Professional Documents
Culture Documents
INFORMAO
Prof. Marcif, CISSP, CISA
Reviso
Introduo
Desafios, fundamentos, ameaas e contramedidas
Normatizao e prticas
Gesto da SI
Gesto de Riscos
Plano
Introduo
Desafios
Fundamentos
Ameaas
Contramedidas
Normatizao e prticas
Gesto da SI
Gesto de Riscos
Desafios
Desafios
Nuvem
Virtualizao
BYOD
Complexidade
Ataques avanados persistentes e direcionados
Segurana da Informao
Segurana da Informao
Cyber-bullying
Responsabilidades de Segurana da Informao
Compartilhamento de senhas
Segredos
Realidade atual
Phishing
Pen drives
Fundamentos
Controles
Administrativos
Fsicos
Tcnicos
Exemplos
Senhas
Guardas
Auditorias
Que
mais?
Fundamentos
Objetivos (CIA)
Confidencialidade (Confidentiality)
Integridade
(Integrity)
Disponibilidade (Availability)
Exemplos
Arquivo
corrompido
Queda da linha de comunicao
Senha em post-it junto a tela ou teclado
Que mais?
Fundamentos
Disponibilidade X Resilincia
Autenticidade
No-repdio
Riscos
Ameaas
Cdigos maliciosos
Vrus
Trojan
Worms
Bots
APTs
Pirataria
Tcnicas de Defesa
Controles de Acesso
Antivrus
Criptografia
Configurao segura
Hardening
Patches
Firewalls
DMZ
Segurana Fsica
Tcnicas de Defesa
Varreduras
Testes de invaso
Anlise de cdigo
Monitorao
IDS x IPS
Logs
Resilincia
Backups
Redundncia
Documentao
Planos de recuperao de desastres e continuidade
Simulao de testes
Riscos e Componentes de
Segurana da Informao
Reforando conceitos
AMEAA (THREAT)
A ameaa a possibilidade de que algum ou
alguma coisa explorar uma vulnerabilidade,
intencional ou acidentalmente, e causar dano a um
bem.
Reforando conceitos
VULNERABILIDADE (VULNERABILITY)
Uma vulnerabilidade a ausncia de uma
salvaguarda (em outras palavras, uma fraqueza)
que pode ser explorada.
Reforando conceitos
RISCO (RISK)
Um risco a probabilidade de um agente de
ameaa explorar uma vulnerabilidade e o potencial
de perda da ao.
O risco pode ser transferido (seguro), evitado,
reduzido, ou aceito.
Reduzir vulnerabilidades e/ou ameaas reduz o
risco.
Reforando conceitos
RISCO (RISK)
Ameaas vulnerabilidade valor patrimonial =
risco total
Ameaas ( vulnerabilidade valor patrimonial)
controla gap = risco residual
Reforando conceitos
ATIVO (ASSET)
Identificao de ativos deve incluir ativos tangveis
(instalaes e hardware) e ativos intangveis (dados
corporativos e reputao).
Reforando conceitos
SALVAGUARDA (SAFEGUARD)
Contramedida, tambm chamada de salvaguarda,
atenua (mitiga) o risco.
Garantia um grau de confiana que certo nvel de
segurana oferece.
Ao escolher a salvaguarda para reduzir um risco
especfico, o custo, funcionalidade e eficcia
devem ser avaliadas e uma anlise de custo /
benefcio realizada.
Reforando conceitos
CONTROLES
Uma medida preventiva pode ser um aplicativo,
configurao de software, hardware, ou um
procedimento.
Se algum est praticando o devido cuidado, est
agindo de forma responsvel e ter uma menor
probabilidade de ser pego agindo de forma
negligente e ser responsabilizado por uma quebra
de segurana que ocorrer.
Least privilege
Hoje
Gesto de SI
Gesto de Riscos de SI
Ameaas e ataques
Objetivos e escopo
Anlise quantitativa
Anlise qualitativa
Mtodos
Dvidas
Administrao X Riscos
Modelo Organizacional
Programa de Segurana da
Informao
Desenvolvimento do
Programa de Segurana
Gesto de SI
Gesto de SI
Gesto de SI
Gesto de SI
Poltica de Segurana
Poltica de Segurana
Os procedimentos so aes detalhadas passo-apasso que devem ser seguidos para alcanar uma
determinada tarefa.
Poltica de Segurana
Os procedimentos so aes detalhadas passo-apasso que devem ser seguidos para alcanar uma
determinada tarefa.
Poltica de Segurana
Poltica de Segurana
Responsabilidades
Gesto Executiva
O Chief Security Officer
Comit de SI
O proprietrio dos dados
O Depositrio de Dados ou Custodiante
O Proprietrio da Aplicao
O Administrador de Segurana
O Analista de Segurana
O Analista de Controle de Mudana
Responsabilidades
Responsabilidades RH
Prticas de Contratao
Controles de Funcionrio
Desligamentos
Capacitao
Job rotation um controle para detectar a
fraude.
Frias obrigatrias so o tipo de controle que
podem ajudar a detectar atividades fraudulentas.
Controles Administrativos
Controles Administrativos
Classificao dos dados
Controles Administrativos
Classificao dos dados
Pblicos
Internos
Restritos
Confidenciais
Controles Administrativos
Padres / Frameworks
Padres / Frameworks
Padres / Frameworks
ISO/IEC 27001
Com base na norma britnica BS7799 Parte 2, que criao,
implementao, controle e melhoria do Sistema de Gesto de
Segurana da Informao.
ISO/IEC 27002
Cdigo de prtica de aconselhamento de boas prticas
sobre ISMS (anteriormente conhecido como ISO
17799), baseou-se na norma britnica BS 7799 Parte 1.
Padres / Frameworks
ISO/IEC 27004
Um padro para mtricas de gesto de segurana da informao.
ISO/IEC 27005
Projetado para auxiliar a execuo satisfatria da segurana da
informao com base em uma abordagem de gerenciamento de risco.
ISO/IEC 27006
Um guia para o processo de certificao/registro.
ISO/IEC 27799
Um guia para ilustrar como para proteger as informaes pessoais de
sade.
Dvidas
Gesto de Riscos
Ameaas e ataques
Objetivos e escopo
Anlise quantitativa
Anlise qualitativa
Mtodos
Ameaas e ataques
Ameaas e ataques
E o funcionrio? 3?
Anlise de Riscos
Gesto de Riscos de SI
Principais objetivos:
Identificar ativos e atribuir valores a eles;
Identificar vulnerabilidades e ameaas;
Quantificar o impacto das ameaas potenciais e
Proporcionar um equilbrio econmico entre o
impacto da risco e os custos das salvaguardas.
Gesto de Riscos de SI
Gesto do Risco de Informao (IRM Information Risk
Management), processo de:
Identificao,
Avaliao e
Gesto de Riscos de SI
Gesto de Riscos de SI
Gesto de Riscos de SI
Anlise Quantitativa
Anlise Quantitativa
Anlise Quantitativa
Para determinar o valor da informao:
O custo para adquirir e desenvolver dados;
o custo e para manter proteger os dados;
o valor dos dados para os proprietrios, usurios e
adversrios;
o custo de substituio, se os dados so perdidos;
os outros preos esto dispostos a pagar para o dados;
oportunidades perdidas;
e a utilidade dos dados.
Anlise Qualitativa
de cenrios de ameaa,
classificando a probabilidade,
o potencial perda,
e severidade de cada ameaa,
com base na sua experincia pessoal.
Quantitativa X Qualitativa
Anlise Quantitativa
Anlise Qualitativa
Quantitativa X Qualitativa
Metodologias de
Anlise de Risco
NIST SP 800-30
Guide for Conducting Risk Assessments
FRAP
Facilitated Risk Analysis Process
Metodologias de
Anlise de Risco
OCTAVE
Operationally Critical Threat, Asset, and Vulnerability
Evaluation
FMEA
Esta abordagem provou ser um sucesso e tem sido
mais recentemente adaptada para uso na avaliao
das prioridades de gesto de risco e mitigao de
ameaas vulnerabilidades conhecidas.
FMEA
Anlise de Falhas
Matriz de Risco
Sumrio
Gesto de SI
Gesto de Riscos de SI
Ameaas e ataques
Objetivos e escopo
Anlise quantitativa
Anlise qualitativa
Mtodos