Subir Archivo

gestão de riscos e fraudes - segurança da informação (dia 2)

  • Home
  • Documents
  • Gestão de Riscos e Fraudes - Segurança Da Informação (Dia 2)
77
SEGURANÇA DA INFORMAÇÃO Prof. Marcif, CISSP, CISA

Upload: marcio-alexandre-de-freitas

Post on 10-Nov-2015

13 views

Category:

Documents


2 download

Report

DESCRIPTION

Apresentação das aulas de gestão de risco e de processos de segurança da informação.

TRANSCRIPT

  • SEGURANA DA INFORMAO

    Prof. Marcif, CISSP, CISA

  • Reviso

    Introduo

    Desafios, fundamentos, ameaas e contramedidas

    Normatizao e prticas

    Gesto da SI

    Gesto de Riscos

  • Plano

    Introduo

    Desafios

    Fundamentos

    Ameaas

    Contramedidas

    Normatizao e prticas

    Gesto da SI

    Gesto de Riscos

  • Desafios

    Informao: Ativo cada vez mais valorizado

    Crescimento da dependncia

    Viso holstica do risco

    Receita explosiva

    Anatomia do problema

  • Desafios

    Nuvem

    Virtualizao

    BYOD

    Complexidade

    Ataques avanados persistentes e direcionados

  • Segurana da Informao

    Como proteger informaes

    Relao custo X valor da informao

    Security Officer e seu time

    Valores financeiros X imagem ou reputao

    Tecnologia x Processos x Pessoas x Estratgia

  • Segurana da Informao

    Cyber-bullying

    Responsabilidades de Segurana da Informao

    Compartilhamento de senhas

    Segredos

    Realidade atual

    Phishing

    Pen drives

  • Fundamentos

    Controles Administrativos

    Fsicos

    Tcnicos

    Exemplos Senhas

    Guardas

    Auditorias

    Que mais?

  • Fundamentos

    Objetivos (CIA) Confidencialidade (Confidentiality)

    Integridade (Integrity)

    Disponibilidade (Availability)

    Exemplos Arquivo corrompido

    Queda da linha de comunicao

    Senha em post-it junto a tela ou teclado

    Que mais?

  • Fundamentos

    Disponibilidade X Resilincia

    Autenticidade

    No-repdio

  • Riscos

  • Ameaas

    Cdigos maliciosos

    Vrus

    Trojan

    Worms

    Bots

    APTs

    Pirataria

  • Tcnicas de Defesa

    Controles de Acesso

    Antivrus

    Criptografia

    Configurao segura Hardening

    Patches

    Firewalls

    DMZ

    Segurana Fsica

  • Tcnicas de Defesa

    Varreduras

    Testes de invaso

    Anlise de cdigo

    Monitorao

    IDS x IPS

    Logs

  • Resilincia

    Backups

    Redundncia

    Documentao

    Planos de recuperao de desastres e continuidade

    Simulao de testes

  • Riscos e Componentes de Segurana da Informao

  • Reforando conceitos

    AMEAA (THREAT)

    A ameaa a possibilidade de que algum ou alguma coisa explorar uma vulnerabilidade, intencional ou acidentalmente, e causar dano a um bem.

  • Reforando conceitos

    VULNERABILIDADE (VULNERABILITY)

    Uma vulnerabilidade a ausncia de uma salvaguarda (em outras palavras, uma fraqueza) que pode ser explorada.

  • Reforando conceitos

    RISCO (RISK)

    Um risco a probabilidade de um agente de ameaa explorar uma vulnerabilidade e o potencial de perda da ao.

    O risco pode ser transferido (seguro), evitado, reduzido, ou aceito.

    Reduzir vulnerabilidades e/ou ameaas reduz o risco.

  • Reforando conceitos

    RISCO (RISK)

    Ameaas vulnerabilidade valor patrimonial = risco total

    Ameaas ( vulnerabilidade valor patrimonial) controla gap = risco residual

  • Reforando conceitos

    ATIVO (ASSET)

    Identificao de ativos deve incluir ativos tangveis (instalaes e hardware) e ativos intangveis (dados corporativos e reputao).

  • Reforando conceitos

    SALVAGUARDA (SAFEGUARD)

    Contramedida, tambm chamada de salvaguarda, atenua (mitiga) o risco.

    Garantia um grau de confiana que certo nvel de segurana oferece.

    Ao escolher a salvaguarda para reduzir um risco especfico, o custo, funcionalidade e eficcia devem ser avaliadas e uma anlise de custo / benefcio realizada.

  • Reforando conceitos

    CONTROLES

    Uma medida preventiva pode ser um aplicativo, configurao de software, hardware, ou um procedimento.

    Se algum est praticando o devido cuidado, est agindo de forma responsvel e ter uma menor probabilidade de ser pego agindo de forma negligente e ser responsabilizado por uma quebra de segurana que ocorrer.

    Least privilege

  • Hoje

    Gesto de SI Programa e modelo organizacional Plano Diretor de Segurana da Informao Poltica de Segurana Frameworks

    Gesto de Riscos de SI Ameaas e ataques Objetivos e escopo Anlise quantitativa Anlise qualitativa Mtodos

  • Dvidas

  • Administrao X Riscos

  • Modelo Organizacional

  • Programa de Segurana da Informao

  • Desenvolvimento do Programa de Segurana

  • Gesto de SI

  • Gesto de SI

    Gesto ou governana de segurana deve trabalhar de cima para baixo (alta administrao s equipes).

    Governana o conjunto de responsabilidades e prticas exercidas pelo conselho e gesto executiva com o objetivo de: fornecer orientao estratgica para assegurar que sejam

    alcanados os objetivos;

    determinar que os riscos so geridos apropriadamente;

    e verificando que os recursos da empresa so utilizados de forma responsvel.

  • Gesto de SI

    O modelo de segurana que uma empresa deve escolher depende do tipo de negcio, suas misses crticas e os seus objetivos.

    O programa de segurana deve ser integrado com os objetivos de negcios atuais.

    Gesto deve definir o mbito e objetivo da gesto de segurana, prestar apoio, nomear uma equipe de segurana, delegar responsabilidades e avaliar os resultados da equipe.

  • Gesto de SI

    Um elemento-chave durante o processo de planejamento de segurana inicial definir relaes hierrquicas.

  • Poltica de Segurana

  • Poltica de Segurana

    A poltica de segurana uma declarao da administrao ditando o papel de segurana desempenha na organizao.

    A norma especifica como hardware e software esto a ser utilizados. As normas so obrigatrias.

    Os procedimentos so aes detalhadas passo-a-passo que devem ser seguidos para alcanar uma determinada tarefa.

  • Poltica de Segurana

    A poltica de segurana uma declarao da administrao ditando o papel de segurana desempenha na organizao.

    A norma especifica como hardware e software esto a ser utilizados. As normas so obrigatrias.

    Os procedimentos so aes detalhadas passo-a-passo que devem ser seguidos para alcanar uma determinada tarefa.

  • Poltica de Segurana

  • Poltica de Segurana

    Um baseline o nvel mnimo de segurana;

    Diretrizes so recomendaes e orientaes gerais que fornecem conselhos e flexibilidade.

  • Responsabilidades

    Gesto Executiva

    O Chief Security Officer

    Comit de SI

    O proprietrio dos dados

    O Depositrio de Dados ou Custodiante

    O Proprietrio da Aplicao

    O Administrador de Segurana

    O Analista de Segurana

    O Analista de Controle de Mudana

  • Responsabilidades

    O guardio de dados (custodiante das informaes) responsvel pela manuteno e proteo de dados.

    Um analista de segurana funciona em um nvel estratgico e ajuda a desenvolver polticas, normas e diretrizes, e tambm define vrias linhas de base.

    Os proprietrios de aplicativos so responsveis por ditar quem pode e quem no pode acessar as suas aplicaes, bem como o nvel de proteo destas aplicaes fornecem para os dados que processam e para a sociedade.

  • Responsabilidades RH

    Prticas de Contratao

    Controles de Funcionrio

    Desligamentos

    Capacitao

    Job rotation um controle para detectar a fraude.

    Frias obrigatrias so o tipo de controle que podem ajudar a detectar atividades fraudulentas.

  • Controles Administrativos

    Separao de funes garante que nenhuma pessoa tenha o controle total sobre uma atividade ou tarefa;

    Conhecimento compartilhado e dupla custdia so dois aspectos da separao de funes.

  • Controles Administrativos

    Classificao dos dados

    Os dados so classificados para atribuir prioridades aos dados e garantir o nvel adequado de proteo;

    Proprietrios de dados especificam a classificao de dados.

  • Controles Administrativos

    Classificao dos dados

    Pblicos

    Internos

    Restritos

    Confidenciais

  • Controles Administrativos

    Separao de funes garante que nenhuma pessoa tenha o controle total sobre uma atividade ou tarefa;

    Conhecimento compartilhado e dupla custdia so dois aspectos da separao de funes.

  • Padres / Frameworks

  • Padres / Frameworks

  • Padres / Frameworks

    ISO/IEC 27001 Com base na norma britnica BS7799 Parte 2, que criao, implementao, controle e melhoria do Sistema de Gesto de Segurana da Informao.

    ISO/IEC 27002 Cdigo de prtica de aconselhamento de boas prticas sobre ISMS (anteriormente conhecido como ISO 17799), baseou-se na norma britnica BS 7799 Parte 1.

  • Padres / Frameworks

    ISO/IEC 27004 Um padro para mtricas de gesto de segurana da informao.

    ISO/IEC 27005 Projetado para auxiliar a execuo satisfatria da segurana da informao com base em uma abordagem de gerenciamento de risco.

    ISO/IEC 27006 Um guia para o processo de certificao/registro.

    ISO/IEC 27799 Um guia para ilustrar como para proteger as informaes pessoais de sade.

  • Dvidas

  • Gesto de Riscos

    Ameaas e ataques

    Objetivos e escopo

    Anlise quantitativa

    Anlise qualitativa

    Mtodos

  • Ameaas e ataques

  • Ameaas e ataques

  • E o funcionrio? 3?

  • Ataques para obteno de informaes

    Dumpster diving ou Trashing

    Revirar o lixo a procura de informaes;

    Pode revelar informaes pessoais e confidenciais.

    Engenharia Social

    Tem como objetivo enganar e ludibriar pessoas;

    Ataca o elo mais fraco da segurana: o usurio;

    Normalmente o atacante se faz passar por um funcionrio da empresa.

  • Anlise de Riscos

  • Gesto de Riscos de SI

    Principais objetivos:

    Identificar ativos e atribuir valores a eles;

    Identificar vulnerabilidades e ameaas;

    Quantificar o impacto das ameaas potenciais e

    Proporcionar um equilbrio econmico entre o impacto da risco e os custos das salvaguardas.

  • Gesto de Riscos de SI

    Gesto do Risco de Informao (IRM Information Risk Management), processo de:

    Identificao,

    Avaliao e

    Reduo do risco para um nvel aceitvel por meio da

    Implantao de mecanismos de controle

    para manter esse nvel risco.

  • Gesto de Riscos de SI

    O entendimento e definio do escopo deve ser feito antes de uma anlise de risco ser realizada;

    Incluir indivduos de diferentes departamentos dentro da organizao, no apenas o pessoal tcnico.

  • Gesto de Riscos de SI

  • Gesto de Riscos de SI

  • Anlise Quantitativa

    A anlise de risco quantitativa tenta atribuir valores monetrios aos componentes dentro da anlise.

    A anlise de risco puramente quantitativa no possvel porque os itens qualitativos no podem ser quantificados com preciso.

  • Anlise Quantitativa

    Capturar o grau de incerteza quando da realizao de uma anlise de risco importante, pois indica o nvel de confiana da equipe e gesto deve ter nos nmeros resultantes.

  • Anlise Quantitativa

    Para determinar o valor da informao:

    O custo para adquirir e desenvolver dados;

    o custo e para manter proteger os dados;

    o valor dos dados para os proprietrios, usurios e adversrios;

    o custo de substituio, se os dados so perdidos;

    os outros preos esto dispostos a pagar para o dados;

    oportunidades perdidas;

    e a utilidade dos dados.

  • Anlise Qualitativa

    Usa o julgamento e intuio em vez de nmeros;

    Envolve as pessoas com a experincia para:

    avaliao de cenrios de ameaa,

    classificando a probabilidade,

    o potencial perda,

    e severidade de cada ameaa,

    com base na sua experincia pessoal.

  • Quantitativa X Qualitativa

    A classificao qualitativa seria expressa em alto, mdio ou baixo, ou numa escala de 1 a 5 ou 1 a 10.

    Um resultado quantitativo seria expresso em dlar valores e porcentagens.

  • Anlise Quantitativa

  • Anlise Qualitativa

  • Quantitativa X Qualitativa

  • Metodologias de Anlise de Risco

    NIST SP 800-30

    Guide for Conducting Risk Assessments

    FRAP

    Facilitated Risk Analysis Process

  • Metodologias de Anlise de Risco

    OCTAVE

    Operationally Critical Threat, Asset, and Vulnerability Evaluation

    AS/NZS ISO 31000:2009

    Risk Management Principles and guidelines

  • FMEA

    Esta abordagem provou ser um sucesso e tem sido mais recentemente adaptada para uso na avaliao das prioridades de gesto de risco e mitigao de

    ameaas vulnerabilidades conhecidas.

  • FMEA

  • Anlise de Falhas

  • Matriz de Risco

  • Sumrio

    Gesto de SI Programa e modelo organizacional Plano Diretor de Segurana da Informao Poltica de Segurana Frameworks

    Gesto de Riscos de SI Ameaas e ataques Objetivos e escopo Anlise quantitativa Anlise qualitativa Mtodos


Auditoria de Fraudes

VENTURE CAPITAL: VALOR DA INFORMAÇÃO, RISCOS E ... · fernando cÉsar nimer moreira da silva venture capital: valor da informaÇÃo, riscos e instrumentos para sua mitigaÇÃo tese

Análise de Informação e Supervisão relativas a Fraudes de ... de Imprensa/Noticias/Arquivo/Documents... · Análise de Informação e Supervisão relativas a Fraudes de Mercado

Política de segurança de informação - bravacapital.comtica-de... · Reduzir os riscos com fraudes, espionagens, sabotagem, vandalismo, problemas causados por vírus, erros, uso

Cartilha de Prevenção a Fraudes

Fraudes Eletrônicas

BOLETIM DO CENTRO DE INFORMAÇÃO SOBRE MEDICAMENTOS RISCOS ... · RISCOS DA AUTOMEDICAÇÃO ... farmacêutico para evitar falhas terapêuticas e riscos à saúde. O uso de fluoroquinolonas

Fraudes de relato financeiro e a tutela jurídico-penaljulgar.pt/.../2017/11/20171130-Artigo-JULGAR-Fraudes-de...Martinez.pdf · penal para as fraudes de relato financeiro. O trabalho

Fraudes e crimes digitais

A Auditoria Interna como ferramenta de melhoria dos ...livros01.livrosgratis.com.br/cp092581.pdf · controle, gestão de riscos, prevenção de fraudes e erros, nos processos operacionais,

Combater à Corrupção em Licitações (ii) identificar os principais riscos de fraudes e corrupção (riscos de integridade) em licitação para implantar uma estrutura eficiente

Justino Mateus Maciemonografias.uem.mz/bitstream/123456789/664/1/2011... · Governação Corporativa, Riscos e Fraudes, que culmina com apresentação de um estudo de caso sobre a

Como reduzir riscos com fraudes e vender com segurançaabcomm.org/Cartilha-de-Venda-Pela-Internet.pdfNunca instale programas piratas no seu computador. • Mantenha backup dos documentos

Riscos para a Informação

Riscos de Fraudes Corporativas - CIC Caxias Riscos de Fraudes Corporativas: Desafio da Eficácia Empresarial Caxias do Sul, 27 de junho de 2016 Prof. Dr. Antonio Celso Ribeiro Brasiliano,

Processo de Gestão de Riscos de Segurança da Informação

Riscos para a Informação O Dever de gerir os riscos para a informação na Administração Pública Daniel Jezini, CISA TCU/Sefti 1

Fraudes Corporativas

Aula 06 - Fraudes Em Contabilidade

Principais Fraudes na Administração Pública

Segurança da informação golpes, ataques e riscos

DETECTANDO FRAUDES NO SERVIÇO PÚBLICO · XI Semana de Administração Orçamentária, Financeira e de Contratações Públicas 1.3 – Fraudes x Erros Fraudes aplicam-se a atos

Fraudes plagios

Como reduzir riscos com fraudes e vender com segurança · Internet é orientar os lojistas a reduzir riscos ao vender on-line. ... • Na maioria dos casos incluem links com aparência

O Livro Negro dos Esquemas e Fraudes na NET · Esquemas em pirâmide 12 Ofertas fascinantes 15 Fraudes com veículos 22 Fraudes em operações financeiras e investimentos 26 Fraudes

Fatores determinantes da divulga o de riscos financeiros ... · riscos financeiros associados aos bancos. A divulgação de informação relevante sobre os riscos ao mercado financeiro,

GESTÃO DE RISCOS EM TECNOLOGIA DA INFORMAÇÃO: …anpcont.org.br/pdf/2014/CCG349.pdf · GESTÃO DE RISCOS EM TECNOLOGIA DA INFORMAÇÃO: ESTUDO DE CASO NA PERSPECTIVA DA PARTICIPAÇÃO

Fraudes Em Alimentos

RISCOS OPERACIONAIS MODELAGEM DE FRAUDES E AÇÕES …pro.poli.usp.br/wp-content/uploads/2012/pubs/riscos-operacionais... · MODELAGEM DE FRAUDES E AÇÕES CÍVEIS EM UMA INSTITUIÇÃO

Fraudes Eletrônicas (1).ppt

Gestão de Riscos de Segurança da Informação (Parte 01)professor.unisinos.br/llemes/Aula03/Aula03.pdf · de gestão de riscos de segurança da Informação, capaz de identificar

Fraudes Contra o Consumidor

1. INTRODUÇÃO - LNCC - Laboratório Nacional de ...rogerio/GTI/AV1/ResumoAulas.pdf · -Fraudes: uso de informação privilegiada em benefício próprio, autuação em conflito de

Pós-Graduação em Gestão de Riscos de Fraudes€¦ · que buscam desenvolver suas competências no âmbito de gestão de riscos de fraudes corporativas, com-bate a lavagem de dinheiro,

Versão 02 - Dezembro/2012 - Austral Resseguradora · Tipos de fraudes mais comuns nos Ramos Elementares Fatosrelativosasubscrição : • Omitir informação questionada no formulário