Página 2 de 47
............................................................................................................................................ 3 AULA 1 – 28 SET. 2012
SEGURANÇA DA INFORMAÇÃO ...................................................................................................................... 3
ABORDAGEM INTEGRADA À SEGURANÇA...................................................................................................... 5
NORMAS E LEGISLAÇÃO APLICÁVEL ............................................................................................................... 6
INTRODUÇÃO À ISO 27001 ............................................................................................................................. 6
INTRODUÇÃO À GESTÃO DE RISCO ................................................................................................................ 8
INTRODUÇÃO À GESTÃO DE CONTINUIDADE DE NEGÓCIO .......................................................................... 10
........................................................................................................................................ 11 AULA 2 – 19 OUT. 2012
A ANÁLISE E GESTÃO DE RISCOS .................................................................................................................. 11
MITIGAÇÃO TÉCNICA E/OU ADMINISTRATIVA ............................................................................................. 13
MODELO DE SEGURANÇA INTEGRADO ........................................................................................................ 15
CONTROLOS DE SEGURANÇA (TECNOLÓGICOS, OPERACIONAIS E DE GESTÃO) ............................................ 17
.......................................................................................................................................... 20 AULA 3 – 2 NOV. 2012
NOÇÕES DE CRIPTOGRAFIA .......................................................................................................................... 20
GESTÃO DE CHAVES ..................................................................................................................................... 24
INTRODUÇÃO AO PROCESSO DE ANÁLISE DE RISCO FRAAP ......................................................................... 26
........................................................................................................................................ 30 AULA 4 – 16 NOV. 2012
PROCESSO DE ANÁLISE DE RISCO FRAAP ..................................................................................................... 30
SESSÃO FRAAP ............................................................................................................................................. 37
METODOLOGIAS DE GESTÃO DE RISCO ........................................................................................................ 42
........................................................................................................................................ 44 AULA 5 – 30 NOV. 2012
PROCESSO DE ANÁLISE DE RISCO FRAAP ..................................................................................................... 44
........................................................................................................................................... 46 AULA 6 – 7 DEZ. 2012
BUSINESSIMPACTANALYSIS (BIA)................................................................................................................. 46
GAP ANALISYS ............................................................................................................................................. 47
Página 3 de 47
Segurança da Informação
Dados vs Informação
Os dados são representações de factos, conceitos ou instruções de uma maneira normalizada
que se adapte à comunicação, interpretação e processamento pelo ser humano ou através de
sistemas automatizados.
Os dados são representados por símbolos como por exemplo as letras ou números: a, b, 1, 2
etc., mas não constituem por si informação útil.
Informação é todo o conjunto de dados devidamente ordenados e organizados de forma a
terem significado.
A informação é atualmente considerada o ativo mais importante nas Organizações
Controlo de acesso à Informação
Âmbito da informação
Interna
Parceiros
Clientes
Pública
…
Classificação
Não classificada
Reservada
Confidencial
…
Atenção: Tanto o âmbito como a classificação podem variar ao longo do tempo <> processo de gestão
Página 4 de 47
Segurança da Informação "A preservação da confidencialidade, integridade e disponibilidade da informação, além disso, outras
propriedades, tais como autenticidade, não-repúdio, responsabilidade e confiabilidade também podem
ser envolvidas"
Características da Seg. Informação
C – Confidencialidade – a informação não pode estar disponível ou revelada a indivíduos não
autorizados, entidades ou processos.
I – Integridade – propriedade de salvaguarda da precisão e integridade de ativos.
D – Disponibilidade – propriedade da informação estar acessível e utilizável sob demanda por
uma entidade autorizada.
Gestão da Segurança de Informação na Organização Garantir a preservação da confidencialidade, integridade e disponibilidade da informação;
Reduzir os riscos para o negócio prevenindo e minimizando os impactos dos incidentes de
segurança;
Assegurar a Continuidade do Negócio da Organização.
É um processo de gestão;
Não se resume à componente tecnológica, mas esta faz parte do processo de gestão da
segurança
Conceitos
Ameaça (Threat) – Uma ameaça é qualquer coisa (ato humano intencional ou não, ou
causada pela natureza), que tem o potencial de causar danos
Vulnerabilidades (vulnerability) – A vulnerabilidade é uma fragilidade que pode ser
usada para colocar em perigo ou causar danos a um ativo de informação
Riscos (Risk) – Risco é a probabilidade de algo mau vir a acontecer e causar danos a um ativo
de informação
Página 5 de 47
A probabilidade de uma ameaça vir a usar uma vulnerabilidade, para causar dano, resulta num risco
para a organização.
NOTA:A Segurança da informação deve ser um processo integrado, que abrange toda a organização
Abordagem Integrada à Segurança
A Segurança de um Sistema de Informação só se consegue atingir considerando de forma integrada:
Normas e Procedimentos
Sistemas e Aplicações
Infraestrutura
Acesso Físico
Requisitos da Política de Segurança A política de segurança deve ser caracterizada pela preservação da:
o Confidencialidade da informação;
o Integridade da informação;
o Disponibilidade da informação;
Requisitos contratuais, regulamentares, estatutários e legais
A Política deve focar Segurança Organizacional
Conformidade com requisitos regulamentares, legais, etc.;
Controlo de acessos, comunicações e dados;
Procedimentos para a classificação da informação;
Procedimentos e responsabilidades operacionais;
Requisitos de segurança para manutenções e novos desenvolvimentos;
Planos de continuidade de negócio
Página 6 de 47
Importante garantir o alinhamento da Política de Segurança
Auditorias internas/externas
Análise dos relatórios de incidentes
Alterações dos requisitos de negócio
Normas e legislação aplicável
ISO/IEC 27001:2005 (BS7799-2) – Requisitos para implementar o Sistema de gestão de
Segurança da Informação (é a norma que permite certificar)
ISO/IEC 27002 – ex. ISO/IEC 17799- Código de boas práticas e controlos para a
implementação do SGSI
ISO/IEC 27003:2010 - Guia para a implementação do SGSI
ISO/IEC 27004:2009 – Avaliação (medidas) do SGSI
ISO/IEC 27005:2008 (BS7799-3) – Norma sobre a Gestão de Risco
BS25999 – Norma que deve ser seguida para a Gestão de Continuidade de Negócio.
NOTA: Tanto a Qualidade como a Segurança devem estar presentes ao longo de todo o ciclo de vida
de um Sistema de Informação.
Introdução à ISO 27001
ISO/IEC 27001:2005 Especificação de requisitos para Sistemas de Gestão de Segurança da Informação
Especifica os requisitos para o estabelecimento, implementação e documentação de um Sistema
de Gestão de Segurança da Informação (ISMS - Information Security Management System)
Especifica os requisitos para os controlos de segurança a serem implementados de acordo com
as necessidades individuais das organizações
Página 7 de 47
ISO/IEC 27002:2005 (ex. ISO17799) Código de boas práticas para a gestão da segurança da informação
Para utilização como documento de referência
Possui um conjunto compreensivo de controlos de segurança
As melhores práticas de segurança atuais, em utilização
Possui 11 secções de controlos, detalhando a sua implementação
Não pode ser utilizado para análise (auditoria) e/ou certificação
Resumo do Modelo PDCA aplicado ao ISMS
Plan (estabelecer o SGSI) – Estabelecer políticas do SGSI, objetivos, processos e
procedimentos relevantes para a gestão de risco e melhorar a segurança da informação para
fornecer resultados de acordo com as políticas globais de uma organização e objetivos.
Do (implementar e operar o SGSI) – Implementar e operar as políticas do SGSI,
controlos, processos e procedimentos.
Check (monitorizar e rever o SGSI) – Avaliar e, se for o caso, o medir o
desempenho do processo contra as políticas do SGSI, objetivos e experiência prática e relatar os
resultados da gestão para serem revistos.
Act (Manter e Melhorar o SGSI) – Tomar ações corretivas e preventivas, com base
nos resultados da auditoria interna do SGSI e revisão da gestão ou outras informações
relevantes, para alcançar a melhoria contínua do SGSI.
Página 8 de 47
Introdução à Gestão de Risco
Norma a ter em conta ISO/IEC 27005:2008 (BS7799-3) - Information security risk management
Alguns conceitos
Riscos (Risk) – probabilidade de algo mau vir a acontecer e causar danos a um ativo de
informação.
Análise de Risco (Risk Analysis) uso sistemático de informações para identificar fontes e
estimar o risco.
Cálculo do Risco (Risk Evaluation) – processo de comparação do risco estimado com
critérios de risco dados para determinar a importância do mesmo.
Avaliação do Risco (Risk Assessment) – todo o processo global que envolve a análise de
risco e cálculo (classificação).
Tratamento do Risco (Risk Treatment) – processo de seleção e implementação de
medidas (controlos) para mitigar o risco.
Gestão de Risco (Risk Management) – atividades para dirigir e controlar uma organização
no que diz respeito ao risco.
O risco é avaliado de acordo com parâmetros, cujo peso pode variar de acordo com o método utilizado
Ameaça
Vulnerabilidade
Probabilidade
Valor do bem
Impacto
Controlos existentes
…
Página 9 de 47
Exemplos de Ameaças [ISO 27005] Terrorismo
Espionagem industrial
Uso não autorizado de equipamento
Fogo
Inundações
Terramotos
Falha de energia
Falha de comunicações
Falha de hardware ou software
Acesso não autorizado
Roubo de informação
Corrupção de dados
Bugs de software
Social engeneering
Ataques de vírus
Hacking
...
Exemplos de Vulnerabilidades [ISO 27005] Inexistência de sistemas de deteção e extinção de incêndios
Inexistência de sistemas de deteção de Inundações
Inexistência de um programa BCM
Inexistência de redundância de power e comunicações
Testes de software fracos
Inexistência de sistemas de proteção contra intrusões (ex. FW, IPS, etc.)
Inexistência de sistemas de controlo de acessos físicos (barreiras, seguranças, vídeo, ID cards,
etc.)
Inexistência de sistemas de controlo de acessos lógicos (login/passwd, id manag, tokens, etc.)
...
Avaliação de risco Existem várias formas de calcular o risco:
Em função da metodologia adotada
No entanto, tem que ser sistemática e repetível
Preferencialmente, devem ser utilizados valores quantitativos (1,2, 3, 4, 5) em vez de qualitativos (alto,
médio, baixo)
Página 10 de 47
Tratamento do risco
Aceitar os riscos (ex. abaixo de um determinado valor);
Evitar os riscos (ex. fechar um serviço ou substitui-lo – deve ser feita nova avaliação);
Transferir os riscos (seguradoras).
Mitigação dos riscos
o Implementar os respetivos controlos (alguns identificados no Annex A da
o ISO27001);
o Deve ser realizada nova avaliação tendo em conta os novos controlos
Introdução à Gestão de Continuidade de Negócio
O processo de Gestão Continuidade de Negócio conduz à produção de planos e procedimentos
que permitem, a uma organização, responder a incidentes mantendo ou reativando em tempo
útil os seus serviços críticos ou essenciais para o negócio
A dependência das organizações face aos Sistemas de Informação e os riscos a que se expõem
torna necessário conceber e operacionalizar uma eficaz e eficiente Gestão Continuidade de
Negócios.
Atualmente, o standard a seguir nesta área é a BS25999 do BSI, British Standards Institution.
Uma Gestão de Continuidade de Negócio eficiente permite à Organização
Identificar os processos/informação/sistemas críticos para o negócio
Identificar os impactos de uma eventual descontinuação dos serviços;
Preparar a resposta a incidentes, que permitam minimizar esses impactos para o negócio;
Definir processos e organização da equipa na sua implementação, testes e ativação;
Oferece à organização uma vantagem competitiva Em caso de incidentes, oferecendo uma maior preparação e rápida resposta
Explorado em termos de marketing
Página 11 de 47
A análise e gestão de riscos
Análise de Risco Vs Gestão de Risco
É mais abrangente e inclui:
Avaliação de Risco
Mitigação de Risco
Implementação de controlos
Reavaliação/monitorização
Gestão de Riscos – objetivos
Manter em segurança os sistemas de informação que guardam, processam ou transmitem
informação da organização
Permitir à gestão a tomada de decisões devidamente fundamentadas que justifiquem os
investimentos e custos das Tis
Assistir a gestão na acreditação dos sistemas de IT com base na documentação resultante das
atividades desenvolvidas na Gestão de Risco
É um processo, não um projeto
Formas de quantificar o Risco?
Avaliação quantitativa, recorrendo a valores numéricos
No seu cálculo inclui pode incluir o impacto no negócio
Que pode ser considerado na análise custo-benefício dos controlos a implementar
Avaliação qualitativa, através de níveis de valores
Utilizando categorias e níveis de risco
Através deste método observa-se facilmente a priorização dos Riscos
Página 12 de 47
Avaliação quantitativa Através da aplicação deste método, os fatores do risco (probabilidade e impacto) são
classificados através da atribuição de um valor (numérico ou verbal) que está integrado numa
escala de valores relativos.
Cada valor da escala é associado a uma descrição explicativa.
Exemplo de uma escala qualitativa para classificar a probabilidade
Considerados níveis de avaliação de 1 a 5, no caso do exemplo
abaixo, o nível de Risco é de 45, considerando: o valor de 5 para o ativo
3 para a probabilidade da ameaça se concretiza e 3 para o impacto da
vulnerabilidade.
Formas de estimar a probabilidade
Estimar a probabilidade através de dados e input interno
Utilizar histórico dos incidentes para determinar os riscos atuais
Recorrer ao conhecimento e experiência dos colaboradores e
especialistas internos em segurança
Através de metodologias estruturadas de recolha de dados: Com questionários e discussões de
grupo.
Estimar a probabilidade através de dados externos
Dados partilhados por outras organizações
Página 13 de 47
Mitigação técnica e/ou administrativa
Opções de Tratamento de Risco (ISO)
Assumir o Risco
o Aceitar o Risco continuando com o sistema em operação
o Podendo/devendo ir implementando controlos tendentes à redução do risco
Evitar o Risco
o Eliminando a causa do risco ou as consequências (desativar certas funcionalidades, ou
mesmo desligar o sistema)
Transferência de Risco
o Utilizando opções que permitam compensação em caso de perdas (p.e. seguros)
Aplicação de Controlos
o Controlos de segurança apropriados às ameaças e vulnerabilidades encontradas no
sentido de reduzir o risco final
Opções de Mitigação de Risco (NIST)
Assumir o Risco
o Aceitar o Risco continuando com o sistema em operação
o Podendo/devendo ir implementando controlos tendentes à redução do risco
Evitar o Risco
o Eliminando a causa do risco ou as consequências (desativar certas funcionalidades ou,
mesmo, desligar o sistema)
Transferência de Risco
o Utilizando opções que permitam compensação em caso de perdas (p.e. seguros)
Planeamento de Risco
o Gerir o risco, desenvolvendo um plano de mitigação que prioriza, implementa e mantem
os controlos
Limitar o Risco
o Implementar os controlos capazes de minimizar o impacto de certas ameaças sobre
alguma vulnerabilidade
Página 14 de 47
o Necessário implementar medidas de deteção, prevenção e suporte
(se for verificado um determinado incidente, desligar sistema, ou repor sistema…)
Reconhecimento e Desenvolvimento de controlos
o De forma a baixar o risco, à medida que as vulnerabilidades são reconhecidas, é
implementado um plano de desenvolvimento e implementação de controlos que
permitam corrigir ou minimizar a vulnerabilidade.
Risk Mitigation Checklist (extraído do NIST) Cada opção de mitigação de risco projetada deve ser examinada a partir das seguintes perspetivas:
Eficácia – Será que vai reduzir ou eliminar os riscos identificados? Até que ponto as
alternativas irão mitigar os riscos?
Custo/benefício – Os benefícios entendidos da opção superam os custos? Será que os
ganhos potenciais são proporcionais ao impacto da mudança necessária?
Praticidade – É viável e adequado em termos de tecnologia disponível, viabilidade
financeira, viabilidade administrativa, legislação e regulamentos, disponibilidade política, etc.?
Desafio – Pode a medida de mitigação de risco resistir à mudança de todas as partes
interessadas (empregados, gerentes, acionistas / Estado administrações, etc.)?
Aceitação das partes interessadas – Quanta resistência das partes interessadas se
pode esperar? (As discussões com as partes interessadas durante a fase de avaliação de risco
podem indicar a sua opção preferida mitigação de risco.)
Exequibilidade – Se as novas regras (POPs, regulamentos, etc.) são implementadas, são
exequíveis?
Durabilidade – Será que a medida irá resistir ao longo do tempo? Será que vai ser um
benefício temporário ou será que vai ser útil a longo prazo?
Riscos residuais – Após a medida de mitigação de risco ser implementada, quais serão
os riscos residuais em relação à ameaça original? Haverá capacidade de mitigar quaisquer riscos
residuais?
Problemas novos – Que novos problemas ou novos (talvez pior) riscos surgirão com o
controlo introduzido?
Página 15 de 47
Modelo de segurança integrado A definição de estratégia e metodologias deve estar suportada numa Política de Segurança
Integrada, ou não, num SGSI – Sistema de Gestão de Segurança da Informação
Inserido, ou não num processo de certificação
Roadmap para Política de Segurança
Norma utilizada Utilização da ISO 27002 (ou 17799) como suporte à gestão da segurança da informação.
Página 16 de 47
Política de segurança Definição de Segurança da Informação aprovada pela Gestão de Topo, seus objetivos,
abrangência e importância
o Breve explicação dos princípios, normas e conformidades de relevo
o Referências a documentos ou processos externos
Comunicação a toda a organização
“Uma política de segurança deverá ser aprovada pela direção da organização, publicada e
comunicada apropriadamente a todos os funcionários”
Para possuir a direção dos gestores de topo e o seu indiscutível suporte à segurança da
informação;
Para fornecer elementos comuns de abordagem à Segurança da Informação;
Para responsabilização de todos os elementos da organização.
A política de segurança de alto nível (topo) não pode deixar dúvidas quanto à necessidade de
TODOS os funcionários a respeitarem na íntegra.
Simples e direta;
Os pontos principais deverão ocupar uma simples folha de papel A4;
O conteúdo completo da política deverá estar acessível a todos dentro da organização.
Esta deverá responsabilizar e sancionar aqueles que a não respeitem.
Poderá conter
A descrição da necessidade de ações de formação específicas;
A indicação da existência de um fórum de segurança;
A identificação de outras políticas específicas;
A visão do processo de gestão do risco.
Os requisitos para o plano de contingência da organização;
As necessidades de backup/restore;
A forma de seleção e gestão de ferramentas de eliminação de vírus;
As especificações de mecanismos para controlo de acessos a sistemas e dados;
Para comunicação de incidentes de segurança;
A descrição de ações disciplinares para atividades maliciosas ou de acesso/utilização
inapropriado de recursos.
Etc.
Página 17 de 47
Conclusão Utilização da ISO 27002 (ou 17799), define as melhores práticas para a gestão de segurança da
informação
“Sem uma gestão formal da segurança da informação, a segurança será quebrada algures no
tempo.”
A segurança da informação é um processo de gestão, não um processo tecnológico.
Controlos de segurança (Tecnológicos, Operacionais e de Gestão)
A implementação de controlos ou medidas de segurança:
Deve resultar de um processo de avaliação de riscos
Opção de Mitigação Técnica ou Administrativa
Compromisso entre ambas Carece de uma cuidada análise de custo-benefício
Na ISO/IEC 27001 os controlos de segurança estão agrupados em 11 pontos, do Anexo A
Agrupar controlos Os controlos a implementar podem ser agrupados em (NIST Special Publication 800-30) em:
Tecnológicos
o Suporte
o Preventivos
o Para deteção e recuperação
Não tecnológicos
o Gestão
o Operacionais
o Organizacionais
Página 18 de 47
Controlos Tecnológicos
Suporte
São a base e estão interligados com outros controlos de segurança.
Identificação
Gestão de Chaves Criptográficas
Administração da Segurança
Proteção de Sistemas
Preventivos
Autenticação (ex.: User/Pass; PIN; Autenticação forte; Biometria)
Não repudio (Ao assegurar a correta “accountability” das transações relevantes previne-se o não
repúdio)
Proteção das comunicações (ex: Estabelecimento de VPNs)
Autorização
Para deteção e recuperação
Controlos que permitem a deteção de violação ou tentativa de violação das regras de políticas
Funcionam como complemento à segurança das medidas de suporte e preventivas
Exemplos de Controlos:
Audit.
Intrusion Detection and Containment.
Proof of Wholeness.
Restore Secure State.
Virus Detection and Eradication.
Página 19 de 47
Controlos não tecnológicos Devem ser implementados em conjunto com os controlos tecnológicos e contribuem para gerir e
minimizar o risco.
Controlos de Gestão e Organizacionais
Focados na definição de políticas e normas de proteção da informação, realizadas através de
procedimentos operacionais.
Processos e procedimentos que definem como os elementos da organização devem atuar no
sentido de colaborar na segurança.
Exemplos:
Atribuir responsabilidades relativas à segurança dos sistemas críticos
Estabeleça programas de formação e sensibilização dos utilizadores
Estabelecimento de procedimentos para acesso de terceiros
Credenciação de pessoal o analisando as competências e o passado (p.e. Registo Criminal e
Referências)
Providenciar o estabelecimento e gestão de um plano operacional de continuidade de
negócio
Controlos Operacionais
Conjunto de controlos e linhas orientadoras que assegurem procedimentos seguros de
governação do IT, no sentido de cumprir os objetivos da organização
Deve considerar as políticas e normas definidas na gestão
Exemplos:
Manter em segurança os sistemas de rede e cablagem
Estabelecer e controlar os procedimentos de segurança de armazenamento de dados fora
da organização
Controlo ambiental do Data Center (Ar condicionado)
Assegurar a segurança ambiental (detetores de incêndios, sensores de temperatura e
humidade, e alarmes).
Página 20 de 47
Noções de criptografia
O que é? “Escrita secreta por meio de abreviaturas ou de sinais convencionados de modo a preservar a
confidencialidade da informação”
Em que consiste? Transformação de textos originais, chamada texto original (plaintext) ou texto claro (cleartext), em
informação transformada, chamada texto cifrado (ciphertext), texto código (codetext) ou simplesmente
cifra (cipher), que têm a aparência de um texto random ilegível.
Proteção da Informação O truque da segurança da informação é:
Protegê-la de algum mal (roubo, alteração, acesso não autorizado)
Ao mesmo tempo que mantém a informação disponível para quem precisa
As ameaças que a informação enfrenta Perda ou Roubo de Media - Tapes ou discos de backup armazenados ou em trânsito
Roubo de Informação por utilizadores com acesso
Distribuição não intencional (envio para um destinatário diferente)
Hacking (aplicacional), alterando aplicações ou configurações com impacto nos dados
Roubo de dispositivos móveis
Proteção da informação em vários pontos
Segurança de dados armazenados
Segurança nos Servidores (emails, etc.)
Segurança dos Terminais de utilizador (PC, PDA, Pens, etc.)
Página 21 de 47
Processos básicos de criptografia
Encryption – processo de transformação (encriptação) de informação “em claro” (plaintext) em
texto cifrado (ciphertext).
Decryption – processo de conversão de texto cifrado na mensagem original utilizando a chave
criptográfica apropriada.
Sistemas criptográficos simétricos Usam a mesma chave para encriptar e desencriptar mensagens; ou pelo menos, chaves que
possam ser determinadas de forma simples e direta uma a partir da outra.
Necessitam de um canal seguro para a divulgação das chaves.
Só os utilizadores do grupo podem ter acesso às chaves.
Com a saída de um utilizador do grupo, o sistema fica comprometido
Exemplos:
Código Playfair
Substituição de Hill
Data Encryption Standard (DES)
International Data Encryption Algorithm (IDEA)
One Time Pad (One time key, ou Chave Única)
Advanced Encryption Standard (AES)
Sistemas criptográficos assimétricos (chave pública) Tipo de encriptação que usa duas chaves distintas, uma para a encriptação e outra para a
desencriptação de mensagens (chave pública e chave privada, respetivamente).
Evita o problema da divulgação das chaves, dos sistemas simétricos.
Cerca de 1000 vezes mais lento que os algoritmos simétricos
Utilizações mais comuns...
o Distribuição de chaves sem “segredos” pré-acordados
o Assinaturas digitais e não repúdio
o Identificação utilizando protocolos de “desafio-resposta” com chaves públicas
o Encriptação (mas muito mais lento)
Página 22 de 47
Exemplos
Diffie - Hellman (# 1º sistema de chave pública inventado)
HM (Merkle e Hellman)
RSA (Ron Rivest, Adi Shamir e Leonard Adleman)
PGP (Pretty Good Privacy)
PKI – Public Key Infrastructure
Infraestrutura necessária para a gestão do “ciclo de vida” das chaves criptográficas de sistemas
assimétricos
Geração
Distribuição
Renovação
Revogação
Etc.
Certificado Digital (Digital Certificate)
É um documento eletrónico que liga a identidade física de uma entidade (pessoa, organização
ou computador) à sua chave pública
Em sistemas seguros (particularmente em PKIs) um certificado digital é emitido para
o autenticar a(s) parte(s) envolvidas numa transação,
o assinar eletronicamente documentos assegurando a integridade do seu conteúdo e/ou
não repúdio de transações eletrónicas
Página 23 de 47
Combinação dos dois métodos Codificando-se a mensagem com o método da chave simétrica e trocando a chave simétrica com o
método de chave pública.
Chave de sessão simétrica
o processamento mais rápido
Partilhada recorrendo a criptografia assimétrica
o mais lenta
o mas mais segura
Assinatura Digital Proporcionado pela criptografia assimétrica que permite garantir a autenticidade de quem envia a
mensagem, associada à integridade do seu conteúdo.
No caso de se pretender enviar uma mensagem garantindo a integridade:
Mensagem é cifrada na origem com a chave privada
Destinatário utiliza a chave pública do emissor, para decifrar a mensagem
Fica garantida assim a
o autenticidade,
o integridade e
o não-repudiação da mensagem recebida
Página 24 de 47
Gestão de chaves
Algumas notas A Cifra requer:
os dados a proteger
algoritmos de cifra
chaves de cifra
O processo de cifrar é uma comodidade disponibilizada por um conjunto variado de ferramentas
Ter em atenção que nenhum algoritmo é inquebrável
o A questão é quanto tempo leva a quebrar
O foco deve ser dado ao nível da Gestão de chaves
o Uma gestão de chaves fraca pode comprometer processos e algoritmos de cifra
robustos
A segurança depende em grande parte da gestão de chave
o no sentido de apenas dar acesso a pessoas autorizadas e de acordo com políticas de
aprovação e atribuição
As chaves têm que ser
o geradas de forma segura e realmente aleatórias
o armazenadas de forma cuidada
o transportadas de forma segura
o ter (ou não) forma de recuperação
Para uma gestão eficaz, é necessário perceber que as chaves têm um ciclo de vida.
Página 25 de 47
O que é a Gestão de chaves? É o conjunto de técnicas e procedimentos relacionados com o ciclo de vida das chaves
criptográficas
Mas também das relações entre as entidades emissoras
Mantendo as chaves e essas relações em segurança
Public Key Infrastructure (PKI)
Certificate Authority (CA)
CA é uma organização que emite certificados utilizando uma assinatura digital, que vincula um
certificado digital à identidade de uma entidade.
Registration Authority (RA):
RA autentica a identidade das entidades e requer à CA a emissão do certificado para cada uma
dessas entidades.
Hierarquicamente, a RA opera na dependência da CA e atua como interface da CA para com o
utilizador ou entidade requerente.
Validation Authority (VA):
VA pode fazer parte do serviço fornecido pela CA ou por um terceiro.
Valida os certificados digitais, emite comprovativos digitais e serviços confiáveis de
reconhecimento como prova de que uma transação eletrónica ocorreu.
Relações de confiança entre CAs Existe um modelo hierárquico que estabelece as relações de confiança entre CAs diferentes,
dentro da hierarquia de confiança mesmo.
No entanto, se os seus CAs não partilham uma raiz comum CA, deve ser realizada uma
certificação cruzada.
As CAs raiz devem desenvolver relações de confiança bilateral.
o Constituindo um modelo híbrido de relações de confiança.
Página 26 de 47
Introdução ao processo de análise de risco FRAAP
Definição e conceitos
FRAAP – Facilitated Risk Analysis and Assessment Process
É uma metodologia de análise e avaliação de risco desenvolvido por Thomas R. Peltier
Tem por base as normas existentes (nomeadamente a 17799/27002)
o Que transmitem as boas práticas, não a metodologia
Resulta da experiência da equipa em projetos
Tem sido utilizada, e melhorada, nos últimos 15 anos
Prima por:
o Ser dirigido pelo responsável de negócio
o Levar dias, em vez de semanas
o Boa relação custo-benefício
o Utilizar especialistas/experiência interna
Este processo envolve a análise de 1 sistema processo, plataforma, processo de negócio
definido de cada vez
É um método qualitativo de análise de risco
o Baseado no nível de impacto do risco
o Em vez do valor monetário do impacto
Durante o processo a equipa envolvida é conduzida a participar na discussão e identificação de
o potenciais ameaças
o níveis de risco
o possíveis controlos a aplicar
Página 27 de 47
Constituição do FRAAP
Pré-FRAAP
Reunião de 1 a 1,5 horas como responsável de negócio
Vão definir as bases de trabalho para as fases seguintes
FRAAP
Dura aproximadamente 4 horas e deve incluir uma equipa mais abrangente que inclua os
responsáveis de negócio e da infraestrutura
Identificar: Ameaças, Vulnerabilidades, Impactos e Controlos
Post-FRAAP
Normalmente 1 a 2 semanas
Análise dos resultados e produção do relatório final
Antes do processo FRAAP
Antes de iniciar deve existir um Programa de Sensibilização.
Dar a conhecer o processo
Envolver os participantes
Este Programa deve ser conduzido de forma a:
o Avaliar o conhecimento relativo a avaliação de risco
o Determinar o que os gestores e outros funcionários pretendem aprender
o Verificar o nível de aceitação do programa de segurança
o Traçar forma de conquistar a aceitação
o Identificar possíveis aliados
Pré-FRAAP Reunião de 1 a 1,5 horas como responsável de negócio
o Neste caso, o gestor de negócio ou processo
Deve incluir o Gestor de Projeto, Facilitador e Secretário(a)
o O Gestor de projeto deveria ser nomeado pelo gestor de negócio
O seu papel é acompanhar o desenrolar do projeto e garantir as condições
necessárias requeridas pela equipa (sala, agendar reunião…)
Pode ser o Gestor de negócio
Página 28 de 47
o Facilitador - consultor que ajude a conduzir o grupo no sentido de obter os resultados
esperados
o Secretário(a) – responsável por documentar as reuniões
Resultados esperados
Pré-triagem dos resultados esperados
Definição do âmbito
Diagrama com a descrição/detalhe do sistema ou processo a avaliar
Estabelecimento da equipa a incluir no processo
Requisitos para a reunião FRAAP
o Agendamento, sala, materiais ..
Acordar definições de princípio
o O que é Ativo, Ameaça, Vulnerabilidades, Probabilidade, Impacto, Risco, …
Mini-Brainstorming
o No sentido de identificar algumas ameaças como introdução à reunião FRAAP
FRAAP Não deve durar mais que quatro horas
Envolver os elementos da equipa que
o estejam envolvidos com o processo ou sistema a avaliar
o conheçam a solução/infraestrutura técnica
Deve ter a seguinte agenda
o Introdução, preparada no Pré-FRAAP
o Identificação de Ameaças e Vulnerabilidades
o Identificação Controlos Existentes
o Estabelecer níveis de risco
Identificando probabilidade e impacto
o Identificar Riscos Residuais
o Apresentação do Sumário da Reunião
Página 29 de 47
Resultados esperados
Identificação das Ameaças
Identificação das Vulnerabilidades
Identificação dos Controlos Existentes
Caracterização dos Riscos Residuais
Post-FRAAP Realizado pela equipa de consultores
o Análise dos resultados da reunião
Pode ser necessário contactar alguns elementos da equipa
o Através do gestor de projeto
o Para algum esclarecimento adicional
o Ou informação complementar
Resultados esperados
Relatório final
o com sumário executivo
o Resumo da reunião de equipa
o Identificação de controlos complementares
o Análise do processo
Apresentação das conclusões ao Gestor de Negócio
Página 30 de 47
Processo de análise de Risco FRAAP
FRAAP – Facilitated Risk Analysis and Assessment Process
É uma metodologia de análise e avaliação de risco desenvolvido por Thomas R. Peltier
o Tem por base as normas existentes (nomeadamente a 17799/27002)
Que transmitem as boas práticas, não a metodologia
Resulta da experiência da equipa em projetos
Tem sido utilizada, e melhorada, nos últimos 15 anos
Prima por:
o Ser dirigido pelo responsável de negócio
o Levar dias, em vez de semanas
o Boa relação custo-benefício
o Utilizar especialistas/experiencia interna
Este processo envolve a análise de 1 sistema processo, plataforma, processo de negócio
definido de cada vez
A afinação do processo, baseada na experiência prática
o Rápido
o Fácil de implementar
Durante o processo a equipa envolvida é conduzida a participar na discussão e identificação de
o potenciais ameaças
o níveis de risco
o possíveis controlos a aplicar
Método de avaliação a utilizar? O Autor defende a utilização de um método qualitativo:
Em detrimento de métodos quantitativos
A utilização de valores no cálculo resulta num valor final difícil de interpretar
Podem ser definidos níveis para medição, mas a interpretação ser qualitativa
Página 31 de 47
Método Qualitativo vs Quantitativo
Vantagens
Método Quantitativo Método Qualitativo
Os resultados são baseados em processos objetivos substancialmente independentes e em métricas.
Cálculos mais simples.
É dado um grande foco na definição de valor de ativos e mitigação de riscos.
Não é necessário determinar o valor monetário do ativo.
O esforço do custo-benefício de avaliação é essencial.
Não há necessidade de quantificar a frequência de ameaças.
Permite flexibilidade no processo e elaboração de relatórios.
Desvantagens
Método Quantitativo Método Qualitativo
Cálculos podem tornar-se complexos. Pode apresentar uma natureza subjetiva.
Historicamente, apenas funciona corretamente com uma ferramenta automatizada com a associação de um conhecimento técnico.
É exigido um esforço necessário para desenvolvimento com valor monetário para os ativos.
Existe um trabalho preliminar extenso. Não há bases para a análise de custo-benefício de redução do risco.
Os participantes não podem ser auxiliados facilmente durante o processo.
É dificultada a mudança de direções.
É difícil calcular quando existem questões fora do âmbito.
Página 32 de 47
Vantagens do FRAAP É realizado em alguns dias, em vez de semanas/meses.
Envolve o responsável de negócio
o Participa no processo
o Compreende as necessidades de implementação
o Envolvido na seleção de controlos eficientes (custo-benefício)
Envolve as áreas de negócio
o Reconhecimento da participação e controlo do processo
Permite à equipa participar na seleção de controlos apropriados
Facilita a Gestão da Mudança
Equipa envolvida Responsável de negócio do processo, sistema ou ativo
Gestor de Projeto - nomeado pelo gestor de negócio
o O seu papel é acompanhar o desenrolar do projeto e garantir as condições necessárias
requeridas pela equipa (sala, agendar reunião…)
Facilitador – consultor com conhecimento do FRAAP
Escriba ou secretário(a) – responsável por documentar as reuniões
Especialistas relacionados com o objeto
o Negócio
o IT
o Colaboradores
Facilitador
Consultor que ajude a conduzir o grupo no sentido de obter os resultados esperados
o Ameaças, probabilidades, impacto, nível de risco
Guiar a equipa pelas várias áreas de interesse
o Identificando o maior número de ameaças
Manter o grupo focado no tema
Atuar como regulador e árbitro da sessão
Controlar o tempo
Página 33 de 47
Deve observar as seguintes regras:
o Encorajar a participação de todos
o Aceitar todas as sugestões
o Envolver os participantes, escutando opiniões
o Estar atento às movimentações, gestos, silêncios
o Atuar como regulador e árbitro da sessão
o Deve ser imparcial, sem tomar posições particulares, mas guiando a equipa quando está
perdida ou é preciso consenso
o Ser objetivo
Escriba ou secretário(a)
Responsável por documentar as reuniões
Assegura que todas as ameaças, controlos e ações são registadas
Libertando o facilitador desta função, permite-lhe desempenhar melhor a sua função principal
Especialistas relacionados com o objeto em análise
São elementos da própria organização que conhecem o sistema ou processo em análise
Deve ser uma equipa equilibrada, entre as várias áreas de competência
o Conhecimento do negócio, familiarizados com a missão do objeto em análise
o Utilizadores que conheçam as vulnerabilidades e ameaças
o Técnicos IT com conhecimento da infraestrutura e sistemas em causa
Elementos devem conseguir funcionar em equipa
Constituição do FRAAP Este processo envolve a análise de 1 sistema processo, plataforma, processo de negócio definido de
cada vez.
Pré-FRAAP
Reunião de 1 a 1,5 horas como responsável de negócio
Vão definir as bases de trabalho para as fases seguintes
Página 34 de 47
FRAAP
Dura aproximadamente 4 horas e deve incluir uma equipa mais abrangente que inclua os
responsáveis de negócio e da infraestrutura
Identificar: Ameaças, Vulnerabilidades, Impactos e Controlos
Post-FRAAP
Normalmente 1 a 2 semanas
Análise dos resultados e produção do relatório final
Antes de inicializar um processo FRAAP Antes de iniciar deve existir um Programa de Sensibilização:
Dar a conhecer o processo
Envolver os participantes
Este Programa deve ser conduzido de forma a:
o Avaliar o conhecimento relativo a avaliação de risco
o Determinar o que os gestores e outros funcionários pretendem aprender
o Verificar o nível de aceitação do programa de segurança
o Traçar forma de conquistar a aceitação
o Identificar possíveis aliados
Ferramentas para um Programa de Sensibilização?
Site
Cartazes
Questionários
o Mail
o Eletrónicos
o Papel
Sessão de presentação
Página 35 de 47
Programa de Sensibilização
Adaptado à organização
o Ferramentas e linguagem
Selecionar as ferramentas adequadas a cada grupo
Encontrar áreas não conformes
o Trabalhar no sentido de reduzir exposição
E resolver possíveis atritos
o Sem comprometer resultados da avaliação
Envolver os utilizadores
Pontos-chave do FRAAP
Garantir o envolvimento dos participantes
O processo é da organização, não é do consultor/facilitador
o Não utilizar expressões como o meu projeto
o É o Vosso ou Nosso projeto
Conceitos chave – funções
Owner
Deve ser o mais alto responsável da unidade onde o objeto do processo pertence
É responsável por:
o Estabelecer a classificação da informação
o Identificar controlos razoáveis e prudentes
o Monitorizar a adequação de implementação de controlos
o Autorizar o acesso a quem necessita ou inibição
Custodian
Nomeado pelo owner como responsável do controlo
Colaborador (user)
Empregados autorizados para aceder à informação
Página 36 de 47
Reunião de Pré-FRAAP
Reunião de 1 a 1,5 horas com o responsável de negócio
Deve incluir :
o Gestor de Negócio/Processo e Gestor de Projeto
o Facilitador
o Escriba
Resultados esperados
1. Pré-triagem
2. Definição do âmbito
3. Diagrama com a descrição/detalhe do sistema ou processo a avaliar
4. Estabelecimento da equipa a incluir no processo
5. Requisitos para a reunião FRAAP
6. Acordar definições de princípio
7. Mini-Brainstorming
Resultados do Pré-FRAAP
Pré-triagem
Triagem das aplicações, sistemas ou processos que
o Dispensam uma análise mais profunda
o Requerem uma avaliação de risco formal
Ou um Business Impact Analysys
Definição do âmbito
Qual o âmbito da avaliação a realizar
Identificar categorias de ameaças
o Tendo como base a C-I-A
o Mas podendo incluir outros como a performance ou reliability
o Consultar www.sabsa.org como checklist
Diagrama com a descrição/detalhe do sistema ou processo a avaliar
o Diagrama com a descrição do processo em análise
o Para documentação e informação da equipa FRAAP
“uma imagem vale por mil palavras”
o Estabelecimento da equipa a incluir no processo
Página 37 de 47
Identificar entre 15 a 30 elementos
Requisitos para a reunião FRAAP
o Agendamento
o Sala
o Materiais …
Acordar definições de princípio
o O que é Ativo, Ameaça, Vulnerabilidades, Probabilidade, Impacto, Risco, …
Mini-Brainstorming
o No sentido de identificar algumas ameaças como introdução à reunião FRAAP
Checklist para reunião
Garantir abordagem de todos os pontos
Sessão FRAAP
Sessão de trabalho
Não deve durar mais que quatro horas
o É suficiente, na maioria dos casos
o Difícil arranjar mais disponibilidade
Envolver todos os elementos da equipa
o Identificados no Pré-FRAAP
o E devidamente convocados
Página 38 de 47
Resultados esperados
Identificação das Ameaças
Identificação das Vulnerabilidades
Identificação dos Controlos Existentes
Caracterização dos Riscos Residuais
Sessão de trabalho
Requisitos da reunião
Assegurar materiais necessários
o Projetor
o Quadro
o Canetas
Disposição da Sala em U
o Importante para assegurar a participação de todos
o Todos estão na linha da frente, com o facilitador
Desencorajar a utilização de portáteis ou PDAs
Lembrar para desligar os telemóveis
o Ou colocar em silêncio
Sessão de trabalho - Introdução
Explicar os conceitos e processos do FRAP
o Responsável de negócio irá
Abrir a sessão
Introduzir o facilitador
o Facilitador deverá
Apresentar a agenda
Explicar o processo
Rever o âmbito do processo - Owner
o importante identificar
O que foi assumido
Constrangimentos identificados
o Deve ser entregue uma cópia do Scope Statment à equipa
Página 39 de 47
Review Visual Diagram – Technical support
o Deve fazer a apresentação do diagrama, explicando o processo
o Cerca de 5 min.
Discuss definitions - Facilitator
o Apresenta as definições acordadas
o Se o processo já é conhecido na organização, estas definições já devem estar
interiorizadas
Review Objectives - Facilitator
o São revistos os objetivos a atingir
Identificar ameaças
Estabelecer níveis de risco
Identificar controlos
o Serve como introdução à segunda parte da sessão
Identify roles and introduction - team
o Os elementos da equipa identificam-se
Nome
Departamento
Localização
Contacto
Review session agreements
o Todos os elementos devem participar
o Devem cingir-se aos seus papéis
o Focar-se no ponto da agenda
o Todas as ideias têm um valor igual
o Escutar os outros pontos de vista
o Todas as questões/contributos serão registados
o Mesmo os que forem preteridos
o Colocar e registar a ideia, antes de discuti-la
o Assegurar que o escriba assenta todas as questões
o Uma conversa de cada vez
o Limite de tempo por questão (3 a 5 minutos)
Página 40 de 47
Condução da reunião
Idealmente deve ser respeitada a disposição em U
O facilitador deve começar por colocar o primeiro atributo em discussão, colocando os
resultados do mini-brainstorming
Solicitar a participação de todos na identificação de ameaças
o Dar 3 a 5 minutos para pensar em possíveis ameaças
o Começar numa ponta
o Percorrer todos
o Cada elemento só sugere 1 ameaça de cada vez
o Dar várias voltas até que se esgotem as sugestões
o Ter em atenção
Os manipuladores
Centrar no tópico em discussão
Passar ao segundo atributo
o Começar na outra ponta
o Utilizar cores diferentes
o Ir colocando anotações à volta da sala
Utilização de Checklists Para ameaças
Para controlos
Permite reduzir o tempo de identificação
Complementa a identificação feita pelos elementos da equipa
Antes do próximo ponto, fazer pausa
Dá oportunidade para
o Verificar mensagens
o Tomar um café
o Limpar
Página 41 de 47
Identificação de Controlos existentes
Rever todas as ameaças identificando os controlos existentes
Esta caracterização permite à equipa identificar melhor o risco atual
Razão pela qual é fundamental ter elementos da infraestrutura
Conhecem os controlos atuais
Estabelecimento do nível de risco
Verificar se os elementos da equipa estão familiarizados com os termos e definições de
Probabilidade e Impacto
Resumir as ameaças e controlos existentes
Caracterizar os níveis de avaliação para
o Probabilidade
o Impacto
Explicar os níveis de avaliação
o Quando existe risco, os elementos tendem a classificar com nível máximo
Definições e níveis de avaliação
o Probabilidade
o Impacto
Definições e níveis de avaliação
o Matriz de probabilidade x impacto
o Caracterizar o risco residual
Avaliação das ameaças e controlos identificados
Identificar novos controlos ou melhoria dos existentes
Para os riscos que requerem essa necessidade
Estabelecimento do nível de risco
Caracterizar novos níveis de risco
Priorizar implementação de controlos
Planear essa implementação
Devem ser consideradas as normas e legislação em vigor.
Página 42 de 47
Post-FRAAP Realizado pela equipa de consultores
o Análise dos resultados da reunião
Pode ser necessário contactar alguns elementos da equipa
o Através do gestor de projeto
o Para algum esclarecimento adicional
o Ou informação complementar
Relatório final
o com sumário executivo
o Resumo da reunião de equipa
o Identificação de controlos complementares
o Análise do processo
Apresentação das conclusões ao Gestor de Negócio
Metodologias de Gestão de Risco Para suporte à Gestão de Risco pode ser utilizados referenciais como:
ISO/IEC 17799 - Information technology- Security techniques - code of practice for information
security management
ISO/IEC 27001 - Information security management systems – Requirements
ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk
management
Página 43 de 47
Ferramentas de suporte Exemplos de ferramentas de suporte à gestão de risco
Modulo
RiskWatch
Proteus
Página 44 de 47
Nota: apenas coloquei a informação que não foi referida na aula anterior.
Processo de análise de Risco FRAAP
Estabelecimento do nível de risco
Página 45 de 47
Post-FRAAP Realizado pela equipa de consultores
o Análise dos resultados da reunião
Pode ser necessário contactar alguns elementos da equipa
o Através do gestor de projeto
o Para algum esclarecimento adicional
o Ou informação complementar
Resumo da reunião de equipa
o Identificação de controlos complementares
o Análise do processo
o Deve ter:
Sumário executivo
Documentação das fases
Pré-FRAAP
FRAAP
Anexos (toda a informação complementar ao processo)
o Apresentação das conclusões ao Gestor de Negócio
Sumário executivo
Composição
Capa –com caracterização do processo
Índice
Lista de participantes no processo
Resumo do âmbito e princípios estabelecidos
o 2 ou 3 parágrafos com um resumo de como decorreu o processo
o Onde e quando decorreu
o
Resumo das principais conclusões da avaliação
o Maiores riscos e controlos
Referenciação à restante documentação
Conclusões
o Visão sobre o processo todo
o Controlos a considerar e um plano de ação /priorização
Página 46 de 47
BusinessImpactAnalysis (BIA)
Objetivo Um processo de Business Impact Analysis pretende determinar os efeitos que as falhas dos Sistemas de
Informação Críticos têm na operação e na viabilidade dos processos core de negócio .
Implicações (pré-requisitos)
Determinar os processos core
Determinar quais são os principais recursos utilizados por esses processos
o Aplicações
o Sistemas
o Processos
o Funções
o Pessoas
Classificar esses recursos (em termos de importância e prioridade)
Como conclusão do processo de pré-triagem pode ser requerida a realização de um processo de
Business Impact Analysis
Importância dos resultados Os resultados do Business Impact Analysis são importantes no estabelecimento de:
Planos de Continuidade de Negócio
Disaster Recovery
Quando se aplica o BIA? O BIA aplica-se na fase de Recuperação
É preciso conhecer os processos críticos de negócio
Quais devem ser recuperados primeiro
Página 47 de 47
Impactos podem causar
Perdas Intangíveis
Perdas Tangíveis
No final Comunicar resultados ao Responsável por manter os planos de recuperação de negócio
Atualizar os planos existentes
o Se o tempo máximo de downtime for inferior ao definido anteriormente
GAP Analisys
Conceitos GAP Analysis consiste na comparação entre o estado presente e o estado desejado (futuro).
Para tal é preciso resposta para:
Qual o estado atual
Qual o estado desejado
O que precisa ser feito para passar ao estado desejado
o Ou estado “compliant”, quando numa auditoria/certificação
Desdobrada em documentos auxiliares que apresentam princípios e orientações mais específicas e
dirigidas a grupos de funcionários ou a funções determinadas
Utilizar Best pratices (p.e. ISO 27002)