métricas e artefatos para a priorização de investimentos no ajuste de conformidade à norma iso...
TRANSCRIPT
Métricas e Artefatos para a Métricas e Artefatos para a Priorização de Investimentos no Priorização de Investimentos no
Ajuste de Conformidade à Norma Ajuste de Conformidade à Norma ISO 17799ISO 17799
Sbseg 2007Sbseg 2007
Reinaldo de Barros CorreiaReinaldo de Barros CorreiaAndré H. I. de AzevedoAndré H. I. de AzevedoLuiz Fernando Rust da C. CarmoLuiz Fernando Rust da C. Carmo
2Sbseg 2007
SumárioSumário
IntroduçãoIntrodução ObjetivoObjetivo Identificação das Métricas e ArtefatosIdentificação das Métricas e Artefatos Apresentação dos ModelosApresentação dos Modelos Comparação dos ModelosComparação dos Modelos Análise da SensibilidadeAnálise da Sensibilidade ConclusãoConclusão
3Sbseg 2007
A segurança dos Sistemas de A segurança dos Sistemas de InformaçãoInformação Identificação dos riscosIdentificação dos riscos Medidas de controleMedidas de controle
Eliminar ou reduzir os riscosEliminar ou reduzir os riscos As grandes dificuldades são:As grandes dificuldades são:
Identificar quais as medidas de Identificar quais as medidas de controle mais apropriadas ao negócio controle mais apropriadas ao negócio fim da organização em função de um fim da organização em função de um orçamento geralmente limitado orçamento geralmente limitado
Mensurar o custo-benefício das Mensurar o custo-benefício das medidas de controle implementadas medidas de controle implementadas
IntroduçãoIntrodução
4Sbseg 2007
Esforços têm sido empreendidos no Esforços têm sido empreendidos no sentido de:sentido de: Estabelecer padrões e normas que definam Estabelecer padrões e normas que definam os melhores métodos e práticas de os melhores métodos e práticas de segurança para os Sistemas de Informaçãosegurança para os Sistemas de Informação
British Standards InstituteBritish Standards Institute (BSI) criou a (BSI) criou a norma BS 7799.norma BS 7799. Aceita pela Aceita pela International Standards International Standards OrganizationOrganization (ISO) - ISO/IEC 17799 (ISO) - ISO/IEC 17799
Adota pela Associação Brasileira de Normas Adota pela Associação Brasileira de Normas Técnicas (ABNT) - NBR 17799 Código de Técnicas (ABNT) - NBR 17799 Código de Prática para Gestão da Segurança da Prática para Gestão da Segurança da InformaçãoInformação
IntroduçãoIntrodução
5Sbseg 2007
A norma 17799 é estruturada em A norma 17799 é estruturada em ControlesControles – itens (medidas ou procedimentos) – itens (medidas ou procedimentos) de segurança a serem implementadosde segurança a serem implementados
DomíniosDomínios – conjunto de controles – conjunto de controles Os controles podem compor o escopo de um Os controles podem compor o escopo de um
Sistema de Gerência de Segurança Sistema de Gerência de Segurança ((Information Security Management SystemInformation Security Management System - - ISMS)ISMS) Sob o enfoque do tipo de negócio da Sob o enfoque do tipo de negócio da corporaçãocorporação
Para a definição do escopo Para a definição do escopo ISMSISMS e os e os controles apropriados, esta norma exige:controles apropriados, esta norma exige: Análise de riscos Análise de riscos necessidade, viabilidade, necessidade, viabilidade, relação custo-benefício para implementaçãorelação custo-benefício para implementação
IntroduçãoIntrodução
6Sbseg 2007
Usar a conformidade em relação a norma ISO/IEC 17799 como alternativa à análise de risco para avaliar o custo-benefício
Definir um conjunto de métricas e artefatos• Quantificar os estados dos controles e Quantificar os estados dos controles e
sua relevância sob a óptica do negócio sua relevância sob a óptica do negócio da empresada empresa
• Racionalizar e reduzir a complexidade Racionalizar e reduzir a complexidade Apresentar dois modelos para a
conformidade• Equacionar a conformidade do Equacionar a conformidade do
Sistema de Informação Sistema de Informação • Análise comparativa baseada em Análise comparativa baseada em
requisitos levantados requisitos levantados
ObjetivoObjetivo
7Sbseg 2007
Analisar a sensibilidade da conformidade para um dos modelos em alguns casos hipotéticos• Priorizar os investimentos na Priorizar os investimentos na
segurança do S.I. segurança do S.I.
ObjetivoObjetivo
8Sbseg 2007
Métricas de AferiçãoMétricas de Aferição Grau de Conformidade de ControleGrau de Conformidade de Controle
Quantificados dentro de uma escala pelo Quantificados dentro de uma escala pelo usuário do S.I.usuário do S.I.
Exprimem o quanto um controle está concluído Exprimem o quanto um controle está concluído Grau de Impacto de ControleGrau de Impacto de Controle
Quantificados dentro de uma escala pelo Quantificados dentro de uma escala pelo especialista de segurançaespecialista de segurança
Exprimem a importância de um controle em Exprimem a importância de um controle em relação ao nível de segurança do domíniorelação ao nível de segurança do domínio
Alguns controles não implementados tornam o Alguns controles não implementados tornam o S.I. mais vulneráveis que outrosS.I. mais vulneráveis que outros
Não denotam prioridadeNão denotam prioridade
Identificação das Métricas e ArtefatosIdentificação das Métricas e Artefatos
9Sbseg 2007
Métricas de AferiçãoMétricas de Aferição Grau de Impacto de DomínioGrau de Impacto de Domínio
Natureza idêntica ao grau de impacto de Natureza idêntica ao grau de impacto de controlecontrole
Atribuído por especialista de segurança ao Atribuído por especialista de segurança ao domínio em relação ao S.I.domínio em relação ao S.I.
Expressa a importância do domínio no S.I.Expressa a importância do domínio no S.I.Não denotam prioridadeNão denotam prioridade
Identificação das Métricas e ArtefatosIdentificação das Métricas e Artefatos
10Sbseg 2007
ArtefatosArtefatos Conformidade de DomínioConformidade de Domínio
Mesma semântica do grau de conformidade Mesma semântica do grau de conformidade de controle de controle
Indica o quanto um domínio está concluídoIndica o quanto um domínio está concluído Não é atribuído manualmente, mas calculado Não é atribuído manualmente, mas calculado
através de um modeloatravés de um modelo Conformidade do Sistema de InformaçãoConformidade do Sistema de Informação
Denota o quanto o S.I. está conforme com a Denota o quanto o S.I. está conforme com a Norma, em função do grau de implementação Norma, em função do grau de implementação de todos os controlesde todos os controles
Também calculado por um modelo em função Também calculado por um modelo em função das conformidades e graus de impacto dos das conformidades e graus de impacto dos domíniosdomínios
Identificação das Métricas e ArtefatosIdentificação das Métricas e Artefatos
11Sbseg 2007
ArtefatosArtefatos Perfil de Conformidade de DomínioPerfil de Conformidade de Domínio
Vetor com todos os graus de conformidade Vetor com todos os graus de conformidade dos controles pertencentes a um domíniodos controles pertencentes a um domínio
Sua dimensão é igual ao número de controles Sua dimensão é igual ao número de controles do domínio (definido na ISO/IEC 17799)do domínio (definido na ISO/IEC 17799)
Perfil de Impacto de DomínioPerfil de Impacto de Domínio Vetor com todos os graus de impacto dos Vetor com todos os graus de impacto dos
controles pertencentes a um domíniocontroles pertencentes a um domínio Sua dimensão também é igual ao número de Sua dimensão também é igual ao número de
controles do domíniocontroles do domínio
Identificação das Métricas e ArtefatosIdentificação das Métricas e Artefatos
12Sbseg 2007
ArtefatosArtefatos Perfil de Conformidade do Sistema de Perfil de Conformidade do Sistema de InformaçãoInformação Vetor com todas as conformidade de domínio do Vetor com todas as conformidade de domínio do
S.I. S.I. Sua dimensão é igual ao número de domínios do Sua dimensão é igual ao número de domínios do
S.I. (definido na ISO/IEC 17799)S.I. (definido na ISO/IEC 17799) Perfil de Impacto do Sistema de InformaçãoPerfil de Impacto do Sistema de Informação
Vetor com todos os graus de impacto de domínio Vetor com todos os graus de impacto de domínio do S.I. do S.I.
Sua dimensão também é igual ao número de Sua dimensão também é igual ao número de domínios do S.I. domínios do S.I.
Identificação das Métricas e ArtefatosIdentificação das Métricas e Artefatos
13Sbseg 2007
ArtefatosArtefatos Sensibilidade de DomínioSensibilidade de Domínio
Quantifica as variações da conformidade de Quantifica as variações da conformidade de domínio em função das variações produzidas domínio em função das variações produzidas nos graus de conformidade dos controles do nos graus de conformidade dos controles do domíniodomínio
Sensibilidade do Sistema de Sensibilidade do Sistema de InformaçãoInformação Quantifica as variações da conformidade do Quantifica as variações da conformidade do
Sistema de Informação em função das Sistema de Informação em função das variações produzidas nas conformidades dos variações produzidas nas conformidades dos domíniosdomínios
Identificação das Métricas e ArtefatosIdentificação das Métricas e Artefatos
14Sbseg 2007
Visão Geral do Uso do ModeloVisão Geral do Uso do Modelo
15Sbseg 2007
Visão Geral do Uso do Modelo - EscopoVisão Geral do Uso do Modelo - Escopo
16Sbseg 2007
Valores Máximos e MínimosValores Máximos e Mínimos As métricas de aferiçãoAs métricas de aferição
Máximo de 5 e mínimo de 0Máximo de 5 e mínimo de 0Fundo de escala – FEFundo de escala – FEGCCGCC; FE; FEGICGIC e FE e FEGIDGID
ArtefatosArtefatos Todos normalizadosTodos normalizados
Valores intermediáriosValores intermediários As métricas de aferição – valores As métricas de aferição – valores inteirosinteiros0 0 ≤≤ MA MA ≤≤ FE FExx
ArtefatosArtefatos0 0 ≤≤ AR AR ≤≤ 1 1
Premissas dos ModelosPremissas dos Modelos
17Sbseg 2007
Requisito 1 - Valores conformidade de Requisito 1 - Valores conformidade de domíniodomínio Diferentes para perfis de conformidade Diferentes para perfis de conformidade de domínio diferentesde domínio diferentes
Para o mesmo perfil de impacto de Para o mesmo perfil de impacto de domíniodomínio
Requisito 2 - Condições de contorno Requisito 2 - Condições de contorno Valor mínimo (0) de conformidade de Valor mínimo (0) de conformidade de domínio – domínio completamente domínio – domínio completamente desconformedesconforme
Valor igual ao fundo de escala – domínio Valor igual ao fundo de escala – domínio plenamente em conformidade com a plenamente em conformidade com a Norma Norma
Requisitos para os ModelosRequisitos para os Modelos
18Sbseg 2007
Requisito 3 - Graus de conformidade Requisito 3 - Graus de conformidade de valor 0de valor 0 Devem estar refletidos nos valores Devem estar refletidos nos valores calculadoscalculados
Certos controles não implementados Certos controles não implementados expõem o S.I. expõem o S.I.
Requisitos para os ModelosRequisitos para os Modelos
19Sbseg 2007
Produto Ponderado Produto Ponderado Simples e intuitivoSimples e intuitivo AcadêmicoAcadêmico
Facilita a apresentação do conceito de Facilita a apresentação do conceito de perfis equivalentes perfis equivalentes
ExponencialExponencial Naturalmente normalizadoNaturalmente normalizado Mais complexoMais complexo
Reduz a ocorrência de perfis equivalentes – Reduz a ocorrência de perfis equivalentes – principal razãoprincipal razão
Modelos para Conformidade de DomínioModelos para Conformidade de Domínio
20Sbseg 2007
Modelos para Conformidade de DomínioModelos para Conformidade de DomínioProduto PonderadoProduto Ponderado
ProblemasProblemas Gera valores de Conformidade de Domínio Gera valores de Conformidade de Domínio iguais para perfis de conformidade iguais para perfis de conformidade diferentes (perfis equivalentes) – Requisito 1 diferentes (perfis equivalentes) – Requisito 1
Não penaliza domínios com controles não Não penaliza domínios com controles não implementados (GCC = 0) – Requisito 3implementados (GCC = 0) – Requisito 3
21Sbseg 2007
Modelos para Conformidade de DomínioModelos para Conformidade de DomínioConceito de Perfis EquivalentesConceito de Perfis Equivalentes
DefiniçãoDefinição Perfis de Perfis de Conformidade de Conformidade de domínio diferentes, domínio diferentes, possuindo valores possuindo valores iguais de iguais de conformidade de conformidade de domínio – associados domínio – associados a um mesmo perfil de a um mesmo perfil de impacto de domínio impacto de domínio
TiposTipos Equivalência Natural – Equivalência Natural –
tipo 1tipo 1 Equivalência Induzida – Equivalência Induzida –
tipo 2 tipo 2
22Sbseg 2007
Modelos para Conformidade de DomínioModelos para Conformidade de DomínioConceito de Perfis EquivalentesConceito de Perfis Equivalentes
Equivalência Natural – tipo 1Equivalência Natural – tipo 1 Surge quando dois ou mais graus de Surge quando dois ou mais graus de impacto de controle , no perfil de impacto de controle , no perfil de impacto de domínio, são iguais impacto de domínio, são iguais
Sempre ocorre Sempre ocorre
23Sbseg 2007
Modelos para Conformidade de DomínioModelos para Conformidade de DomínioConceito de Perfis EquivalentesConceito de Perfis Equivalentes
Equivalência Induzida – tipo 2Equivalência Induzida – tipo 2 Surge devido a baixa complexidade do Surge devido a baixa complexidade do modelomodelo
Pode ser reduzida com a escolha do Pode ser reduzida com a escolha do modelo apropriado modelo apropriado
24Sbseg 2007
Modelos para Conformidade de DomínioModelos para Conformidade de DomínioModelo ExponencialModelo Exponencial
Características Características Penaliza domínios com controles não Penaliza domínios com controles não implementados (GCC = 0) – Requisito 3implementados (GCC = 0) – Requisito 3
Reduz o número de perfis com Reduz o número de perfis com equivalência induzida – Requisito 1equivalência induzida – Requisito 1
25Sbseg 2007
Modelos para Conformidade de DomínioModelos para Conformidade de DomínioModelo ExponencialModelo Exponencial
Termo 1 ou de Conformação Inferior Termo 1 ou de Conformação Inferior Garante valor 0 (domínio Garante valor 0 (domínio completamente desconforme) quando completamente desconforme) quando todos os GCC’s forem 0 – Requisito 2todos os GCC’s forem 0 – Requisito 2
Muito próximo de 1 quando pelo menos Muito próximo de 1 quando pelo menos um dos GCC’s é diferente de 0um dos GCC’s é diferente de 0
26Sbseg 2007
Modelos para Conformidade de DomínioModelos para Conformidade de DomínioModelo ExponencialModelo Exponencial
Termo 3 ou de Conformação SuperiorTermo 3 ou de Conformação Superior Considera o complemento da notaConsidera o complemento da nota Garante valor 1 (domínio plenamente Garante valor 1 (domínio plenamente conforme) quando todos os GCC’s conforme) quando todos os GCC’s forem máximo – Requisito 2forem máximo – Requisito 2
27Sbseg 2007
Modelos para Conformidade de DomínioModelos para Conformidade de DomínioModelo ExponencialModelo Exponencial
Termo 2 ou de PenalizaçãoTermo 2 ou de Penalização Visa atender o requisito 3 – reduzir o Visa atender o requisito 3 – reduzir o CONFD quando o domínio possuir CONFD quando o domínio possuir controles não implementadoscontroles não implementados
Pode ser encarado como um fator de Pode ser encarado como um fator de redução do GIC redução do GIC
Tanto maior quanto forem os GCC’s Tanto maior quanto forem os GCC’s iguais a 0 iguais a 0
28Sbseg 2007
Comparação dos dois ModelosComparação dos dois Modelos
Foram realizadas simulações para Foram realizadas simulações para alguns perfis de impactoalguns perfis de impacto
A métrica de comparação foi a A métrica de comparação foi a intensidade de equivalência induzida - intensidade de equivalência induzida - o número de perfis com CONFD’s o número de perfis com CONFD’s iguais gerados pelos dois modelos iguais gerados pelos dois modelos
As constantes do modelo exponencial As constantes do modelo exponencial a = 100; k = 10; a = 100; k = 10; ζζ = 1,5; = 1,5; λλ = 1/8 e = 1/8 e αα = 2 = 2 Foram definidas empiricamente por Foram definidas empiricamente por meio de simulações prévias meio de simulações prévias
29Sbseg 2007
Comparação dos dois ModelosComparação dos dois Modelos
A equivalência natural foi desconsideradaA equivalência natural foi desconsiderada Somente perfis de impacto com todos os GIC’s Somente perfis de impacto com todos os GIC’s
diferentesdiferentes Também considerados os perfis de Também considerados os perfis de
conformidade de domínios parcialmente nulosconformidade de domínios parcialmente nulos
ModeloPerfis de Impacto
[213]
[543]
[125]
[1253]
[5243]
[2314]
Produto Normalizad
o185 159 175 124
0222
7124
5
Exponencial 66 44 52 822 722 853
Total de Perfis 216 1296
30Sbseg 2007
Comparação dos dois ModelosComparação dos dois Modelos
Apresenta graficamente a distribuição dos valores Apresenta graficamente a distribuição dos valores de conformidade de um domínio de dimensão 3de conformidade de um domínio de dimensão 3 O perfil de impacto de domínio foi [543] O perfil de impacto de domínio foi [543]
Simulações com perfis de conformidade de domínio Simulações com perfis de conformidade de domínio parcialmente nulosparcialmente nulos Mostraram a eficácia do modelo exponencial – Mostraram a eficácia do modelo exponencial –
requisito 3 requisito 3
0,0000
0,2000
0,4000
0,6000
0,8000
1,0000
1,2000000
021
042
103
124
145
210
231
252
313
334
355
420
441
502
523
544
Perfil GM
CONF
De
0,0000
0,1000
0,2000
0,3000
0,4000
0,5000
0,6000
0,7000
0,8000
0,9000
000
021
042
103
124
145
210
231
252
313
334
355
420
441
502
523
544
Perfil GM
CONF
Dp
31Sbseg 2007
Verificação da Sensibilidade de Domínio Verificação da Sensibilidade de Domínio Artefato importante para priorizar a Artefato importante para priorizar a
implementação dos controlesimplementação dos controles Distribuir um orçamento fixo de Distribuir um orçamento fixo de forma a maximizar a conformidadeforma a maximizar a conformidade
Indica a variação da conformidade de Indica a variação da conformidade de domínio em função da variação da domínio em função da variação da conformidade de um ou mais controlesconformidade de um ou mais controles
O estudo limitou-se à variação de um O estudo limitou-se à variação de um único controleúnico controle
32Sbseg 2007
Verificação da Sensibilidade de Domínio Verificação da Sensibilidade de Domínio
Intensi -dade
Ctrl 1 (GC=1
)
Ctrl 2 (GC=3
)
Ctrl 3 (GC=2
)
Ctrl 4 (GC=0
)
Ctrl 5 (GC=1
)1 0,2884 0,0192 0,1351 0,5780 0,06542 0,4259 0,0257 0,1903 0,9083 0,09273 0,4811 0,2093 1,0590 0,10324 0,5000 1,1186 0,10675 1,1388
PI = [13524] e PC = [10231]
33Sbseg 2007
Conclusão Conclusão A priorização de recursos escassos é um A priorização de recursos escassos é um
fator primordial no ambiente fator primordial no ambiente empresarialempresarial O gestor de segurança deve O gestor de segurança deve determinar o maior custo-benefício na determinar o maior custo-benefício na implementação de controles para implementação de controles para mitigar os riscos de segurançamitigar os riscos de segurança
A norma ISO-1799 foi tomada como A norma ISO-1799 foi tomada como referênciareferência Quanto mais conforme com a norma mais Quanto mais conforme com a norma mais seguro é o S.I. seguro é o S.I.
Alternativa às abordagens tradicionais Alternativa às abordagens tradicionais (custo-benefício (custo-benefício análise de risco) análise de risco)
34Sbseg 2007
Conclusão Conclusão O pilar de todo o estudo foi duas O pilar de todo o estudo foi duas
métricas de aferição e um artefatométricas de aferição e um artefato Grau de conformidade de controleGrau de conformidade de controle Grau de impacto de controleGrau de impacto de controle Conformidade de domínioConformidade de domínio
Baseado em três requisitos, Baseado em três requisitos, investigou-se dois modelos investigou-se dois modelos Produto Normalizado e ExponencialProduto Normalizado e Exponencial
A Sensibilidade de Conformidade foi A Sensibilidade de Conformidade foi estudada como subsídio de priorização estudada como subsídio de priorização da implementação dos controlesda implementação dos controles
35Sbseg 2007
FimObrigad
o!