gestao_riscos
TRANSCRIPT
-
8/18/2019 gestao_riscos
1/56
INF-108
Segurança da Informação
Aula 02Gestão de Segurança da Informação
Prof. João Henrique Kleinschmidt(slides cedidos pelo Prof. Carlos Kamienski - UFABC)
Santo André, fevereiro de 2011
-
8/18/2019 gestao_riscos
2/56
Gerenciamento e Avaliação de
Riscos
-
8/18/2019 gestao_riscos
3/56
Terminologia
RiscoPossibilidade de sofrer perda ou dano; perigoAtaque
acesso a dados ou uso de recursos sem autorizaçãoexecução de comandos como outro usuário
violação de uma política de segurança, etc,VulnerabilidadeÉ uma falha que pode permitir a condução de um ataque
IncidenteA ocorrência de um ataque; exploração de vulnerabilidades
AmeaçaQualquer evento que pode causar dano a um sistema ou redeA existência de uma vulnerabilidade implica em uma ameaça
Exploit codeUm código preparado para explorar uma vulnerabilidade conhecida
-
8/18/2019 gestao_riscos
4/56
Exemplos de Ameaças
Pessoas chaves para uma organizaçãoFerimento, morte
Servidores de arquivos
Ataques DoSDados dos alunosAcesso interno não autorizado
Equipamentos de produçãoDesastre natural
-
8/18/2019 gestao_riscos
5/56
Exemplos de Vulnerabilidades
Pessoas chaves para uma organizaçãoSem controle de acesso
Servidores de arquivos
Aplicação incorreta de correções (patches)Dados dos alunosTerceirizados não averiguados
Equipamentos de produçãoControles fracos de acesso físicos
-
8/18/2019 gestao_riscos
6/56
Gerenciamento de Riscos
Estruturas de SI nas organizações são criadaspara gerenciador riscosGerenciar riscos é uma das responsabilidades dos
gestores da organizaçãoTodos os programas de gerenciamento de riscossão baseados em dois processos
Identificação e avaliação de riscosControle (minimização) de riscos
-
8/18/2019 gestao_riscos
7/56
Conhecimento do Ambiente
Identificar, examinar e compreenderA informação e como ela é processada, armazenada etransmitida
Iniciar um programa detalhado de gerenciamentode riscosO gerenciamento de riscos é um processo
Meios, salvaguardas e controles criados eimplementados não devem ser “instale e esqueça”
-
8/18/2019 gestao_riscos
8/56
-
8/18/2019 gestao_riscos
9/56
Gerenciamento de Riscos
O processo de identificar, medir, controlar eminimizar os riscos de segurança a um nívelproporcional ao valor dos ativos protegidos
(NIST)Conjunto de atividades coordenadas paradirecionar e controlar um organização comrelação a riscos de SI (BS 7799-2)
Processo de identificação, controle eminimização ou eliminação dos riscos desegurança que podem afetar os sistemas deinformação, a um custo aceitável (ISO 17799)
-
8/18/2019 gestao_riscos
10/56
Ciclo de vidaGerenciamento de Riscos
Implementar ações degerenciamento
de riscos
Reavaliar os riscos
Identificar áreas
de risco
Avaliar
riscos
Desenvolver plano de
gerenciamentode riscos
Cic lo de
Gerenciamento
de Riscos
Avaliaçãode riscos
Controle
(minimização)
de riscos
-
8/18/2019 gestao_riscos
11/56
Definições ISO 27001
Gerenciamento de riscosConjunto de atividades coordenadas para direcionar e controlar umorganização com relação a riscos de SI
Análise de riscosUso sistemático da informação para identificar as fontes de riscos epara estimar o risco
Avaliação de riscosProcesso de comparar os riscos estimados com determinadoscritérios de riscos para determinar a significância dos riscos
Estimativa de riscosProcesso global de análise e avaliação de riscos
Tratamento de riscosProcesso de seleção e implementação de medidas para modificar orisco
Aceitação de riscosDecisão de aceitar um risco
-
8/18/2019 gestao_riscos
12/56
-
8/18/2019 gestao_riscos
13/56
Norma ISO IS 13335
Management of Information and CommunicationTechnology (MICTS)Parte 1 – Conceitos e Modelos
Parte 2 – Técnicas para Gerenciamento de Riscosda Informação e de Tecnologia de Comunicação
-
8/18/2019 gestao_riscos
14/56
Padrão AS/NZS 4360
Padrão da Austrália e Nova Zelândia paragerenciamento de riscos (genérico, não só de SI)Processo AS/NZS 4360
Estabelecer o contextoIdentificar os riscosAnalisar os riscos
Avaliar os riscosTratar os riscosMonitorar e revisarComunicar e consultar
-
8/18/2019 gestao_riscos
15/56
Gerenciamento de RiscosChave para o sucesso
Compromisso da diretoriaSuporte e participação da TICompetência da equipe de avaliação deriscosConsciência e cooperação dos usuáriosAvaliação contínua dos riscos críticos
-
8/18/2019 gestao_riscos
16/56
Ferramentas paraAvaliação de Riscos (AR)
Avaliação de riscos pode ser feita manualmente,usando formulários, questionários e planilhasEm geral, em 80% dos casos, pode ser feita com
o uso de planilhas bem projetadasSituações em que pode ser útil usar ferramentas
O volume de riscos é grande demais
Necessidade de que as alterações nos resultados daanálise de riscos tenha controle de acesso rígidoO software se torna o cerne do processo de negócios,ou seja, existe uma integração profunda entre oprocesso de AR e a ferramenta que o suporta
-
8/18/2019 gestao_riscos
17/56
Gerenciamento de RiscosGuia do NIST Publicação NIST 800-30
Risk Management Guide for
Inform at ion Technology Systems
Julho de 2002
Objetivo: A base para o desenvolvimento de umprograma de gerenciamento de riscos efetivo,contendo as definições e orientação prática
necessária para avaliar e minimizar os riscosidentificados nos sistemas de TIcsrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
-
8/18/2019 gestao_riscos
18/56
Procedimentos básicos
Avaliação de Riscos – Quais são os riscos?
Minimização de Riscos – O que fazer para trataros riscos?
Avaliação – Qual foi o resultado alcançado?
-
8/18/2019 gestao_riscos
19/56
Estimativa de Riscos
Passo 1: Caracterização do sistemaPasso 2: Identificação das ameaçasPasso 3: Identificação de vulnerabilidades
Passo 4: Análise de controlesPasso 5: Determinação das possibilidadesPasso 6: Análise de impacto
Passo 7: Determinação dos riscosPasso 8: Recomendações de controlesPasso 9: Documentação
-
8/18/2019 gestao_riscos
20/56
Estimativa de RiscosPasso 1: Caracterização do sistema
O que há para gerenciar?Como a TI está integrada no processo?
Passo 2: Identificação das ameaças
Quais fontes de ameaças devem ser consideradas?(Interna/externa, acidental/intencional, maliciosa/não-maliciosa)
Passo 3: Identificação de vulnerabilidadesQuais falhas/fraquezas podem ser exploradas?
Passo 4: Análise de controlesQuais são os controles atuais e planejados?
-
8/18/2019 gestao_riscos
21/56
Estimativa de Riscos
Passo 5: Determinação das possibilidadesAlta Fonte de ameaças altamente motivada e
habilidosa e controles para prevenir exploraçãodas vulnerabilidades são ineficazes
Média Fonte de ameaças motivada e habilidosa, masexistem controles que podem impedir aexploração das vulnerabilidades
Baixa Fonte de ameaças carente de motivação ouhabilidade ou existem controles para prevenira exploração das vulnerabilidades
-
8/18/2019 gestao_riscos
22/56
Estimativa de Riscos
(1) perda de grandes ativos resultando em custo altíssimo;(2) violação, dano ou impedimento significativo da/na
missão, reputação ou lucro; (3) morte ou ferimento humano
(1) perda de ativos caros; (2) violação, dano ou impedimentoda/na missão, reputação ou lucros;
(3) ferimento humano
(1) perda de algum ativo real;(2) influência visível na missão, reputação ou lucros
Alta
Média
Baixa
A exploração da vulnerabilidade pode resultar em:Passo 6: Análise de Impacto
-
8/18/2019 gestao_riscos
23/56
Estimativa de Riscos
Passo 7: Determinação dos riscos Impacto
Possibilidadeda ameaça
Baixo
(10)
Médio
(50)
Al to
(100)Alta (1.0) Baixo
10 X 1.0 = 10
Médio
50 X 1.0 = 50
Alto
100 X 1.0 = 100
Média (0.5) Baixo
10 X 0.5 = 5
Médio
50 X 0.5 = 25
Médio
100 X 0.5 = 50
Baixa (0.1) Baixo
10 X 0.1 = 1
Baixo
50 X 0.1 = 5
Baixo
100 X 0.1 = 10
Escala de Risco: Alto ( >50 a 100); Médio ( >10 a 50); Baixo (1 a 10)
-
8/18/2019 gestao_riscos
24/56
Estimativa de Riscos
Passo 7: Determinação dos riscos Nível do Risco Descrição do Risco e Ações Necessárias
Alto
Se uma ameaça é avaliada como um risco alto, existe
uma necessidade forte de medidas corretivasUm sistema existente pode continuar a operar, mas oplano de ação corretiva deve ser implantado o maisrápido possível
MédioSe uma ameaça é avaliada como um risco médio, ações
corretivas são necessárias e um plano deve serdesenvolvido para incorporar essas ações em umtempo razoável
BaixoSe uma ameaça é avaliada como um risco baixo, aorganização deve determinar se ações corretivas são
necessárias ou decidir em aceitar o risco
-
8/18/2019 gestao_riscos
25/56
Risk Assessment (Continued)
Passo 8: Recomendações de controlesObjetivo: encontrar os controles maisbaratos para garantir operação a pleno vapor
Considerações:Eficácia do controleLegislação, regulamentação e políticaorganizacional
Impacto operacionalSegurança física e confiabilidade
Os controles sempre devem ser adequados à organização
-
8/18/2019 gestao_riscos
26/56
Minimização de Riscos
A diretoria e gerências devem assegurar que oscontroles mais apropriados são implementados
para que a missão da empresa esteja sendoefetivamente sendo perseguida
-
8/18/2019 gestao_riscos
27/56
Minimização de Riscos
Opções de minimização
Adoção/aceitação do Risco
Aceitar o risco potencialAnulação do RiscoAlteração da maneira como o sistema é utilizadoRemoção da vulnerabilidade ou possibilidade de exploração
Limitação do RiscoEstabelecimento de limites no sistema, para detectar e reagirrapidamente
Transferência do RiscoPara alguém que paga por ele (ex: seguro)
Estratégia para minimização
-
8/18/2019 gestao_riscos
28/56
Estratégia para minimizaçãode riscos
Projeto Sistema
SIM
NenhumRisco
SIM Vulnerabilidadeexiste
Fonte
Ameaça
SIM
Aceitar Risco
RiscoInaceitável
Risco
Existe
SIM
&
Custo doatacante >ganho?
PerdaEstimada >
Limiar?
Falha oufraqueza?
Pode serexplorada?
SIM
N O
Impacto namissão?
N O
NenhumRisco
NenhumRisco Aceitar Risco
Minimização de Riscos
-
8/18/2019 gestao_riscos
29/56
Minimização de RiscosImplementação de Controles
Técnico (Suporte, prevenção, detecção &recuperação)
Gerencial (treinamento, planos, procedimentos)
Operacional (físico, pessoal, backup, ...)
Controle novoou melhor Risco Residual
Reduz númerode falhas ou erros
Inclui controledirecionado
Reduz a magnitudedo impacto
-
8/18/2019 gestao_riscos
30/56
Exemplo de um ISMS para um
“gateway” de acesso à Internet
-
8/18/2019 gestao_riscos
31/56
Contexto do ISMS
Associação XYZ: engenharia12 locais conectados através de VPNObjetivo:
Fazer o ISMS para o “gateway” principal
Projeto baseado na norma BS 7799-2Uso do modelo PDCA
-
8/18/2019 gestao_riscos
32/56
ISMS para acesso à Internet
-
8/18/2019 gestao_riscos
33/56
Redes que usam o gateway
InternetE-BusinessLAN da MatrizRede de GerenciamentoRede privada da empresa (através do ISP)Rede de acesso remoto (VPN)Rede pública (DMZ): servidores web
E d
-
8/18/2019 gestao_riscos
34/56
Escopo do ISMS
Acesso à Internet aos usuários internosWeb, emailServiços de hospedagem web
Servidores públicos
Serviços privados para os membros da associaçãoHospedagem de páginas para os membrosAcesso remoto para acesso via Internet (VPN)Infra-estrutura de TI
Firewall, servidores na DMZ, etc
Segurança de informações dos sistemas que tiveremacesso via InternetSegurança física dos equipamentosPessoal do departamento de TI
Si ã l d
-
8/18/2019 gestao_riscos
35/56
Situação atual da segurança
Bom projeto técnico da segurança do gatewayManutenção e operação dos equipamentos esoftware executados de forma ad-hoc
Não existem procedimentos e planos para aoperação dos equipamentosPraticamente sem política(s) de segurança
Existem duas políticas de uso aceitávelNavegação da webUso de e-mail
ISMS F “Pl ”
-
8/18/2019 gestao_riscos
36/56
ISMS: Fase “Plan”
Metodologia para desenvolvimento do ISMSPassos a serem executados
Avaliação de riscos
Conduz o processo de desenvolvimento do ISMSAs atividades seguintes dependem da avaliação
Desenvolvimento de uma estrutura de
gerenciamento do ISMSDefinição de uma política de segurança para ogateway da associação XYZ
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
37/56
ISMS: Fase PlanPassos para o desenvolvimento
Passo 1: Plano do projetoPasso 2: Avaliação (estimativa) de riscosPasso 3: Estrutura de gerenciamento do ISMS
Baseada na avaliação de riscosPasso 4: Política de segurança
Baseados na avaliação de riscos
Inclui diretrizes e procedimentos
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
38/56
ISMS Fase PlanPasso 1: Plano do projeto
O processo de desenvolvimento do ISMSnecessita do envolvimento de todos os gruposinteressados
Clientes, acionistas, fornecedores, funcionáriosComponentes do plano
Work Breakdown Structure (WBS)
Lista de tarefas e sub-tarefas (as vezes em forma de árvore)Identifica
ção dos envolvidos (stakeholders)
Início e fim das tarefas do WBSRiscos do projeto
Aprovação do plano de projeto pela diretoria da XYZ
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
39/56
ISMS Fase PlanPasso 2: Avaliação de riscos
Uso da metodologia AS/NZS 4360
Estabelecer o contexto
Identificar riscos
Analisar riscos Avaliar riscos
Tratar riscos
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
40/56
ISMS Fase lanPasso 2: AS 4360: Identificar
Identificação das ameaças e vulnerabilidades quepodem causar um incidente de segurançaNatureza e fonte do risco
O que pode acontecer ou dar errado?Como pode acontecer?
Por que pode acontecer?
Quem ou o que pode ser machucado/danificado
O resultado é o registro de riscos
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
41/56
FPasso 2: AS 4360: Identificar
Serviço de Internet: disponibilidadeDispositivos críticos de rede (roteador, firewall)
Serviço de Internet: disponibilidade
Ataque DoS vindo da InternetInformações: integridade
Ataque de hackers da Internet
Informações: confidencialidade Ataque de hackers da Internet
Infra-estrutura do gateway: integridade
Configuração errada acidental de um dispositivo de imposição desegurança
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
42/56
Passo 2: AS 4360: Analisar
Critérios de possibilidade de ocorrência
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
43/56
Passo 2: AS 4360: Analisar
Critérios de conseqüência
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
44/56
Passo 2: AS 4360: Analisar
Critérios de avaliação
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
45/56
Passo 2: AS 4360: Avaliar
Riscos podem variar de “Nil” até “Extreme”
Devem ser comparados com os níveis de “riscosaceitáveis” da fase “estabelecer contexto”
Tabela de classificação de riscos
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
46/56
Passo 2: Registro de risco
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
47/56
Passo 3: estrutura gerencial
A definição de uma estrutura gerencial deve seruma consequência da avaliação de riscosObjetivos
Demonstrar o compromisso da diretoria com o ISMSDemonstrar que a estrutura gerencial faz cumprir oprincípio de separação de responsabilidades nasoperação do “gateway”
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
48/56
Passo 4: políticas
Áreas de políticas cobertas pelo ISMSPolítica de acesso ao gatewayPolítica de segurança física
Política relativa às pessoasPolítica de acesso a sistemasPolítica de controle de configuraçãoPolítica de gerenciamento de mudançasPolítica de detecção e resposta a incidentesPolítica de contingênciaPolítica de uso aceitável
ISMS: Fase “Plan”
-
8/18/2019 gestao_riscos
49/56
Estrutura gerencial do ISMS
ISMS: Fase “Plan”P lí d
-
8/18/2019 gestao_riscos
50/56
Políticas de segurança
ISMS: Fase “Do”
-
8/18/2019 gestao_riscos
51/56
ISMS: Fase Do
Baseado nos requisitos da fase “Plan”, essa faseimplementa os controles selecionadosUso da técnica de Análise de Insuficiência
“gap analysis”Cada insuficiência (gap) é mapeada como umproblema, porque se distancia do planejado
São apresentadas para cada problema:Ação: para remediar o problemaPassos: para implementar a ação
ISMS: Fase “Do”P bl IDS i i
-
8/18/2019 gestao_riscos
52/56
Problema: IDS inexistente
A avaliação e riscos detectou a necessidade deum controle para monitorar intrusões de redeAção
Projetar uma solução de NIDS e desenvolver eimplementar processos para fazer o monitoramento
PassosDefinir NIDS (desenvolver, sw livre, comercial)
Comprar equipamentosInstalar NIDSTreinar equipe de monitoramentoIncluir saídas do NIDS no plano de detecção e
resposta a incidentes de segurança
ISMS: Fase “Check”
-
8/18/2019 gestao_riscos
53/56
ISMS: Fase Check
Uma lista de verificação deve ser feita para asatividades de verificar e auditarPara cada verificação, o objetivo de controle dacontra-medida que está sendo auditada é
discutidoLista de verificação
Descrição da verificação
Objetivo de controleRazão para auditarPassos para auditarFrequência
ISMS: Fase “Check”Li t d ifi ã
-
8/18/2019 gestao_riscos
54/56
Lista de verificação
ISMS: Fase “Act”
-
8/18/2019 gestao_riscos
55/56
ISMS Fase Act
Aprimoramento e manutenção do ISMSA auditoria verifica a não conformidade doplanejado para o praticado com o ISMS
Quando uma não conformidade é detectada,medidas corretivas e/ou preventivas devem sertomadas, resultando em um ISMS aprimoradoO objetivo é eliminar as não conformidades
ISMS: Fase “Act”
-
8/18/2019 gestao_riscos
56/56
ISMS Fase Act