You are on page 1of 77

SEGURANA DA

INFORMAO
Prof. Marcif, CISSP, CISA

Reviso

Introduo
Desafios, fundamentos, ameaas e contramedidas
Normatizao e prticas
Gesto da SI
Gesto de Riscos

Plano

Introduo
Desafios
Fundamentos
Ameaas
Contramedidas
Normatizao e prticas
Gesto da SI
Gesto de Riscos

Desafios

Informao: Ativo cada vez mais valorizado


Crescimento da dependncia
Viso holstica do risco
Receita explosiva
Anatomia do problema

Desafios

Nuvem
Virtualizao
BYOD
Complexidade
Ataques avanados persistentes e direcionados

Segurana da Informao

Como proteger informaes


Relao custo X valor da informao
Security Officer e seu time
Valores financeiros X imagem ou reputao
Tecnologia x Processos x Pessoas x Estratgia

Segurana da Informao

Cyber-bullying
Responsabilidades de Segurana da Informao
Compartilhamento de senhas
Segredos
Realidade atual
Phishing
Pen drives

Fundamentos

Controles
Administrativos
Fsicos

Tcnicos

Exemplos
Senhas
Guardas

Auditorias
Que

mais?

Fundamentos

Objetivos (CIA)
Confidencialidade (Confidentiality)
Integridade

(Integrity)
Disponibilidade (Availability)

Exemplos
Arquivo

corrompido
Queda da linha de comunicao
Senha em post-it junto a tela ou teclado
Que mais?

Fundamentos

Disponibilidade X Resilincia
Autenticidade
No-repdio

Riscos

Ameaas

Cdigos maliciosos
Vrus
Trojan

Worms
Bots

APTs
Pirataria

Tcnicas de Defesa

Controles de Acesso
Antivrus
Criptografia
Configurao segura
Hardening
Patches

Firewalls
DMZ

Segurana Fsica

Tcnicas de Defesa

Varreduras
Testes de invaso
Anlise de cdigo
Monitorao
IDS x IPS
Logs

Resilincia

Backups
Redundncia
Documentao
Planos de recuperao de desastres e continuidade
Simulao de testes

Riscos e Componentes de
Segurana da Informao

Reforando conceitos
AMEAA (THREAT)
A ameaa a possibilidade de que algum ou
alguma coisa explorar uma vulnerabilidade,
intencional ou acidentalmente, e causar dano a um
bem.

Reforando conceitos
VULNERABILIDADE (VULNERABILITY)
Uma vulnerabilidade a ausncia de uma
salvaguarda (em outras palavras, uma fraqueza)
que pode ser explorada.

Reforando conceitos
RISCO (RISK)
Um risco a probabilidade de um agente de
ameaa explorar uma vulnerabilidade e o potencial
de perda da ao.
O risco pode ser transferido (seguro), evitado,
reduzido, ou aceito.
Reduzir vulnerabilidades e/ou ameaas reduz o
risco.

Reforando conceitos
RISCO (RISK)
Ameaas vulnerabilidade valor patrimonial =
risco total
Ameaas ( vulnerabilidade valor patrimonial)
controla gap = risco residual

Reforando conceitos
ATIVO (ASSET)
Identificao de ativos deve incluir ativos tangveis
(instalaes e hardware) e ativos intangveis (dados
corporativos e reputao).

Reforando conceitos
SALVAGUARDA (SAFEGUARD)
Contramedida, tambm chamada de salvaguarda,
atenua (mitiga) o risco.
Garantia um grau de confiana que certo nvel de
segurana oferece.
Ao escolher a salvaguarda para reduzir um risco
especfico, o custo, funcionalidade e eficcia
devem ser avaliadas e uma anlise de custo /
benefcio realizada.

Reforando conceitos
CONTROLES
Uma medida preventiva pode ser um aplicativo,
configurao de software, hardware, ou um
procedimento.
Se algum est praticando o devido cuidado, est
agindo de forma responsvel e ter uma menor
probabilidade de ser pego agindo de forma
negligente e ser responsabilizado por uma quebra
de segurana que ocorrer.
Least privilege

Hoje

Gesto de SI

Programa e modelo organizacional


Plano Diretor de Segurana da Informao
Poltica de Segurana
Frameworks

Gesto de Riscos de SI

Ameaas e ataques
Objetivos e escopo
Anlise quantitativa
Anlise qualitativa
Mtodos

Dvidas

Administrao X Riscos

Modelo Organizacional

Programa de Segurana da
Informao

Desenvolvimento do
Programa de Segurana

Gesto de SI

Gesto de SI

Gesto ou governana de segurana deve trabalhar de


cima para baixo (alta administrao s equipes).

Governana o conjunto de responsabilidades e


prticas exercidas pelo conselho e gesto executiva
com o objetivo de:
fornecer orientao estratgica para assegurar que sejam
alcanados os objetivos;
determinar que os riscos so geridos apropriadamente;
e verificando que os recursos da empresa so utilizados de
forma responsvel.

Gesto de SI

O modelo de segurana que uma empresa deve


escolher depende do tipo de negcio, suas misses
crticas e os seus objetivos.

O programa de segurana deve ser integrado com os


objetivos de negcios atuais.

Gesto deve definir o mbito e objetivo da gesto de


segurana, prestar apoio, nomear uma equipe de
segurana, delegar responsabilidades e avaliar os
resultados da equipe.

Gesto de SI

Um elemento-chave durante o processo de


planejamento de segurana inicial definir
relaes hierrquicas.

Poltica de Segurana

Poltica de Segurana

A poltica de segurana uma declarao da


administrao ditando o papel de segurana
desempenha na organizao.

A norma especifica como hardware e software


esto a ser utilizados. As normas so obrigatrias.

Os procedimentos so aes detalhadas passo-apasso que devem ser seguidos para alcanar uma
determinada tarefa.

Poltica de Segurana

A poltica de segurana uma declarao da


administrao ditando o papel de segurana
desempenha na organizao.

A norma especifica como hardware e software


esto a ser utilizados. As normas so obrigatrias.

Os procedimentos so aes detalhadas passo-apasso que devem ser seguidos para alcanar uma
determinada tarefa.

Poltica de Segurana

Poltica de Segurana

Um baseline o nvel mnimo de segurana;


Diretrizes so recomendaes e orientaes gerais
que fornecem conselhos e flexibilidade.

Responsabilidades

Gesto Executiva
O Chief Security Officer
Comit de SI
O proprietrio dos dados
O Depositrio de Dados ou Custodiante
O Proprietrio da Aplicao
O Administrador de Segurana
O Analista de Segurana
O Analista de Controle de Mudana

Responsabilidades

O guardio de dados (custodiante das informaes)


responsvel pela manuteno e proteo de dados.

Um analista de segurana funciona em um nvel


estratgico e ajuda a desenvolver polticas, normas e
diretrizes, e tambm define vrias linhas de base.

Os proprietrios de aplicativos so responsveis por


ditar quem pode e quem no pode acessar as suas
aplicaes, bem como o nvel de proteo destas
aplicaes fornecem para os dados que processam e
para a sociedade.

Responsabilidades RH

Prticas de Contratao
Controles de Funcionrio
Desligamentos
Capacitao
Job rotation um controle para detectar a
fraude.
Frias obrigatrias so o tipo de controle que
podem ajudar a detectar atividades fraudulentas.

Controles Administrativos

Separao de funes garante que nenhuma


pessoa tenha o controle total sobre uma atividade
ou tarefa;
Conhecimento compartilhado e dupla custdia so
dois aspectos da separao de funes.

Controles Administrativos
Classificao dos dados

Os dados so classificados para atribuir prioridades


aos dados e garantir o nvel adequado de proteo;

Proprietrios de dados especificam a classificao


de dados.

Controles Administrativos
Classificao dos dados

Pblicos
Internos
Restritos
Confidenciais

Controles Administrativos

Separao de funes garante que nenhuma


pessoa tenha o controle total sobre uma atividade
ou tarefa;
Conhecimento compartilhado e dupla custdia so
dois aspectos da separao de funes.

Padres / Frameworks

Padres / Frameworks

Padres / Frameworks

ISO/IEC 27001
Com base na norma britnica BS7799 Parte 2, que criao,
implementao, controle e melhoria do Sistema de Gesto de
Segurana da Informao.

ISO/IEC 27002
Cdigo de prtica de aconselhamento de boas prticas
sobre ISMS (anteriormente conhecido como ISO
17799), baseou-se na norma britnica BS 7799 Parte 1.

Padres / Frameworks
ISO/IEC 27004
Um padro para mtricas de gesto de segurana da informao.

ISO/IEC 27005
Projetado para auxiliar a execuo satisfatria da segurana da
informao com base em uma abordagem de gerenciamento de risco.

ISO/IEC 27006
Um guia para o processo de certificao/registro.

ISO/IEC 27799
Um guia para ilustrar como para proteger as informaes pessoais de
sade.

Dvidas

Gesto de Riscos

Ameaas e ataques
Objetivos e escopo
Anlise quantitativa
Anlise qualitativa
Mtodos

Ameaas e ataques

Ameaas e ataques

E o funcionrio? 3?

Ataques para obteno de


informaes
Dumpster diving ou Trashing
Revirar o lixo a procura de informaes;
Pode revelar informaes pessoais e confidenciais.
Engenharia Social
Tem como objetivo enganar e ludibriar pessoas;
Ataca o elo mais fraco da segurana: o usurio;
Normalmente o atacante se faz passar por um
funcionrio da empresa.

Anlise de Riscos

Gesto de Riscos de SI
Principais objetivos:
Identificar ativos e atribuir valores a eles;
Identificar vulnerabilidades e ameaas;
Quantificar o impacto das ameaas potenciais e
Proporcionar um equilbrio econmico entre o
impacto da risco e os custos das salvaguardas.

Gesto de Riscos de SI
Gesto do Risco de Informao (IRM Information Risk
Management), processo de:

Identificao,

Avaliao e

Reduo do risco para um nvel aceitvel por meio da

Implantao de mecanismos de controle

para manter esse nvel risco.

Gesto de Riscos de SI

O entendimento e definio do escopo deve ser


feito antes de uma anlise de risco ser realizada;

Incluir indivduos de diferentes departamentos


dentro da organizao, no apenas o pessoal
tcnico.

Gesto de Riscos de SI

Gesto de Riscos de SI

Anlise Quantitativa

A anlise de risco quantitativa tenta atribuir


valores monetrios aos componentes dentro da
anlise.

A anlise de risco puramente quantitativa no


possvel porque os itens qualitativos no podem
ser quantificados com preciso.

Anlise Quantitativa

Capturar o grau de incerteza quando da realizao


de uma anlise de risco importante, pois indica o
nvel de confiana da equipe e gesto deve ter nos
nmeros resultantes.

Anlise Quantitativa
Para determinar o valor da informao:
O custo para adquirir e desenvolver dados;
o custo e para manter proteger os dados;
o valor dos dados para os proprietrios, usurios e
adversrios;
o custo de substituio, se os dados so perdidos;
os outros preos esto dispostos a pagar para o dados;
oportunidades perdidas;
e a utilidade dos dados.

Anlise Qualitativa

Usa o julgamento e intuio em vez de nmeros;


Envolve as pessoas com a experincia para:
avaliao

de cenrios de ameaa,
classificando a probabilidade,
o potencial perda,
e severidade de cada ameaa,
com base na sua experincia pessoal.

Quantitativa X Qualitativa

A classificao qualitativa seria expressa em alto,


mdio ou baixo, ou numa escala de 1 a 5 ou 1 a 10.

Um resultado quantitativo seria expresso em dlar


valores e porcentagens.

Anlise Quantitativa

Anlise Qualitativa

Quantitativa X Qualitativa

Metodologias de
Anlise de Risco
NIST SP 800-30
Guide for Conducting Risk Assessments

FRAP
Facilitated Risk Analysis Process

Metodologias de
Anlise de Risco
OCTAVE
Operationally Critical Threat, Asset, and Vulnerability
Evaluation

AS/NZS ISO 31000:2009


Risk Management Principles and guidelines

FMEA
Esta abordagem provou ser um sucesso e tem sido
mais recentemente adaptada para uso na avaliao
das prioridades de gesto de risco e mitigao de
ameaas vulnerabilidades conhecidas.

FMEA

Anlise de Falhas

Matriz de Risco

Sumrio

Gesto de SI

Programa e modelo organizacional


Plano Diretor de Segurana da Informao
Poltica de Segurana
Frameworks

Gesto de Riscos de SI

Ameaas e ataques
Objetivos e escopo
Anlise quantitativa
Anlise qualitativa
Mtodos

You might also like