palestra - introdução à gestão de riscos
DESCRIPTION
Palestra - Introdução à Gestão de RiscosTRANSCRIPT
TI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Introdução à Gestão de Riscos
Março de 2010
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Termo de isenTermo de isençção de responsabilidadeão de responsabilidade
A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.
Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Sobre a TI SafeSobre a TI Safe
• MissãoFornecer produtos e serviços de qualidade para a Segurança da Informação
• VisãoSer referência de excelência em serviços de Segurança da Informação
• Equipe técnica altamente qualificada
• Apoio de grandes marcas do mercado
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Não precisa copiar...Não precisa copiar...
http://www.tisafe.com/recursos/palestras/
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
DefiniDefiniççõesões
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Riscos: ConceitosRiscos: Conceitos
• DicionáriosRisco: “possibilidade de perda”Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar, e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou outras medidas de segurança”
• (ISC)²Gerenciamento de Risco: “a aprendizagem de conviver com a possibilidade de que eventos futuros podem ser prejudiciais”, e o “gerenciamento de risco reduz riscos pelo reconhecimento e controle de ameaças e vulnerabilidades”
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Termos e definiTermos e definiççõesões
• Ameaças aos ativos
• Vulnerabilidades (lógicas e físicas) presentes
• A probabilidade de uma ameaça ser concretizada no caso de uma exposição
• O impacto que a exposição poderá trazer a uma empresa
• Medidas de controle disponíveis para reduzir a capacidade de exploração ou de diminuir o impacto
• O risco residual: quanto sobrará de risco quando os controles apropriados são postos em prática
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AnAnáálise de riscos lise de riscos –– dinâmicadinâmica
• Coleta de informaçõesListas e grupos de ativosAmeaças potenciais e as chances de se realizaremVulnerabilidades existentes e o grau de impacto se exploradasControles existentes
• Definição do riscoPar Ameaça/Vulnerabilidade, probabilidade e impacto
• Indicação de tratamentos• Reavaliação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AnAnáálise de riscos lise de riscos –– projeto projeto
• NívelOperacionalProjetoEstratégico
• AnáliseQualitativaSemiquantitativaQuantitativa
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Etapa 1: InventEtapa 1: Inventááriorio
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Iniciando o projetoIniciando o projeto
• Autorização da alta gerência• Compreensão do fluxo produtivo da empresa• Identificação do escopo da análise• Registro existente dos ativos e controles• Limitação dos personagens atendidos pelo escopo:
PerímetrosAgentesAmeaças potenciais
• Identificação dos responsáveis por cada etapa do projeto• Definição das etapas e prazos do projeto• Elaboração de questionários para análises
Definir valores qualitativos para os riscos baseados em critérios pré-definidos/combinados
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Exemplo de questões para entrevistasExemplo de questões para entrevistas
• Qual é a importância da infraestrutura de sistemas da informação (rede, sistemas, computadores, etc) no seu cotidiano?
• Você e demais membros de sua equipe utilizam notebooks, PDAs ou smartphones?
• Ao sair, você guarda seus documentos que estão sobre a mesa?• As informações e procedimentos com os quais você e demais
pessoas de sua equipe lidam, podem ser considerados vitais para o funcionamento da empresa? Qual impacto pode ser causado com o vazamento de informações e procedimentos efetuados aqui?
• Você lida com segredos industriais ou comerciais? São compartilhados com quais setores/ cargos?
• Quanto tempo o seu setor poderia ficar parado, sem que ocorram prejuízos financeiros? Quais as chances de isso ocorrer? Já houve algum caso?
• Tem algum sistema cuja interrupção ou mal funcionamento exponha pessoas a ferimentos ou morte?
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AvaliaAvaliaçção Fão Fíísicasica
• Controle de portarias• Muros/ cercas• Portões, Portas, cadeados e fechaduras• Seguranças• CFTV• Instalações físicas de rede e telefonia
Caixas de telefoniaConversores de fibraCabos e tomadas
• Distribuição de mobília• Organização de salas• Organização de mesas• Separação de ambientes• Isolamento acústico• Equipamentos• Inventário patrimonial• Acesso aos servidores, equipamentos de rede• Acesso a equipamentos críticos• Entrada e saída de material• Sistemas de climatização e combate a incêndio: existência e posicionamento• Disponibilidade de equipamento de proteção pessoal
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Exemplos de ativosExemplos de ativos
• Informações e dados• Hardware• Software• Serviços• Documentos• Pessoal
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Exemplos de ameaExemplos de ameaççasas
• Erros• Ataque malicioso• Fraude• Roubo• Falha de software e equipamentos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Exemplos de vulnerabilidadesExemplos de vulnerabilidades
• Falta de conhecimento do usuário• Falta de funcionalidade de segurança• Escolha de senhas fracas• Tecnologia emergente ou não testada• Transmissão de dados em claro
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Exemplos de controlesExemplos de controles
• Firewalls, IDPSs• Múltiplos fatores de autenticação• Criptografia de comunicações e dados• Sistemas de monitoramento de temperatura• Seguros• Verificação de antecedentes na contratação• CFTV• Cães de guarda
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Exemplos de impactoExemplos de impacto
• Perda financeira direta (dinheiro ou crédito)• Descumprimento de leis• Danos à reputação• Exposição de clientes e funcionários• Exposição de dados confidenciais• Perda de oportunidades de negócios• Redução de performance/eficiência operacional• Interrupção das atividades
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Etapa 2: AnEtapa 2: Anááliselise
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ComposiComposiçção do riscoão do risco
Vulnerabildade
Ameaça
Impacto
Ativoexplora
causando
Risco
exposição
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ComposiComposiçção do riscoão do risco
Um administrador insatisfeito pode ser subornado para roubar informações do sistema de BI, causando a perda de negócios
Perda de produtividade;Perda de negócios;Descumprimento de leis
Autenticação fraca;Administrador com baixo salário;Falta de atualização
Adulteração de informações;Roubo de informações;Negação de serviço
Sistema de BI
Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes
Perda de produtividade;Exposição de dados de clientes;
Falta de segurança pública;Controle inapropriado de portaria;Falta de criptografia;Anti-vírus desatualizado
Roubo/ furto;Infecção por vírus;
Notebook
RiscoImpactoVulnerabilidadesAmeaçasAtivos
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Etapa 3: AvaliaEtapa 3: Avaliaççãoão
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AvaliaAvaliaçção dos riscosão dos riscos
• Medição de eficiência dos controles existentes• Indicação de contramedidas• Geração de relatórios e documentos• Reuniões executivas para apresentação de resultados• Orientação quanto aos resultados: planos de segurança
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AvaliaAvaliaçção dos riscosão dos riscos
2 x 3 = 6Alto
32
Um administrador insatisfeito pode ser subornado para roubar informações do sistema de BI, causando a perda de negócios
3 x 3 = 9Alto
33Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes
Grau do riscoBaixo – 1 ou 2Médio – 3 ou 4Alto – 6 ou 9
ImpactoBaixo – 1Médio – 2Alto – 3
ProbabilidadeBaixa – 1Média – 2Alta – 3
Risco
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
RedaRedaçção de relatão de relatóóriosrios
• Relatórios favorecem o entendimento da análise desenvolvida
• Orientam o processo de tratamento dos riscos identificados
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Tipos de relatTipos de relatóóriosrios
• Listagem de ativos
• Tabelas de acompanhamento
• Risco por ativo
• Análise de risco
• Avaliação de conformidadeISOs, CobiT, PCI, etc.
• Georeferenciamento
• Relatório operacional
• Scorecard
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Plano de seguranPlano de seguranççaa
• O plano de segurança deve fornecer orientações para a obtenção do nível recomendado de segurança. Os planos deve obedecer à política de segurança corporativa
• EstruturaItensCriticidade (alta, média, baixa)Tipo (aplicação principal/ suporte)Propósito do planoAmbiente em que se encontram os ativosÁreas envolvidasLeis e normas associadasControles de segurança a serem aplicados
• Etapas, procedimentos e responsáveis
Data de implantação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Plano de contingênciaPlano de contingência
• O plano de contingência fornece as diretrizes para o fornecimento de respostas em caso de situação adversa
• Esse plano deve estar no contexto do gerenciamento da continuidade de negócios da empresa
• Itens fundamentaisAplicabilidadeRazões e indicadores de falhaObjetivo de Tempo de Recuperação (RTO)Mecanismos de controleResposta inicialManutençãoRecuperação
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Etapa 4: TratamentoEtapa 4: Tratamento
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Tratamento dos riscosTratamento dos riscos
• Mitigar• Eliminar • Evitar• Transferir
Contratação de segurosTerceirização
• AceitarQuando a perda vale menos que o controle ou a transferência
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Tratamento de riscos Tratamento de riscos –– gravidez indesejada gravidez indesejada
• MitigarUsar método anticoncepcional
• EliminarEstereoctomia, vasectomia
• EvitarNão efetuar o ato
• TransferirDizer que foi outro
• AceitarProblema seu...
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Estabelecimento de ContramedidasEstabelecimento de Contramedidas
• Itens para a escolha das contramedidas
Deve fornecer a segurança necessária com um custo-benefício aceitávelSua segurança não deve ser por obscuridadeDeve ser testável para certificar a equipe de sua eficiênciaDeve fornecer o mesmo nível de proteção para todos os ativosDeve ser isolável de outras contramedidas e ter baixa dependênciaDeve requerer o mínimo de intervenção humana
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AplicaAplicaçção de controles/ tratamentosão de controles/ tratamentos
Vulnerabildade
Ameaça
Impacto
AtivoControle
bloqueia
elimina
reduz
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AplicaAplicaçção de controles e risco residualão de controles e risco residual
2
2
I
6
9
R
Redução de privilégiosCriptografia de bancos de dados
Criptografia de disco
Controles
1
1
P
2
2
R
32
Um administrador insatisfeito pode ser subornado para roubar informações do sistema de BI, causando a perda de negócios
33Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes
IPRisco
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Riscos gerados pelos controles Riscos gerados pelos controles estabelecidosestabelecidos
3
2
I
2
2
R
O administrador pode se sentir ameaçado e formatar o sistema, parando totalmente a produção
A chave de criptografia pode ser perdida, indisponibilizando o notebook e interrompendo o trabalho do usuário
Novo risco
2
2
P
6
4
R
21Redução de privilégiosCriptografia de bancos de dados
21Criptografia de disco
IPControles
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ComunicaComunicaçção e monitoramentoão e monitoramento
• Considerada como a última e a primeira etapa do processo de análise de risco
• Fecha o ciclo por meio da divulgação dos resultados encontrados na análise
• Ao comunicar, a equipe de análise de risco passa a compartilhar as responsabilidades por qualquer incidente que venha a ocorrer
• O momento da comunicação deve ser pré-estabelecido antes do início do projeto de análise de risco
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Gerenciamento de riscoGerenciamento de risco
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AnAnáálise x Gerenciamento de riscoslise x Gerenciamento de riscos
• Análise de riscosProcesso científico e tecnológico composto por quatro etapas:
• identificação de ameaças• caracterização de ameaças• avaliação da exposição• caracterização de riscos
• Gerenciamento de riscosAtividades coordenadas que para direcionar e controlar assuntos relacionados aos riscos. Envolvem alternativas ponderadas, com base nas necessidades dos envolvidos e nas limitações financeiras
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Plano de riscoPlano de risco
Dezembro de 2010
Maio de 2010
Início
24 meses
3 meses
Duração
Verificação de logs de auditoriaMédiaTI, RH,
Auditoria
Analista de RH; Analista de TI;
Auditor
Redução de privilégios
Redução de privilégios;Criptografia de bancos de dados
Um administrador insatisfeito pode ser subornado para roubar informações do sistema de BI, causando a perda de negócios
Atualização do algoritmo de
criptografia a cada atualização do
sistema
AltaTI
Rateio dos departamentos;
Consultores externos;
equipe de TI e service desk
Criptografia de disco
Criptografia de disco;Impedir a saída de
notebooks da empresa
Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes
ManutençãoPrioridadeResponsáveis
Recursos necessários
Controles planejados
Controles recomendados
Risco
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
MetodologiasMetodologias
GratuitaAlemanhaTodosGerencial, operacional e técnicoTotalTotalIT-Grundschutz
GratuitaFrançaTodosGerencial e operacionalTotalTotalEbios
Parcial
Parcial
Total
Parcial
Total
Parcial
-
Total
Total
Total
AR
Total
-
Total
Parcial
Total
Parcial
Parcial
Total
-
Total
GR
GratuitaÁustriaTodosGerencial e operacionalAustrian ISHB
GratuitaInternacionalTodosGerencialRFC 2196
ComercialAustrália e Nova ZelândiaTodosGerencial e operacionalAS/NZS 4360
GratuitaEUASMBGerencial e operacionalOctave v2.0
ComercialInternacionalTodosGerencial e operacionalISO 27005
ComercialInternacionalTodosGerencial e operacionalISO 27002
ComercialInternacionalGoverno e grandes empresasGerencial e operacionalISO 27001
Somente para associadosInternacionalTodos, exceto SMBGerencial, operacional e técnicoISF
ComercialReino UnidoGoverno e grandes empresasGerencial, operacional e técnicoCRAMM
GratuitaEUATodosOperacional e técnicoNIST 800-30
LicençaOrigemMercadoNívelMetodologia
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Tipos de AnTipos de Anááliseslises de Riscosde Riscos
• Análise qualitativaAssocia palavras ou descrições para descrever probabilidades e impacto
É baseado no feeling e em opiniões de funcionários considerados
Usa o cenário de camadas de acesso às informações
• Análise semiquantitativaRankings descritivos são associados a uma escala numéricaReduz a subjetividade da análise qualitativa
• Análise quantitativaAssocia valores numéricos aos riscos e perdas potenciais
Os resultados são revertidos em cifras
Facilita o mapeamento de perdas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AnAnáálise Qualitativa: Aplicalise Qualitativa: Aplicaççõesões
• Falta de dados quantitativos sobre ativos
• Pouca experiência com a análise quantitativa
• Cronograma apertado
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AnAnáálise Qualitativa: Metodologialise Qualitativa: Metodologia
• Aprovação Gerencial
• Formação de Equipe
• Levantamento de documentação
• Entrevistas
• Análise de dados
• Cálculo de risco
• Correções e contramedidas
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AnAnáálise Quantitativalise Quantitativa
• Adotada por grandes empresas
• Pode exigir cronogramas extensos
• Requer pessoal especializado
• Fornece dados contundentes (em moeda) para definir se o custo da contramedida, vale mais ou menos que o risco
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AnAnáálise Quantitativa: Metodologialise Quantitativa: Metodologia
• Aprovação
• Definição de equipe
• Revisão de informações corporativas
• Aplicação de CálculosSLE (Single Loss Expectancy)ARO (Annualized Rate of Occurance)ALE (Annualized Loss Expectancy)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ExemploExemplo
• Considerando um carro no valor de R$ 40.000,00:Uma colisão frontal tem o reparo estimado em R$ 8.000,00Uma colisão traseira tem o reparo estimado em R$ 4.000,00Uma colisão lateral tem o reparo estimado em R$ 4.000,00
• Ou seja, uma única batida, na melhor das hipóteses, custaria R$ 4.000,00 (SLE = 40.000,00 x 0,1)
Caso a perspectiva seja de 2 ocorrências por ano (ARO), considera-se que o ALE = 2 x SLE = R$ 8.000,00
• Com base nesses dados, pode-se avaliar quais as melhores formas de tratamento do risco
Contratação de seguro (transferência do risco)Reserva para incidentes (aceitação do risco)
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Ferramentas e TFerramentas e Téécnicascnicas
• Principais ferramentas de mercado para a análise de riscoModulo Risk ManagerGAIN Risk ManagementPaliside @RiskAcertus GovernanceSE RiscosPlanilhas Excel CustomizadasMSAT
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
AnAnáálise de Riscolise de Risco
• Tempo Estimado: 15 minutos
• Objetivo: Utilizar ferramentas de análise de risco
• Metodologia: Acesso a websites e utilização da MSAT
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
Participe do nosso fParticipe do nosso fóórum de seguranrum de seguranççaa
• Acesse www.tisafe.com/forum e cadastre-se
www.tisafe.comTI Safe Segurança da Informação LTDA, 2007-2010.Todos os direitos reservados.
ContatoContato