palestra - introdução à gestão de riscos

TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Introdução à Gestão de Riscos

Março de 2010

www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.

Termo de isenTermo de isençção de responsabilidadeão de responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.


Sobre a TI SafeSobre a TI Safe

• MissãoFornecer produtos e serviços de qualidade para a Segurança da Informação

• VisãoSer referência de excelência em serviços de Segurança da Informação

• Equipe técnica altamente qualificada

• Apoio de grandes marcas do mercado


Não precisa copiar...Não precisa copiar...

http://www.tisafe.com/recursos/palestras/


DefiniDefiniççõesões


Riscos: ConceitosRiscos: Conceitos

• DicionáriosRisco: “possibilidade de perda”Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar, e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou outras medidas de segurança”

• (ISC)²Gerenciamento de Risco: “a aprendizagem de conviver com a possibilidade de que eventos futuros podem ser prejudiciais”, e o “gerenciamento de risco reduz riscos pelo reconhecimento e controle de ameaças e vulnerabilidades”


Termos e definiTermos e definiççõesões

• Ameaças aos ativos

• Vulnerabilidades (lógicas e físicas) presentes

• A probabilidade de uma ameaça ser concretizada no caso de uma exposição

• O impacto que a exposição poderá trazer a uma empresa

• Medidas de controle disponíveis para reduzir a capacidade de exploração ou de diminuir o impacto

• O risco residual: quanto sobrará de risco quando os controles apropriados são postos em prática


AnAnáálise de riscos lise de riscos –– dinâmicadinâmica

• Coleta de informaçõesListas e grupos de ativosAmeaças potenciais e as chances de se realizaremVulnerabilidades existentes e o grau de impacto se exploradasControles existentes

• Definição do riscoPar Ameaça/Vulnerabilidade, probabilidade e impacto

• Indicação de tratamentos• Reavaliação


AnAnáálise de riscos lise de riscos –– projeto projeto

• NívelOperacionalProjetoEstratégico

• AnáliseQualitativaSemiquantitativaQuantitativa


Etapa 1: InventEtapa 1: Inventááriorio


Iniciando o projetoIniciando o projeto

• Autorização da alta gerência• Compreensão do fluxo produtivo da empresa• Identificação do escopo da análise• Registro existente dos ativos e controles• Limitação dos personagens atendidos pelo escopo:

PerímetrosAgentesAmeaças potenciais

• Identificação dos responsáveis por cada etapa do projeto• Definição das etapas e prazos do projeto• Elaboração de questionários para análises

Definir valores qualitativos para os riscos baseados em critérios pré-definidos/combinados


Exemplo de questões para entrevistasExemplo de questões para entrevistas

• Qual é a importância da infraestrutura de sistemas da informação (rede, sistemas, computadores, etc) no seu cotidiano?

• Você e demais membros de sua equipe utilizam notebooks, PDAs ou smartphones?

• Ao sair, você guarda seus documentos que estão sobre a mesa?• As informações e procedimentos com os quais você e demais

pessoas de sua equipe lidam, podem ser considerados vitais para o funcionamento da empresa? Qual impacto pode ser causado com o vazamento de informações e procedimentos efetuados aqui?

• Você lida com segredos industriais ou comerciais? São compartilhados com quais setores/ cargos?

• Quanto tempo o seu setor poderia ficar parado, sem que ocorram prejuízos financeiros? Quais as chances de isso ocorrer? Já houve algum caso?

• Tem algum sistema cuja interrupção ou mal funcionamento exponha pessoas a ferimentos ou morte?


AvaliaAvaliaçção Fão Fíísicasica

• Controle de portarias• Muros/ cercas• Portões, Portas, cadeados e fechaduras• Seguranças• CFTV• Instalações físicas de rede e telefonia

Caixas de telefoniaConversores de fibraCabos e tomadas

• Distribuição de mobília• Organização de salas• Organização de mesas• Separação de ambientes• Isolamento acústico• Equipamentos• Inventário patrimonial• Acesso aos servidores, equipamentos de rede• Acesso a equipamentos críticos• Entrada e saída de material• Sistemas de climatização e combate a incêndio: existência e posicionamento• Disponibilidade de equipamento de proteção pessoal


Exemplos de ativosExemplos de ativos

• Informações e dados• Hardware• Software• Serviços• Documentos• Pessoal


Exemplos de ameaExemplos de ameaççasas

• Erros• Ataque malicioso• Fraude• Roubo• Falha de software e equipamentos


Exemplos de vulnerabilidadesExemplos de vulnerabilidades

• Falta de conhecimento do usuário• Falta de funcionalidade de segurança• Escolha de senhas fracas• Tecnologia emergente ou não testada• Transmissão de dados em claro


Exemplos de controlesExemplos de controles

• Firewalls, IDPSs• Múltiplos fatores de autenticação• Criptografia de comunicações e dados• Sistemas de monitoramento de temperatura• Seguros• Verificação de antecedentes na contratação• CFTV• Cães de guarda


Exemplos de impactoExemplos de impacto

• Perda financeira direta (dinheiro ou crédito)• Descumprimento de leis• Danos à reputação• Exposição de clientes e funcionários• Exposição de dados confidenciais• Perda de oportunidades de negócios• Redução de performance/eficiência operacional• Interrupção das atividades


Etapa 2: AnEtapa 2: Anááliselise


ComposiComposiçção do riscoão do risco

Vulnerabildade

Ameaça

Impacto

Ativoexplora

causando

Risco

exposição


ComposiComposiçção do riscoão do risco

Um administrador insatisfeito pode ser subornado para roubar informações do sistema de BI, causando a perda de negócios

Perda de produtividade;Perda de negócios;Descumprimento de leis

Autenticação fraca;Administrador com baixo salário;Falta de atualização

Adulteração de informações;Roubo de informações;Negação de serviço

Sistema de BI

Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes

Perda de produtividade;Exposição de dados de clientes;

Falta de segurança pública;Controle inapropriado de portaria;Falta de criptografia;Anti-vírus desatualizado

Roubo/ furto;Infecção por vírus;

Notebook

RiscoImpactoVulnerabilidadesAmeaçasAtivos


Etapa 3: AvaliaEtapa 3: Avaliaççãoão


AvaliaAvaliaçção dos riscosão dos riscos

• Medição de eficiência dos controles existentes• Indicação de contramedidas• Geração de relatórios e documentos• Reuniões executivas para apresentação de resultados• Orientação quanto aos resultados: planos de segurança


AvaliaAvaliaçção dos riscosão dos riscos

2 x 3 = 6Alto

32


3 x 3 = 9Alto

33Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes

Grau do riscoBaixo – 1 ou 2Médio – 3 ou 4Alto – 6 ou 9

ImpactoBaixo – 1Médio – 2Alto – 3

ProbabilidadeBaixa – 1Média – 2Alta – 3

Risco


RedaRedaçção de relatão de relatóóriosrios

• Relatórios favorecem o entendimento da análise desenvolvida

• Orientam o processo de tratamento dos riscos identificados


Tipos de relatTipos de relatóóriosrios

• Listagem de ativos

• Tabelas de acompanhamento

• Risco por ativo

• Análise de risco

• Avaliação de conformidadeISOs, CobiT, PCI, etc.

• Georeferenciamento

• Relatório operacional

• Scorecard


Plano de seguranPlano de seguranççaa

• O plano de segurança deve fornecer orientações para a obtenção do nível recomendado de segurança. Os planos deve obedecer à política de segurança corporativa

• EstruturaItensCriticidade (alta, média, baixa)Tipo (aplicação principal/ suporte)Propósito do planoAmbiente em que se encontram os ativosÁreas envolvidasLeis e normas associadasControles de segurança a serem aplicados

• Etapas, procedimentos e responsáveis

Data de implantação


Plano de contingênciaPlano de contingência

• O plano de contingência fornece as diretrizes para o fornecimento de respostas em caso de situação adversa

• Esse plano deve estar no contexto do gerenciamento da continuidade de negócios da empresa

• Itens fundamentaisAplicabilidadeRazões e indicadores de falhaObjetivo de Tempo de Recuperação (RTO)Mecanismos de controleResposta inicialManutençãoRecuperação


Etapa 4: TratamentoEtapa 4: Tratamento


Tratamento dos riscosTratamento dos riscos

• Mitigar• Eliminar • Evitar• Transferir

Contratação de segurosTerceirização

• AceitarQuando a perda vale menos que o controle ou a transferência


Tratamento de riscos Tratamento de riscos –– gravidez indesejada gravidez indesejada

• MitigarUsar método anticoncepcional

• EliminarEstereoctomia, vasectomia

• EvitarNão efetuar o ato

• TransferirDizer que foi outro

• AceitarProblema seu...


Estabelecimento de ContramedidasEstabelecimento de Contramedidas

• Itens para a escolha das contramedidas

Deve fornecer a segurança necessária com um custo-benefício aceitávelSua segurança não deve ser por obscuridadeDeve ser testável para certificar a equipe de sua eficiênciaDeve fornecer o mesmo nível de proteção para todos os ativosDeve ser isolável de outras contramedidas e ter baixa dependênciaDeve requerer o mínimo de intervenção humana


AplicaAplicaçção de controles/ tratamentosão de controles/ tratamentos

Vulnerabildade

Ameaça

Impacto

AtivoControle

bloqueia

elimina

reduz


AplicaAplicaçção de controles e risco residualão de controles e risco residual

2

2

I

6

9

R

Redução de privilégiosCriptografia de bancos de dados

Criptografia de disco

Controles

1

1

P

2

2

R

32


33Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes

IPRisco


Riscos gerados pelos controles Riscos gerados pelos controles estabelecidosestabelecidos

3

2

I

2

2

R

O administrador pode se sentir ameaçado e formatar o sistema, parando totalmente a produção

A chave de criptografia pode ser perdida, indisponibilizando o notebook e interrompendo o trabalho do usuário

Novo risco

2

2

P

6

4

R

21Redução de privilégiosCriptografia de bancos de dados

21Criptografia de disco

IPControles


ComunicaComunicaçção e monitoramentoão e monitoramento

• Considerada como a última e a primeira etapa do processo de análise de risco

• Fecha o ciclo por meio da divulgação dos resultados encontrados na análise

• Ao comunicar, a equipe de análise de risco passa a compartilhar as responsabilidades por qualquer incidente que venha a ocorrer

• O momento da comunicação deve ser pré-estabelecido antes do início do projeto de análise de risco


Gerenciamento de riscoGerenciamento de risco


AnAnáálise x Gerenciamento de riscoslise x Gerenciamento de riscos

• Análise de riscosProcesso científico e tecnológico composto por quatro etapas:

• identificação de ameaças• caracterização de ameaças• avaliação da exposição• caracterização de riscos

• Gerenciamento de riscosAtividades coordenadas que para direcionar e controlar assuntos relacionados aos riscos. Envolvem alternativas ponderadas, com base nas necessidades dos envolvidos e nas limitações financeiras


Plano de riscoPlano de risco

Dezembro de 2010

Maio de 2010

Início

24 meses

3 meses

Duração

Verificação de logs de auditoriaMédiaTI, RH,

Auditoria

Analista de RH; Analista de TI;

Auditor

Redução de privilégios

Redução de privilégios;Criptografia de bancos de dados


Atualização do algoritmo de

criptografia a cada atualização do

sistema

AltaTI

Rateio dos departamentos;

Consultores externos;

equipe de TI e service desk

Criptografia de disco

Criptografia de disco;Impedir a saída de

notebooks da empresa

Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes

ManutençãoPrioridadeResponsáveis

Recursos necessários

Controles planejados

Controles recomendados

Risco


MetodologiasMetodologias

GratuitaAlemanhaTodosGerencial, operacional e técnicoTotalTotalIT-Grundschutz

GratuitaFrançaTodosGerencial e operacionalTotalTotalEbios

Parcial

Parcial

Total

Parcial

Total

Parcial

-

Total

Total

Total

AR

Total

-

Total

Parcial

Total

Parcial

Parcial

Total

-

Total

GR

GratuitaÁustriaTodosGerencial e operacionalAustrian ISHB

GratuitaInternacionalTodosGerencialRFC 2196

ComercialAustrália e Nova ZelândiaTodosGerencial e operacionalAS/NZS 4360

GratuitaEUASMBGerencial e operacionalOctave v2.0

ComercialInternacionalTodosGerencial e operacionalISO 27005

ComercialInternacionalTodosGerencial e operacionalISO 27002

ComercialInternacionalGoverno e grandes empresasGerencial e operacionalISO 27001

Somente para associadosInternacionalTodos, exceto SMBGerencial, operacional e técnicoISF

ComercialReino UnidoGoverno e grandes empresasGerencial, operacional e técnicoCRAMM

GratuitaEUATodosOperacional e técnicoNIST 800-30

LicençaOrigemMercadoNívelMetodologia


Tipos de AnTipos de Anááliseslises de Riscosde Riscos

• Análise qualitativaAssocia palavras ou descrições para descrever probabilidades e impacto

É baseado no feeling e em opiniões de funcionários considerados

Usa o cenário de camadas de acesso às informações

• Análise semiquantitativaRankings descritivos são associados a uma escala numéricaReduz a subjetividade da análise qualitativa

• Análise quantitativaAssocia valores numéricos aos riscos e perdas potenciais

Os resultados são revertidos em cifras

Facilita o mapeamento de perdas


AnAnáálise Qualitativa: Aplicalise Qualitativa: Aplicaççõesões

• Falta de dados quantitativos sobre ativos

• Pouca experiência com a análise quantitativa

• Cronograma apertado


AnAnáálise Qualitativa: Metodologialise Qualitativa: Metodologia

• Aprovação Gerencial

• Formação de Equipe

• Levantamento de documentação

• Entrevistas

• Análise de dados

• Cálculo de risco

• Correções e contramedidas


AnAnáálise Quantitativalise Quantitativa

• Adotada por grandes empresas

• Pode exigir cronogramas extensos

• Requer pessoal especializado

• Fornece dados contundentes (em moeda) para definir se o custo da contramedida, vale mais ou menos que o risco


AnAnáálise Quantitativa: Metodologialise Quantitativa: Metodologia

• Aprovação

• Definição de equipe

• Revisão de informações corporativas

• Aplicação de CálculosSLE (Single Loss Expectancy)ARO (Annualized Rate of Occurance)ALE (Annualized Loss Expectancy)


ExemploExemplo

• Considerando um carro no valor de R$ 40.000,00:Uma colisão frontal tem o reparo estimado em R$ 8.000,00Uma colisão traseira tem o reparo estimado em R$ 4.000,00Uma colisão lateral tem o reparo estimado em R$ 4.000,00

• Ou seja, uma única batida, na melhor das hipóteses, custaria R$ 4.000,00 (SLE = 40.000,00 x 0,1)

Caso a perspectiva seja de 2 ocorrências por ano (ARO), considera-se que o ALE = 2 x SLE = R$ 8.000,00

• Com base nesses dados, pode-se avaliar quais as melhores formas de tratamento do risco

Contratação de seguro (transferência do risco)Reserva para incidentes (aceitação do risco)


Ferramentas e TFerramentas e Téécnicascnicas

• Principais ferramentas de mercado para a análise de riscoModulo Risk ManagerGAIN Risk ManagementPaliside @RiskAcertus GovernanceSE RiscosPlanilhas Excel CustomizadasMSAT


AnAnáálise de Riscolise de Risco

• Tempo Estimado: 15 minutos

• Objetivo: Utilizar ferramentas de análise de risco

• Metodologia: Acesso a websites e utilização da MSAT


Participe do nosso fParticipe do nosso fóórum de seguranrum de seguranççaa

• Acesse www.tisafe.com/forum e cadastre-se


ContatoContato

palestra - introdução à gestão de riscos

Technology