si segurança e privacidade (1sem2014)
DESCRIPTION
Trabalho elaborado para apresentação na matéria Sistemas da Informação. Abordagem de normas, roteiros de implementação das normas de segurança e gestão de risco. No inicio do trabalho tivemos uma abordagem sobre o E. Snowden e uma apresentação do que seria uma criptografia.TRANSCRIPT
Segurança e privacidadeSegurança e privacidade
Gustavo C. Russo – 12.206.507-1Marina C. Moraes – 12.112.680-9Pedro P. Garcia – 12.112.399-6Willian Weller – 12.206.544-4Yuri N. Constanti – 12.206.490-0
Agenda• Snowden• Criptografia• Normas• Guidelines• Guidelines• COSO• Estatísticas• The Good Shepherd (2006) - Filme
Snowden
• Ex-funcionário da CIA• Ex-contratado da NSA
• Entrevista exclusiva em Hong Kong▫ Glenn Greenwald▫ Laura Poitras
▫ http://www.theguardian.com/world/video/2013/jul/08/edward-snowden-video-interview
Cr1pt0graf1@
• “BMWP8EJMNB”
• O que significa?• O que significa?
• Regra: (Letra – 1 e espaço=8)
“ALVO DILMA”
NBR ISO/IEC 27001:2006
• Abordagem do Processo
Modelo PDCA
NBR ISO/IEC 27002:2005Informação e Segurança da Informação
NBR ISO/IEC 27002:2005Controles
NBR ISO/IEC 27005:2008
DEFINIÇÃO DO CONTEXTO:• Determinação de um propósito
• Definição de critérios básicos▫ Critérios para avaliação de risco▫ Critérios de impacto▫ Critérios para aceitação do risco
• Escopo e limites
• Organização para gestão de risco de segurança da informação
NBR ISO/IEC 27005:2008ANÁLISE/AVALIÇÃO DE RISCO:• Identificação dos riscos
▫ Identificação dos ativos▫ Identificação das ameaças▫ Identificação dos controles existentes▫ Identificação das vulnerabilidades▫ Identificação dos controles existentes▫ Identificação das vulnerabilidades▫ Identificação das conseqüências
• Estimativas de riscos▫ Metodologias para estimativa de riscos▫ Avaliação das conseqüências▫ Avaliação da probabilidade dos incidentes▫ Estimativa do nível de risco
• Avaliação dos riscos
NBR ISO/IEC 27005:2008
TRATAMENTODO RISCO:
NBR ISO/IEC 27005:2008ACEITAÇÃO DO RISCO:• Decisão dos gestores da organização
• Análise crítica• Análise crítica
• Considerado as circunstâncias predominantes no momento
• Documento formal▫ Lista de riscos aceitos▫ Justificativa para aqueles que não satisfaçam os
critérios normais para aceitação de risco
General Security Risk Assessment
• Guia no qual os riscos de segurança podem ser identificado e comunicados
• Metodologia dividida em 7 etapas• Metodologia dividida em 7 etapas
• Criado nos EUA por principaisrepresentantes de organizaçõesde segurança do país
Etapas• Compreender a organização e identificar as
pessoas e bens em risco• Especificar perdas em eventos de risco /
vulnerabilidades• Estabelecer a probabilidade de risco de perda e • Estabelecer a probabilidade de risco de perda e
freqüência de eventos• Determinar o impacto dos eventos• Desenvolver opções para aliviar os riscos• Estudar a viabilidade de implementação das
opções• Analisar o custo benefício
“Handbook” de Segurança da
Informação Um Guia Para Gestores
• Objetivo e Aplicabilidade
• Relação com a Orientação Existente
Governança da Segurança da Informação
Ciclo de Vida de Desenvolvimento de Sistema
Sistemas Interligados
Estabelecer Equipe de
Planejamento
Definir o Caso de Negócio
Realizar C&A
1 2 3
Planejamento
Determinar Requisitos de Interligação
Documento de Acordo de
Interligação
Aprovação ou Rejeição da Interligação
4 5 6
Indicadores de performance
Planos de Contingência na Tecnologia da Informação
Gestão de Riscos
Certificação, Confiabilidade e Avaliações de Segurança
• Papéis e Responsabilidades da Certificação, Confiabilidade e avaliações de segurança;
• Delegação de Funções;• Delegação de Funções;
• O Processo de Certificação e Confiabilidade da Segurança;
• Documentação da Certificação de Segurança;
• Decisões de Confiabilidade;
• Monitoramento Contínuo;
• Avaliações de programas;
Serviços de Segurança e Aquisição de Produtos
Resposta a Incidentes� Preparação
• Preparando para Resposta a Incidentes
• Preparando para coletar dados de Incidentes
• Prevenção de Incidentes• Prevenção de Incidentes
� Detecção e Análise
� Contenção, erradicação e recuperação
� Pós-Incidente Atividade
Por que da gestão?
BS 7799-3:2006 Information security Management Systems• Objetivo: Prover orientação e suporte para implantação dos
requerimentos definidos naBS ISO/IEC 27001:2005.*
• Risk approach:
▫ 1-Escopo▫ 2-Referência▫ 3-Termos e definições▫ 4-Contexto organizacional
▫ 5-Avaliação
▫ 6-Tratamento
▫ 7-On going Monitoring
▫ 7-Reavaliações *Mostrar tabela comparativa
Riscos da Segurança da Informaçãonas organizações• Scope and Policy
▫ Business Case:
� Recurso� Razões (O por que implementar?)
RAZÕES
Legal ouRegulatório
Recurso
� Definições da empresa*▫ ISMS Scope
� Definição do Escopo▫ ISMS Policy
▫ Risk Approach
• Approach
▫ Determinação do critério de aceitação de riscos▫ Identificação de níveis aceitáveis de riscos▫ Identificação e avaliação dos riscos▫ Cobertura dos aspectos do escopo ISMS
RAZÕES Privada ouestatal
Tamanho da companhia
LocalilzaçãoGeográfica
Tipo de negócio
Avaliação do RiscoCálculo do Risco
Avaliador de risco
A pessoa que perfomará a gestão do risco tem que ter diversas caracteristicas, tais como:▫ Conhecimentos em TI
▫ Conhecimento no negócio
▫ Conhecimento de controle de risco
▫ E outros diversos
Objetivo: É contribuir para que a gestão de empresas e demais organizações adotem uma forma
mais adequada de abordar os riscos inerentes ao cumprimento de seus objetivos.
Como: Integrar diversos conceitos de Como: Integrar diversos conceitos de administração de riscos em uma única estrutura .
Resultado: Acomodar a maior parte das opiniões e, assim, possibilitar a avaliação e o
aprimoramento da gestão de riscos corporativos para futuras iniciativas de órgãos
reguladores e de ensino.
O que é o gerenciamento de riscos?São riscos e oportunidades de criar ou preservar valor.
Alguns conceitos fundamentais para definição de gerenciamento de riscos:
• Um processo contínuo e que flui pela organização;
• Conduzido pelos profissionais em todos os níveis da organização;
• Definição das estratégias;
• Visão de todos os riscos a que a organização está exposta;
• Identifique eventos em potencial, cuja ocorrência poderá afetar a organização, e que administre os riscos de acordo com o seu apetite a risco;
• Capaz de propiciar garantia razoável para a organização;
• Orientado para à realização e cumprimento dos objetivos em uma ou mais categorias distintas, mas dependentes.
Cumprimento dos ObjetivosEssa estrutura estabelece quatro categorias de objetivos para a organização:
• Estratégicos –referem-se às metas no nível mais elevado. Alinham-se e fornecem apoio à missão;fornecem apoio à missão;
• Operações –têm como meta a utilização eficaz e eficiente dos recursos;
• Comunicação –relacionados à confiabilidade dos relatórios;
• Conformidade –fundamentam-se no cumprimento das leis e dos regulamentos pertinentes.
O que são componentes do gerenciamento de riscos corporativos ?
São constituído de oito componentes inter-relacionados, que trata a maneira de como a administração gerencia a organização, e que se integram ao processo de gestão.
� Ambiente Interno � Resposta a Risco� Ambiente Interno
� Fixação de Objetivos
� Identificação de Eventos
� Avaliação de Riscos
� Resposta a Risco
� Atividades de Controle
� Informações e Comunicações
� Monitoramento
Ambiente Interno O ambiente interno determina os conceitos básicos sobre a forma como os riscos
e os controles serão vistos e abordados pelos empregados da organização.
Impacto de um ambiente interno ineficaz pode ir muito longe e talvez provocar prejuízos financeiros, desgastes da imagem pública ou até mesmo o fracasso.
Fixação de ObjetivosEm primeiro lugar, é necessário que os objetivos existam para que a
administração possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as medidas necessárias para administrá-los.
• Objetivos estratégicos • Objetivos Correlatos
Avaliação de Riscos
Identificação de EventosPodemos identificar os eventos em :
Riscos Oportunidade Riscos e Oportunidade
Avaliação de RiscosOs riscos identificados são analisados com a finalidade de determinar a forma como serão administrados e depois serão associados aos objetivos que podem
influenciar.
Avaliam-se os riscos considerando seus efeitos:
Inerentes e Residuais Probabilidade e seu Impacto
Resposta a Risco Os empregados identificam e avaliam as possíveis respostas aos riscos: evitar,
aceitar, reduzir ou compartilhar. A administração seleciona o conjunto de ações destinadas a alinhar os riscos às respectivas tolerâncias e ao apetite a risco.
As respostas a riscos classificam-se nas seguintes categorias:
Evitar Reduzir Compartilhar CompartilharEvitar Reduzir Compartilhar Compartilhar
Atividades de ControlePolíticas e procedimentos são estabelecidos e implementados para assegurar que
as respostas aos riscos selecionados pela administração sejam executadas com eficácia.
Relacionamento entre Objetivos e Componentes
As quatro categorias de objetivos -estão representadas nas colunas verticais.verticais.
Os oito componentes, nas linhas horizontais.
A organização e as unidades de uma organização, na terceira dimensão do cubo
Índice de Pirataria• BSA (Business Software Alliance) – associação que representa
fabricantes de software
• 7º Estudo Anual Global de Pirataria de Software - 2009
• Mundo:• Mundo:▫ Geórgia 95%▫ Zimbábue 92%▫ Bangladesh 91%
• Brasil:▫ 56%▫ Sendo que 2008 58%
• Media mundial▫ 43% http://tecnologia.uol.com.br/ultimas-noticias/redacao/2010/05/11/conheca-
os-paises-30-paises-com-as-maiores-e-menores-taxas-de-pirataria-do-mundo.jhtm
The Good Shepherd (2006)• Elenco
▫ Robert De Niro▫ Matt Damon▫ Matt Damon▫ Angelina Jolie
• Sinopse
▫ Edward Wilson (Matt Damon) é recrutado para trabalhar na CIA na época da Guerra Fria. Tamanha espionagem, fazem com que ele tenha que sacrificar sua vida pessoal, seus ideais e sua família
Duvidas?Duvidas?
Bibliografia• ABNT NBR ISO/IEC 27005:2008 (ABNT,2008)
• ASIS. General Security Risk Assessment guideline
• ABNT. Tecnologia da informação – Técnicas de segurança –Código de prática para gestão da segurança da informação: Código de prática para gestão da segurança da informação: ABNT NBR ISSO/IEC 27002:2005. 2ª ed. Rio de Janeiro, 2005
• ABNT. Tecnologia da informação - Técnicas de segurança –Sistemas da gestão de segurança da informação: ABNT 27001:2006 1ª ed. Rio de Janeiro, 2006
• BOWEN, P.; HASH, J.; WILSON, M. NIST Special Publication 800-100: Information Security Handbook: A Guide for Managers. [S.I.], October 2006.
Bibliografia• BS.B.S. Information Security Management Systemns (BS 7799-3-
2006): Part 3: guidelines for information security risk management. 2006
• COSO: Committee of Sponsoring Oraganizations of the treadwayCommission. Enterprise Risk Managment Framewor: Commission. Enterprise Risk Managment Framewor: Exposure Draft for Public Comment [S.I.], 2004
• http://www.asionline.org/guideleines/guidelines
• http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf
• http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf