métricas e artefatos para a priorização de investimentos no ajuste de conformidade à norma iso...

Métricas e Artefatos para a Métricas e Artefatos para a Priorização de Investimentos no Priorização de Investimentos no

Ajuste de Conformidade à Norma Ajuste de Conformidade à Norma ISO 17799ISO 17799

Sbseg 2007Sbseg 2007

Reinaldo de Barros CorreiaReinaldo de Barros CorreiaAndré H. I. de AzevedoAndré H. I. de AzevedoLuiz Fernando Rust da C. CarmoLuiz Fernando Rust da C. Carmo

2Sbseg 2007

SumárioSumário

IntroduçãoIntrodução ObjetivoObjetivo Identificação das Métricas e ArtefatosIdentificação das Métricas e Artefatos Apresentação dos ModelosApresentação dos Modelos Comparação dos ModelosComparação dos Modelos Análise da SensibilidadeAnálise da Sensibilidade ConclusãoConclusão

3Sbseg 2007

A segurança dos Sistemas de A segurança dos Sistemas de InformaçãoInformação Identificação dos riscosIdentificação dos riscos Medidas de controleMedidas de controle

Eliminar ou reduzir os riscosEliminar ou reduzir os riscos As grandes dificuldades são:As grandes dificuldades são:

Identificar quais as medidas de Identificar quais as medidas de controle mais apropriadas ao negócio controle mais apropriadas ao negócio fim da organização em função de um fim da organização em função de um orçamento geralmente limitado orçamento geralmente limitado

Mensurar o custo-benefício das Mensurar o custo-benefício das medidas de controle implementadas medidas de controle implementadas

IntroduçãoIntrodução

4Sbseg 2007

Esforços têm sido empreendidos no Esforços têm sido empreendidos no sentido de:sentido de: Estabelecer padrões e normas que definam Estabelecer padrões e normas que definam os melhores métodos e práticas de os melhores métodos e práticas de segurança para os Sistemas de Informaçãosegurança para os Sistemas de Informação

British Standards InstituteBritish Standards Institute (BSI) criou a (BSI) criou a norma BS 7799.norma BS 7799. Aceita pela Aceita pela International Standards International Standards OrganizationOrganization (ISO) - ISO/IEC 17799 (ISO) - ISO/IEC 17799

Adota pela Associação Brasileira de Normas Adota pela Associação Brasileira de Normas Técnicas (ABNT) - NBR 17799 Código de Técnicas (ABNT) - NBR 17799 Código de Prática para Gestão da Segurança da Prática para Gestão da Segurança da InformaçãoInformação


5Sbseg 2007

A norma 17799 é estruturada em A norma 17799 é estruturada em ControlesControles – itens (medidas ou procedimentos) – itens (medidas ou procedimentos) de segurança a serem implementadosde segurança a serem implementados

DomíniosDomínios – conjunto de controles – conjunto de controles Os controles podem compor o escopo de um Os controles podem compor o escopo de um

Sistema de Gerência de Segurança Sistema de Gerência de Segurança ((Information Security Management SystemInformation Security Management System - - ISMS)ISMS) Sob o enfoque do tipo de negócio da Sob o enfoque do tipo de negócio da corporaçãocorporação

Para a definição do escopo Para a definição do escopo ISMSISMS e os e os controles apropriados, esta norma exige:controles apropriados, esta norma exige: Análise de riscos Análise de riscos necessidade, viabilidade, necessidade, viabilidade, relação custo-benefício para implementaçãorelação custo-benefício para implementação


6Sbseg 2007

Usar a conformidade em relação a norma ISO/IEC 17799 como alternativa à análise de risco para avaliar o custo-benefício

Definir um conjunto de métricas e artefatos• Quantificar os estados dos controles e Quantificar os estados dos controles e

sua relevância sob a óptica do negócio sua relevância sob a óptica do negócio da empresada empresa

• Racionalizar e reduzir a complexidade Racionalizar e reduzir a complexidade Apresentar dois modelos para a

conformidade• Equacionar a conformidade do Equacionar a conformidade do

Sistema de Informação Sistema de Informação • Análise comparativa baseada em Análise comparativa baseada em

requisitos levantados requisitos levantados

ObjetivoObjetivo

7Sbseg 2007

Analisar a sensibilidade da conformidade para um dos modelos em alguns casos hipotéticos• Priorizar os investimentos na Priorizar os investimentos na

segurança do S.I. segurança do S.I.

ObjetivoObjetivo

8Sbseg 2007

Métricas de AferiçãoMétricas de Aferição Grau de Conformidade de ControleGrau de Conformidade de Controle

Quantificados dentro de uma escala pelo Quantificados dentro de uma escala pelo usuário do S.I.usuário do S.I.

Exprimem o quanto um controle está concluído Exprimem o quanto um controle está concluído Grau de Impacto de ControleGrau de Impacto de Controle

Quantificados dentro de uma escala pelo Quantificados dentro de uma escala pelo especialista de segurançaespecialista de segurança

Exprimem a importância de um controle em Exprimem a importância de um controle em relação ao nível de segurança do domíniorelação ao nível de segurança do domínio

Alguns controles não implementados tornam o Alguns controles não implementados tornam o S.I. mais vulneráveis que outrosS.I. mais vulneráveis que outros

Não denotam prioridadeNão denotam prioridade

Identificação das Métricas e ArtefatosIdentificação das Métricas e Artefatos

9Sbseg 2007

Métricas de AferiçãoMétricas de Aferição Grau de Impacto de DomínioGrau de Impacto de Domínio

Natureza idêntica ao grau de impacto de Natureza idêntica ao grau de impacto de controlecontrole

Atribuído por especialista de segurança ao Atribuído por especialista de segurança ao domínio em relação ao S.I.domínio em relação ao S.I.

Expressa a importância do domínio no S.I.Expressa a importância do domínio no S.I.Não denotam prioridadeNão denotam prioridade


10Sbseg 2007

ArtefatosArtefatos Conformidade de DomínioConformidade de Domínio

Mesma semântica do grau de conformidade Mesma semântica do grau de conformidade de controle de controle

Indica o quanto um domínio está concluídoIndica o quanto um domínio está concluído Não é atribuído manualmente, mas calculado Não é atribuído manualmente, mas calculado

através de um modeloatravés de um modelo Conformidade do Sistema de InformaçãoConformidade do Sistema de Informação

Denota o quanto o S.I. está conforme com a Denota o quanto o S.I. está conforme com a Norma, em função do grau de implementação Norma, em função do grau de implementação de todos os controlesde todos os controles

Também calculado por um modelo em função Também calculado por um modelo em função das conformidades e graus de impacto dos das conformidades e graus de impacto dos domíniosdomínios


11Sbseg 2007

ArtefatosArtefatos Perfil de Conformidade de DomínioPerfil de Conformidade de Domínio

Vetor com todos os graus de conformidade Vetor com todos os graus de conformidade dos controles pertencentes a um domíniodos controles pertencentes a um domínio

Sua dimensão é igual ao número de controles Sua dimensão é igual ao número de controles do domínio (definido na ISO/IEC 17799)do domínio (definido na ISO/IEC 17799)

Perfil de Impacto de DomínioPerfil de Impacto de Domínio Vetor com todos os graus de impacto dos Vetor com todos os graus de impacto dos

controles pertencentes a um domíniocontroles pertencentes a um domínio Sua dimensão também é igual ao número de Sua dimensão também é igual ao número de

controles do domíniocontroles do domínio


12Sbseg 2007

ArtefatosArtefatos Perfil de Conformidade do Sistema de Perfil de Conformidade do Sistema de InformaçãoInformação Vetor com todas as conformidade de domínio do Vetor com todas as conformidade de domínio do

S.I. S.I. Sua dimensão é igual ao número de domínios do Sua dimensão é igual ao número de domínios do

S.I. (definido na ISO/IEC 17799)S.I. (definido na ISO/IEC 17799) Perfil de Impacto do Sistema de InformaçãoPerfil de Impacto do Sistema de Informação

Vetor com todos os graus de impacto de domínio Vetor com todos os graus de impacto de domínio do S.I. do S.I.

Sua dimensão também é igual ao número de Sua dimensão também é igual ao número de domínios do S.I. domínios do S.I.


13Sbseg 2007

ArtefatosArtefatos Sensibilidade de DomínioSensibilidade de Domínio

Quantifica as variações da conformidade de Quantifica as variações da conformidade de domínio em função das variações produzidas domínio em função das variações produzidas nos graus de conformidade dos controles do nos graus de conformidade dos controles do domíniodomínio

Sensibilidade do Sistema de Sensibilidade do Sistema de InformaçãoInformação Quantifica as variações da conformidade do Quantifica as variações da conformidade do

Sistema de Informação em função das Sistema de Informação em função das variações produzidas nas conformidades dos variações produzidas nas conformidades dos domíniosdomínios


14Sbseg 2007

Visão Geral do Uso do ModeloVisão Geral do Uso do Modelo

15Sbseg 2007

Visão Geral do Uso do Modelo - EscopoVisão Geral do Uso do Modelo - Escopo

16Sbseg 2007

Valores Máximos e MínimosValores Máximos e Mínimos As métricas de aferiçãoAs métricas de aferição

Máximo de 5 e mínimo de 0Máximo de 5 e mínimo de 0Fundo de escala – FEFundo de escala – FEGCCGCC; FE; FEGICGIC e FE e FEGIDGID

ArtefatosArtefatos Todos normalizadosTodos normalizados

Valores intermediáriosValores intermediários As métricas de aferição – valores As métricas de aferição – valores inteirosinteiros0 0 ≤≤ MA MA ≤≤ FE FExx

ArtefatosArtefatos0 0 ≤≤ AR AR ≤≤ 1 1

Premissas dos ModelosPremissas dos Modelos

17Sbseg 2007

Requisito 1 - Valores conformidade de Requisito 1 - Valores conformidade de domíniodomínio Diferentes para perfis de conformidade Diferentes para perfis de conformidade de domínio diferentesde domínio diferentes

Para o mesmo perfil de impacto de Para o mesmo perfil de impacto de domíniodomínio

Requisito 2 - Condições de contorno Requisito 2 - Condições de contorno Valor mínimo (0) de conformidade de Valor mínimo (0) de conformidade de domínio – domínio completamente domínio – domínio completamente desconformedesconforme

Valor igual ao fundo de escala – domínio Valor igual ao fundo de escala – domínio plenamente em conformidade com a plenamente em conformidade com a Norma Norma

Requisitos para os ModelosRequisitos para os Modelos

18Sbseg 2007

Requisito 3 - Graus de conformidade Requisito 3 - Graus de conformidade de valor 0de valor 0 Devem estar refletidos nos valores Devem estar refletidos nos valores calculadoscalculados

Certos controles não implementados Certos controles não implementados expõem o S.I. expõem o S.I.

Requisitos para os ModelosRequisitos para os Modelos

19Sbseg 2007

Produto Ponderado Produto Ponderado Simples e intuitivoSimples e intuitivo AcadêmicoAcadêmico

Facilita a apresentação do conceito de Facilita a apresentação do conceito de perfis equivalentes perfis equivalentes

ExponencialExponencial Naturalmente normalizadoNaturalmente normalizado Mais complexoMais complexo

Reduz a ocorrência de perfis equivalentes – Reduz a ocorrência de perfis equivalentes – principal razãoprincipal razão

Modelos para Conformidade de DomínioModelos para Conformidade de Domínio

20Sbseg 2007

Modelos para Conformidade de DomínioModelos para Conformidade de DomínioProduto PonderadoProduto Ponderado

ProblemasProblemas Gera valores de Conformidade de Domínio Gera valores de Conformidade de Domínio iguais para perfis de conformidade iguais para perfis de conformidade diferentes (perfis equivalentes) – Requisito 1 diferentes (perfis equivalentes) – Requisito 1

Não penaliza domínios com controles não Não penaliza domínios com controles não implementados (GCC = 0) – Requisito 3implementados (GCC = 0) – Requisito 3

21Sbseg 2007

Modelos para Conformidade de DomínioModelos para Conformidade de DomínioConceito de Perfis EquivalentesConceito de Perfis Equivalentes

DefiniçãoDefinição Perfis de Perfis de Conformidade de Conformidade de domínio diferentes, domínio diferentes, possuindo valores possuindo valores iguais de iguais de conformidade de conformidade de domínio – associados domínio – associados a um mesmo perfil de a um mesmo perfil de impacto de domínio impacto de domínio

TiposTipos Equivalência Natural – Equivalência Natural –

tipo 1tipo 1 Equivalência Induzida – Equivalência Induzida –

tipo 2 tipo 2

22Sbseg 2007


Equivalência Natural – tipo 1Equivalência Natural – tipo 1 Surge quando dois ou mais graus de Surge quando dois ou mais graus de impacto de controle , no perfil de impacto de controle , no perfil de impacto de domínio, são iguais impacto de domínio, são iguais

Sempre ocorre Sempre ocorre

23Sbseg 2007


Equivalência Induzida – tipo 2Equivalência Induzida – tipo 2 Surge devido a baixa complexidade do Surge devido a baixa complexidade do modelomodelo

Pode ser reduzida com a escolha do Pode ser reduzida com a escolha do modelo apropriado modelo apropriado

24Sbseg 2007

Modelos para Conformidade de DomínioModelos para Conformidade de DomínioModelo ExponencialModelo Exponencial

Características Características Penaliza domínios com controles não Penaliza domínios com controles não implementados (GCC = 0) – Requisito 3implementados (GCC = 0) – Requisito 3

Reduz o número de perfis com Reduz o número de perfis com equivalência induzida – Requisito 1equivalência induzida – Requisito 1

25Sbseg 2007


Termo 1 ou de Conformação Inferior Termo 1 ou de Conformação Inferior Garante valor 0 (domínio Garante valor 0 (domínio completamente desconforme) quando completamente desconforme) quando todos os GCC’s forem 0 – Requisito 2todos os GCC’s forem 0 – Requisito 2

Muito próximo de 1 quando pelo menos Muito próximo de 1 quando pelo menos um dos GCC’s é diferente de 0um dos GCC’s é diferente de 0

26Sbseg 2007


Termo 3 ou de Conformação SuperiorTermo 3 ou de Conformação Superior Considera o complemento da notaConsidera o complemento da nota Garante valor 1 (domínio plenamente Garante valor 1 (domínio plenamente conforme) quando todos os GCC’s conforme) quando todos os GCC’s forem máximo – Requisito 2forem máximo – Requisito 2

27Sbseg 2007


Termo 2 ou de PenalizaçãoTermo 2 ou de Penalização Visa atender o requisito 3 – reduzir o Visa atender o requisito 3 – reduzir o CONFD quando o domínio possuir CONFD quando o domínio possuir controles não implementadoscontroles não implementados

Pode ser encarado como um fator de Pode ser encarado como um fator de redução do GIC redução do GIC

Tanto maior quanto forem os GCC’s Tanto maior quanto forem os GCC’s iguais a 0 iguais a 0

28Sbseg 2007

Comparação dos dois ModelosComparação dos dois Modelos

Foram realizadas simulações para Foram realizadas simulações para alguns perfis de impactoalguns perfis de impacto

A métrica de comparação foi a A métrica de comparação foi a intensidade de equivalência induzida - intensidade de equivalência induzida - o número de perfis com CONFD’s o número de perfis com CONFD’s iguais gerados pelos dois modelos iguais gerados pelos dois modelos

As constantes do modelo exponencial As constantes do modelo exponencial a = 100; k = 10; a = 100; k = 10; ζζ = 1,5; = 1,5; λλ = 1/8 e = 1/8 e αα = 2 = 2 Foram definidas empiricamente por Foram definidas empiricamente por meio de simulações prévias meio de simulações prévias

29Sbseg 2007


A equivalência natural foi desconsideradaA equivalência natural foi desconsiderada Somente perfis de impacto com todos os GIC’s Somente perfis de impacto com todos os GIC’s

diferentesdiferentes Também considerados os perfis de Também considerados os perfis de

conformidade de domínios parcialmente nulosconformidade de domínios parcialmente nulos

ModeloPerfis de Impacto

[213]

[543]

[125]

[1253]

[5243]

[2314]

Produto Normalizad

o185 159 175 124

0222

7124

5

Exponencial 66 44 52 822 722 853

Total de Perfis 216 1296

30Sbseg 2007


Apresenta graficamente a distribuição dos valores Apresenta graficamente a distribuição dos valores de conformidade de um domínio de dimensão 3de conformidade de um domínio de dimensão 3 O perfil de impacto de domínio foi [543] O perfil de impacto de domínio foi [543]

Simulações com perfis de conformidade de domínio Simulações com perfis de conformidade de domínio parcialmente nulosparcialmente nulos Mostraram a eficácia do modelo exponencial – Mostraram a eficácia do modelo exponencial –

requisito 3 requisito 3

0,0000

0,2000

0,4000

0,6000

0,8000

1,0000

1,2000000

021

042

103

124

145

210

231

252

313

334

355

420

441

502

523

544

Perfil GM

CONF

De

0,0000

0,1000

0,2000

0,3000

0,4000

0,5000

0,6000

0,7000

0,8000

0,9000

000

021

042

103

124

145

210

231

252

313

334

355

420

441

502

523

544

Perfil GM

CONF

Dp

31Sbseg 2007

Verificação da Sensibilidade de Domínio Verificação da Sensibilidade de Domínio Artefato importante para priorizar a Artefato importante para priorizar a

implementação dos controlesimplementação dos controles Distribuir um orçamento fixo de Distribuir um orçamento fixo de forma a maximizar a conformidadeforma a maximizar a conformidade

Indica a variação da conformidade de Indica a variação da conformidade de domínio em função da variação da domínio em função da variação da conformidade de um ou mais controlesconformidade de um ou mais controles

O estudo limitou-se à variação de um O estudo limitou-se à variação de um único controleúnico controle

32Sbseg 2007

Verificação da Sensibilidade de Domínio Verificação da Sensibilidade de Domínio

Intensi -dade

Ctrl 1 (GC=1

)

Ctrl 2 (GC=3

)

Ctrl 3 (GC=2

)

Ctrl 4 (GC=0

)

Ctrl 5 (GC=1

)1 0,2884 0,0192 0,1351 0,5780 0,06542 0,4259 0,0257 0,1903 0,9083 0,09273 0,4811 0,2093 1,0590 0,10324 0,5000 1,1186 0,10675 1,1388

PI = [13524] e PC = [10231]

33Sbseg 2007

Conclusão Conclusão A priorização de recursos escassos é um A priorização de recursos escassos é um

fator primordial no ambiente fator primordial no ambiente empresarialempresarial O gestor de segurança deve O gestor de segurança deve determinar o maior custo-benefício na determinar o maior custo-benefício na implementação de controles para implementação de controles para mitigar os riscos de segurançamitigar os riscos de segurança

A norma ISO-1799 foi tomada como A norma ISO-1799 foi tomada como referênciareferência Quanto mais conforme com a norma mais Quanto mais conforme com a norma mais seguro é o S.I. seguro é o S.I.

Alternativa às abordagens tradicionais Alternativa às abordagens tradicionais (custo-benefício (custo-benefício análise de risco) análise de risco)

34Sbseg 2007

Conclusão Conclusão O pilar de todo o estudo foi duas O pilar de todo o estudo foi duas

métricas de aferição e um artefatométricas de aferição e um artefato Grau de conformidade de controleGrau de conformidade de controle Grau de impacto de controleGrau de impacto de controle Conformidade de domínioConformidade de domínio

Baseado em três requisitos, Baseado em três requisitos, investigou-se dois modelos investigou-se dois modelos Produto Normalizado e ExponencialProduto Normalizado e Exponencial

A Sensibilidade de Conformidade foi A Sensibilidade de Conformidade foi estudada como subsídio de priorização estudada como subsídio de priorização da implementação dos controlesda implementação dos controles

35Sbseg 2007

FimObrigad

o!

métricas e artefatos para a priorização de investimentos no ajuste de conformidade à norma iso...

Documents