-
Gesto de Segurana da
Informao
Aula 5 Classificao da Informao e Gesto
de Riscos
Prof. Paulo Gontijo
-
Contedo:
1. Breve introduo
2. Classificao da informao
3. Identificao de riscos
4. Tratamento de riscos
Classificao da Informao e Gesto de Riscos
-
Breve introduo
Por que priorizar?
De empresas pequenas as grandes, no possvel fazer tudo de uma s
vez Fazer o que importa e no o que mais na moda ou simples o que
permitirsua empresa estar realmente segura
Implantar um firewall de ultima gerao, um antivrus robusto e
solues de deteco ou preveno de intrusos importante mas pode ser que
sua empresa
precise de algo mais simples e barato para o curto prazo
O dinheiro sempre limitado
-
Breve introduo
E o que devo fazer para priorizar?
Classifique a informao
Faa uma anlise de riscos
Te permitir saber o que
informao pblica e o que
confidencial, permitindo assim
definir controles para proteo
da informao
Te permitir saber o que tem
mais urgencia e importancia
criando assim sua priorizao.
-
Se para toda a informao usarmos os melhorescontroles (backup,
antivrus, controle de acesso, firewall,
auditoria, etc.), o custo e o prazo iro aumentar muito!!!
Portanto:
Realize investimentos em melhoria de controles de
segurana apenas aps saber que tipo de proteo dada
informao precisa.
Classificao da informao
-
A informao pode ser crtica de acordo com algumas
variveis:
- Divulgao Focar em controle de acesso
- Indisponibilidade Focar em site backup
- Integridade Focar em hash e controle de acesso
- Perda Focar em backup
Classificao da Informao
-
O que devo fazer para classificar a
informao?
1) Crie o Regulamento de Classificao da Informao
2) Escolha um processo de negcio
3) Mapeie as informaes que suportam o processo
4) Defina o proprietrio e o custodiante da informao
5) Implante os controles
Classificao da informao
-
Voc protegeria gastaria R$ 1MM para proteger um servidor de
impresso?
1) Escolha o processo de negcio (ex: atendimento via chat)
2) Identifique os riscos
3) Decida a estratgia: eliminar, mitigar ou aceitar
4) Implante a estratgia
Identificao de riscos
-
Identificao de riscos
Risco Indicador Probabilidade Impacto Grau de
Risco
IndisponibilidadeMonitor de
downtime > 1h 2 (Mdia) 3 (Alto) 6
InvasoMonitor de integridade 1 (Baixa) 3 (Alto) 3
Ausncia de Operadores Folha de ponto < 90% 1 (Baixa) 2 (Mdio)
2
Upgrade de softwareAtendimentos/Min
ps atualizao 1 (Baixa) 2 (Mdio) 2
-
Identificao de riscos
3 6 92 4 6
1 2 3
Report Diretoria
Report Gerencia
Dashboard executivo de risco
Report Equipe
Priorizando economizamos
-
Identificao de riscos
Risco Probabilidade Impacto Grau de
Risco
Indisp. Roteador 1 (Baixa) 3 (Alto) 3
Indisp. Servidor 3 (Alta) 3 (Alto) 9
Indisp. Falta Energia 1 (Baixa) 2 (Mdio) 2
Indisp. Link Operadora 1 (Baixa) 3 (Alto) 3
-
Identificao de riscos
3 6 92 4 6
1 2 3
Prioridade 1
Prioridade 2
Dashboard operacional de risco
Prioridade 3
Priorizando economizamos
-
Tratamento de riscos
Iremos mitigar, aceitar ou eliminar o risco?
Aceitar: No executar nada
Mitigar: Trocar a fonte ou o HD do servidor
Eliminar: Configurar servidor redundante em Data Center
externo
-
Resumo e concluses da aula
Nesta aula vimos
A importncia da classificao da informao
Como identificar e tratar riscos
Como priorizar aes para otimizar investimentos
Na prxima aula veremos
A importncia de se desenvolver seguro na primeira vez
O papel do ethical hacker nas organizaes
Como implantar criptografia em aplicaes
