página - apontamentos tsi · pdf fileassegurar a continuidade do negócio da...

de 47

............................................................................................................................................ 3 AULA 1 – 28 SET. 2012

SEGURANÇA DA INFORMAÇÃO ...................................................................................................................... 3

ABORDAGEM INTEGRADA À SEGURANÇA...................................................................................................... 5

NORMAS E LEGISLAÇÃO APLICÁVEL ............................................................................................................... 6

INTRODUÇÃO À ISO 27001 ............................................................................................................................. 6

INTRODUÇÃO À GESTÃO DE RISCO ................................................................................................................ 8

INTRODUÇÃO À GESTÃO DE CONTINUIDADE DE NEGÓCIO .......................................................................... 10

........................................................................................................................................ 11 AULA 2 – 19 OUT. 2012

A ANÁLISE E GESTÃO DE RISCOS .................................................................................................................. 11

MITIGAÇÃO TÉCNICA E/OU ADMINISTRATIVA ............................................................................................. 13

MODELO DE SEGURANÇA INTEGRADO ........................................................................................................ 15

CONTROLOS DE SEGURANÇA (TECNOLÓGICOS, OPERACIONAIS E DE GESTÃO) ............................................ 17

.......................................................................................................................................... 20 AULA 3 – 2 NOV. 2012

NOÇÕES DE CRIPTOGRAFIA .......................................................................................................................... 20

GESTÃO DE CHAVES ..................................................................................................................................... 24

INTRODUÇÃO AO PROCESSO DE ANÁLISE DE RISCO FRAAP ......................................................................... 26

........................................................................................................................................ 30 AULA 4 – 16 NOV. 2012

PROCESSO DE ANÁLISE DE RISCO FRAAP ..................................................................................................... 30

SESSÃO FRAAP ............................................................................................................................................. 37

METODOLOGIAS DE GESTÃO DE RISCO ........................................................................................................ 42

........................................................................................................................................ 44 AULA 5 – 30 NOV. 2012

PROCESSO DE ANÁLISE DE RISCO FRAAP ..................................................................................................... 44

........................................................................................................................................... 46 AULA 6 – 7 DEZ. 2012

BUSINESSIMPACTANALYSIS (BIA)................................................................................................................. 46

GAP ANALISYS ............................................................................................................................................. 47

de 47

Segurança da Informação

Dados vs Informação

Os dados são representações de factos, conceitos ou instruções de uma maneira normalizada

que se adapte à comunicação, interpretação e processamento pelo ser humano ou através de

sistemas automatizados.

Os dados são representados por símbolos como por exemplo as letras ou números: a, b, 1, 2

etc., mas não constituem por si informação útil.

Informação é todo o conjunto de dados devidamente ordenados e organizados de forma a

terem significado.

A informação é atualmente considerada o ativo mais importante nas Organizações

Controlo de acesso à Informação

Âmbito da informação

Interna

Parceiros

Clientes

Pública

…

Classificação

Não classificada

Reservada

Confidencial

…

Atenção: Tanto o âmbito como a classificação podem variar ao longo do tempo <> processo de gestão

de 47

Segurança da Informação "A preservação da confidencialidade, integridade e disponibilidade da informação, além disso, outras

propriedades, tais como autenticidade, não-repúdio, responsabilidade e confiabilidade também podem

ser envolvidas"

Características da Seg. Informação

C – Confidencialidade – a informação não pode estar disponível ou revelada a indivíduos não

autorizados, entidades ou processos.

I – Integridade – propriedade de salvaguarda da precisão e integridade de ativos.

D – Disponibilidade – propriedade da informação estar acessível e utilizável sob demanda por

uma entidade autorizada.

Gestão da Segurança de Informação na Organização Garantir a preservação da confidencialidade, integridade e disponibilidade da informação;

Reduzir os riscos para o negócio prevenindo e minimizando os impactos dos incidentes de

segurança;

Assegurar a Continuidade do Negócio da Organização.

É um processo de gestão;

Não se resume à componente tecnológica, mas esta faz parte do processo de gestão da

segurança

Conceitos

Ameaça (Threat) – Uma ameaça é qualquer coisa (ato humano intencional ou não, ou

causada pela natureza), que tem o potencial de causar danos

Vulnerabilidades (vulnerability) – A vulnerabilidade é uma fragilidade que pode ser

usada para colocar em perigo ou causar danos a um ativo de informação

Riscos (Risk) – Risco é a probabilidade de algo mau vir a acontecer e causar danos a um ativo

de informação

de 47

A probabilidade de uma ameaça vir a usar uma vulnerabilidade, para causar dano, resulta num risco

para a organização.

NOTA:A Segurança da informação deve ser um processo integrado, que abrange toda a organização

Abordagem Integrada à Segurança

A Segurança de um Sistema de Informação só se consegue atingir considerando de forma integrada:

Normas e Procedimentos

Sistemas e Aplicações

Infraestrutura

Acesso Físico

Requisitos da Política de Segurança A política de segurança deve ser caracterizada pela preservação da:

o Confidencialidade da informação;

o Integridade da informação;

o Disponibilidade da informação;

Requisitos contratuais, regulamentares, estatutários e legais

A Política deve focar Segurança Organizacional

Conformidade com requisitos regulamentares, legais, etc.;

Controlo de acessos, comunicações e dados;

Procedimentos para a classificação da informação;

Procedimentos e responsabilidades operacionais;

Requisitos de segurança para manutenções e novos desenvolvimentos;

Planos de continuidade de negócio

de 47

Importante garantir o alinhamento da Política de Segurança

Auditorias internas/externas

Análise dos relatórios de incidentes

Alterações dos requisitos de negócio

Normas e legislação aplicável

ISO/IEC 27001:2005 (BS7799-2) – Requisitos para implementar o Sistema de gestão de

Segurança da Informação (é a norma que permite certificar)

ISO/IEC 27002 – ex. ISO/IEC 17799- Código de boas práticas e controlos para a

implementação do SGSI

ISO/IEC 27003:2010 - Guia para a implementação do SGSI

ISO/IEC 27004:2009 – Avaliação (medidas) do SGSI

ISO/IEC 27005:2008 (BS7799-3) – Norma sobre a Gestão de Risco

BS25999 – Norma que deve ser seguida para a Gestão de Continuidade de Negócio.

NOTA: Tanto a Qualidade como a Segurança devem estar presentes ao longo de todo o ciclo de vida

de um Sistema de Informação.

Introdução à ISO 27001

ISO/IEC 27001:2005 Especificação de requisitos para Sistemas de Gestão de Segurança da Informação

Especifica os requisitos para o estabelecimento, implementação e documentação de um Sistema

de Gestão de Segurança da Informação (ISMS - Information Security Management System)

Especifica os requisitos para os controlos de segurança a serem implementados de acordo com

as necessidades individuais das organizações

de 47

ISO/IEC 27002:2005 (ex. ISO17799) Código de boas práticas para a gestão da segurança da informação

Para utilização como documento de referência

Possui um conjunto compreensivo de controlos de segurança

As melhores práticas de segurança atuais, em utilização

Possui 11 secções de controlos, detalhando a sua implementação

Não pode ser utilizado para análise (auditoria) e/ou certificação

Resumo do Modelo PDCA aplicado ao ISMS

Plan (estabelecer o SGSI) – Estabelecer políticas do SGSI, objetivos, processos e

procedimentos relevantes para a gestão de risco e melhorar a segurança da informação para

fornecer resultados de acordo com as políticas globais de uma organização e objetivos.

Do (implementar e operar o SGSI) – Implementar e operar as políticas do SGSI,

controlos, processos e procedimentos.

Check (monitorizar e rever o SGSI) – Avaliar e, se for o caso, o medir o

desempenho do processo contra as políticas do SGSI, objetivos e experiência prática e relatar os

resultados da gestão para serem revistos.

Act (Manter e Melhorar o SGSI) – Tomar ações corretivas e preventivas, com base

nos resultados da auditoria interna do SGSI e revisão da gestão ou outras informações

relevantes, para alcançar a melhoria contínua do SGSI.

de 47

Introdução à Gestão de Risco

Norma a ter em conta ISO/IEC 27005:2008 (BS7799-3) - Information security risk management

Alguns conceitos

Riscos (Risk) – probabilidade de algo mau vir a acontecer e causar danos a um ativo de

informação.

Análise de Risco (Risk Analysis) uso sistemático de informações para identificar fontes e

estimar o risco.

Cálculo do Risco (Risk Evaluation) – processo de comparação do risco estimado com

critérios de risco dados para determinar a importância do mesmo.

Avaliação do Risco (Risk Assessment) – todo o processo global que envolve a análise de

risco e cálculo (classificação).

Tratamento do Risco (Risk Treatment) – processo de seleção e implementação de

medidas (controlos) para mitigar o risco.

Gestão de Risco (Risk Management) – atividades para dirigir e controlar uma organização

no que diz respeito ao risco.

O risco é avaliado de acordo com parâmetros, cujo peso pode variar de acordo com o método utilizado

Ameaça

Vulnerabilidade

Probabilidade

Valor do bem

Impacto

Controlos existentes

…

de 47

Exemplos de Ameaças [ISO 27005] Terrorismo

Espionagem industrial

Uso não autorizado de equipamento

Fogo

Inundações

Terramotos

Falha de energia

Falha de comunicações

Falha de hardware ou software

Acesso não autorizado

Roubo de informação

Corrupção de dados

Bugs de software

Social engeneering

Ataques de vírus

Hacking

...

Exemplos de Vulnerabilidades [ISO 27005] Inexistência de sistemas de deteção e extinção de incêndios

Inexistência de sistemas de deteção de Inundações

Inexistência de um programa BCM

Inexistência de redundância de power e comunicações

Testes de software fracos

Inexistência de sistemas de proteção contra intrusões (ex. FW, IPS, etc.)

Inexistência de sistemas de controlo de acessos físicos (barreiras, seguranças, vídeo, ID cards,

etc.)

Inexistência de sistemas de controlo de acessos lógicos (login/passwd, id manag, tokens, etc.)

...

Avaliação de risco Existem várias formas de calcular o risco:

Em função da metodologia adotada

No entanto, tem que ser sistemática e repetível

Preferencialmente, devem ser utilizados valores quantitativos (1,2, 3, 4, 5) em vez de qualitativos (alto,

médio, baixo)

de 47

Tratamento do risco

Aceitar os riscos (ex. abaixo de um determinado valor);

Evitar os riscos (ex. fechar um serviço ou substitui-lo – deve ser feita nova avaliação);

Transferir os riscos (seguradoras).

Mitigação dos riscos

o Implementar os respetivos controlos (alguns identificados no Annex A da

o ISO27001);

o Deve ser realizada nova avaliação tendo em conta os novos controlos

Introdução à Gestão de Continuidade de Negócio

O processo de Gestão Continuidade de Negócio conduz à produção de planos e procedimentos

que permitem, a uma organização, responder a incidentes mantendo ou reativando em tempo

útil os seus serviços críticos ou essenciais para o negócio

A dependência das organizações face aos Sistemas de Informação e os riscos a que se expõem

torna necessário conceber e operacionalizar uma eficaz e eficiente Gestão Continuidade de

Negócios.

Atualmente, o standard a seguir nesta área é a BS25999 do BSI, British Standards Institution.

Uma Gestão de Continuidade de Negócio eficiente permite à Organização

Identificar os processos/informação/sistemas críticos para o negócio

Identificar os impactos de uma eventual descontinuação dos serviços;

Preparar a resposta a incidentes, que permitam minimizar esses impactos para o negócio;

Definir processos e organização da equipa na sua implementação, testes e ativação;

Oferece à organização uma vantagem competitiva Em caso de incidentes, oferecendo uma maior preparação e rápida resposta

Explorado em termos de marketing

de 47

A análise e gestão de riscos

Análise de Risco Vs Gestão de Risco

É mais abrangente e inclui:

Avaliação de Risco

Mitigação de Risco

Implementação de controlos

Reavaliação/monitorização

Gestão de Riscos – objetivos

Manter em segurança os sistemas de informação que guardam, processam ou transmitem

informação da organização

Permitir à gestão a tomada de decisões devidamente fundamentadas que justifiquem os

investimentos e custos das Tis

Assistir a gestão na acreditação dos sistemas de IT com base na documentação resultante das

atividades desenvolvidas na Gestão de Risco

É um processo, não um projeto

Formas de quantificar o Risco?

Avaliação quantitativa, recorrendo a valores numéricos

No seu cálculo inclui pode incluir o impacto no negócio

Que pode ser considerado na análise custo-benefício dos controlos a implementar

Avaliação qualitativa, através de níveis de valores

Utilizando categorias e níveis de risco

Através deste método observa-se facilmente a priorização dos Riscos

de 47

Avaliação quantitativa Através da aplicação deste método, os fatores do risco (probabilidade e impacto) são

classificados através da atribuição de um valor (numérico ou verbal) que está integrado numa

escala de valores relativos.

Cada valor da escala é associado a uma descrição explicativa.

Exemplo de uma escala qualitativa para classificar a probabilidade

Considerados níveis de avaliação de 1 a 5, no caso do exemplo

abaixo, o nível de Risco é de 45, considerando: o valor de 5 para o ativo

3 para a probabilidade da ameaça se concretiza e 3 para o impacto da

vulnerabilidade.

Formas de estimar a probabilidade

Estimar a probabilidade através de dados e input interno

Utilizar histórico dos incidentes para determinar os riscos atuais

Recorrer ao conhecimento e experiência dos colaboradores e

especialistas internos em segurança

Através de metodologias estruturadas de recolha de dados: Com questionários e discussões de

grupo.

Estimar a probabilidade através de dados externos

Dados partilhados por outras organizações

de 47

Mitigação técnica e/ou administrativa

Opções de Tratamento de Risco (ISO)

Assumir o Risco

o Aceitar o Risco continuando com o sistema em operação

o Podendo/devendo ir implementando controlos tendentes à redução do risco

Evitar o Risco

o Eliminando a causa do risco ou as consequências (desativar certas funcionalidades, ou

mesmo desligar o sistema)

Transferência de Risco

o Utilizando opções que permitam compensação em caso de perdas (p.e. seguros)

Aplicação de Controlos

o Controlos de segurança apropriados às ameaças e vulnerabilidades encontradas no

sentido de reduzir o risco final

Opções de Mitigação de Risco (NIST)

Assumir o Risco

o Aceitar o Risco continuando com o sistema em operação

o Podendo/devendo ir implementando controlos tendentes à redução do risco

Evitar o Risco

o Eliminando a causa do risco ou as consequências (desativar certas funcionalidades ou,

mesmo, desligar o sistema)

Transferência de Risco

o Utilizando opções que permitam compensação em caso de perdas (p.e. seguros)

Planeamento de Risco

o Gerir o risco, desenvolvendo um plano de mitigação que prioriza, implementa e mantem

os controlos

Limitar o Risco

o Implementar os controlos capazes de minimizar o impacto de certas ameaças sobre

alguma vulnerabilidade

de 47

o Necessário implementar medidas de deteção, prevenção e suporte

(se for verificado um determinado incidente, desligar sistema, ou repor sistema…)

Reconhecimento e Desenvolvimento de controlos

o De forma a baixar o risco, à medida que as vulnerabilidades são reconhecidas, é

implementado um plano de desenvolvimento e implementação de controlos que

permitam corrigir ou minimizar a vulnerabilidade.

Risk Mitigation Checklist (extraído do NIST) Cada opção de mitigação de risco projetada deve ser examinada a partir das seguintes perspetivas:

Eficácia – Será que vai reduzir ou eliminar os riscos identificados? Até que ponto as

alternativas irão mitigar os riscos?

Custo/benefício – Os benefícios entendidos da opção superam os custos? Será que os

ganhos potenciais são proporcionais ao impacto da mudança necessária?

Praticidade – É viável e adequado em termos de tecnologia disponível, viabilidade

financeira, viabilidade administrativa, legislação e regulamentos, disponibilidade política, etc.?

Desafio – Pode a medida de mitigação de risco resistir à mudança de todas as partes

interessadas (empregados, gerentes, acionistas / Estado administrações, etc.)?

Aceitação das partes interessadas – Quanta resistência das partes interessadas se

pode esperar? (As discussões com as partes interessadas durante a fase de avaliação de risco

podem indicar a sua opção preferida mitigação de risco.)

Exequibilidade – Se as novas regras (POPs, regulamentos, etc.) são implementadas, são

exequíveis?

Durabilidade – Será que a medida irá resistir ao longo do tempo? Será que vai ser um

benefício temporário ou será que vai ser útil a longo prazo?

Riscos residuais – Após a medida de mitigação de risco ser implementada, quais serão

os riscos residuais em relação à ameaça original? Haverá capacidade de mitigar quaisquer riscos

residuais?

Problemas novos – Que novos problemas ou novos (talvez pior) riscos surgirão com o

controlo introduzido?

de 47

Modelo de segurança integrado A definição de estratégia e metodologias deve estar suportada numa Política de Segurança

Integrada, ou não, num SGSI – Sistema de Gestão de Segurança da Informação

Inserido, ou não num processo de certificação

Roadmap para Política de Segurança

Norma utilizada Utilização da ISO 27002 (ou 17799) como suporte à gestão da segurança da informação.

de 47

Política de segurança Definição de Segurança da Informação aprovada pela Gestão de Topo, seus objetivos,

abrangência e importância

o Breve explicação dos princípios, normas e conformidades de relevo

o Referências a documentos ou processos externos

Comunicação a toda a organização

“Uma política de segurança deverá ser aprovada pela direção da organização, publicada e

comunicada apropriadamente a todos os funcionários”

Para possuir a direção dos gestores de topo e o seu indiscutível suporte à segurança da

informação;

Para fornecer elementos comuns de abordagem à Segurança da Informação;

Para responsabilização de todos os elementos da organização.

A política de segurança de alto nível (topo) não pode deixar dúvidas quanto à necessidade de

TODOS os funcionários a respeitarem na íntegra.

Simples e direta;

Os pontos principais deverão ocupar uma simples folha de papel A4;

O conteúdo completo da política deverá estar acessível a todos dentro da organização.

Esta deverá responsabilizar e sancionar aqueles que a não respeitem.

Poderá conter

A descrição da necessidade de ações de formação específicas;

A indicação da existência de um fórum de segurança;

A identificação de outras políticas específicas;

A visão do processo de gestão do risco.

Os requisitos para o plano de contingência da organização;

As necessidades de backup/restore;

A forma de seleção e gestão de ferramentas de eliminação de vírus;

As especificações de mecanismos para controlo de acessos a sistemas e dados;

Para comunicação de incidentes de segurança;

A descrição de ações disciplinares para atividades maliciosas ou de acesso/utilização

inapropriado de recursos.

Etc.

de 47

Conclusão Utilização da ISO 27002 (ou 17799), define as melhores práticas para a gestão de segurança da

informação

“Sem uma gestão formal da segurança da informação, a segurança será quebrada algures no

tempo.”

A segurança da informação é um processo de gestão, não um processo tecnológico.

Controlos de segurança (Tecnológicos, Operacionais e de Gestão)

A implementação de controlos ou medidas de segurança:

Deve resultar de um processo de avaliação de riscos

Opção de Mitigação Técnica ou Administrativa

Compromisso entre ambas Carece de uma cuidada análise de custo-benefício

Na ISO/IEC 27001 os controlos de segurança estão agrupados em 11 pontos, do Anexo A

Agrupar controlos Os controlos a implementar podem ser agrupados em (NIST Special Publication 800-30) em:

Tecnológicos

o Suporte

o Preventivos

o Para deteção e recuperação

Não tecnológicos

o Gestão

o Operacionais

o Organizacionais

de 47

Controlos Tecnológicos

Suporte

São a base e estão interligados com outros controlos de segurança.

Identificação

Gestão de Chaves Criptográficas

Administração da Segurança

Proteção de Sistemas

Preventivos

Autenticação (ex.: User/Pass; PIN; Autenticação forte; Biometria)

Não repudio (Ao assegurar a correta “accountability” das transações relevantes previne-se o não

repúdio)

Proteção das comunicações (ex: Estabelecimento de VPNs)

Autorização

Para deteção e recuperação

Controlos que permitem a deteção de violação ou tentativa de violação das regras de políticas

Funcionam como complemento à segurança das medidas de suporte e preventivas

Exemplos de Controlos:

Audit.

Intrusion Detection and Containment.

Proof of Wholeness.

Restore Secure State.

Virus Detection and Eradication.

de 47

Controlos não tecnológicos Devem ser implementados em conjunto com os controlos tecnológicos e contribuem para gerir e

minimizar o risco.

Controlos de Gestão e Organizacionais

Focados na definição de políticas e normas de proteção da informação, realizadas através de

procedimentos operacionais.

Processos e procedimentos que definem como os elementos da organização devem atuar no

sentido de colaborar na segurança.

Exemplos:

Atribuir responsabilidades relativas à segurança dos sistemas críticos

Estabeleça programas de formação e sensibilização dos utilizadores

Estabelecimento de procedimentos para acesso de terceiros

Credenciação de pessoal o analisando as competências e o passado (p.e. Registo Criminal e

Referências)

Providenciar o estabelecimento e gestão de um plano operacional de continuidade de

negócio

Controlos Operacionais

Conjunto de controlos e linhas orientadoras que assegurem procedimentos seguros de

governação do IT, no sentido de cumprir os objetivos da organização

Deve considerar as políticas e normas definidas na gestão

Exemplos:

Manter em segurança os sistemas de rede e cablagem

Estabelecer e controlar os procedimentos de segurança de armazenamento de dados fora

da organização

Controlo ambiental do Data Center (Ar condicionado)

Assegurar a segurança ambiental (detetores de incêndios, sensores de temperatura e

humidade, e alarmes).

de 47

Noções de criptografia

O que é? “Escrita secreta por meio de abreviaturas ou de sinais convencionados de modo a preservar a

confidencialidade da informação”

Em que consiste? Transformação de textos originais, chamada texto original (plaintext) ou texto claro (cleartext), em

informação transformada, chamada texto cifrado (ciphertext), texto código (codetext) ou simplesmente

cifra (cipher), que têm a aparência de um texto random ilegível.

Proteção da Informação O truque da segurança da informação é:

Protegê-la de algum mal (roubo, alteração, acesso não autorizado)

Ao mesmo tempo que mantém a informação disponível para quem precisa

As ameaças que a informação enfrenta Perda ou Roubo de Media - Tapes ou discos de backup armazenados ou em trânsito

Roubo de Informação por utilizadores com acesso

Distribuição não intencional (envio para um destinatário diferente)

Hacking (aplicacional), alterando aplicações ou configurações com impacto nos dados

Roubo de dispositivos móveis

Proteção da informação em vários pontos

Segurança de dados armazenados

Segurança nos Servidores (emails, etc.)

Segurança dos Terminais de utilizador (PC, PDA, Pens, etc.)

de 47

Processos básicos de criptografia

Encryption – processo de transformação (encriptação) de informação “em claro” (plaintext) em

texto cifrado (ciphertext).

Decryption – processo de conversão de texto cifrado na mensagem original utilizando a chave

criptográfica apropriada.

Sistemas criptográficos simétricos Usam a mesma chave para encriptar e desencriptar mensagens; ou pelo menos, chaves que

possam ser determinadas de forma simples e direta uma a partir da outra.

Necessitam de um canal seguro para a divulgação das chaves.

Só os utilizadores do grupo podem ter acesso às chaves.

Com a saída de um utilizador do grupo, o sistema fica comprometido

Exemplos:

Código Playfair

Substituição de Hill

Data Encryption Standard (DES)

International Data Encryption Algorithm (IDEA)

One Time Pad (One time key, ou Chave Única)

Advanced Encryption Standard (AES)

Sistemas criptográficos assimétricos (chave pública) Tipo de encriptação que usa duas chaves distintas, uma para a encriptação e outra para a

desencriptação de mensagens (chave pública e chave privada, respetivamente).

Evita o problema da divulgação das chaves, dos sistemas simétricos.

Cerca de 1000 vezes mais lento que os algoritmos simétricos

Utilizações mais comuns...

o Distribuição de chaves sem “segredos” pré-acordados

o Assinaturas digitais e não repúdio

o Identificação utilizando protocolos de “desafio-resposta” com chaves públicas

o Encriptação (mas muito mais lento)

de 47

Exemplos

Diffie - Hellman (# 1º sistema de chave pública inventado)

HM (Merkle e Hellman)

RSA (Ron Rivest, Adi Shamir e Leonard Adleman)

PGP (Pretty Good Privacy)

PKI – Public Key Infrastructure

Infraestrutura necessária para a gestão do “ciclo de vida” das chaves criptográficas de sistemas

assimétricos

Geração

Distribuição

Renovação

Revogação

Etc.

Certificado Digital (Digital Certificate)

É um documento eletrónico que liga a identidade física de uma entidade (pessoa, organização

ou computador) à sua chave pública

Em sistemas seguros (particularmente em PKIs) um certificado digital é emitido para

o autenticar a(s) parte(s) envolvidas numa transação,

o assinar eletronicamente documentos assegurando a integridade do seu conteúdo e/ou

não repúdio de transações eletrónicas

de 47

Combinação dos dois métodos Codificando-se a mensagem com o método da chave simétrica e trocando a chave simétrica com o

método de chave pública.

Chave de sessão simétrica

o processamento mais rápido

Partilhada recorrendo a criptografia assimétrica

o mais lenta

o mas mais segura

Assinatura Digital Proporcionado pela criptografia assimétrica que permite garantir a autenticidade de quem envia a

mensagem, associada à integridade do seu conteúdo.

No caso de se pretender enviar uma mensagem garantindo a integridade:

Mensagem é cifrada na origem com a chave privada

Destinatário utiliza a chave pública do emissor, para decifrar a mensagem

Fica garantida assim a

o autenticidade,

o integridade e

o não-repudiação da mensagem recebida

de 47

Gestão de chaves

Algumas notas A Cifra requer:

os dados a proteger

algoritmos de cifra

chaves de cifra

O processo de cifrar é uma comodidade disponibilizada por um conjunto variado de ferramentas

Ter em atenção que nenhum algoritmo é inquebrável

o A questão é quanto tempo leva a quebrar

O foco deve ser dado ao nível da Gestão de chaves

o Uma gestão de chaves fraca pode comprometer processos e algoritmos de cifra

robustos

A segurança depende em grande parte da gestão de chave

o no sentido de apenas dar acesso a pessoas autorizadas e de acordo com políticas de

aprovação e atribuição

As chaves têm que ser

o geradas de forma segura e realmente aleatórias

o armazenadas de forma cuidada

o transportadas de forma segura

o ter (ou não) forma de recuperação

Para uma gestão eficaz, é necessário perceber que as chaves têm um ciclo de vida.

de 47

O que é a Gestão de chaves? É o conjunto de técnicas e procedimentos relacionados com o ciclo de vida das chaves

criptográficas

Mas também das relações entre as entidades emissoras

Mantendo as chaves e essas relações em segurança

Public Key Infrastructure (PKI)

Certificate Authority (CA)

CA é uma organização que emite certificados utilizando uma assinatura digital, que vincula um

certificado digital à identidade de uma entidade.

Registration Authority (RA):

RA autentica a identidade das entidades e requer à CA a emissão do certificado para cada uma

dessas entidades.

Hierarquicamente, a RA opera na dependência da CA e atua como interface da CA para com o

utilizador ou entidade requerente.

Validation Authority (VA):

VA pode fazer parte do serviço fornecido pela CA ou por um terceiro.

Valida os certificados digitais, emite comprovativos digitais e serviços confiáveis de

reconhecimento como prova de que uma transação eletrónica ocorreu.

Relações de confiança entre CAs Existe um modelo hierárquico que estabelece as relações de confiança entre CAs diferentes,

dentro da hierarquia de confiança mesmo.

No entanto, se os seus CAs não partilham uma raiz comum CA, deve ser realizada uma

certificação cruzada.

As CAs raiz devem desenvolver relações de confiança bilateral.

o Constituindo um modelo híbrido de relações de confiança.

de 47

Introdução ao processo de análise de risco FRAAP

Definição e conceitos

FRAAP – Facilitated Risk Analysis and Assessment Process

É uma metodologia de análise e avaliação de risco desenvolvido por Thomas R. Peltier

Tem por base as normas existentes (nomeadamente a 17799/27002)

o Que transmitem as boas práticas, não a metodologia

Resulta da experiência da equipa em projetos

Tem sido utilizada, e melhorada, nos últimos 15 anos

Prima por:

o Ser dirigido pelo responsável de negócio

o Levar dias, em vez de semanas

o Boa relação custo-benefício

o Utilizar especialistas/experiência interna

Este processo envolve a análise de 1 sistema processo, plataforma, processo de negócio

definido de cada vez

É um método qualitativo de análise de risco

o Baseado no nível de impacto do risco

o Em vez do valor monetário do impacto

Durante o processo a equipa envolvida é conduzida a participar na discussão e identificação de

o potenciais ameaças

o níveis de risco

o possíveis controlos a aplicar

de 47

Constituição do FRAAP

Pré-FRAAP

Reunião de 1 a 1,5 horas como responsável de negócio

Vão definir as bases de trabalho para as fases seguintes

FRAAP

Dura aproximadamente 4 horas e deve incluir uma equipa mais abrangente que inclua os

responsáveis de negócio e da infraestrutura

Identificar: Ameaças, Vulnerabilidades, Impactos e Controlos

Post-FRAAP

Normalmente 1 a 2 semanas

Análise dos resultados e produção do relatório final

Antes do processo FRAAP

Antes de iniciar deve existir um Programa de Sensibilização.

Dar a conhecer o processo

Envolver os participantes

Este Programa deve ser conduzido de forma a:

o Avaliar o conhecimento relativo a avaliação de risco

o Determinar o que os gestores e outros funcionários pretendem aprender

o Verificar o nível de aceitação do programa de segurança

o Traçar forma de conquistar a aceitação

o Identificar possíveis aliados

Pré-FRAAP Reunião de 1 a 1,5 horas como responsável de negócio

o Neste caso, o gestor de negócio ou processo

Deve incluir o Gestor de Projeto, Facilitador e Secretário(a)

o O Gestor de projeto deveria ser nomeado pelo gestor de negócio

O seu papel é acompanhar o desenrolar do projeto e garantir as condições

necessárias requeridas pela equipa (sala, agendar reunião…)

Pode ser o Gestor de negócio

de 47

o Facilitador - consultor que ajude a conduzir o grupo no sentido de obter os resultados

esperados

o Secretário(a) – responsável por documentar as reuniões

Resultados esperados

Pré-triagem dos resultados esperados

Definição do âmbito

Diagrama com a descrição/detalhe do sistema ou processo a avaliar

Estabelecimento da equipa a incluir no processo

Requisitos para a reunião FRAAP

o Agendamento, sala, materiais ..

Acordar definições de princípio

o O que é Ativo, Ameaça, Vulnerabilidades, Probabilidade, Impacto, Risco, …

Mini-Brainstorming

o No sentido de identificar algumas ameaças como introdução à reunião FRAAP

FRAAP Não deve durar mais que quatro horas

Envolver os elementos da equipa que

o estejam envolvidos com o processo ou sistema a avaliar

o conheçam a solução/infraestrutura técnica

Deve ter a seguinte agenda

o Introdução, preparada no Pré-FRAAP

o Identificação de Ameaças e Vulnerabilidades

o Identificação Controlos Existentes

o Estabelecer níveis de risco

Identificando probabilidade e impacto

o Identificar Riscos Residuais

o Apresentação do Sumário da Reunião

de 47


Identificação das Ameaças

Identificação das Vulnerabilidades

Identificação dos Controlos Existentes

Caracterização dos Riscos Residuais

Post-FRAAP Realizado pela equipa de consultores

o Análise dos resultados da reunião

Pode ser necessário contactar alguns elementos da equipa

o Através do gestor de projeto

o Para algum esclarecimento adicional

o Ou informação complementar


Relatório final

o com sumário executivo

o Resumo da reunião de equipa

o Identificação de controlos complementares

o Análise do processo

Apresentação das conclusões ao Gestor de Negócio

de 47

Processo de análise de Risco FRAAP

FRAAP – Facilitated Risk Analysis and Assessment Process

É uma metodologia de análise e avaliação de risco desenvolvido por Thomas R. Peltier

o Tem por base as normas existentes (nomeadamente a 17799/27002)

Que transmitem as boas práticas, não a metodologia

Resulta da experiência da equipa em projetos

Tem sido utilizada, e melhorada, nos últimos 15 anos

Prima por:

o Ser dirigido pelo responsável de negócio

o Levar dias, em vez de semanas

o Boa relação custo-benefício

o Utilizar especialistas/experiencia interna

Este processo envolve a análise de 1 sistema processo, plataforma, processo de negócio

definido de cada vez

A afinação do processo, baseada na experiência prática

o Rápido

o Fácil de implementar

Durante o processo a equipa envolvida é conduzida a participar na discussão e identificação de

o potenciais ameaças

o níveis de risco

o possíveis controlos a aplicar

Método de avaliação a utilizar? O Autor defende a utilização de um método qualitativo:

Em detrimento de métodos quantitativos

A utilização de valores no cálculo resulta num valor final difícil de interpretar

Podem ser definidos níveis para medição, mas a interpretação ser qualitativa

de 47

Método Qualitativo vs Quantitativo

Vantagens

Método Quantitativo Método Qualitativo

Os resultados são baseados em processos objetivos substancialmente independentes e em métricas.

Cálculos mais simples.

É dado um grande foco na definição de valor de ativos e mitigação de riscos.

Não é necessário determinar o valor monetário do ativo.

O esforço do custo-benefício de avaliação é essencial.

Não há necessidade de quantificar a frequência de ameaças.

Permite flexibilidade no processo e elaboração de relatórios.

Desvantagens

Método Quantitativo Método Qualitativo

Cálculos podem tornar-se complexos. Pode apresentar uma natureza subjetiva.

Historicamente, apenas funciona corretamente com uma ferramenta automatizada com a associação de um conhecimento técnico.

É exigido um esforço necessário para desenvolvimento com valor monetário para os ativos.

Existe um trabalho preliminar extenso. Não há bases para a análise de custo-benefício de redução do risco.

Os participantes não podem ser auxiliados facilmente durante o processo.

É dificultada a mudança de direções.

É difícil calcular quando existem questões fora do âmbito.

de 47

Vantagens do FRAAP É realizado em alguns dias, em vez de semanas/meses.

Envolve o responsável de negócio

o Participa no processo

o Compreende as necessidades de implementação

o Envolvido na seleção de controlos eficientes (custo-benefício)

Envolve as áreas de negócio

o Reconhecimento da participação e controlo do processo

Permite à equipa participar na seleção de controlos apropriados

Facilita a Gestão da Mudança

Equipa envolvida Responsável de negócio do processo, sistema ou ativo

Gestor de Projeto - nomeado pelo gestor de negócio

o O seu papel é acompanhar o desenrolar do projeto e garantir as condições necessárias

requeridas pela equipa (sala, agendar reunião…)

Facilitador – consultor com conhecimento do FRAAP

Escriba ou secretário(a) – responsável por documentar as reuniões

Especialistas relacionados com o objeto

o Negócio

o IT

o Colaboradores

Facilitador

Consultor que ajude a conduzir o grupo no sentido de obter os resultados esperados

o Ameaças, probabilidades, impacto, nível de risco

Guiar a equipa pelas várias áreas de interesse

o Identificando o maior número de ameaças

Manter o grupo focado no tema

Atuar como regulador e árbitro da sessão

Controlar o tempo

de 47

Deve observar as seguintes regras:

o Encorajar a participação de todos

o Aceitar todas as sugestões

o Envolver os participantes, escutando opiniões

o Estar atento às movimentações, gestos, silêncios

o Atuar como regulador e árbitro da sessão

o Deve ser imparcial, sem tomar posições particulares, mas guiando a equipa quando está

perdida ou é preciso consenso

o Ser objetivo

Escriba ou secretário(a)

Responsável por documentar as reuniões

Assegura que todas as ameaças, controlos e ações são registadas

Libertando o facilitador desta função, permite-lhe desempenhar melhor a sua função principal

Especialistas relacionados com o objeto em análise

São elementos da própria organização que conhecem o sistema ou processo em análise

Deve ser uma equipa equilibrada, entre as várias áreas de competência

o Conhecimento do negócio, familiarizados com a missão do objeto em análise

o Utilizadores que conheçam as vulnerabilidades e ameaças

o Técnicos IT com conhecimento da infraestrutura e sistemas em causa

Elementos devem conseguir funcionar em equipa

Constituição do FRAAP Este processo envolve a análise de 1 sistema processo, plataforma, processo de negócio definido de

cada vez.

Pré-FRAAP

Reunião de 1 a 1,5 horas como responsável de negócio

Vão definir as bases de trabalho para as fases seguintes

de 47

FRAAP

Dura aproximadamente 4 horas e deve incluir uma equipa mais abrangente que inclua os

responsáveis de negócio e da infraestrutura

Identificar: Ameaças, Vulnerabilidades, Impactos e Controlos

Post-FRAAP

Normalmente 1 a 2 semanas

Análise dos resultados e produção do relatório final

Antes de inicializar um processo FRAAP Antes de iniciar deve existir um Programa de Sensibilização:

Dar a conhecer o processo

Envolver os participantes

Este Programa deve ser conduzido de forma a:

o Avaliar o conhecimento relativo a avaliação de risco

o Determinar o que os gestores e outros funcionários pretendem aprender

o Verificar o nível de aceitação do programa de segurança

o Traçar forma de conquistar a aceitação

o Identificar possíveis aliados

Ferramentas para um Programa de Sensibilização?

E-Mail

Site

Cartazes

Questionários

o Mail

o Eletrónicos

o Papel

Sessão de presentação

de 47

Programa de Sensibilização

Adaptado à organização

o Ferramentas e linguagem

Selecionar as ferramentas adequadas a cada grupo

Encontrar áreas não conformes

o Trabalhar no sentido de reduzir exposição

E resolver possíveis atritos

o Sem comprometer resultados da avaliação

Envolver os utilizadores

Pontos-chave do FRAAP

Garantir o envolvimento dos participantes

O processo é da organização, não é do consultor/facilitador

o Não utilizar expressões como o meu projeto

o É o Vosso ou Nosso projeto

Conceitos chave – funções

Owner

Deve ser o mais alto responsável da unidade onde o objeto do processo pertence

É responsável por:

o Estabelecer a classificação da informação

o Identificar controlos razoáveis e prudentes

o Monitorizar a adequação de implementação de controlos

o Autorizar o acesso a quem necessita ou inibição

Custodian

Nomeado pelo owner como responsável do controlo

Colaborador (user)

Empregados autorizados para aceder à informação

de 47

Reunião de Pré-FRAAP

Reunião de 1 a 1,5 horas com o responsável de negócio

Deve incluir :

o Gestor de Negócio/Processo e Gestor de Projeto

o Facilitador

o Escriba


1. Pré-triagem

2. Definição do âmbito

3. Diagrama com a descrição/detalhe do sistema ou processo a avaliar

4. Estabelecimento da equipa a incluir no processo

5. Requisitos para a reunião FRAAP

6. Acordar definições de princípio

7. Mini-Brainstorming

Resultados do Pré-FRAAP

Pré-triagem

Triagem das aplicações, sistemas ou processos que

o Dispensam uma análise mais profunda

o Requerem uma avaliação de risco formal

Ou um Business Impact Analysys

Definição do âmbito

Qual o âmbito da avaliação a realizar

Identificar categorias de ameaças

o Tendo como base a C-I-A

o Mas podendo incluir outros como a performance ou reliability

o Consultar www.sabsa.org como checklist

Diagrama com a descrição/detalhe do sistema ou processo a avaliar

o Diagrama com a descrição do processo em análise

o Para documentação e informação da equipa FRAAP

“uma imagem vale por mil palavras”

o Estabelecimento da equipa a incluir no processo

de 47

Identificar entre 15 a 30 elementos

Requisitos para a reunião FRAAP

o Agendamento

o Sala

o Materiais …

Acordar definições de princípio

o O que é Ativo, Ameaça, Vulnerabilidades, Probabilidade, Impacto, Risco, …

Mini-Brainstorming

o No sentido de identificar algumas ameaças como introdução à reunião FRAAP

Checklist para reunião

Garantir abordagem de todos os pontos

Sessão FRAAP

Sessão de trabalho

Não deve durar mais que quatro horas

o É suficiente, na maioria dos casos

o Difícil arranjar mais disponibilidade

Envolver todos os elementos da equipa

o Identificados no Pré-FRAAP

o E devidamente convocados

de 47


Identificação das Ameaças

Identificação das Vulnerabilidades

Identificação dos Controlos Existentes

Caracterização dos Riscos Residuais

Sessão de trabalho

Requisitos da reunião

Assegurar materiais necessários

o Projetor

o Quadro

o Canetas

Disposição da Sala em U

o Importante para assegurar a participação de todos

o Todos estão na linha da frente, com o facilitador

Desencorajar a utilização de portáteis ou PDAs

Lembrar para desligar os telemóveis

o Ou colocar em silêncio

Sessão de trabalho - Introdução

Explicar os conceitos e processos do FRAP

o Responsável de negócio irá

Abrir a sessão

Introduzir o facilitador

o Facilitador deverá

Apresentar a agenda

Explicar o processo

Rever o âmbito do processo - Owner

o importante identificar

O que foi assumido

Constrangimentos identificados

o Deve ser entregue uma cópia do Scope Statment à equipa

de 47

Review Visual Diagram – Technical support

o Deve fazer a apresentação do diagrama, explicando o processo

o Cerca de 5 min.

Discuss definitions - Facilitator

o Apresenta as definições acordadas

o Se o processo já é conhecido na organização, estas definições já devem estar

interiorizadas

Review Objectives - Facilitator

o São revistos os objetivos a atingir

Identificar ameaças

Estabelecer níveis de risco

Identificar controlos

o Serve como introdução à segunda parte da sessão

Identify roles and introduction - team

o Os elementos da equipa identificam-se

Nome

Departamento

Localização

Contacto

Review session agreements

o Todos os elementos devem participar

o Devem cingir-se aos seus papéis

o Focar-se no ponto da agenda

o Todas as ideias têm um valor igual

o Escutar os outros pontos de vista

o Todas as questões/contributos serão registados

o Mesmo os que forem preteridos

o Colocar e registar a ideia, antes de discuti-la

o Assegurar que o escriba assenta todas as questões

o Uma conversa de cada vez

o Limite de tempo por questão (3 a 5 minutos)

de 47

Condução da reunião

Idealmente deve ser respeitada a disposição em U

O facilitador deve começar por colocar o primeiro atributo em discussão, colocando os

resultados do mini-brainstorming

Solicitar a participação de todos na identificação de ameaças

o Dar 3 a 5 minutos para pensar em possíveis ameaças

o Começar numa ponta

o Percorrer todos

o Cada elemento só sugere 1 ameaça de cada vez

o Dar várias voltas até que se esgotem as sugestões

o Ter em atenção

Os manipuladores

Centrar no tópico em discussão

Passar ao segundo atributo

o Começar na outra ponta

o Utilizar cores diferentes

o Ir colocando anotações à volta da sala

Utilização de Checklists Para ameaças

Para controlos

Permite reduzir o tempo de identificação

Complementa a identificação feita pelos elementos da equipa

Antes do próximo ponto, fazer pausa

Dá oportunidade para

o Verificar mensagens

o Tomar um café

o Limpar

de 47

Identificação de Controlos existentes

Rever todas as ameaças identificando os controlos existentes

Esta caracterização permite à equipa identificar melhor o risco atual

Razão pela qual é fundamental ter elementos da infraestrutura

Conhecem os controlos atuais

Estabelecimento do nível de risco

Verificar se os elementos da equipa estão familiarizados com os termos e definições de

Probabilidade e Impacto

Resumir as ameaças e controlos existentes

Caracterizar os níveis de avaliação para

o Probabilidade

o Impacto

Explicar os níveis de avaliação

o Quando existe risco, os elementos tendem a classificar com nível máximo

Definições e níveis de avaliação

o Probabilidade

o Impacto

Definições e níveis de avaliação

o Matriz de probabilidade x impacto

o Caracterizar o risco residual

Avaliação das ameaças e controlos identificados

Identificar novos controlos ou melhoria dos existentes

Para os riscos que requerem essa necessidade


Caracterizar novos níveis de risco

Priorizar implementação de controlos

Planear essa implementação

Devem ser consideradas as normas e legislação em vigor.

de 47







Relatório final

o com sumário executivo

o Resumo da reunião de equipa



Apresentação das conclusões ao Gestor de Negócio

Metodologias de Gestão de Risco Para suporte à Gestão de Risco pode ser utilizados referenciais como:

ISO/IEC 17799 - Information technology- Security techniques - code of practice for information

security management

ISO/IEC 27001 - Information security management systems – Requirements

ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk

management

de 47

Ferramentas de suporte Exemplos de ferramentas de suporte à gestão de risco

Modulo

RiskWatch

Proteus

de 47

Nota: apenas coloquei a informação que não foi referida na aula anterior.

Processo de análise de Risco FRAAP


de 47







Resumo da reunião de equipa



o Deve ter:

Sumário executivo

Documentação das fases

Pré-FRAAP

FRAAP

Anexos (toda a informação complementar ao processo)

o Apresentação das conclusões ao Gestor de Negócio

Sumário executivo

Composição

Capa –com caracterização do processo

Índice

Lista de participantes no processo

Resumo do âmbito e princípios estabelecidos

o 2 ou 3 parágrafos com um resumo de como decorreu o processo

o Onde e quando decorreu

o

Resumo das principais conclusões da avaliação

o Maiores riscos e controlos

Referenciação à restante documentação

Conclusões

o Visão sobre o processo todo

o Controlos a considerar e um plano de ação /priorização

de 47

BusinessImpactAnalysis (BIA)

Objetivo Um processo de Business Impact Analysis pretende determinar os efeitos que as falhas dos Sistemas de

Informação Críticos têm na operação e na viabilidade dos processos core de negócio .

Implicações (pré-requisitos)

Determinar os processos core

Determinar quais são os principais recursos utilizados por esses processos

o Aplicações

o Sistemas

o Processos

o Funções

o Pessoas

Classificar esses recursos (em termos de importância e prioridade)

Como conclusão do processo de pré-triagem pode ser requerida a realização de um processo de

Business Impact Analysis

Importância dos resultados Os resultados do Business Impact Analysis são importantes no estabelecimento de:

Planos de Continuidade de Negócio

Disaster Recovery

Quando se aplica o BIA? O BIA aplica-se na fase de Recuperação

É preciso conhecer os processos críticos de negócio

Quais devem ser recuperados primeiro

de 47

Impactos podem causar

Perdas Intangíveis

Perdas Tangíveis

No final Comunicar resultados ao Responsável por manter os planos de recuperação de negócio

Atualizar os planos existentes

o Se o tempo máximo de downtime for inferior ao definido anteriormente

GAP Analisys

Conceitos GAP Analysis consiste na comparação entre o estado presente e o estado desejado (futuro).

Para tal é preciso resposta para:

Qual o estado atual

Qual o estado desejado

O que precisa ser feito para passar ao estado desejado

o Ou estado “compliant”, quando numa auditoria/certificação

Desdobrada em documentos auxiliares que apresentam princípios e orientações mais específicas e

dirigidas a grupos de funcionários ou a funções determinadas

Utilizar Best pratices (p.e. ISO 27002)

página - apontamentos tsi · pdf fileassegurar a continuidade do negócio da...

Documents