segurança da informação [email protected] professor heron duarte especialista em...
TRANSCRIPT
Segurança da Informação [email protected]
Professor Heron DuarteEspecialista em Inteligência
• Segurança da Informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio.
Segurança da Informação
Podemos ainda definir Segurança da Informação como
uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou a sua
indisponibilidade.
O ciclo de vida da informação
Geralmente é composto por 4 etapas
Manuseio: Local onde se iniciou o ciclo e onde a informação é manipulada.
Armazenamento : Momento em que a informação é armazenada, (pode ser em papel, em mídia CD etc.).
Transporte: Momento do envio ou transporte (pode ser correio eletrônico, fax, sinais).
Descarte: Momento em que a informação é eliminada, apagada (destruída de forma definitiva).
O método PDCA – (Plan, Do, Check e Action)
Plan: o profissional responsável deverá definir o que quer. Deverá planejar o que será feito e estabelecer metas. Deverá definir os métodos que permitirão atingir as metas propostas.
Do: o profissional responsável deverá tomar iniciativas como: educar e treinar as pessoas envolvidas, implementar e executar o planejado conforme as metas e métodos definidos.
Check: o profissional responsável deverá observar os resultados obtidos e verificar continuamente os trabalhos afim de ver se estes estão sendo executados da forma definida.
Action: o profissional responsável deverá fazer correções de rotas e tomar ações corretivas ou melhorias, caso tenham sido constatadas na fase anterior a necessidade de corrigir ou melhorar processos.
ATIVO: Ativo: qualquer elemento que tenha valor para uma organização
Valor do Ativo: quantificação de perda de determinado ativo quando esse tem sua confidencialidade, integridade ou disponibilidade afetadas.
Segurança da Informação
Ativos
Categoria de ativos Exemplo
Tangíveis Informações impressas ou digitaisImpressorasMóveis de escritório
Intangíveis Imagem de uma empresaConfiabilidade de um órgão federalMarca de um produto
ATIVO: É tudo aquilo que possui valor para uma organização.
Exemplo de classificação dos ativos:
Segurança da Informação
Categoria de ativos ExemploLógicos Dados armazenados em um servidor
Físicos Estação de trabalho, sistema de ar-condicionado
Humanos Empregados, prestadores de serviços
O que é a Segurança da informação?
Primeiras idéias:
Proteção das informações Proteção dos dados Proteção das máquinas Proteção dos sistemas
Mais ainda:
• Segurança da Informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.
Segurança da Informação
Segurança é manter os ATIVOS do ambiente sistêmico, garantido sua estabilidade conforme sua:
• Confidencialidade,• Integridade,• Disponibilidade.
Agindo em seu manuseio, armazenamento, transporte e descarte.
Segurança da Informação
Os 3 princípios básicos:
ConfidencialidadeToda informação deve ser protegida conta acesso de pessoas não
explicitamente autorizadas.
IntegridadeToda informação deve ser protegida afim de se evitar que dados sejam apagados ou alterados de alguma forma não autorizada.
DisponibilidadeToda informação deve ser protegida afim de que os serviços de informática de tal forma que não sejam degradados ou tornados indisponíveis.
Segurança da Informação
Os Aspectos da Segurança:
AutenticaçãoProcesso de identificação e reconhecimento formal da identidade dos elementos que entram em comunicação ou fazem parte de uma transação eletrônica.
Legalidadecaracterística das informações que possuem valor legal dentro de um
processo de comunicação, estando de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes.
Segurança da Informação
C - Confidencialidade
I - Integridade
D - Disponibilidade
A - Autenticação
L - Legalidade
C I D A L
Outros conceitos de CIDAL Confidencialidade: a informação estará acessível somente para
pessoas autorizadas. Integridade: as informações e os métodos de processamento
somente podem ser alterados através de ações planejadas e autorizadas.
Disponibilidade: os usuários autorizados devem ter acesso à informação e aos ativos correspondentes, sempre que necessário para o desenvolvimento de suas atividades.
Autenticidade: para evitar o não-repúdio, ou não recusa, deverá ser garantido a autenticidade da fonte. Essa é a garantia que o emissor de uma mensagem é quem realmente diz ser.
Legalidade: é a situação de conformidade com as leis atualmente vigentes no pais.
Segurança da Informação
Vulnerabilidades
Ameaças
Elementos de segurança
Identificação e Autenticação: distinguir, determinar e validar a identidade do usuário/entidade (se é quem diz ser)
Controle de acesso: limitar/controlar nível de autorizações de usuários/entidades a uma rede, sistema ou informação
Não-repúdio: impedir que seja negada a autoria ou ocorrência de um envio ou recepção de informação
Elementos de segurança
Integridade: impedir informação/transmissão de ser alterada/ danificada de forma não-autorizada, imprevista ou acidental
Confidencialidade: proteção da informação contra descoberta ou interceptação não autorizada; privacidade
Disponibilidade: confiabilidade de redes, sistemas e equipamentos sobre evitar ou se recuperar de interrupções
Princípio da integridade da informação
Permite garantir que a informação não tenha sido alterada em seu conteúdo e, portanto, é íntegra
Uma informação íntegra é uma informação que não foi alterada de forma indevida ou não autorizada
Princípio da confidencialidade da informação
Garantir que apenas a pessoa correta tenha acesso à informação que queremos distribuir
Deverá ser mantido para que as pessoas não-autorizadas não tenham acesso a ela
Ter a segurança de que o que foi dito a alguém ou escrito em algum lugar só será escutado ou lido por quem tiver autorização para tal
Ocasiona perda de segredo
Princípio da disponibilidade da informação
Garantir que as informações essenciais ao negócio da empresa estejam disponíveis o maior tempo possível
Conhecer seus usuários para que se possa organizar e definir as formas de disponibilização, garantindo, conforme cada caso, seu acesso e uso quando necessário
A disponibilidade da informação deve ser considerada com base no valor que a informação tem e no impacto resultante de sua falta de disponibilidade
Princípio da disponibilidade da informação
Principais ações para garantir a disponibilidade da informação:
A configuração segura de um ambiente em que todos os elementos que fazem parte da cadeia de comunicação
Cópias de segurança – backup Definir estratégias para situações de contingência Estabelecer rotas alternativas para o trânsito da informação,
para garantir seu acesso e a continuidade dos negócios
Políticas de Segurança
Conjunto de normas e diretrizes destinadas para proteção dos bens da organização
Definir a forma da utilização dos seus recursos através de procedimentos para prevenir e atender incidentes de segurança
As ameaças são agentes capazes de explorar as falhas de segurança, que denominamos Vulnerabilidades (pontos fracos), e, como conseqüência, provocar perdas ou danos aos ativos de uma empresa, afetando os seus negócios
Política de segurança
Item 5 da ISO 17799:2005 É um conjunto de leis, regras e práticas que regulam
como uma organização gerencia, protege e distribui suas informações e recursos. É um documento que formaliza e detalha todo o conceito informal ou formal sobre segurança, podendo este ser físico ou lógico e que deverá ser aplicado na empresa.
Permite o estabelecimento de limites (direitos e deveres) dos usuários ou departamentos ao utilizarem os recursos da empresa.
Os 3 blocos e as camadas de atuação da Política de Segurança
Diretrizes, Normas e Procedimentos, sendo destinados respectivamente às camadas estratégica, tática e operacional:
Camada Estratégica: define o rumo a ser seguido. Camada Tática: define a padronização para melhor
controlar e fazer com que todos os pontos da empresa tenham o mesmo nível de segurança.
Camada Operacional: detalha se os procedimentos estão formalmente descritos. Um procedimento deverá possuir apenas um método de execução.
Filosofia dos Planos
Fechado: tudo aquilo que não é permitido é explicitamente proibido.
Aberto: tudo aquilo que não é proibido explicitamente é permitido.
Os 4 P’s dos planos de Segurança
Existem diversas filosofias para planos de segurança: Eis os principais tipos:
Paranóico: tudo é proibido, mesmo aquilo que deveria ser permitido.
Proibitivo: tudo aquilo que não é permitido é explicitamente proibido.
Permissivo: oposto ao proibitivo. tudo aquilo que não é proibido é explicitamente permitido.
Promíscuo: tudo é permitido, incluindo aquilo que deveria ser proibido.
Medidas de Segurança
São as práticas, os procedimentos e os mecanismos usados para a proteção da informação e seus ativos, que podem impedir que ameaças explorem vulnerabilidades.
São ações voltadas à eliminação de vulnerabilidades com vista a evitar a concretização de uma ameaça.
Segurança da Informação
Medidas de Segurança
Podem ter as seguintes características:
Preventivas, Detectáveis, Corretivas
Medidas de Segurança
Preventivas
Medidas de segurança que tem o objetivo de evitar que incidentes venham a ocorrer. Visam manter a segurança já implementada por meio de mecanismos que estabeleçam a conduta e a ética da segurança na instituição.
São: Políticas de Segurança; instruções e procedimentos de trabalho; campanhas e palestras de conscientização de usuários; ferramentas como firewall, antivírus, etc...
Segurança da Informação
Medidas de Segurança
Detectáveis
Medidas de segurança que visam identificar condições ou indivíduos causadores de ameaças, a fim de evitar que as mesmas explorem vulnerabilidades.
São: análise de riscos; sistemas de detecção de intrusão; alertas de segurança; câmeras de vigilância, alarmes, etc...
Segurança da Informação
Medidas de Segurança
Corretivas
Ações voltadas à correção de uma estrutura tecnológica e humana para que as mesmas se adaptem às condições de segurança estabelecidas pela instituição, ou voltadas à redução dos impactos;
São: equipes para emergências, restauração de backup; plano de continuidade operacional; plano de recuperação de desastres; etc...
Segurança da Informação
A segurança é um fator crítico de sucesso
A segurança se faz protegendo todos os elos da corrente, todos os ativos que compõem seu negócio. Se algum componente falhar, todo o processo estará prejudicado.
Procedimentos de Segurança
Características de um plano de segurança: ser fácil de entender ou não será posto em prática; ter sua finalidade explicada ou será ignorado; ser implementado com energia ou exceções serão
criadas e virarão regras; possuir sanções para os violadores; cada colaborador deverá conhecer apenas os
procedimentos de segurança que lhe dizem respeito; deve estar documentado formalmente e incluir
diretivas claras. Formato dos procedimentos de segurança
Formato dos procedimentos de segurança
O procedimento de segurança deverá possuir as seguintes características:
ser aprovado pelo mais alto nível da hierarquia da empresa.
ser claro, ser conciso. ser elaborado por um responsável direto. ser dirigido para atingir o nível de segurança adequado
aos bens que se quer proteger. causar o mínimo de alterações no funcionamento da
organização....
não deve ser muito específico. ser possível executar. deve quantificar os recursos necessários para
seu funcionamento. deve prever as ações concretas e quem as
realiza. deve prever o que fazer em casos de falha na
execução dos procedimentos (plano B).
Fatores para o sucesso da política de segurança
A política de segurança deverá ter o aval da pessoa mais graduada (CEO, Presidente, etc), a fim de evitar tentativas de coação / pressão dos administradores.
Possuir cultura organizacional (consciência coletiva). A alta direção deve estar comprometida e dar amplo
apoio aos seus implementadores. Deve ter bom entendimento dos requisitos de
segurança, avaliação e gestão de riscos. A presença de um marketing interno eficaz para a
segurança dentro da organização.
Divulgação para todos os funcionários e contratados (Guia da Política de Segurança da Informação).
Treinamento. Alocação de recursos pessoais e financeiros. Procurar embasamento jurídico,
principalmente no tocante a ações / punições eventuais a serem aplicadas.
E muita cooperação!!!
Início de análise de risco
Não se pode se proteger de algo que não se conheça. Com o conhecimento dos riscos é possível planejar as políticas e procedimentos que poderão ser implementados para a sua redução.
Os três pilares da segurança
Segurança Física. Segurança Técnica. Segurança Lógica.
Riscos
Probabilidade de que as ameaças explorem os pontos fracos.
Causam perdas ou danos aos ativos e impactos no negócio.
Acarreta perda de: confidencialidade, a integridade e a disponibilidade da informação
Risco =
Ameaça x Vulnerabilidade x Valor do patrimônio
O que é a análise de risco?
É o processo de avaliar o que é ou não aceitável para uma organização num determinado contexto.
Só devemos aceitar um risco quando o custo do controle aplicado para mitigá-lo for maior do que o custo do próprio bem em risco.
O nível de risco no qual uma organização aceita operar é denominado de risco aceitável
Os cinco pontos são:1. Identificação e Classificação dos Processos de Negócio.2. Identificação e Classificação dos Ativos 3. Análise de Ameaças e Danos 4. Análise de Vulnerabilidades 5. Análise de Risco
Análise de Risco: o que se diz, o que se faz, e o que realmente é
Norma
Utiliza-se como métrica as melhores práticas de segurança da informação do mercado, apontadas na norma ISO/IEC 17799. A partir destas informações faz-se possível a elaboração do perfil de risco que segue a fórmula:
RISCO. = (Ameaça) x (Vulnerabilidade) x (Valor do Ativo)
Análise de risco
Como analisar o meu risco? Existem diversas formas de calcular o risco,
tudo dependerá dos índices a serem utilizados.
Fórmula: Risco = ((A x V x I)/M) R = Risco A = Total das Ameaças V = Total das Vulnerabilidades I = Total dos Impactos M = Medidas de Proteção
Acrescentando-se a variável P, probabilidade de ocorrer o evento (vezes por ano),
Ficaria então: ((A x V x I)/M)*P
O conceito de análise de risco
Intimamente relacionado à figura de Competitive Intelligence (Inteligência Competitiva). Agrega “solidez” à informação corporativa. Com a condição de controlar as ameaças, poderemos derivar dessa ferramenta o conceito de “administração de cenários.
Aspectos na análise de risco
Deve ser feita considerando vários aspectos como:
ativos; ameaças; vulnerabilidades.
Para cada cenário deverão ser previstos :
os prejuízos; recursos envolvidos para evitar a
concretização do risco no cenário; custos; benefícios.
Técnicas de análise de risco
1. Análise subjetiva: Sessão de “brainstorming”.Documentos são elaborados com base em vários
cenários.
2. Análise quantitativa: Mensurar os impactos financeiros gerados por uma situação de quebra de segurança, a partir da valoração dos próprios ativos. Para cada ameaça quantificar a sua incidência, estimar o valor dos prejuízos que pode causar e o custo de combater as ameaças.
Análise qualitativa: Critérios para estimar os impactos sobre os negócios, provocados pela exploração de uma vulnerabilidade por uma ameaça. Tem base em critérios e classificações que podem atingir valores tangíveis e intangíveis. Demonstra eficiência superior, abrange o processo como um todo.
Avaliar e Quantificar os Ativos Definir o valor das informações e dos serviços
do ponto de vista dos terceiros envolvidos e do esforço necessário para recriar as informações.
Basear-se no custo da perda ou roubo de informação ou na queda de um serviço para avaliar o custo do recurso, cujo valor deve refletir todos os custos que poderiam surgir se houvesse algum problema com esse recurso.
Como avaliar e priorizar estes ativos, usando como base o SRMD (Security Risk Management Discipline)
Prioridades do Ativo Prioridade 1: O servidor fornece funcionalidade básica,
mas não tem impacto financeiro nos negócios. Prioridade 3: O servidor hospeda informações
importantes, mas que podem ser recuperados rapidamente e com facilidade.
Prioridade 5: O servidor possui dados importantes e que demorariam muito tempo para serem recuperados.
Prioridade 8: O servidor possui informações para os objetivos de negócio da empresa. A perda dessas informações pode interromper projetos e o serviço diário de todos os usuários, o que causaria uma queda muito grande na produtividade da empresa.
Prioridade 10: O servidor causa um grande impacto no negócio da empresa. A perda deste servidor ou a divulgação destas informações poderiam causar desvantagem competitiva da sua empresa.
Exemplo
Identificação dos ativosAtivos físicos: Equipamentos computacionais
(processadores, monitores, laptops, modems).
Equipamentos de comunicação (roteadores, PABX’s , fax, secretárias eletrônicas).
Mídias magnéticas (fitas e discos).
Outros equipamentos técnicos (no-breaks, ar-condicionado).
Mobília e acomodações. Serviços: Computação e serviços de
comunicação. Utilidades gerais Climatização. Iluminação. Eletricidade. Refrigeração. Aplicativos. Sistemas. Utilitários.
Risco, Vulnerabilidade, Ameaça e Impacto
Ameaças Agentes ou condições que causam incidentes
que comprometem as informações e seus ativos pela exploração de vulnerabilidades. Provocam perdas de confidencialidade, integridade e disponibilidade. Causam impactos sobre os negócios de uma organização.
São agentes capazes de explorar as falhas de segurança
Sub-conceitos da Ameaça Intenção: tende a ser dependente de
indústria. Roubo de dados, por exemplo. Não pode ser influenciado por ações de Segurança.
Oportunidade: timing apropriado e conhecimento do alvo.
Capacidade: é a habilidade financeira, humana e técnica de alcançar o objetivo de ataque e aproveitar a oportunidade.
Risco: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização;
Vulnerabilidade: falha ou fraqueza de procedimento, design, implementação, ou controles internos de um sistema que possa ser acidental ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema;
Ameaça: possibilidade de um agente (ou fonte de ameaça) explorar acidentalmente ou propositalmente uma vulnerabilidade específica;
Fonte de ameaça: ou (1) uma intenção e método objetivando a
exploração de uma vulnerabilidade ou (2) uma situação e método que pode acidentalmente disparar uma vulnerabilidade;
Identificar Ameaças de Segurança – Identificar os tipos de ataques é a base para chegar aos Riscos. Existem as prioridades que são os pontos que podem comprometer o “Negócio da Empresa”.
O crucial para a sobrevivência da Empresa é crucial no seu projeto de Segurança.
Conjunto de ameaças=> FVRDNE:1. Falsificação Falsificação de Identidade é quando se usa
nome de usuário e senha de outra pessoa para acessar recursos ou executar tarefas.
2. Violação A Violação ocorre quando os dados são
alterados, sejam em transmissão ou em arquivos
Conjunto de ameaças=> FVRDNE
3. Repudiação A Repudiação talvez seja uma das últimas
etapas de um ataque bem sucedido. É o ato de negar algo que foi feito. Pode ser feito apagando as entradas do Log após um acesso indevido.
Conjunto de ameaças=> FVRDNE
4. Divulgação A Divulgação das Informações pode ser tão
grave e/ou custar tão caro quanto um ataque de “Negação de Serviço”. Informações que não podiam ser acessadas por terceiros, agora estão sendo divulgadas ou usadas para obter vantagem em negócios.
Conjunto de ameaças=> FVRDNE5. Negação de Serviço (DoS) O objetivo deste ataque é parar algum serviço.
Como, por exemplo, “Inundar” uma rede com pacotes
6. Elevação de Privilégios Acontece quando o usuário mal-intencionado
quer executar uma ação da qual não possui privilégios administrativos suficientes.
Quem pode ser uma ameaça?1. Principiante – não tem nenhuma experiência em
programação e usa ferramentas de terceiros. Geralmente não tem noção do que está fazendo ou das conseqüências daquele ato.
2. Intermediário – tem algum conhecimento de programação e utiliza ferramentas usadas por terceiros.
3. Avançado – Programadores experientes, possuem conhecimento de Infra-Estrutura e Protocolos. Podem realizar ataques estruturados.
AmeaçasRoubo / Vazamento de InformaçõesAlteração de informaçõesDanos físicosIndisponibilidadeViolação da integridadeAcesso não autorizadoUso indevidoAmeaças programadas (vírus, worms, trojans)Espionagem
Ameaças
3 Grandes Grupos
Naturais Intencionais InvoluntáriasFenômenos da natureza e suas intempéries
Incêndios,Enchentes,Terremotos,Maremotos,Aquecimento,Poluição,Etc...
Aquelas propositais
Causadas por agentes humanos:Hackers,Invasores,Espiões,Ladrões,Vírus, Etc...
Ações inconscientes
Causadas pelodesconhecimento.Acidentes,Erros,Falta de energia,Etc...
Vulnerabilidade
Fragilidade presente ou associada a ativos que manipulam e/ou processam informações que, ao ser explorada por ameaças, permite a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: Confidencialidade, Integridade e Disponibilidade.
Por si só não provocam incidentes, são elementos passivos, necessitando para tanto de um agente causador ou condição favorável, que são as ameaças.
São as falhas que são exploradas pelas ameaças.
Exemplos de vulnerabilidade
Físicas
Instalações prediais fora do padrão; Salas de CPD mal planejadas; Falta de extintores; Risco de explosões; Vazamentos;Incêndios.
Naturais
Incêndios,Enchentes,
Terremotos,Tempestades,
Falta de energia,Acúmulo de poeira,
Aumento de umidade e de temperatura.
Vulnerabilidades
Os ataques com mais chances de dar certo são aqueles que exploram vulnerabilidades.
A execução apropriada de uma "classificação dos ativos" seguida de uma "análise de risco" em uma organização complexa é uma tarefa praticamente impossível, dada a quantidade de fatores desconhecidos na equação de risco.
Ações Uma abordagem de tratamento ou análise de
ameaças é mais efetiva quando executada apropriadamente pela de Segurança de Informações. Isso envolve várias ações:
A detecção e a mitigação das vulnerabilidades presentes em sistemas críticos é o mínimo a ser feito. O histórico dos incidentes tratados (post-mortem...), as ações tomadas contra as fontes de ameaça identificadas e o entendimento e mitigação de seu modus operandi são fundamentais.
Ações O envolvimento com outras áreas da empresa que
lidam com Risco da Tecnologia ou da informação é primordial.
O constante convencimento da importância em diminuir o esforço e foco nas vulnerabilidades (O COMO) e atacar de frente as ameaças (O QUEM), incluindo a penalização interna ou envolvimento do jurídico para ações externas.
O envolvimento com outras áreas da empresa que lidam com Risco da Tecnologia ou da Informação.
Ações A empresa somente é capaz de responder
adequadamente quando se esforça em conhecer progressivamente todos os fatores desta equação: que vulnerabilidades possui, a que ameaças está suscetível, quais agentes estão envolvidos e qual são os impactos históricos e possíveis da exploração destas ameaças.
Ações
Para uma abordagem realista e eficiente dos desafios de segurança da informação para os negócios da empresa exige uma abordagem ampla com foco nas ameaças. Isso funciona melhor quando é institucionalizado um fórum inter-departamental com um grupo de trabalho técnico e outro executivo.
Assim, é possível mover a Segurança da Informação da sua função tradicional e trazê-la para um campo estratégico de proteção dos interesses da empresa/órgão de seus adversários e ameaças reais
Conhecendo os riscos, ameaças e vulnerabilidades poderemos tomar 4 atitudes Aceitar: só se justifica quando o custo de
implementação é maior que o impacto negativo que o risco poderá trazer.
Diminuir: colocar em práticas ações com o objetivo de reduzir o risco.
Ignorar: Não dar nenhum tipo de importância e acreditar que nada irá acontecer.
Transferir: transferir o risco para um terceiro, criando compensações, quase sempre menores, sobre as perdas.
Impacto
Conceito utilizado para medir os efeitos positivos ou negativos que uma determinada atividade pode causar.
Por exemplo:
impacto
Perda financeira; Abalo na imagem; Multas ou sanções; Perda de investidores; Prejuízo operacional; Aumento no custo operacional; Parada no negócio da empresa; Perda de ativos;
Alteração na quantidade de pessoas para a execução do processo; Redução da margem de lucro e etc..
Impacto = Gravidade x Urgência x Tendência
Medidas de segurança PDCR. Podem ser estabelecidas em função do parâmetro de
tempo e necessidade, podendo ser de 4 tipos Preventivas: ação de tentar evitar que o problema
ocorra. Detectivas: ação de detectar um determinado
problema. Corretivas: ação de corrigir algo que as outras duas
ações não conseguiram evitar. Restauradoras: recuperar algo perdido..
Mapeamento de processos Identificar e mapear os processos internos é
uma atitude que ajuda a empresa a se tornar mais competitiva otimizando o tempo e alcançando melhores resultados.
Qualquer organização é composta por um conjunto de processos tanto de natureza técnica como social, que são as atividades de negócio típicas que a empresa desenvolve.
Matriz de G.U.T (Gravidade, Urgência e Tendência)
A prioridade das ações a serem executada pode ser encontrada utilizando a matriz de GUT.
A definição da prioridade final é composta pela análise e pelo produto das 3 dimensões do GUT
Impacto = Gravidade X Urgência x Tendência.
Dimensões da Matriz de GUT
1. Dimensão gravidade Considera a severidade dos impactos relacionados ao
processo do negócio analisado. 2. Dimensão urgência Considerar o tempo da duração dos impactos
relacionados ao processo de negócio que está sendo analisado.
3. Dimensão tendência Considerar a oscilação dos impactos relacionados ao
processo analisado.
Matriz de GUT
Os valores obtidos depois da análise são multiplicados gerando o impacto final, sendo que a faixa dos valores possíveis vai de 1 a 125. O objetivo da matriz de GUT é facilitar a identificação rápida dos processos e suas prioridades.
Cores 1 a 42 VERDE
43 a 83 AMARELA43 a 83 AMARELA84 a 125 VERMELHA Dessa forma, poderá ser visto qual ativo ou
processo tem maior impacto negativo em caso de incidente.
Portanto:
Segurança é uma prática voltada à eliminação de Vulnerabilidades.
para reduzir os Riscos de uma Ameaça se concretizar
no ambiente que se quer proteger.
Segurança da Informação
Objetivos da Segurança Conhecer os diferentes tipos de ativos na empresa para
identificar tudo aquilo que a segurança da informação deve proteger
Detectar possíveis vulnerabilidades relacionadas com esses ativos para o preparo de sua proteção
Conhecer os princípios básicos da segurança da informação: confidencialidade, disponibilidade e integridade, com a finalidade de valorizar a importância desses conceitos ao lidar com a informação
Definição de Segurança
Um mecanismo de Segurança da Informação providencia meios para reduzir as vulnerabilidades existentes em um Sistema de Informação
Segurança envolve tecnologia, processos e pessoas
SEGURANÇA = CULTURA + TECNOLOGIA
PROBLEMAS TÉCNICOS(variáveis previsíveis)
Tecnologia
Pessoas Processos
Processos+ Componentes humanos (variáveis imprevisíveis)impedem uma total automação da segurança
Como implementar uma Política de Segurança significa responder algumas
questões:
O que proteger?– Contra que ou quem?– Quais são as ameaças?– Qual a importância de cada ativo?– Como é a proteção de cada ativo/– Qual o grau de proteção desejado?– Quanto se pretende gastar para atingir os objetivos da
segurança?– Quais as expectativas dos clientes em relação à segurança?– Quais as conseqüências para a organização da exposição
aos riscos?
Mapeamento de processos
Identificar e mapear os processos internos é uma atitude que ajuda a empresa a se tornar mais competitiva otimizando o tempo e alcançando melhores resultados. Trata-se de uma ferramenta simples, que pode ser adotada por organizações de qualquer porte ou área de atuação, com inúmeros ganhos principalmente na segurança da informação.(...)
Mapeamento de processos
(...) Qualquer organização é composta por um conjunto de processos tanto de natureza técnica como social. Estes processos são as atividades de negócio típicas que a empresa desenvolve para gerar valor, satisfazer as necessidades dos seus clientes e criar rendimento.
Controle e Mitigação
Criação de várias alternativas de mitigação Avaliação e seleção de alternativas Incorporar opções no Gerenciamento de
Riscos e planejamento do projeto Estratégias para mitigação
Recusa Redução Divisão Transferência Seguro Aceitação com contingência Aceitação sem contingência
Soluções de mitigação
CAPACIDADE DE MITIGAÇÃO
Após a aplicação do controle, o risco residual está abaixo das expectativas da empresa. 3
b) Após a aplicação do controle, o risco residual está em linha com as expectativas da empresa. 2
c) Após a aplicação do controle, o risco residual está acima das expectativas da empresa. 1
TIPOS DE ATRIBUTOS DE CONTROLE
a) A aplicação do controle estáformalmente estabelecida através de
normas e instruções escritas. 3
b) O controle permite testes periódicos. 2
c) O controle corresponde a padrões de boa prática referendados pelo mercado. 1
RISCOS
Ameaças
Confidencialidade, Integridade, Disponibilidade
Vulnerabilidades
AtivosImpacto
Medidas de Segurança
Exploram
Expondo
PerdasCausam
Limitados
Impedem