Ementa Conceitos de Segurança

Transcrição

Bibliografia Sugerida
Segurança da Informação
TCU
Parte 1
Engº Mauro Carvalho Chehab, MSc, CISSP
ISO/NBR ABNT 17799/2005;
Nakamura Emilio & Geus, Paulo, Segurança de Redes
em Ambientes Corporativos, 291 p, Berkeley, 2002
Martins, José Carlos Cordeiro, Gestão de Projetos de
Segurança da Informação, 384 p., Ed. Brasport, 2003;
Sêmola, Marcos, Gestão da Segurança da Informação
– Uma Visão Executiva, 156 p., Ed. Campus, 2003;
Ulbrich, Henrique Cesar; Della Valle, James,
Universidade Hacker – 2a. Edição, 348 p., Ed. Digerati,
2003;
Kurtz, George; Scambray, Joel; McLure, Stuart,
Hackers Expostos, 832 p., Ed. Campus, 2003;
[email protected]
©2004-2007 Prof. Mauro Carvalho Chehab, MSc
Ementa (1)
Controles de acesso físico e lógico.
Classificação e controle dos ativos de informação
NBR ISO/IEC 17799:2005

Ementa

Firewalls

Autenticação de usuários, Senhas e Kerberos.
Monitoramento de tráfego.
Sniffer de rede.
Interpretação de pacotes.
Detecção e prevenção de ataques (IDS e IPS).
Ataques e ameaças da Internet e de redes sem fio (phishing/scam, spoofing, DoS,
flood).
Conceitos básicos
Configuração
Principais Firewalls para a família Windows, Unix e Linux
Proxy, NAT, Filtragem de pacotes, Roteadores e DMZ.
Criptografia.

Ementa(2)
Estrutura, objetivos e conceitos gerais.
Gerência de Riscos
Plano de Continuidade de Negócio
plano de contingência, de recuperação de desastres etc.
Tratamento de incidentes e problemas.
Vírus de computador e outros malware
cavalos de tróia, adware, spyware, backdoors, keyloggers, worms, bots,
botnets, rootkits
Ataques e proteções relativos a hardware, software, sistemas operacionais,
aplicações, bancos de dados, redes, pessoas e ambiente físico.
Segurança de Redes.
Conceitos básicos de criptografia.
Sistemas criptográficos simétricos e de chave pública.
Certificação e assinatura digital.
Características dos principais protocolos criptográficos.
Legislação sobre guarda de informações de terceiros e Vulnerabilidade.
Segurança na Internet: Crimes com o uso do computador, Privacidade,
Segurança de e-mail, Conceitos básicos de VPN e Segurança de servidores WWW,
SMTP, POP, FTP e DNS.
Vulnerabilidade dos Acessos remotos:
Telnet, Terminal Server, IRC, ICQ e NetMeeting.
Backup e recuperação de dados.

Conceitos de
Segurança
Principais ferramentas de Backup para a família Windows, Unix e Linux
Tipos de Backups
Meios de armazenamento para Backups.
Pilares básicos da Segurança
CID (ou CIA, em Inglês)
Confidencialidade
Conceitos:
Segurança
Proteger contra acesso não autorizado a informações;

Proteger informação (ou parte) contra leitura/cópia por
pessoal não autorizado;

Rede: proteger dados em trânsito de captura;
Objetivo:
Integridade
Confidencialidade

Proteger informação privada

Evitar escuta ou a inteligibilidade dos dados.
Disponibilidade
Integridade
Proteger informação contra modificação sem permissão

Garantir armazenamento seguro
Em redes:

Inclusive das cópias de segurança
Também denominado continuidade dos
serviços.
Estratégias de Segurança
(cont.)
Participação Universal (Universal Participation)
Diversidade na Defesa (Diversity of Defense)
Simplicidade (KISS – Keep It Simple, Stupid)
Tipos Assegurados (Type Enforcement)
Restringir privilégios ao mínimo necessário;
Defesa em Camadas (Defense in Depth)
Elo mais Fraco (Weakest Link)
Falha Segura (Fail Safe)

Estratégias de Segurança

Assegurar a usuários acesso aos dados a
ele pertinentes;
Canal Estreito (Chocke Point)

Proteção dos serviços de forma que não
sejam degradados ou se tornem
indisponíveis;
Impedir alteração ou forjamento de pacotes.
Mínimo Privilégio (Least Privilege)

Proteger contra escrita, alteração de conteúdo, alteração de
status, remoção e criação;
Disponibilidade

Ter o mínimo de canais entre duas redes;
Possuir mais de um mecanismo de segurança;
Eliminar pontos mais fracos da rede;

Conquistar os usuários no processo;
Utilizar diferentes produtos e sistemas;
Complexidade esconde problemas existentes;
Programas acessam apenas recursos para suas tarefas.
Na falha, nega acesso;
Serviços de Controle de
Acesso
Serviços (também conhecido como AAA)

Identificação

Autenticação

Autorização

Contabilização (Accounting)
Controle de Acesso
Lógico
Obtém a identidade do usuário
Verifica se identidade pertence ao usuário
Autoriza acesso do usuário a informação ou facilidade
Registra o processo de acesso do usuário
Autenticação de usuários e
dispositivos
Biometria
Face
Retina
Modos de autenticação
Conhecimento

Senha/Phassfrase
Tokens
Cartões de memória e inteligentes
Característica pessoal
Fisiológica
Retina / Íris
Impressão Digital
de Comportamento
Assinatura
Digitação
Voz

Íris

Assinatura
Impressão digital
Geometria da mão

Acesso apenas de pontos bem definidos - Uso militar
Segundo demais autores, faz parte da autorização
Reconhece anéis coloridos do tecido que circunda a pupila
Mais preciso

Alguns autores consideram também Localização

Reconhece vasos sanguíneos no fundo dos olhos.

Posse

Reconhece características da face e de sua estrutura óssea.

Analisa velocidade e pressão de uma assinatura.
Reconhece os sulcos da impressão
são rápidos, de fácil operação
Medidas da mão do usuário
Digitação

Reconhece a velocidade e pressão utilizadas ao digitar
informações no teclado
Mecanismos de Controle
de Acesso
Autenticação Forte
Consiste em autenticação por mais de um modo.
Exemplos:

Cartão e senha do banco;

Digital e senha;

Token e senha;

Terminal de acesso privilegiado, íris e senha.
Ocorre em duas camadas:

Cliente (ou sujeito)
Pessoa ou equipamento que deseja obter acesso a uma
informação ou facilidade

Servidor (ou objeto)
Pessoas ou equipamentos que estão incumbidos de
identificar, autenticar, autorizar e registrar (contabilizar) o
acesso e as suas tentativas.
Pode ser:

Lógico: Acesso a sistemas
Físico: Acesso às dependências da empresa
Proteção de
Sistemas Operacionais
Monitor de Referência

Kernel de Segurança
Operação
Recebe solicitações dos sujeitos
Consulta a base de dados
Armazena registro de auditoria
Envia consulta aos objetos
Base de Computação Confiável (Trusted
Computer Base - TCB)
Kernel de Segurança
Parte do TCB que implementa o Monitor de
Referência
Facilidades
É protegido contra modificações
Permite ser testado quanto a sua segurança
Deve ser sempre ser acionado
Composição
Hardware
Firmware
Software
Kernel de Segurança da Base
de Computação Confiável - TCB
Banco de Dados
do Kernel
de Segurança
Sujeitos
Gerenciamento de Identidade
Necessidade
Monitor de
Referência
(Políticas)
Kernel de
Segurança

Insatisfação com múltiplos logins/senhas

Inabilidade de atendimento regulatório

Falta de identificação correta dos usuários e recursos

Fraquezas no controle de senhas
Objetos
Registros, em caso de violação da informação
Ineficiência do processo adminstrativo das senhas
Registro de senhas em papéis, por parte do usuário
Arquivo de
Auditoria
Controle de Acesso
Centralizado
Acesso a dados
Quanto a centralização do controle
Controle de Acesso Centralizado
(Centralized Access Control)
Controle de Acesso Descentralizado
(Decentralized Access Control)
Uma entidade (indivíduo, departamento, dispositivo) toma
decisões de acesso
Gestores decidem quais usuários podem acessar objetos
específicos

A administração suporta estas diretrizes
Controle de Acesso
Descentralizado

Controle é dado ao pessoal mais próximo do recurso por
gerentes departamentais e, em alguns casos, por usuários

Requisições de acesso não são processados por uma
entidade centralizada

Relacionamento ponto a ponto

Problemas:
Falta de Padronização
Possibilita superposição de direitos
Possibilita furos de segurança
Acesso a dados
Quanto ao controle pelo sistema

Controle de Acesso Mandatório - MAC

Controle de Acesso Discricionário - DAC
Controle de Acesso
Mandatório
MAC - Mandatory Access Control
Conceito

Controle de Acesso
Mandatório
O gestor e o sistema determinam quem tem acesso
A decisão do sistema baseia-se em
Privilégio (Clearance) do usuário (Subject)
Sensibilidade (classificação) do objeto (arquivo)
Requer etiquetamento da informação
Baseado na política de segurança da organização
Impõe limite aos autorizadores
Características:
Usado em sistemas que protegem informações
bastante sensíveis
Atribui etiquetas de sensibilidade para todos os
sujeitos e objetos
Nível de sensibilidade do objeto e
nível de privilégio (clearance) determinam acesso
Permite processamento de múltiplos níveis em um
sistema
Política
Controle de Acesso
Mandatório (cont.)
Controle de Acesso
Discricionário
DAC - Discretionary Access Control

Administrador do sistema instala níveis de
privilégio

Gestor da informação estabelece etiquetamento
de sensibilidade
Conceito
Tipos
Isolamento Temporal (Time-Based Isolation)
Controle de Acesso Baseado em Regras
Controle de Acesso Baseado em Perfil (RBAC)
Controle de Acesso Dependente do Conteúdo
Interface de Acesso Restrita
Tabela de Capacidade
Lista de Controle de Acesso (ACL)
Matriz de Controle de Acesso
O Sistema aplica a política
O gestor do recurso determina quem tem acessos e
quais são os privilégios
Controle de Acesso Baseado
em Regras
Rule Based Access Control

O acesso é baseado em uma lista de regras

O administrador cria a lista de regras

Mecanismos de mediação aplicam as regras para garantir
acesso autorizado
Controle de Acesso
Baseado em Perfil
RBAC - Role Based Access Control

Decisões de controle de acesso são baseadas em função do
cargo

Cada função possui suas próprias capacidades de acesso
conforme o perfil (role)

As capacidades de acesso são herdadas pelos usuários
atribuídos a aquele cargo

A determinação do perfil (role) é discricionária, conforme uma
política de segurança de controle de acesso
Interceptam cada requisição, comparando com as
autorizações do usuário
Controle de Acesso
Baseado em Perfil (cont.)
Diferenças entre MAC e DAC
Grupos de usuários necessitam privilégios
DAC

similares ou idênticos
Geralmente associados com controle discricionário
(DAC)
Privilégios apropriados a perfis funcionais são
designados

Apenas o gestor necessita permitir acesso
MAC

Usuários individuais são alocado a perfis
apropriados

A permissão de acesso requer:
Permissão do dono e do sistema
Etiquetamento da informação
Privilégio do sujeito
Privilégios são herdados
Limites Físicos
Dependências e ambientes
Áreas
Cuidados e prioridades diferentes

Controle de Acesso
Físico

Pequenos espaços determinados dentro das instalações.
grandes espaços dentro dos quais se edificam instalações.

em função da importância para o negócio.

depender do nível de sensibilidade ou periculosidade de cada
local
Em relação ao

processo institucional

às pessoas

ao meio ambiente

à sociedade.
Tipos de Barreiras de
Segurança
Perímetro de Segurança
Consiste em se estabelecer ambientes físicos segmentados a fim de proporcionar diferentes níveis de segurança.
desestimular as ameaças
Pela existência explicita de mecanismos de segurança
físicos, tecnológicos e humanos.
Exemplos
Câmeras de vídeo, avisos da existência de alarmes,
divulgação de política de segurança ou informar sobre
práticas de auditoria e monitoramento

Locais com Informações mais sensíveis, devem estar
mais protegidos
Muitas vezes associado à compartimentalização de espaços físicos e lógicos.
Barreiras de segurança
Implementar os perímetros
São seis as barreiras de segurança:
a) Desencorajar:
b) Dificultar:
adotar mecanismos e controles que irão dificultar o acesso
indevido
Exemplos:
Dispositivos de autenticação para acesso físico: roletas,
detectores de metal e alarmes; senhas; certificados digitais;
firewall; etc.
Segmentar áreas físicas ou lógicas
Oferecer níveis de resistência e proteção complementares e crescentes.
Segurança (cont.)
c) Discriminar:
Utilizar recursos para identificar e gerir acessos, definindo perfis
e autorizando permissões.
Exemplos:
Avaliação e gestão de recursos, como correio eletrônico,
impressora, fluxo de acesso físico a ambientes e sistemas

d) Detectar:
Requisitos de Proteção
de Informação
A segurança física deve salvaguardar contra:
Controles físicos requeridos:

dano, perda e roubo
Solo
perímetro
edifício
Pontos de entrada ao edifício
Dentro do prédio
Andares
Escritórios
Segurança
DataCenter
Sala de servidores
Proteção de equipamentos de TI
Proteção de objetos
Impedir que a ameaça atinja objetivos essenciais
Exemplos:
medidas de detenção: ações administrativas e punitivas;
bloqueio de acessos
f) Diagnosticar:

Sinalizar, alertar e instrumentalizar gestores da segurança na
detecção de situações de risco
Exemplos:
detecção de tentativa de invasão, de contaminação por vírus,
de cópia não autorizada de informações sigilosas.

e) Deter:
Segurança (cont.)

Avaliar a eficiência das barreiras, apoiado em análise de risco
atentando a novas ou a velhas ameaças com novas formas de
agir,e a novos produtos e soluções de segurança.
Barreiras de Perímetro
When Perimeter Barriers Work: '50 to 0 in One Inch'
On 14 MAR, a truck with two occupants tried to run the Swan Gate at DavisMonthan AFB in Tucson. They found out the hard way the pop up barrier
works. The truck went from 50 mph to 0 mph in about 1 inch. Driver and
passenger were both drunk and high, drugs and a gun was found in the
vehicle. Both of them were also unbuckled, so needless to say they had a
date with a local ICU nurse. I guess these barriers are operational."
http://www.securityinfowatch.com/article/article.jsp?siteSection=452&id=8362
Ambiente de Proteção da Informação
Ameaças

Definições aplicadas
a Segurança Física
Qualquer indicação, circunstância ou evento que possa causar
perda ou dano a recurso, lesões a pessoas ou perdas de vidas
Tipos de ameaça

Natural

Causadas por seres humanos
Muros
Janelas
Vidros normais (standard plate)
Temperados
Materiais acrílicos
Policarbonados
combinações

Design ambiental

Produz efeitos comportamentais ante ameaças, reduzindo:
O incidente
O risco do crime
Foca nas relações entre comportamento social das pessoas e no
seu ambiente

Vidro
policarbonados
melhor de cada material
Lexan
Alta resistência (vide http://www.geplastics.com.br/resinsbr/resins/materials/lexan.html)
Bomb Blast Film
Filmes resistentes a ventos causados por explosão
Janelas resistentes a balas
Sensores de quebra de vidros

Aspectos de contrução
de facilidades
Aspectos de contrução de
facilidades (cont)
Portas
Ocas (Hollow-core)
Sólidas (Solid-core)
dobradiças (Hinges)
vulnerabilidades nos portais (doorframe)
Mantraps
Sistemas com duas portas

NBR ISO/IEC
17799:2005
Pontos de Entrada
Entradas
Primárias
Secundárias
Estrutura, objetivos e conceitos gerais.
Janelas
Acesso pelo teto
Entradas de manutenção
Saídas de emergência
Docas de carga
O que é Segurança
da Informação?
Informação

Ativo essencial para os negócios

Necessita proteção adequada

Exposta a:

Ameaças
Vulnerabilidades
Existe em diversas formas:

Proteção da informação de vários tipos de ameaças para garantir
a
Continuidade do negócio
Minimizar o risco do negócio;
Maximizar retorno sobre investimentos e oportunidades de
negócio;
Papel, eletrônica, transmitida, filmada, falada
Implementação de controles
(cont)
Implementação de controles
Garante eficácia na gestão de segurança
Inclui:
Controles precisam ser:

Estabelecidos
Implementados

Políticas

Processos

Procedimentos

Monitorados
Analisados criticamente

Estruturas Organizacionais

Melhorados

Funções de Software e Hardware

Gestão da Segurança
da Informação
Função da Segurança
Viabilizar os negócios

Requer participação de:

eGov
Setor Privado
Setor Público:
Todos os funcionários da organização
Pode ser necessário também:
Acionistas
Fornecedores
Terceiras partes
eBusiness
Clientes
Outras partes externas
Consultoria externa
Evitar ou reduzir riscos relevantes
Estabelecimento de
Requisitos
Fontes principais:
Análise de riscos
Levando em conta objetivos e estratégias globais de negócio
da organização
Identifica vulnerabilidades e probabilidade de ocorrência de
ameaças a ativos e Impacto potencial ao negócio
Repetida periodicamente
Legislação vigente
Princípios, objetivos e requisitos do negócio
para apoiar as operações da organização

Seleção de controles
Podem ser selecionados à partir
Da ABNT ISO/IEC 17799:2005
De um outro conjunto de controles
Novos controles podem ser desenvolvidos para atender
necessidade específica
Depende:
Das decisões da organização

Sujeito a regulamentação relevante

Baseadas nos critérios de aceitação de risco
Nas opções para tratamento de risco
No enfoque da gestão de risco
Aplicado à organização
Ponto de Partida
Controles considerados essenciais
Aplicam-se a maior parte das organizações;
Não substitui seleção de controles baseados em análise de risco.
Controles:
Sob ponto de vista legal:

Fatores críticos de sucesso (1)

Proteção de dados e privacidade de informações pessoais;
Proteção de registros organizacionais;
Propriedade Intelectual;
Práticas para Segurança da Informação

A Política de Segurança da Informação;
Atribuição de responsabilidades;
Conscientização, educação e treinamento;
Processamento correto nas aplicações;
Gestão de vulnerabilidades técnicas;
Gestão da continuidade do negócio;
Gestão de Incidentes
Política de Segurança, Objetivos e Atividades

Refletindo objetivos do negócio
Abordagem consistente com a cultura organizacional
Comprometimento e apoio dos níveis gerenciais;
Bom entendimento dos requisitos de segurança e da gestão do
risco;
Fatores críticos de sucesso (2)
Divulgação eficiente da SegInfo
Para gerentes, funcionários e outras partes
Para alcançar conscientização

Distribuição de diretrizes e normas
Provisão de Recursos Financeiros
Provisão de capacitação adequada
Estabelecimento de processo de gestão de incidentes
Implementação de sistema de medição

Termos e Definições (1)
Ativo
Controle

Qualquer coisa que tenha valor para a organização
Forma de gerenciar o risco, incluindo:
Políticas, Procedimentos, diretrizes, práticas;
estruturas organizacionais
Sinônimo de proteção ou contramedida;

Para gerentes, funcionários e outras partes
Política
Diretriz

avaliar desempenho da gestão de segurança

Intenções e diretrizes globais fortemente expressas pela direção
Descrição que orienta o que deve ser feito e como
Para alcançar os objetivos estabelecidos nas políticas
Recursos de Processamento da Informação

Qualquer sistema, serviço, infra-estrutura ou instalações físicas
de processamento de informação
Termos e Definições (2)
Segurança da Informação (SegInfo)

preservação da CID (Confidencilidade, Integridade e
Disponibilidade)

Adicionalmente: autenticidade, responsabilidade, não repúdio e
confiabilidade

Risco

Ocorrência que indica possível violação da Política de
segurança, falha de controles ou situação desconhecida que
possa ser relevante para SegInfo
Probabilidade de um evento e suas conseqüências
Ameaça
Evento de Segurança da informação

Conceitos de Riscos (1)
Causa potencial de um incidente indesejado que pode resultar
em dando para um sistema ou organização
Vulnerabilidade

Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaças
Classificação das
Vulnerabilidades
Vulnerabilidades
Vulnerabilidade é um ponto no qual o sistema é
suscetível a ataque.
Por exemplo:

As pessoas que operam e usam o sistema (elas foram
treinadas adequadamente)?
A conexão do sistema à Internet (as comunicações são
criptografadas)?
O prédio estar em uma área sujeita a inundações (o
sistema está no piso térreo do prédio)?
As vulnerabilidades as quais os sistemas de informação
estão sujeitos podem ser classificadas em:

físicas;

naturais;

de hardware e software;

de mídia;

por emanação (p. ex. eletromagéticas);

de comunicação;

humanas.
Vulnerabilidades Físicas
Os prédios e salas que mantém o sistema são vulneráveis
podendo ser invadidos;
Por exemplo:

Através de arrombamento.

Um avião pode entrar pela porta do seu CPD
(11/Setembro/2001)!!!
Vulnerabilidades Naturais
Computadores são extremamente vulneráveis a desastres de
ordem natural e às ameaças ambientais.
Desastres como fogo, inundação, terremoto e perda de
energia podem danificar computadores ou destruir dados.
Poeira, umidade ou condições de temperatura inadequadas
também podem causar estragos.
Vulnerabilidades de Hardware
e Software
Falhas de hardware e software podem comprometer toda a
segurança de um sistema.
Falhas de software ou bugs podem abrir buracos ou portas no
sistema, ou ainda, fazê-lo comportar-se de forma imprevista.
Mesmo que individualmente os componentes de hardware e
software sejam seguros, a sua instalação ou conexão
inadequadas podem comprometer a segurança do sistema.
Vulnerabilidades de Mídia
Discos, fitas e material impresso pode ser facilmente roubado ou danificado.
Informações sensíveis podem ser mantidas
em discos ou fitas mesmo após terem sido logicamente removidas, mas não fisicamente
apagadas.
Vulnerabilidades por
Emanação Eletromagética
Todos equipamentos eletrônicos emitem radiações elétricas e
eletromagnéticas.
Os sinais emitidos por computadores, equipamentos de rede e
monitores podem ser captados e decifrados permitindo a
obtenção das informações contidas no sistema ou a inferência
sobre seu conteúdo.
Redes sem fio transmitem sinais muitas vezes em claro que
podem ser captados.
Vulnerabilidades na
comunicação
Mensagens em trânsito podem ser interceptadas, desviadas ou forjadas.
Linhas de comunicação podem ser escutadas
ou interrompidas.
Vulnerabilidades Humanas
As pessoas que administram e usam o sistema representam
sua maior vulnerabilidade.
Normalmente a segurança de todo o sistema está sob o
controle do administrador do sistema.
Os usuários, operadores ou administradores do sistema
podem cometer erros que comprometam o sistema ou ainda,
podem ser subornados ou coagidos a cometer atos danosos.
Ameaças
Consiste em possíveis perigos para o sistema.
O perigo pode ser originado por:

uma pessoa (um espião, um criminoso profissional, um hacker
ou mesmo um funcionário mal intencionado);

uma coisa (uma peça de hardware ou software defeituosa);

um evento (fogo, queda de energia, uma inundação ou
terremoto).
Tipos de Ameaças
Ameaças naturais
As ameaças que podem ser oferecidas pelo ambiente ao
qual o sistema está exposto podem ser classificadas em:
São ameaças às quais todos equipamentos ou instalações
físicas de uma organização podem estar sujeitas: fogo,
inundações, quedas de energia.
naturais e físicas;
Normalmente é difícil evitar a ocorrência de tais eventos.
não-intencionais;
Pode-se minimizar as chances de que o estrago será severo e
também fazer o planejamento para a recuperação após a
ocorrência de um desastre de ordem natural.
intencionais.
Ameaças não intencionais
Ameaças Intencionais
São os perigos trazidos pela ignorância.
Por exemplo:

um usuário ou administrador de sistema que não tenha sido
treinado;

que não tenha lido a documentação;

que não tenha entendido a importância do cumprimento das
regras de segurança estabelecidas.
São as ameaças que viram notícias de jornal e sobre as quais
os produtos de segurança melhor podem atuar.
As ameaças intencionais podem surgir a partir de dois tipos
de vilões: internos ou externos.
Vilões externos incluem:
Criminosos profissionais
Hackers
Terroristas
Empresas competidoras

A maior parte dos danos causados no sistema surgem pela
ignorância dos seus usuários ou administradores e não por
ações maliciosas.
Foram objeto de estudos na primeira parte do curso.
Impactos
Representa a importância de cada ativo no negócio.

É função do valor do ativo e da importância do ativo para a
organização.

Uso sistemático de informações para identificar fontes e estimar
o risco
Avaliação de Riscos

Processo de comparar o risco estimado com critérios prédefinidos para determinar a importância do risco
Análise/Avaliação de Riscos
Tratamento do risco
Exemplo:

Análise de Riscos

A perda da agenda de anotações do presidente pode ter maior
impacto que o roubo de um micro no call-center.
Processo completo de análise e avaliação de riscos
Processo de seleção e implementação de medidas para
modificar um risco
Análise/Avaliação e
Tratamento de Riscos (1)
Gestão de Riscos

Atividades coordenadas para direcionar e controlar uma
organização no que se refere a riscos

Inclui
Análise/Avaliação de Riscos
Tratamento de Riscos
Aceitação de Riscos
Comunicação de Riscos
Recomendações:

Análises/Avaliações de riscos identifiquem, quantifiquem e
priorizem riscos
Com base nos objetivos da organização
Orientando e determinando ações para gerenciamento de
riscos
Enfoque sistemático
Realizados periodicamente
Determinar a significância do risco
Contemplando ativos, ameaças, vulnerabilidades, impactos,
avaliação do risco
Repetido quando uma mudança significativa ocorrer
Realizado de forma metódica:

Resultados comparáveis e reproduzíveis
Análise/Avaliação e
Tratamento de Riscos (2)

Devem ser definidos os critérios para aceitação do risco

Escopo claramente definido

Tratamento do Risco
Inclua relacionamentos com análise/avaliação de risco
Decisão quanto a tratamento
Aceitar Risco

de outras áreas

Pode ser:
Toda a organização;
Reduzir do risco
Evitar risco

Parte da organização
Sistema específico
Quando o risco é baixo
Quando o tratamento não é econômicamente viável
Devem atender à Política e aos critérios para aceitação do risco

Serviços
Pela aplicação de controles
Não permitindo ações que poderiam causar ocorrência de
riscos
Transferir risco

para outras partes como seguradoras ou fornecedores
Seleção de controles para
redução do risco
Devem reduzir a um nível aceitável
Levando em conta

Atendendo aos requisitos da análise/avaliação
Requisitos/restrições legais
Objetivos organizacionais
Requisitos/restrições operacionais
Custo de implementação/operação
Viabilidade econômica
Investimento x Impacto financeiro
Política

Nenhum conjunto de controles pode conseguir segurança
completa

de
Segurança
Ação gerencial adicional deve ser implementada

para monitorar/avaliar/melhorar eficiência e eficácia
Políticas de Segurança
Políticas Funcionais
Política Geral
da Organização
Diretrizes (Guidelines)
ações recomendadas
Diretrizes
Recuperação
de Desastre
Diretrizes
Configuração
de Segurança
Normas da
Organização
Linhas de Base (Baselines)
nível de segurança desejado
Plano de
Recuperação
de Desastre
Configurações
para controle
de acesso
Configurações
para detecção
de intrusão
Procedimentos (Procedures)
instruções passo a passo
Procedimentos
de Recuperação
de Desastre
Procedimentos
de registro de
usuários
Procedimentos
de resposta a
incidentes
Padrão de
sistema de
controle de
acesso
Padrão de
sistema de
detecção de
intrusão
Padrões (Standards)
específico para hardware/software
NBR
ISO/IEC 17799:2005
Melhores Práticas de Segurança
Política de S. I.
Objetivo:
Prover orientação/apoio da direção para a S. I.
De acordo com os requisitos do negócio e com as leis e
regulamentações relevantes.
Estabelecida pela direção
Política clara, alinhada com objetivos do negócio;
Demonstre apoio/comprometimento com a S.I.
Publicação/manutenção de uma política de S.I.

1.
Política de Segurança
da Informação
Documento da política de S. I.

Deve ser aprovada pela direção, publicada e comunicada:
para todos os funcionários e partes externas relevantes
Diretrizes para implementação

Deve declarar comprometimento da direção
estabelecer o enfoque da organização para gerenciar a S. I.
Política de S. I. (cont)
Política de S. I. (cont)
Responsabilidades gerais e específicas na gestão
Registro dos incidentes de S. I. ;
Referências à documentação:
políticas/procedimentos/regras mais detalhadas

Deve conter declarações relativas a:
Definição de S. I. , metas globais, escopo e importância da S. I.
como mecanismo que habilita o compartilhamento da
informação;
Declaração do comprometimento da direção, apoiando as
metas/princípios, alinhada com os objetivos/estratégias de
negócio;
Estrutura para estabelecimento de objetivos de controle e os
controles, incluindo a estrutura de gerenciamento de risco;
Breve explanação das políticas, princípios, normas e requisitos
de conformidade específicos para a organização, incluindo:
conformidade, conscientização, continuidade do negócio,
conseqüências das violações;

Comunicada para toda organização
Pode ser uma parte de um documento da política geral.
Se distribuída fora da organização
Análise crítica da política de S. I.

Relevante, acessível e compreensível para o leitor
Cuidado para não revelar informações sensíveis.
Política analisada criticamente a intervalos planejados ou em mudanças
significativas ocorrerem
para assegurar a sua contínua pertinência, adequação e eficácia.
A política de S. I. tenha um gestor aprovado
responsabilidade no desenvolvimento, análise crítica e avaliação da
política
(cont.)
a análise crítica
deve incluir avaliação de oportunidades para melhoria
Gerenciar a S. I. em resposta à mudanças
levar em conta resultados da análise crítica pela direção.
Devem ser definidos procedimentos para análise crítica
incluindo programação/período para análise crítica.
Entradas para análise crítica pela direção incluem:
a) realimentação das partes interessadas;
b) resultados de análises críticas independentes;
c) situação de ações preventivas e corretivas;
d) resultados de análises críticas anteriores;
e) desempenho do processo e conformidade com política
f) mudanças que possam afetar o gerenciamento de S. I.;
g) tendências quanto a ameaças e vulnerabilidades;
h) relato sobre incidentes de S. I.
i) recomendações fornecidas por autoridades relevantes

As saídas da análise crítica incluam decisões/ações relacionadas
a:
a) melhoria do enfoque da organização para gerenciar a S. I.
e seus processos;
b) melhoria dos controles e dos objetivos de controles;
c) melhoria na alocação de recursos e/ou de
responsabilidades.

Registro da análise crítica pela direção seja mantido.

Aprovação pela direção da política de S. I. revisada seja obtida.
2 Organizando a segurança
da informação
Infra-estrutura da segurança da informação

2.
Organizando a segurança
da informação

Objetivo: Gerenciar a segurança da informação dentro da
organização.
Estrutura de gerenciamento estabelecida
para iniciar e controlar a implementação de SI
Cabe a direção:
Aprovar a política de SI
Atribuir funções da segurança;
Coordenar e analise criticamente a implementação da SI
Se necessário, consultoria especializada
Convém contatos com especialistas ou grupos de SI externos
incluindo autoridades
para manter atualizado, fornecer apoio adequado para
tratamento de incidentes
Incentivo a enfoque multidisciplinar
da informação (cont.)
Comprometimento da direção

da informação (cont.)
a direção deve apoiar ativamente SI
Claro direcionamento, demonstrando o seu
comprometimento, definindo explicitamente atribuições,
conhecendo as responsabilidades pela SI
Cabe a direção:

Assegurar identificação e atendimento das metas de SI de forma
integrada nos processos relevantes
Formule, analise e aprove a política
Analise a eficácia da implementação
Forneça um claro direcionamento e apoio
Forneça os recursos necessários
Aprove atribuições e responsabilidades
Inicie planos e programas de conscientização

Assegurar implementação dos controles por uma coordenação
que permeie a organização;

Identificar necessidades da consultoria de um especialista interno
ou externo.
Tais responsabilidades podem ser conduzidas:

por um fórum de gestão exclusivo

por um fórum de gestão existente
como o conselho de diretores.
Coordenação da segurança
da informação
Atividades de segurança da informação coordenadas por
representantes de diferentes partes da organização, com
funções e papéis relevantes.

A coordenação de SI deve obter cooperação de:
Gerentes;
Usuários;
Administradores;
Desenvolvedores;
Auditores;
Especialistas em segurança;
Especialistas em seguros;
Juristas;
RH;
TI;
Gestão de riscos.
Coordenação da segurança da
informação (cont.)
Esta atividade deve:

Garantir que as atividades de SI sejam executadas de acordo
com a política
Identificar como conduzir não-conformidades;
Aprovar as metodologias e processos, tais como
análise/avaliação de riscos e classificação da informação
Identificar ameaças significativas e exposição da informação e
dos recursos às ameaças;
Avaliar a adequação e coordene a implementação de controles
Promover capacitação
Avaliar informações recebidas do monitoramento e da análise
crítica dos incidentes e recomendar ações apropriadas como
resposta para os incidentes
Atribuição de
responsabilidades para S. I.
Todas as responsabilidades pela segurança da informação
devem estar claramente definidas
Em conformidade com a política
Areas responsáveis claramente definidas:

a) ativos e processos de SI em cada sistema identificados e
definidos;

b) gestor responsável por ativo ou processo de SI tenha
atribuições definidas e documentados em detalhe

c) níveis de autorização claramente definidos e documentados.
Processo de autorização para
recursos de processamento
da informação
Deve ser definido e implementado processo de gestão de
autorização para novos recursos
Diretrizes

a) novos recursos tenham a autorização conforme propósitos e
uso, obtida junto ao gestor responsável, garantindo atendimento
a todas as políticas e requisitos

b) hardware e software verificados para garantir compatibilidade
com outros componentes

c) controles complementares para dispositivos móveis e pessoais
Acordos de confidencialidade
requisitos para confidencialidade ou acordos de não divulgação
devem ser identificados e analisados regularmente.
deve considerar os requisitos de proteção de informações
confidenciais, do ponto de vista legal, incluindo:

a) uma definição da informação da confidencial
b) duração esperado de um acordo
c) ações requeridas quando um acordo for encerrado;
d) responsabilidades para evitar a divulgação não autorizada da
informação
e) proprietário da informação, segredos comerciais e de
propriedade intelectual,
f) uso permitido da informação confidencial
g) direito de auditar e monitorar

h) processo relato de violações

i) termos para a informação ser retornada ou destruída quando
da suspensão do acordo;

j) ações em caso de uma violação
Contatos externos
Contato com autoridades

Manter contatos apropriados com autoridades relevantes
procedimentos que especifiquem quando e por quais autoridades
devem ser contatadas e como incidentes de SI devem ser
notificados no caso de suspeita de violação legal
Contato com grupos especiais
convém contatos apropriados com grupos de interesses
especiais como fóruns especializados em SI e associações
profissionais para
a) ampliar o conhecimento sobre as melhores práticas e manterse atualizado
b) verificar se ambiente de SI está correto e completo;
c) receber previamente advertências de alertas
Acordos de confidencialidade
(cont.)
Contatos externos (cont.)

d) conseguir acesso à consultoria especializada

e) compartilhar e trocar informações

f) prover relacionamentos para tratar com incidentes

Tais acordos devem identificar requisitos para a proteção de
informações sensíveis.

Outros controles
3 Gestão de Ativos
Convém que todos os requisitos de segurança da informação
identificados sejam considerados antes de conceder aos
clientes o acesso aos ativos ou às informações da
organização.
Convém que os acordos com terceiros envolvendo o acesso,
processamento, comunicação ou gerenciamento dos recursos
de processamento da informação ou da informação da
organização, ou o acréscimo de produtos ou serviços aos
recursos de processamento da informação cubram todos os
requisitos de segurança da informação relevantes.
Convém que todos os ativos sejam inventariados e
tenham um proprietário responsável.

não significa que tenha qualquer direito de propriedade ao
ativo.
Classificação da informação
a) informação;
b) software;
c) físicos;
d) serviços;
e) pessoas e suas qualificações, habilidades e experiências;
f) intangíveis
Tais como: reputação e a imagem da organização.
todas as informações e ativos associados com recursos de
processamento da informação devem ter proprietário
Uso aceitável: identificadas, documentadas e implementadas
regras para que sejam permitidos o uso de informações e de
ativos associados aos recursos de processamento da
informação.
Informação deve ser classificada em termos de:
seu valor
requisitos legais
sensibilidade e criticidade para a organização.

A informação deixa de ser sensível ou crítica após um certo
período de tempo
Classificação superestimada pode levar à implementação de
custos desnecessários, resultando em despesas adicionais

Definir e Implementar conjunto apropriado de procedimentos
para rotulação e tratamento da informação
Tipos de Ativos

pessoa ou organismo que com responsabilidade autorizada
para controlar a produção, o desenvolvimento, a
manutenção, o uso e a segurança dos ativos.
3 Gestão de Ativos (cont)
Convém que todos os ativos sejam claramente
identificados e um inventário de todos os ativos
importantes seja estruturado e mantido.
proprietário:
4 Segurança em Recursos
Humanos
Antes da Contratação
Contratação
Inclui aquisição de RH, mudanças funcionais, contratos e
encerramento desses
Assegurar que os funcionários, fornecedores e terceiros
entendam suas responsabilidades e estejam de acordo com os
seus papéis, e reduzir o risco de roubo, fraude ou mau uso de
recursos
Seleção
Seleção (cont)
verificações de controle de todos os candidatos a emprego,
fornecedores e terceiros sejam realizadas de acordo com as
leis relevantes, regulamentações e éticas, e proporcional aos
requisitos do negócio, à classificação das informações a
serem acessadas e aos riscos percebidos.
Onde permitido, considerar também os seguintes itens:
a) Referências de caráter;
b) Verificação das informações do currículo;
c) confirmação das qualificações acadêmicas e profissionais;
d) verificação independente da identidade;
e) verificações mais detalhadas:
verificações financeiras;
verificações de registros criminais;
Existem algumas disussões quanto a legalidade destes atos.

convém que os funcionários, fornecedores e terceiros
concordem e assinem os termos e condições de sua
contratação para o trabalho, os quais devem declarar as suas
responsabilidades e a da organização para a segurança da
informação.
Encerramento ou mudança da
contratação
Durante a contratação
responsabilidades pela direção sejam definidas para garantir
que a segurança da informação é aplicada em todo trabalho
individual dentro da organização.
Responsabilidades definidas para saída de funcionários,
fornecedores e terceiros da organização
de modo controlado
devolução de todos os equipamentos
retirada de direitos de acesso
responsabilidades de mudança claramente definidas e
atribuídas.

Convém que todos os funcionários da organização e, onde
pertinente, fornecedores e terceiros recebam treinamento
apropriados em conscientização, e atualizações regulares nas
políticas e procedimentos organizacionais, relevantes para as
suas funções
Convém que exista um processo disciplinar formal para os
funcionários que tenham cometido uma violação da segurança
da informação.
Convém devolução dos ativos da organização após o
encerramento de atividades, do contrato ou acordo.
Convém que direitos de acesso de todos os funcionários,
fornecedores e terceiros às informações e aos recursos de
processamento da informação sejam retirados após o
encerramento de suas atividades, contratos ou acordos, ou
ajustado após a mudança destas atividades.
5 Segurança Física
e do Ambiente
Instalações de processamento da informação sensíveis
mantidas em áreas seguras
Segurança contra ameaças
físicas e do meio ambiente

Instalação e proteção do equipamento;

Utilidades (infra-estrutura) adequadas;

protegidas por perímetros de segurança, com barreiras de
segurança e controles de acesso apropriados

Segurança no cabeamento;

fisicamente protegidas contra o acesso não autorizado, danos e
interferências.

Manutenção correta;

compatível com os riscos identificados

diretrizes de trabalho em áreas seguras
Segurança para equipamentos fora das dependências da
organização;

áreas separadas para carga/descarga e acesso público

Reutilização e alienação segura;

Proteção quanto a remoção de propriedade;
6 Gerenciamento das Operações
e Comunicações (1)
Convém que os procedimentos e responsabilidades pela
gestão e operação de todos os recursos de processamento
das informações sejam definidos.
Documentação dos procedimentos de operação
Incluindo:

Abrange o desenvolvimento de procedimentos operacionais
apropriados.
Convém que seja utilizada a segregação de funções quando
apropriado, para reduzir o risco de mau uso ou uso doloso dos
sistemas.
Gestão de mudanças

a) processamento e tratamento da informação;
b) backup
c) requisitos de agendamento
d) tratamento de erros, incluindo restrições de uso dos
utilitários do sistema
e) contatos de suporte
f) tratamento de resultados especiais e mídias
g) procedimento para o reinício e recuperação em caso de
falha do sistema;
h) gerenciamento de trilhas de auditoria e informações de
registros (log) de sistemas
Incluindo serviços terceirizados
Segregação de Funções

Separação dos recursos de desenvolvimento, teste e de
produção
Gerenciamento de serviços terceirizados

funções e áreas de responsabilidade sejam segregadas
para reduzir as oportunidades de modificação ou uso
indevido não autorizado ou não intencional dos ativos da
organização
Planejamento e aceitação dos sistemas
Gestão de capacidade
Aceitação de sistemas
Proteção contra códigos maliciosos
a) proibir uso de softwares não autorizados;
b) estabelecer uma política para proteção contra os riscos
associados com a importação de arquivos;
c) conduzir análises críticas regulares dos softwares e dados
dos sistemas que suportam processos críticos de negócio;

garantir que os serviços entregues atendem a todos os
requisitos acordados com os terceiros.

d) instalar e atualizar regularmente softwares de detecção e
remoção de códigos maliciosos;
Proteção contra códigos móveis
Monitoramento e análise crítica de serviços terceirizados
a presença de arquivos não aprovados ou atualização não
autorizada seja formalmente investigada;
códigos móveis: javascript, applets, e similares;
Cópias de segurança
e) nível apropriado de proteção física e ambiental
f) mídias testadas regularmente
g) procedimentos de recuperação verificados regularmente, e
verificação se podem ser concluídos dentro dos prazos
requeridos
h) protegidas através de criptografia, se necessário.

Segurança em rede

convém que os seguintes itens sejam considerados:
a) a responsabilidade operacional pelas redes seja separada
da operação dos recursos computacionais onde for
apropriado;
b) estabelecer responsabilidades e procedimentos sobre o
gerenciamento de equipamentos remotos

distância suficiente para escapar a desastres no local principal;
a) definição do nível necessário das cópias de segurança
das informações;
b) produção de registros das cópias e procedimentos de
restauração;
c) a extensão (completa/diferencial) e a freqüência da
geração das cópias de segurança
d) armazenadas em uma localidade remota

consistente com normas e controles da instalação principal
Segurança dos serviços de rede

Convém que as características de segurança, níveis de serviço e
requisitos de gerenciamento dos serviços de rede sejam
identificados e incluídos em qualquer acordo de serviços de rede,
tanto para serviços de rede providos internamente ou
terceirizados.
Gerenciamento de mídias removíveis
Procedimentos para o tratamento e o armazenamento de
informações

Descarte de mídias
Para proteger contra a divulgação não autorizada ou uso
indevido.
Segurança da documentação dos sistemas
incluindo equipamentos em áreas de usuários;
c) Controles para proteção da confidencialidade, integridade
e disponibilidade em redes públicas ou sem fio
d) mecanismos para monitoração para gravação de ações
relevantes
e) gerenciamento coordenado para otimizar os serviços e
assegurar que os controles estejam aplicados de forma
consistente
Procedimentos para tratamento de informação
Convém que os seguintes itens sejam considerados:
a) tratamento e identificação de todos os meios magnéticos
indicando o nível de classificação;
b) restrições de acesso para prevenir o acesso de pessoas
não autorizadas;
c) manutenção de um registro formal dos destinatários de
dados autorizados;
d) garantia de que a entrada de dados seja completa, de que
o processamento esteja devidamente concluído e de que a
validação das saídas seja aplicada;
e) proteção dos dados preparados para expedição ou
impressão de forma consistente com a sua criticidade;
Segurança da documentação
dos sistemas (1)

f) armazenamento das mídias em conformidade com as
especificações dos fabricantes;

g) manutenção da distribuição de dados no menor nível possível;

h) identificação eficaz de todas as cópias das mídias, para
chamar a atenção dos destinatários autorizados;

i) análise crítica das listas de distribuição e das listas de
destinatários autorizados em intervalos regulares.
Manter a segurança na troca de informações e softwares
internamente à organização e com quaisquer entidades
externas.
Troca de Informações
Políticas e procedimentos para troca de informações
Acordos para a troca de informações
Mídias em trânsito

Mensagens Eletrônicas

Sistemas de informações de negócio
Polêmico: Monitoramento telefônico/fax/abertura de correio
Comércio Eletrônico

Transações on-line

Integridade de informações publicamente disponíveis
Segurança da documentação
dos sistemas (2)
7 Controle de acesso (1)
Requisitos de negócio para controle de acesso
Gerenciamento de acesso do usuário
Monitoramento

Registros de auditoria

Uso do sistema

Proteção dos registros quanto a falsificação e acesso
não autorizado

Registros de administrador e operador

Registros de falhas

Sincronismo dos relógios

Registro de usuário

Gerenciamento de Privilégios

Gerenciamento de senha do usuário

Análise crítica dos direitos de acesso de usuário
Responsabilidades dos usuários

Uso de senhas

Equipamento de usuário sem monitoração

Política de mesa limpa e tela limpa
Controle de acesso à rede

Política de uso dos serviços de rede

Autenticação para conexão externa do usuário

Identificação de equipamento em redes

Proteção e configuração de portas de diagnóstico remotas

Segregação de redes
Controle de acesso ao sistema operacional
Procedimentos seguros de entrada no sistema (log-on)
Identificação e autenticação de usuário
Sistema de gerenciamento de senha
Uso de utilitários de sistema
Desconexão de terminal por inatividade
Limitação de horário de conexão
Controle de acesso à aplicação e à informação

Controle de conexão de rede

Controle de roteamento de redes
Política de controle de acesso

Restrição de acesso à informação
Isolamento de sistemas sensíveis
Computação móvel e trabalho remoto

Computação e comunicação móvel
Trabalho remoto
8 Aquisição, desenvolvimento
e manutenção de S. I. (2)
8 Aquisição, desenvolvimento
e manutenção de S. I. (1)
Requisitos de segurança de sistemas de informação
Processamento correto nas aplicações

Análise e especificação dos requisitos de segurança
Validação dos dados de entrada
Controle do processamento interno
Integridade de mensagens

Controles criptográficos
Política para o uso de controles criptográficos
Gerenciamento de chaves

Segurança dos arquivos do sistema
Segurança em processos de desenvolvimento e de suporte

Procedimentos para controle de mudanças

Análise crítica técnica das aplicações após mudanças no sistema
operacional

Restrições sobre mudanças em pacotes de software

Vazamento de informações
Gestão de vulnerabilidades técnicas
Controle de software operacional
Proteção dos dados para teste de sistema
Controle de acesso ao código-fonte de programa

Controle de vulnerabilidades técnicas

9 Gestão de incidentes de
segurança da informação
Notificação de fragilidades e eventos de segurança da
informação

Notificação de eventos de segurança da informação

Notificando fragilidades de segurança da informação
10 Gestão da continuidade do
negócio
Gestão de incidentes de segurança da informação e
melhorias

Responsabilidades e procedimentos

Aprendendo com os incidentes de segurança da informação

Coleta de evidências
Aspectos da gestão da continuidade do negócio, relativos à
segurança da informação

Incluindo segurança da informação no processo de gestão da
continuidade de negócio

Continuidade de negócios e análise/avaliação de riscos

Desenvolvimento e implementação de planos de continuidade
relativos à segurança da informação

Estrutura do plano de continuidade do negócio

Testes, manutenção e reavaliação dos planos de continuidade do
negócio
11 Conformidade (1)
11 Conformidade (2)
Conformidade com requisitos legais

Identificação da legislação vigente

Direitos de propriedade intelectual

Proteção de registros organizacionais

Proteção de dados e privacidade de informações pes-

soais

Considerações quanto à auditoria de sistemas de informação
Controles de auditoria de sistemas de informação
Proteção de ferramentas de auditoria de sistemas de informação
Prevenção de mau uso de recursos de processamento
da informação

Regulamentação de controles de criptografia
Conformidade com normas e políticas de segurança da informação e conformidade técnica

Conformidade com as políticas e normas de segurança
da informação

Verificação da conformidade técnica
Análise de GAP
Mapa de Conformidade ISO 17799
Polí tica de Se gu ra nça
1 00,00%
Gerência de Riscos
Confor mida d e
80,00%
Se gur a nça O rga niz a ciona l
60,00%
40,00%
Cla ssifica çã o e Co ntrole dos Ativos d e
Ge stã o d a Continuida de do Ne góc io
Inform a çã o
20,00%
0,00%
De se nvo lvime n to e M a nute n çã o d e
Se gu ra nça e m Pe ssoa s
Siste ma s
Controle de Ace sso
Se gur a nça F ísica e do Am bie nte
Ge re ncia me nto da s O pe ra çõ e s e
Comun ica çõe s
Modelo PDCA
(Plan-Do-Check-Act)
Sistematica de Gerenciamento
de Segurança de Informação
(ISMS)
D efinir o Escopo do ISMS
D efinir a Política do ISMS
D efinir Abordagem Sistemática para Análise de Risco
Identificar os
Avaliar os
Definir C omo
Riscos
Riscos
Tratar os Riscos
Controle de
Documentos
e
Registros
Selecionar os Objetivos de C ontrole e os Controles para
Tratamento de Riscos
Preparar a Declaração de
Aplicabilidade
Obter Aprovação da Direção da
O rganização
Risco

Conceitos de Riscos
(ISO 17799/2005)
Matriz de Vulnerabiliades
Probabilidade de um evento e suas conseqüências
Ameaça

Causa potencial de um incidente indesejado que pode resultar
em dando para um sistema ou organização
Vulnerabilidade

Ativo
I ntegridade
A t iv o 1
-----------
A t iv o 2
Fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaças
Disponibil idade
Confidencial idade
Vulnerabilidades: V ulnerabilidades :
A t iv o 3
----------V ulnerabilidades :
V ulnerabilidades :
-----------
-----------
Vulnerabilidades: V ulnerabilidades :
V ulnerabilidades :
-----------
-----------
-----------
Matriz de Ameaças
Ativo
A tiv o 1
In teg ridade
A tiv o 3
Uma vez tendo sido identificadas as vulnerabilidades do
sistema, as ameaças potenciais, e os impactos, é possível
quantificar a probabilidade de ocorrência dos riscos
existentes.
A complexidade desta atividade é função do nível de
detalhamento desejado.
Disponibilidade Confid encialidade
A meaç as :
A meaças :
---------------
----------------
A meaç as :
A tiv o 2
Riscos
A meaças:
----------------
--------------------
A meaç as :
A meaças :
A meaças:
----------------
----------------
--------------------
Surgimento dos Riscos
Conceito de Risco
Os riscos surgem a partir de vulnerabilidades que possam ser
exploradas pelas ameaças existentes.
Existe uma grande variação na facilidade de exploração das
vulnerabilidades.
Por exemplo, a interceptação dos sinais de telefones sem fio
ou celulares requer apenas um sistema de varredura que
pode ser adquirido facilmente.
No entanto, a escuta de dados criptografados em uma linha
de fibra ótica requer equipamentos sofisticados e caros.
Planilha de avaliação de riscos
Item
Descrição
Vulnerabilidade
Ameaça
Impacto
Grau
Recomendações
de
(propostas de
Risco
solução)
Obs
O risco é o produto da probabilidade de ocorrência de
ameaças pela probabiliade de ocorrência de
vulnerabilidades e pelo impacto, dividido pela eficiência das
medidas de segurança.