gestao_riscos

8/18/2019 gestao_riscos

1/56

INF-108

Segurança da Informação

Aula 02Gestão de Segurança da Informação

Prof. João Henrique Kleinschmidt(slides cedidos pelo Prof. Carlos Kamienski - UFABC)

Santo André, fevereiro de 2011


2/56

Gerenciamento e Avaliação de

Riscos


3/56

Terminologia

RiscoPossibilidade de sofrer perda ou dano; perigoAtaque

acesso a dados ou uso de recursos sem autorizaçãoexecução de comandos como outro usuário

violação de uma política de segurança, etc,VulnerabilidadeÉ uma falha que pode permitir a condução de um ataque

IncidenteA ocorrência de um ataque; exploração de vulnerabilidades

AmeaçaQualquer evento que pode causar dano a um sistema ou redeA existência de uma vulnerabilidade implica em uma ameaça

Exploit codeUm código preparado para explorar uma vulnerabilidade conhecida


4/56

Exemplos de Ameaças

Pessoas chaves para uma organizaçãoFerimento, morte

Servidores de arquivos

Ataques DoSDados dos alunosAcesso interno não autorizado

Equipamentos de produçãoDesastre natural


5/56

Exemplos de Vulnerabilidades

Pessoas chaves para uma organizaçãoSem controle de acesso

Servidores de arquivos

Aplicação incorreta de correções (patches)Dados dos alunosTerceirizados não averiguados

Equipamentos de produçãoControles fracos de acesso físicos


6/56

Gerenciamento de Riscos

Estruturas de SI nas organizações são criadaspara gerenciador riscosGerenciar riscos é uma das responsabilidades dos

gestores da organizaçãoTodos os programas de gerenciamento de riscossão baseados em dois processos

Identificação e avaliação de riscosControle (minimização) de riscos


7/56

Conhecimento do Ambiente

Identificar, examinar e compreenderA informação e como ela é processada, armazenada etransmitida

Iniciar um programa detalhado de gerenciamentode riscosO gerenciamento de riscos é um processo

Meios, salvaguardas e controles criados eimplementados não devem ser “instale e esqueça”


8/56


9/56

Gerenciamento de Riscos

O processo de identificar, medir, controlar eminimizar os riscos de segurança a um nívelproporcional ao valor dos ativos protegidos

(NIST)Conjunto de atividades coordenadas paradirecionar e controlar um organização comrelação a riscos de SI (BS 7799-2)

Processo de identificação, controle eminimização ou eliminação dos riscos desegurança que podem afetar os sistemas deinformação, a um custo aceitável (ISO 17799)


10/56

Ciclo de vidaGerenciamento de Riscos

Implementar ações degerenciamento

de riscos

Reavaliar os riscos

Identificar áreas

de risco

Avaliar

riscos

Desenvolver plano de

gerenciamentode riscos

Cic lo de

Gerenciamento

de Riscos

Avaliaçãode riscos

Controle

(minimização)

de riscos


11/56

Definições ISO 27001

Gerenciamento de riscosConjunto de atividades coordenadas para direcionar e controlar umorganização com relação a riscos de SI

Análise de riscosUso sistemático da informação para identificar as fontes de riscos epara estimar o risco

Avaliação de riscosProcesso de comparar os riscos estimados com determinadoscritérios de riscos para determinar a significância dos riscos

Estimativa de riscosProcesso global de análise e avaliação de riscos

Tratamento de riscosProcesso de seleção e implementação de medidas para modificar orisco

Aceitação de riscosDecisão de aceitar um risco


12/56


13/56

Norma ISO IS 13335

Management of Information and CommunicationTechnology (MICTS)Parte 1 – Conceitos e Modelos

Parte 2 – Técnicas para Gerenciamento de Riscosda Informação e de Tecnologia de Comunicação


14/56

Padrão AS/NZS 4360

Padrão da Austrália e Nova Zelândia paragerenciamento de riscos (genérico, não só de SI)Processo AS/NZS 4360

Estabelecer o contextoIdentificar os riscosAnalisar os riscos

Avaliar os riscosTratar os riscosMonitorar e revisarComunicar e consultar


15/56

Gerenciamento de RiscosChave para o sucesso

Compromisso da diretoriaSuporte e participação da TICompetência da equipe de avaliação deriscosConsciência e cooperação dos usuáriosAvaliação contínua dos riscos críticos


16/56

Ferramentas paraAvaliação de Riscos (AR)

Avaliação de riscos pode ser feita manualmente,usando formulários, questionários e planilhasEm geral, em 80% dos casos, pode ser feita com

o uso de planilhas bem projetadasSituações em que pode ser útil usar ferramentas

O volume de riscos é grande demais

Necessidade de que as alterações nos resultados daanálise de riscos tenha controle de acesso rígidoO software se torna o cerne do processo de negócios,ou seja, existe uma integração profunda entre oprocesso de AR e a ferramenta que o suporta


17/56

Gerenciamento de RiscosGuia do NIST Publicação NIST 800-30

Risk Management Guide for

Inform at ion Technology Systems

Julho de 2002

Objetivo: A base para o desenvolvimento de umprograma de gerenciamento de riscos efetivo,contendo as definições e orientação prática

necessária para avaliar e minimizar os riscosidentificados nos sistemas de TIcsrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf


18/56

Procedimentos básicos

Avaliação de Riscos – Quais são os riscos?

Minimização de Riscos – O que fazer para trataros riscos?

Avaliação – Qual foi o resultado alcançado?


19/56

Estimativa de Riscos

Passo 1: Caracterização do sistemaPasso 2: Identificação das ameaçasPasso 3: Identificação de vulnerabilidades

Passo 4: Análise de controlesPasso 5: Determinação das possibilidadesPasso 6: Análise de impacto

Passo 7: Determinação dos riscosPasso 8: Recomendações de controlesPasso 9: Documentação


20/56

Estimativa de RiscosPasso 1: Caracterização do sistema

O que há para gerenciar?Como a TI está integrada no processo?

Passo 2: Identificação das ameaças

Quais fontes de ameaças devem ser consideradas?(Interna/externa, acidental/intencional, maliciosa/não-maliciosa)

Passo 3: Identificação de vulnerabilidadesQuais falhas/fraquezas podem ser exploradas?

Passo 4: Análise de controlesQuais são os controles atuais e planejados?


21/56


Passo 5: Determinação das possibilidadesAlta Fonte de ameaças altamente motivada e

habilidosa e controles para prevenir exploraçãodas vulnerabilidades são ineficazes

Média Fonte de ameaças motivada e habilidosa, masexistem controles que podem impedir aexploração das vulnerabilidades

Baixa Fonte de ameaças carente de motivação ouhabilidade ou existem controles para prevenira exploração das vulnerabilidades


22/56


(1) perda de grandes ativos resultando em custo altíssimo;(2) violação, dano ou impedimento significativo da/na

missão, reputação ou lucro; (3) morte ou ferimento humano

(1) perda de ativos caros; (2) violação, dano ou impedimentoda/na missão, reputação ou lucros;

(3) ferimento humano

(1) perda de algum ativo real;(2) influência visível na missão, reputação ou lucros

Alta

Média

Baixa

A exploração da vulnerabilidade pode resultar em:Passo 6: Análise de Impacto


23/56


Passo 7: Determinação dos riscos Impacto

Possibilidadeda ameaça

Baixo

(10)

Médio

(50)

Al to

(100)Alta (1.0) Baixo

10 X 1.0 = 10

Médio

50 X 1.0 = 50

Alto

100 X 1.0 = 100

Média (0.5) Baixo

10 X 0.5 = 5

Médio

50 X 0.5 = 25

Médio

100 X 0.5 = 50

Baixa (0.1) Baixo

10 X 0.1 = 1

Baixo

50 X 0.1 = 5

Baixo

100 X 0.1 = 10

Escala de Risco: Alto ( >50 a 100); Médio ( >10 a 50); Baixo (1 a 10)


24/56


Passo 7: Determinação dos riscos Nível do Risco Descrição do Risco e Ações Necessárias

Alto

Se uma ameaça é avaliada como um risco alto, existe

uma necessidade forte de medidas corretivasUm sistema existente pode continuar a operar, mas oplano de ação corretiva deve ser implantado o maisrápido possível

MédioSe uma ameaça é avaliada como um risco médio, ações

corretivas são necessárias e um plano deve serdesenvolvido para incorporar essas ações em umtempo razoável

BaixoSe uma ameaça é avaliada como um risco baixo, aorganização deve determinar se ações corretivas são

necessárias ou decidir em aceitar o risco


25/56

Risk Assessment (Continued)

Passo 8: Recomendações de controlesObjetivo: encontrar os controles maisbaratos para garantir operação a pleno vapor

Considerações:Eficácia do controleLegislação, regulamentação e políticaorganizacional

Impacto operacionalSegurança física e confiabilidade

Os controles sempre devem ser adequados à organização


26/56

Minimização de Riscos

A diretoria e gerências devem assegurar que oscontroles mais apropriados são implementados

para que a missão da empresa esteja sendoefetivamente sendo perseguida


27/56


Opções de minimização

Adoção/aceitação do Risco

Aceitar o risco potencialAnulação do RiscoAlteração da maneira como o sistema é utilizadoRemoção da vulnerabilidade ou possibilidade de exploração

Limitação do RiscoEstabelecimento de limites no sistema, para detectar e reagirrapidamente

Transferência do RiscoPara alguém que paga por ele (ex: seguro)

Estratégia para minimização


28/56

Estratégia para minimizaçãode riscos

Projeto Sistema

SIM

NenhumRisco

SIM Vulnerabilidadeexiste

Fonte

Ameaça

SIM

Aceitar Risco

RiscoInaceitável

Risco

Existe

SIM

&

Custo doatacante >ganho?

PerdaEstimada >

Limiar?

Falha oufraqueza?

Pode serexplorada?

SIM

N O

Impacto namissão?

N O

NenhumRisco

NenhumRisco Aceitar Risco



29/56

Minimização de RiscosImplementação de Controles

Técnico (Suporte, prevenção, detecção &recuperação)

Gerencial (treinamento, planos, procedimentos)

Operacional (físico, pessoal, backup, ...)

Controle novoou melhor Risco Residual

Reduz númerode falhas ou erros

Inclui controledirecionado

Reduz a magnitudedo impacto


30/56

Exemplo de um ISMS para um

“gateway” de acesso à Internet


31/56

Contexto do ISMS

Associação XYZ: engenharia12 locais conectados através de VPNObjetivo:

Fazer o ISMS para o “gateway” principal

Projeto baseado na norma BS 7799-2Uso do modelo PDCA


32/56

ISMS para acesso à Internet


33/56

Redes que usam o gateway

InternetE-BusinessLAN da MatrizRede de GerenciamentoRede privada da empresa (através do ISP)Rede de acesso remoto (VPN)Rede pública (DMZ): servidores web

E d


34/56

Escopo do ISMS

Acesso à Internet aos usuários internosWeb, emailServiços de hospedagem web

Servidores públicos

Serviços privados para os membros da associaçãoHospedagem de páginas para os membrosAcesso remoto para acesso via Internet (VPN)Infra-estrutura de TI

Firewall, servidores na DMZ, etc

Segurança de informações dos sistemas que tiveremacesso via InternetSegurança física dos equipamentosPessoal do departamento de TI

Si ã l d


35/56

Situação atual da segurança

Bom projeto técnico da segurança do gatewayManutenção e operação dos equipamentos esoftware executados de forma ad-hoc

Não existem procedimentos e planos para aoperação dos equipamentosPraticamente sem política(s) de segurança

Existem duas políticas de uso aceitávelNavegação da webUso de e-mail

ISMS F “Pl ”


36/56

ISMS: Fase “Plan”

Metodologia para desenvolvimento do ISMSPassos a serem executados

Avaliação de riscos

Conduz o processo de desenvolvimento do ISMSAs atividades seguintes dependem da avaliação

Desenvolvimento de uma estrutura de

gerenciamento do ISMSDefinição de uma política de segurança para ogateway da associação XYZ



37/56

ISMS: Fase PlanPassos para o desenvolvimento

Passo 1: Plano do projetoPasso 2: Avaliação (estimativa) de riscosPasso 3: Estrutura de gerenciamento do ISMS

Baseada na avaliação de riscosPasso 4: Política de segurança

Baseados na avaliação de riscos

Inclui diretrizes e procedimentos



38/56

ISMS Fase PlanPasso 1: Plano do projeto

O processo de desenvolvimento do ISMSnecessita do envolvimento de todos os gruposinteressados

Clientes, acionistas, fornecedores, funcionáriosComponentes do plano

Work Breakdown Structure (WBS)

Lista de tarefas e sub-tarefas (as vezes em forma de árvore)Identifica

ção dos envolvidos (stakeholders)

Início e fim das tarefas do WBSRiscos do projeto

Aprovação do plano de projeto pela diretoria da XYZ



39/56

ISMS Fase PlanPasso 2: Avaliação de riscos

Uso da metodologia AS/NZS 4360

Estabelecer o contexto

Identificar riscos

Analisar riscos Avaliar riscos

Tratar riscos



40/56

ISMS Fase lanPasso 2: AS 4360: Identificar

Identificação das ameaças e vulnerabilidades quepodem causar um incidente de segurançaNatureza e fonte do risco

O que pode acontecer ou dar errado?Como pode acontecer?

Por que pode acontecer?

Quem ou o que pode ser machucado/danificado

O resultado é o registro de riscos



41/56

FPasso 2: AS 4360: Identificar

Serviço de Internet: disponibilidadeDispositivos críticos de rede (roteador, firewall)

Serviço de Internet: disponibilidade

Ataque DoS vindo da InternetInformações: integridade

Ataque de hackers da Internet

Informações: confidencialidade Ataque de hackers da Internet

Infra-estrutura do gateway: integridade

Configuração errada acidental de um dispositivo de imposição desegurança



42/56

Passo 2: AS 4360: Analisar

Critérios de possibilidade de ocorrência



43/56


Critérios de conseqüência



44/56


Critérios de avaliação



45/56

Passo 2: AS 4360: Avaliar

Riscos podem variar de “Nil” até “Extreme”

Devem ser comparados com os níveis de “riscosaceitáveis” da fase “estabelecer contexto”

Tabela de classificação de riscos



46/56

Passo 2: Registro de risco



47/56

Passo 3: estrutura gerencial

A definição de uma estrutura gerencial deve seruma consequência da avaliação de riscosObjetivos

Demonstrar o compromisso da diretoria com o ISMSDemonstrar que a estrutura gerencial faz cumprir oprincípio de separação de responsabilidades nasoperação do “gateway”



48/56

Passo 4: políticas

Áreas de políticas cobertas pelo ISMSPolítica de acesso ao gatewayPolítica de segurança física

Política relativa às pessoasPolítica de acesso a sistemasPolítica de controle de configuraçãoPolítica de gerenciamento de mudançasPolítica de detecção e resposta a incidentesPolítica de contingênciaPolítica de uso aceitável



49/56

Estrutura gerencial do ISMS

ISMS: Fase “Plan”P lí d


50/56

Políticas de segurança

ISMS: Fase “Do”


51/56

ISMS: Fase Do

Baseado nos requisitos da fase “Plan”, essa faseimplementa os controles selecionadosUso da técnica de Análise de Insuficiência

“gap analysis”Cada insuficiência (gap) é mapeada como umproblema, porque se distancia do planejado

São apresentadas para cada problema:Ação: para remediar o problemaPassos: para implementar a ação

ISMS: Fase “Do”P bl IDS i i


52/56

Problema: IDS inexistente

A avaliação e riscos detectou a necessidade deum controle para monitorar intrusões de redeAção

Projetar uma solução de NIDS e desenvolver eimplementar processos para fazer o monitoramento

PassosDefinir NIDS (desenvolver, sw livre, comercial)

Comprar equipamentosInstalar NIDSTreinar equipe de monitoramentoIncluir saídas do NIDS no plano de detecção e

resposta a incidentes de segurança

ISMS: Fase “Check”


53/56

ISMS: Fase Check

Uma lista de verificação deve ser feita para asatividades de verificar e auditarPara cada verificação, o objetivo de controle dacontra-medida que está sendo auditada é

discutidoLista de verificação

Descrição da verificação

Objetivo de controleRazão para auditarPassos para auditarFrequência

ISMS: Fase “Check”Li t d ifi ã


54/56

Lista de verificação

ISMS: Fase “Act”


55/56

ISMS Fase Act

Aprimoramento e manutenção do ISMSA auditoria verifica a não conformidade doplanejado para o praticado com o ISMS

Quando uma não conformidade é detectada,medidas corretivas e/ou preventivas devem sertomadas, resultando em um ISMS aprimoradoO objetivo é eliminar as não conformidades

ISMS: Fase “Act”


56/56

ISMS Fase Act

Documents

gestao_riscos