para tentar minimizar as ações de uma dada ameaça. • Determinar Probabilidade e Impacto (consequências). • Determinar o risco resultante – risco residual. • Avaliar os riscos. • Tratar os riscos de acordo com os critérios de risco da empresa. • Monitorar os riscos. 23.08.2015 10
  11. Análise e avaliação de riscos • É importante para uma

    empresa: • Identificar os eventos que podem causar perdas, ou seja, as ameaças. • Identificar os controles existentes e a sua eficácia em evitar que uma ameaça explore uma vulnerabilidade. • Com a informação das ameaças e da efetividade dos controles, podemos identificar o nível de risco. • Conhecendo o nível de risco, a organização tem a oportunidade de decidir o que vai fazer em relação a cada um deles. 23.08.2015 11
  12. Matriz de riscos • É uma ferramenta importante para facilitar

    a visualização dos riscos e a tomada de decisões. • Deve-se estabelecer critérios para os eixos X e Y para permitir a correta inserção dos riscos e criar um “mapa de riscos” para o contexto analisado. 23.08.2015 12
  13. Tratamento de Riscos • Reduzir (mitigar com a adoção de

    controles ou aprimoramento dos atuais para diminuir a probabilidade ou a consequência). • Aceitar o risco; • Evitar (descontinuar o processo ou atividade); ou • Transferir (terceirizar a administração do risco). • Antes de considerar o tratamento de um risco convém definir os critérios para determinar se os riscos podem ser ou não aceitos. • Os critérios de riscos são particulares de cada organização e é a régua de classificação que cada empresa irá possuir para decidir o que fazer com os riscos identificados. 23.08.2015 13 Risco Intolerável Risco Tolerável Risco Aceitável
  14. Tratamento de Riscos • No tratamento de risco deve-se levar

    em conta: • Objetivos organizacionais; • Requisitos e restrições de legislações e regulamentações; • Requisitos e restrições operacionais; • Custo de implementação e a operação em relação aos riscos; • Necessidade de balancear o investimento na Implementação de controles. • Segurança deve ser algo que gere oportunidades e vantagens para uma empresa e não um custo impensado! 23.08.2015 14
  15. Conclusão • Nenhum conjunto de controles pode conseguir a segurança

    completa. • Os recursos são finitos, eliminar todos os riscos pode ser impraticável. • Segurança normalmente é inversamente proporcional a conveniência. • Normalmente no desenvolvimento de sistemas você escolhe 2 de 3 (segurança, funcionalidade ou desempenho). 23.08.2015 15 LEMBRE-SE: NÃO EXISTE SEGURANÇA 100%
  16. Dúvidas? 23.08.2015 16

  17. Tarefa Complementar 1 –Trabalho em Grupo Estudo de Caso Internet

    Banking com Web Services – Banco Espada 23.08.2015 17
  18. Tarefa Complementar 2 – Exercícios de Revisão 1. Qual é

    a diferença entre uma ameaça e uma vulnerabilidade? • Dica: ConsulteThreat xVulnerability no Oráculo! 2. Dos itens abaixo, quais são vulnerabilidades e quais são ameaças? Justifique: • Grupo Hacktivista com idealismo contra uma empresa. • Incêndio na Filial da Empresa. • Radicais do Estado Islâmico. • Descarte de relatórios gerenciais na lata de lixo. • Aplicação não valida comandos enviados pelo usuário. 3. Por que uma empresa deve gerenciar seus riscos? 4. O que são riscos de segurança da informação? 5. Cite e defina brevemente as quatro abordagens para tratamento de riscos. 6. Por que uma empresa deve estabelecer critérios para o tratamento de riscos? O que é apetite de risco e como ele influencia nas decisões de gestão de riscos? 23.08.2015 18