ItSMF PT_CT163_Nova Abordagem à Gestão Do Risco Na ISO 27001 2013_Daniel Caçador

Seminário Anual 2013

A NP ISO/IEC 27001:2013 e a certificação de

Sistemas de Gestão da Segurança de Informação

Sub-título da Apresentação

Data

Nova abordagem à

gestão do risco na ISO

27001:2013

Daniel Caçador

4 de dezembro de 2013

Vogal CT163

Seminário Anual 2013

A NP ISO/IEC 27001:2013 e a certificação de

Sistemas de Gestão da Segurança de Informação

2Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Agenda

• Introdução

• Gestão de Risco na ISO 27001:2013


Introdução

”O sistema de gestão de segurança da informação preserva a

confidencialidade, integridade e disponibilidade da informação através da

aplicação de um processo de gestão de risco e dá confiança às partes

interessadas de que os riscos são geridos adequadamente.” (*)

Alinhamento explicito com a norma ISO 31000:2012 – Gestão de Risco

(* ISO 27001:2013 – 0.1 Generalidades)

Integridade Disponibilidade

Confidencialidade


Principais diferenças da ISO 27001:2013

• Nova estrutura• Alinhamento com o “Anexo SL” das diretivas ISO/IEC Directives, Part 1.

• Alterações de terminologia. • Ex: Politica de Segurança de Informação em vez de Politica de Sistema de

Gestão de Segurança de Informação

• Definições comuns e texto idêntico a outras normas.

• Ações preventivas substituídas por “Ações para endereçar riscos

e oportunidades”

• Flexibilidade no processo de gestão de risco

• Alinhamento com a ISO 31000 – Gestão de Risco

• Os requisitos para a Declaração de Aplicabilidade (SoA) são

similares mas é mais claro que a especificação dos controlos fica

dependente do processo de tratamento dos riscos.


Flexibilidade na escolha do método de risco

• Na versão anterior ISO 27001 é um requisito a identificação do “dono do

ativo” e que esteja implementado um levantamento ameaças e

vulnerabilidades sobre os ativos.

• Na nova versão de 2013 desaparece o termo “dono do ativo” e é

introduzido um “dono do risco”, sendo apenas requerido que sejam

identificado riscos em relação à confidencialidade, integridade e

disponibilidade.

• Existe um alinhamento completo em relação com o processo de gestão

de risco da ISO 31000 (referenciada em várias clausulas)

• A norma ISO 27005 ainda poderá ser utilizada para endereçar riscos

específicos de TI.

• A norma ISO 31000 proporciona um modelo de gestão de riscos mais

alinhados ao “negócio”.


Processo de gestão de risco com a ISO 27005

Processo baseado na versão anterior da ISO 27001:2005

Processo de Levantamento do Risco:

• Identificar ativos

• Identificar ameaças

• Identificar vulnerabilidades de explorem as ameaças

• Analisar e avaliar os riscos

Processo de Tratamento do Risco

• Reduzir

• Aceitar

• Evitar

• Transferir

Ativos Ameaças VulnerabilidadesAnalisar e

Avaliar

Tratar

Riscos


Processo de gestão de risco com a ISO 31000

Princípios para gerir riscos:• A Gestão de Risco deve Criar Valor.

• A Gestão de Risco deve ser uma parte integrante dos processos da

organização.

• A Gestão de Risco deve ser parte da Tomada de Decisão.

• A Gestão de Risco deve explicitamente endereçar a incerteza.

• A Gestão de Risco deve ser Sistemática e Estruturada.

• A Gestão de Risco deve ser baseada na melhor informação disponível.

• A Gestão de Risco deve ser adaptável.

• A Gestão de Risco deve levar em conta fatores humanos.

• A Gestão de Risco deve ser transparente e inclusiva.

• A Gestão de Risco deve ser dinâmica, interactiva e rápida a alterações.

• A Gestão de Risco deve ser capaz de melhoria continua e valorização.


Framework de Gestão de Risco

Para ser bem sucedida e sustentável, a gestão de riscos

deve ser incorporada na organização e ter o apoio da Gestão de

Topo.

Uma plataforma de gestão de Risco tem como objectivo ajudar as

organizações a gerir os seus riscos de forma eficaz através da

aplicação do processo de Gestão de Riscos em diferentes níveis e

em contextos específicos da organização.

Esta plataforma deve assegurar que informações sobre os

riscos derivados destes processos são

devidamente comunicados e utilizados como base para a tomada

de decisão a todos os níveis organizacionais.


Princípios, estrutura e Processo ISO 31000


Estrutura da Gestão de Risco – ISO 31000

•ISO 27001:2013

•Clausula 5: Liderança

• Liderança,

compromisso e

responsabilidades da

gestão de topo

• Politica de Segurança

de Informação


Processo de Gestão de Risco

•ISO 27001:2013

•Clausula 4:Contexto da

organização

• Compreender a

organização e o seu

contexto e questões internas

e externas relevantes para a

sua finalidade

• Contexto usado na ISO 31000



ISO 27001:2013 – Clausula 6 - PlaneamentoClausula 6.1.1• Identificar e endereçar riscos e oportunidades para o sistema de gestão e

definir objetivos claros e critérios que possam ser usados para medir o

sucesso

Clausula 6.1.2 - avaliação do risco de segurança da informação• A fase de Avaliação do risco inclui a identificação, analise e avaliação dos

riscos.

• Deixa de haver necessidade de ativos, ameaças e vulnerabilidades

• Ao identificar riscos associados com a perda de Confidencialidade,

Integridade e disponibilidade da informação

• Utiliza os conceitos de impacto e probabilidade como a ISO 31000

• Aparece o conceito de “Dono do Risco” em vez de “dono do ativo”


Calculo do Risco – CONFIDENCIALIDADE

Nível

Confidencialidade

Valor Descrição

Baixo 1 Em claro para todos (textos nos sites públicos, brochuras)

Medio 2 Para uso interno dos trabalhadores da empresa

Alto 3 Acesso restrito numa base de necessidade de saber, dentro

de grupos ou equipas (ex: contratos), a sua divulgação pode

causar alguns danos limitados.

Muito Alto 4 Restrito a um individuo ou grupo limitado (ex, planos de

negócio, etc), o acesso não autorizado pode causar danos

elevados.

Exemplo:


Calculo do Risco - INTEGRIDADE

Nível

Integridade

Valor Descrição

Baixo 1 Sem Impacto – a integridade não tem importância no sentido

que não causa nenhum impacto direto ao negocio

Medio 2 Pouco impacto – As modificações têm um pouco impacto (ex:

politicas, procedimentos internos)

Alto 3 As modificações terão impacto significativo nos processos de

trabalho

Muito Alto 4 As modificações têm um impacto sério nos processos de

trabalho e na empresa

Exemplo:


Calculo do Risco - DISPONIBILIDADE

Nível

Disponibilidade

Valor Descrição

Baixo 1 Mais de 2 dias uteis – sem impacto negativo na empresa

Medio 2 Entre 4 Horas e 2 dias uteis

Alto 3 Entre 1 Hora e 4 Horas – o processo de trabalho tem que

continuar no mesmo dia

Muito Alto 4 Menos de 1 hora – quase de imediato

Exemplo:


Impacto e Probabilidade dos Riscos

Valor de Impacto = max (C, I, A)

Valor de Probabilidade• Qual a probabilidade de ocorrer o evento?

• Qual a qualidade as proteções existentes?

• Tabelas de Probabilidades:

Nivel Valor Descrição

Baixo 1 Não é provável que aconteça

Medio 2 Pode acontecer raras vezes

Alto 3 Irá acontecer cedo ou tarde, algumas vezes

Muito Alto 4 De certeza que acontece, e que se vai repetir

Exemplo:


Tabela de “Aceitação de Risco”

Impacto

Probabilidade

1 2 3 4

1 1 2 3 4

2 2 4 6 8

3 3 6 9 12

4 4 8 12 16

•Valor Risco =Probabilidade X Impacto

Exemplo:


Exemplo: Análise do Risco

Calculo do valor/nível do RiscoProcesso :

Informação de Empregado – RH (C=3,I=3,A=2)Riscos:• R1: Acesso físico à Informação de Empregado• R2: Acesso lógico à Informação de Empregado• R3: Informação curricular estar correta

Risco O que está em risco

(processo)

probabilidade Impacto Valor do Risco

Acesso físico à

Informação de

Empregado

Informação de

Empregado

2 3 3

Acesso lógico à

Informação de

Empregado

Informação de

Empregado

3 3 9

Informação

curricular estar

correta

Informação de

Empregado

4 3 12

•(V) – Deve ser criada uma regra para calculo do valor do risco. Ex: P * I



ISO 27001:2013 – Clausula 6 - PlaneamentoClausula 6.1.3 – Tratamento do risco de segurança da informação• Selecionar opções de tratamento de risco

• Determinar os controlos para as opções de tratamento escolhidas (existem

fontes com esta informação)

• Comparar os controlos com o Anexo A (evitar omissões de controlos)

• Produzir uma Declaração de Aplicabilidade (SoA) baseado nos

riscos/controlos identificados

• Elaborar um plano de tratamento do risco

• Obter dos responsáveis a aprovação do plano e aceitação do risco residual



ISO 27001:2013 – Clausula 6 - Planeamento

Opções para o tratamento dos riscos:• Reduzir o risco

– O nível de risco deve ser reduzido através da seleção de controlos que o risco

residual possa ser considerado aceitável.

• Eliminar a fonte do risco

• Alterar a sua probabilidade

• Alterar o seu impacto

• Evitar o risco

– Identificar atividades ou condições que permitem que determinado risco possa ser

evitado, podendo ser decidido parar ou não iniciar atividades

• Transferir o risco

– O risco deve ser transferido para outra(s) entidade(s) (incluindo contratos e

financiamento de risco).

• Aceitar o risco de forma informada.

– Assumir o risco não efetuando nenhum ação.

– Assumir o risco (mesmo aumentando) para obter uma oportunidade.



ISO 27001:2013 – Clausula 8 - OperaçãoClausula 8.2 – Avaliação do risco de segurança da informação• As avaliações de risco devem ser realizadas a intervalos planeados ou

quando são propostas ou ocorrem alterações significativas.

Clausula 8.3 – Tratamento do risco de segurança da informação• A organização deve implementar um plano de tratamento do risco se

segurança de informação



ISO 27001:2013–Clausula 9:Avaliação de desempenhoClausula 9.1 – Monitorização, medição, análise e avaliação• Relativamente às ações de tratamento de risco é necessário:

– Identificar o que necessita de ser monitorizado ou medido e métodos

para o fazer

– Identificar quando e quem deve efetuar a monitorização ou medição

– Identificar quem deve analisar e avaliar os resultados

Clausula 9.3 – Revisão pela gestão• A gestão de topo deve rever o sistema de gestão de segurança de

informação em intervalos planeados para assegurar a sua continua

aplicabilidade, adequabilidade e eficácia tendo em consideração, entre

outros:

–Resultados da avaliação do risco e estado do plano de tratamento do

risco.


Conclusões

• ISO 27001:2013 alinhada com ISO 31000 permitindo uma análise mais

flexível e ágil.

• É necessário definir os Donos do Risco no contexto da organização e

processo

• Identificação dos riscos em relação à confidencialidade, integridade e

disponibilidade.

• É necessário demonstrar uma ligação clara entre o “tratamento do risco”

e a Declaração de Aplicabilidade (SoA)

• Não esquecer que teremos “Ações para endereçar riscos e

oportunidades”


Obrigado


Documents

ItSMF PT_CT163_Nova Abordagem à Gestão Do Risco Na ISO 27001 2013_Daniel Caçador