identificação dos riscos e impacto no negócio carlos a. cruz - sqs portugal - lisboa, 2 novembro...
TRANSCRIPT
Identificação dos Riscos e Impacto no Negócio
www.sqs.pt
Carlos A. Cruz - SQS Portugal - Lisboa, 2 Novembro de 2006
2SQS Portugal
Definições
Vulnerabilidades
Risco
Gestão do Risco
Sistemas Seguros?
Agenda 1ª Parte
3SQS Portugal
O grau até ao qual um sistema de software ou compo-nente está aberto a um acesso não autorizado, modi-ficação ou revelação de informação que provoqueuma susceptibilidade de interferência ou interrupçãodos serviços desse mesmo sistema de informação.
Ocorrência em hardware, firmware, ou fluxo de software que permite que um sistema de informação seja aberto para uma qualquer potencial exploração externa não desejada.
Uma debilidade nos procedimentos de segurança, controlos administrativos, desenho de infra-estrutura, controlos internos, … , que pode ser explorada para franquear acesso não autorizado à informação gerida ou provocar a falha de processos críticos.
VULNERABILIDADE (em TIs)
4SQS Portugal
Conceito resultante de uma cultura e instrumento de apoio à decisão.
Conceito multi-dimensional presente nas decisões pessoais, sociais, institucionais, empresariais, políticas...
Possibilidade de perda, dano, desvantagem; - ou …
Possibilidade de destruição por contingência, perigo ou ameaça.
Ameaça de perda ou perigo para objecto seguro por um contrato, ou grau de probabilidade de tal perda.
Produto da quantidade que pode ser perdidapela probabilidade de a perder.
RISCO
5SQS Portugal
RISCO – Comportamento actual da sociedade
Execução baseadano conhecimento
Materialização dainovação
Vulnerabilidades do ecossistema face ànatureza e efeitos
da tecnologia
Necessidade de controlo e distribuição
Gestão dos riscosSegurança como
instrumento ou contradição
RISCOS
6SQS Portugal
RISCO – Comportamento actual da sociedade
Sociedade do risco (U. Beck, 1994)
“... Fase de desenvolvimento da sociedade moderna na qual os riscos sociais, políticos, ecológicos e individuais, criados pela dinâmica de inovação, crescentemente ultrapassam o controlo e a protecção das instituições da sociedade industrial”
A percepção social do risco torna-se num componentefundamental – a comunicação do risco é crítica naformulação da percepção do risco pela sociedade.
A essência do risco prende-se com o que podeacontecer e não com o que acontece ou aconteceu.
É a probabilidade e incerteza associadas aoconceito de futurologia.
7SQS Portugal
Vulnerabilidades e RISCO – Ideias a reter
O risco não pode ser eliminado totalmente, logo tem de ser gerido (noção de riscos residuais).
As vulnerabilidades desconhecidas – por quem gere um ecossistema – afectam (negativamente) a gestão do risco, aumentando a incerteza.
A identificação de uma vulnerabilidade está directamente relacionada com o nível de organização ou de tecnologia de um sistema social, i.e., quanto mais evoluído mais crítica é a essa vulnerabilidade.
Além das macro, as micro-seguranças – no município, no edifício, na PME, na rede, no balcão, (para além da corporação, do banco, da
barragem, da infra-estrutura de energia, etc.) – vão representar um valor significativo e crescente da preocupação e do investimento.
8SQS Portugal
Gestão do Risco - Quadro de referência
Quais as vulnerabilidades a que o meu ecossistema está sujeito?
Como diminuir o número de vulnerabilidades (presentemente) desconhecida por mim?
Quais são os riscos residuais de um processo,duma actividade, duma instalação?
São aceitáveis esses riscos?
Como transformar esses riscos em riscos aceitáveis?
Como garantir que esses riscos residuais se mantêm aceitáveis?
9SQS Portugal
Criação de sistemas seguros
Não existem sistemas 100% seguros necessidade da gestão do risco.
Medida de confiança (Trust) na segurança: Diz-se que um sistema é confiável se existirem evidências suficientes que satisfaçam um conjunto de requisitos de segurança.
A confiança obtém-se através de técnicas de garantia (assurance)
A verificação de conformidade (de segurança) de um sistema é a análise do desvio de um padrão ou meta assumida por parte de peritos externos e independentes.
A certificação é a aceitação por parte de peritos externos e independentes das garantias e a atribuição de um nível reconhecido de confiança.
10SQS Portugal
Normas
Comportamento do mercado
Caso em observação – Banca
Exemplos de Mercado – Clientes da SQS
Convite ao debate
Agenda 2ª Parte
11SQS Portugal
Normas
Comportamento do mercado
Caso em observação – Banca
Exemplos de Mercado – Clientes da SQS
Convite ao debate
Agenda
12SQS Portugal
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards.
In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1
ISTQB - International Software Testing Qualifications Board Part of the European Organization for Quality – Software Group.
iNTACS is the independent non-profit organisation to support the industry on software process improvement.The Information Technology Infrastructure Library (ITIL) is a framework of best practice approaches intended to facilitate the delivery of high quality information technology (IT) services.
Bases – Organizações Normativas
13SQS Portugal
ISO/IEC 27001:2005 specifies the requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a documented Information Security Management System within the context of the organization's overall business risks. It specifies requirements for the implementation of security controls customized to the needs of individual organizations or parts thereof.
ISO/IEC 27001:2005 is designed to ensure the selection of adequate and proportionate security controls that protect information assets and give confidence to interested parties.
USE TO:- Formulate security requirements and objectives; - As a way to ensure that security risks are cost
effectively managed; - ensure compliance with laws and regulations; - As a process framework for the implementation and management of controls to ensure that the specific security objectives of an organization are met; - Definition of new information security management processes; - Identification and clarification of existing information security management processes; - Use by the management of organizations to determine the status of information security management activities; - use by the internal and external auditors of organizations to determine the degree of compliance with the policies, directives and standards adopted by an organization; - To provide relevant information about information security policies, directives, standards and procedures to trading partners and other organizations with whom they interact for operational or commercial reasons; - Implementation of business-enabling information security; - To provide relevant information about information security to customers.
Bases – ISO/IEC 27001 www.iso.org
14SQS Portugal
IDÉIAS CHAVE sobre a norma ISO/IEC 27001 :
É a mais recente e completa norma reconhecida como padrão internacional para especificar um Sistema de Gestão de Segurança no domínio dos Sistemas de Informação.Especifica a infra-estrutura para desenhar, implementar, gerir, manter e aplicar os processos de segurança da Informação e determina o controlo sistemático e consistente necessário numa organização.É uma norma CERTIFICADORA
Bases – ISO/IEC 27001 www.iso.org
15SQS Portugal
ISO/IEC 17799:2005, is the international standard Code of Practice for Information Security ManagementRelationship to ISO 27001:
ISO 27001 defines the requirements for an Information Security Management System (ISMS), in turn using ISO 17799 to indicate suitable information security controls within the ISMS
It lays out a well structured set of controls to address information security risks, covering confidentiality, integrity and availability aspects.
Organizations that adopt ISO 17799 must assess their own information security risks and apply suitable controls, using the standard for guidance.
Strictly speaking, none of the controls are mandatory but if an organization chooses not to adopt something as common as, say, antivirus controls, they should certainly be prepared to demonstrate that this decision was reached through a rational risk management decision process, not just an oversight.
Bases – ISO/IEC 17799 www.iso.org
16SQS Portugal
Normas
Comportamento do mercado
Caso em observação – Banca
Exemplos de Mercado – Clientes da SQS
Convite ao debate
Agenda
17SQS Portugal
O mercado exige uma política de segurança e qualidade! Quais as razões e os benefícios?
Exemplo - Assessoria de Conformidade com a norma de segurança ISO 17799
Objectivo: Demonstração do conhecimento documentado e detalhado da situação actual relativamente às eventuais vulnerabilidades dos suportes lógicos e Data Centre afecto a um qualquer projecto de sistemas de informação, nomeadamente:
Assegurando um fundamento sólido de apoio ao nível de segurança, adequado à utilização dos sistemas de informação e definição da politica de segurança;
Comprovando a diligência com que procura manter um ambiente seguro na sua infra-estrutura interna de SI e daquela com presença na Internet;
Minimizando o risco de um ataque externo ou interno.
18SQS Portugal
O mercado exige uma política de segurança e qualidade! Quais as razões e os benefícios?
Exemplo - Assessoria de Conformidade com a norma de segurança ISO 17799 Estes benefícios serão concretizados através de:
Avaliação da política de segurança existente no ambiente de sistemas de informação, bem como sugestão de correcções e práticas para aumentar o nível de segurança e eficiência;
Avaliação e análise das condições de segurança informática do sistema de salvaguarda e reposição;
Identificação das áreas com potencialidade de melhoria, em termos de segurança, de acordo com a sua missão e objectivos;
Classificação, em termos de factor de risco, das vulnerabilidades e desvios às melhores práticas encontradas, tendo em linha de conta a probabilidade e facilidade de serem exploradas, assim como do seu eventual impacto em termos de confidencialidade, integridade e disponibilidade;
Validação da topologia e configuração da infra-estrutura de segurança; Sugestões com vista à eliminação das vulnerabilidades e desvio das melhores
práticas identificadas.
19SQS Portugal
Ausência de uma política de segurança e qualidade? Custos e consequências:
Quem? As hierarquias governamentais Os cidadãos Os meios de comunicação A CE
Não aceitam mais as desculpas do tipo: … Eu não sabia … Não fui eu que fiz (mas fui eu que decidi) Só cortei na segurança e qualidade global para conseguir executar o projecto
Conclusão: Actualmente um projecto de SI dimensiona-se tanto pela vertente do sucesso
nas funcionalidades automatizadas, como pela de segurança e qualidade.
20SQS Portugal
Começar por algo pequeno? onde? (sugestão)
DMZ o que é? (Webopedia) Short for demilitarized zone, a computer or small subnetwork that sits between a trusted internal network,
and an untrusted external network, such as the Internet. The DMZ contains devices accessible to Internet traffic, such as Web (HTTP ) servers, FTP servers, SMTP (e-mail) servers and DNS servers...
Em 2005, segundo o CERT (centro de Internet Security Expertise, gerido pala Carnegie Mellon University), as vulnerabilidades documentadas, com origem em intrusões via DMZ, aumentaram 59% face a 2004, correspondente a 5,990 vulnerabilidades identificadas!
AVALIE a sua DMZ!Benifícios:
Minimiza o risco de um ataque externo por melhorar as condições de aplicação da política de segurança, fundamentada no conhecimento das eventuais vulnerabilidades presentes na rede.
Verifica se os mecanismos de segurança implementados desempenham as suas funções de acordo com os requisitos e política de segurança específicos da infra-estrutura.
Suporta a estabilidade do negócio e da actividade. Planeie de investimentos a prazo mais alargado ao evitar imposições de emergência.
21SQS Portugal
Normas
Comportamento do mercado
Caso em observação – Banca
Exemplos de Mercado – Clientes da SQS
Convite ao debate
Agenda
22SQS Portugal
Caso em observação - Banca
Propomos a análise da área bancária porque…
…Porque até 2008 precisará de cumprircom as directivas de diminuição derisco operacional impostas pelo comitéde Basileia 2.
23SQS Portugal
Banca – Basileia 2
Basileia é desde 1975 a sede do Bank for International Settlements (BIS) responsável pela supervisão de toda a actividade bancária para o G10 e com ligação reguladora a todos os bancos centrais aderentes (incluíndo o Banco de Portugal)
O “framework” Basileia 2 actualmente em implementação lança as bases fundamentais para a medição de capital social e activos de um Banco (equity capital measurement )
8% do “equity capital” deve ser acrescentado como reserva para cobrir perdas inesperadas O custo do “equity capital” afecta o nível de juro ao crédito e consequentemente todas as
oportunidades no mercado bancário
Risco domercado
Custo doequity capital
Juro aoCrédito
Custosoperacionais
Custos cambiaise do mercado decapitais
Custo padrãodo risco
RiscoOperacional
Risco doCrédito
24SQS Portugal
Banca – Basileia 2
(uma) Variação drástica com Basileia 2: Introdução explícita do Risco Operacional Reconciliação entre Risco Operacional (RO) e Risco do Crédito (RC) RO/RC = 1:5 …(por enquanto)
Será isto possível sem aumento geral das reservas em “equity capital“? Objectivo de RO/RC = 1:4 (ai !!!)
Definição de Risco Operacional:
.„é o risco resultante de uma perda directa ou indirecta devido a: Procedimentos internos inadequados ou incorrendo em falhas Sistemas e colaboradores inadequados ou incorrendo em falhas Acontecimentos externos imprevisíveis
Principais justificações: IT, Outsourcing, eBanking, Business Continuity... … pelo que diminuir o risco inerente a este tipo de operações, significa diminuir o
risco operacional, ou seja diminuir os custos para o Banco estar em linha com Basileia 2, ou seja continuar a operar após o quadro de implementação até 2008
25SQS Portugal
Consequências e custos – Banca Alemã em 2003
Atencão imediata dobre:
Área Core: Sector IT Upgrade de Sistemas de
Informação e Dados + Comunicação e Reporting
Área Core: Risco Operacional Gestão e Metodologias Processamento e Agregação de
Dados Confidencialidade e Integração
?
RiscoOperaci
onal
RiscoMerca
do
RiscoCrédito
Requisitos
Basel II
Reporting
+ Auditoria
Dados eSistemas
Confidencia-lidade
MetodologiaGestão Risco
Integração doRisco
?
26SQS Portugal
Do ponto de vista de Sistemas de Informação e Dados torna-se urgente:
No Risco do Crédito Desenvolvimento de novos conceitos de Datawarehouse Através de Web Services, implementar novos procedimentos de Reporting Prioridade aos procedimentos directamente relacionados coma redução do Risco
No Risco Operacional Controlo e Gestão do Risco Desenvolver Bases de Dados e Calculadores do Risco Operacional
Outras Àreas Sistema de Reporting (interno e externo)
Em resumo, investimentos gerais em: Consistência e Qualidade dos processos Consistência e Qualidade dos dados Refazer toda a infra-estrutura de IT …?
Banca – Consequências e custos
27SQS Portugal
O Banco de Portugal reafirma desde 2003 que os Bancos Portugueses deverão estar em linha com o quadro regulador de Basileia 2, e dentro dos prazos predefinidos.
O Banco de Portugal estima que os 4 maiores Bancos Portugueses investirão mais de 600 M€ para se adequarem às normas de Basileia 2.
Uma parte substancial parte desse esforço é pilotado pela diminuição do Risco Operacional e deve ser orientado para processos de Qualidade e da sua medição (Teste) – Exigência explícita do Comité de Basileia 2
Nota: Com ou sem Basileia 2, a Banca Portuguesa foi notícia por ocorrências de Phishing e outro tipo de intrusões. Os gestores conscientes não deverão esperar por Basileia 2 para diminuir o Risco Operacional do seu negócio (e demonstrá-lo).
Banca – Consequências e custos
28SQS Portugal
Novos cartões de crédito sem segurança garantida [ 2006/10/31 | 13:07 ]
Os novos cartões de crédito estão quase a chegar. Mas, apesar da tecnologia de ponta (a tão falada identificação por radiofrequência), os cartões mostraram-se menos seguros do que os actuais, com a velhinha banda magnética.
Dois professores de matemática avançada de Massachusetts, Tom Heydt-Beijamim e Kevin Fu, não precisaram de ser hackers avançados para provarem a debilidade da tecnologia, que armazena dados num chip identificável à distância.
Os professores só tiveram de meter um cartão num envelope, fechá-lo numa caixa preta de plástico e ligá-lo ao computador. Em segundos, o PC descobriu o nome do titular, o número do cartão e a data de validade, de acordo com o «Diário de Notícias».
Banca – Consequências e custos (notícias recorrentes)
29SQS Portugal
Normas
Comportamento do mercado
Caso em observação - Banca
Exemplos de Mercado – Clientes da SQS
Convite ao debate
Agenda
30SQS Portugal
Financial Service Norwich Union Dresdner Bank Deutsche Bank Lloyds TSB Credit Suisse LBS Commerzbank
Telecommunications Vodafone ePlus T-Mobile O2 Deutsche Telekom
Other SwissLife D&B Whitbread Provinzial Zurich
Public Administration Bundeswehr Phoenics RZF NRW VBG
Retail/Logistics Edeka Fraport DHL Deutsche Post Die Bahn HHLA SBB CFF FFS
Alguns dos nossos clientes…
Industry and
Engineering,
IT Services Daimler Chrysler Alcatel Airbus T-Systems Siemens VDO VW Bordnetze Fiducia Xansa
Referências em todos os sectores:
31SQS Portugal
Normas
Definições
Casos em observação - Banca
Exemplos de Mercado
Convite ao debate (no tempo apropriado)
Agenda
Identificação dos Riscos e Impacto no Negócio
www.sqs.pt
Carlos A. Cruz - SQS Portugal - Lisboa, 2 Novembro de 2006