Professional Documents
Culture Documents
Exemplificada
Segurana Objetiva
Agenda
Case: Vrus Funlove em grande rede Normas e a Srie 27000 Riscos
Segurana Objetiva
Normas
O que norma?
um documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou caractersticas para atividades
27002 Cdigo de prtica para Gesto da Segurana da Informao Diretrizes para Implementao de Sistemas de Gesto de 27003 Segurana da Informao
27004 Mtricas de Sistemas de Gesto de Segurana da Informao 27005 Gesto de Riscos de Segurana da Informao Requisitos para Acreditao das Partes - Sistemas de Gesto 27006 de Segurana da Informao Diretrizes para auditar Sistemas de Gesto de Segurana da 27007 Informao
Publicada 2005
DIS DIS Publicada 2008 Publicada 2007 WD
Segurana Objetiva
Riscos
Risco o efeito da incerteza nos objetivos. ISO Guide 73
Uma expectativa de perda expressada como a
Segurana Objetiva
Percepo de Risco
Maneira como a parte envolvida percebe o risco
A percepo reflete as necessidades, problemas e
Segurana Objetiva
Definio do Contexto
Entrada: Todas as informaes relevantes Definio de escopo e limites Coleta de dados
Segurana Objetiva
Escopo
Conjunto de ativos, ameaas e vulnerabilidades que
Segurana Objetiva
Coleta de Dados
Coletar atravs dos questionrios,
Segurana Objetiva
Avaliao de Riscos
Ponto de deciso 1 Avaliao Satisfatria? No Sim
Tratamento do Risco
Ponto de deciso 2 Tratamento Satisfatrio?
No Sim
Segurana Objetiva
Aceitao do Risco
Anlise/Avaliao de Riscos
Identificao dos Riscos Estimativa de Riscos Avaliao de Riscos
Definio do Contexto
Avaliao de Riscos
Segurana Objetiva
Tratamento do Risco
Iniciado somente se a avaliao for satisfatria Utiliza a ao definida na avaliao de riscos
Reduzir o Risco
Ponto de deciso 1 Avaliao Satisfatria? No Sim
Tratamento do Risco
Opes de Tratamento do Risco
Reter do Risco
Evitar o Risco
Transferir o Risco
Riscos Residuais
No Sim
Aceitao do Risco
Segurana Objetiva
Tempos de paz
Segurana Objetiva
Tempos de paz
Critrios de impacto:
Impacto? Isso no vai acontecer, fique tranquilo... Aceitao de riscos: Se acontecer algo, a culpa do gerente de TI.
Segurana Objetiva
Tiroteio de Cegos
Segurana Objetiva
Tiroteio de Cegos
Definio do Contexto:
Escopo: estaes e servidores da rede Windows Aproximadamente 10.000 estaes (a maioria Windows 95 e 98) e 500 servidores Windows NT 4.0 .
Segurana Objetiva
Tiroteio de Cegos
Definio do Contexto:
Apesar de usarmos um antivrus X, estamos com uma infeco em 80% do parque de estaes pelo vrus Funlove;
Segurana Objetiva
Tiroteio de Cegos
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de gerenciamento e considerado mediano por especialistas Vulnerabilidades: Antivrus no consegue bloquear ataque do
Funlove
Segurana Objetiva
Tiroteio de Cegos
Opo de tratamento: Erradicar o vrus
Fazer um mutiro, desconectar
Ponto de deciso 1 Avaliao Satisfatria? Sim
Tratamento do Risco
Opes de Tratamento do Risco
Riscos Residuais
No Sim
Aceitao do Risco
Segurana Objetiva
Tiroteio de Cegos
Tratamento do risco
Aps um final de semana com pessoas em todas as cidades do Brasil, todas as
Definio do Contexto
Tratamento no satisfatrio
Nova infeco em nvel nacional dias
depois
Tratamento do Risco
Ponto de deciso 2 Tratamento Satisfatrio? Sim No
Segurana Objetiva
Aceitao do Risco
Tiroteio de Cegos
Redefinio do Contexto:
Apesar do mutiro, o vrus persiste na rede. O Antivrus incapaz de proteger as estaes
Segurana Objetiva
Tiroteio de Cegos
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de gerenciamento e considerado medocre pela crtica Vulnerabilidades: Antivrus no consegue bloquear ataque do
Funlove
Segurana Objetiva
Tiroteio de Cegos
Tratamento do risco
Substituir o Antivrus
Ponto de deciso 1 Avaliao Satisfatria? Sim
Tratamento do Risco
Opes de Tratamento do Risco
Riscos Residuais
No Sim
Aceitao do Risco
Segurana Objetiva
Tiroteio de Cegos
Tratamento do risco
Definio do Contexto
Cada regional iniciou um processo emergencial de compra, sendo que algumas optaram pelo fabricante y e outros pelo z.
Tratamento no satisfatrio
Os novos antivrus no evitaram a propagao do vrus.
Segurana Objetiva
Tratamento do Risco
Ponto de deciso 2 Tratamento Satisfatrio? Sim No
Aceitao do Risco
A Arte da Guerra
Conhea seu inimigo
Segurana Objetiva
A Arte da Guerra
Redefinio do Contexto:
Uma regional resolveu manter o antivrus x e estudar o agente de ameaa: O vrus Funlove;
Tiroteio de Cegos
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de gerenciamento e considerado medocre pela crtica Vulnerabilidades: Compartilhamentos;
Segurana Objetiva
A Arte da Guerra
Plano de tratamento
Instalar um file server com Windows 2000 e proibir o compartilhamento de pastas em estaes.
Segurana Objetiva
A Arte da Guerra
Tratamento do risco
Instalao do File Server Busca de compartilhamentos na rede
A Arte da Guerra
Tratamento Satisfatrio
A Regional conseguiu praticamente eliminar o vrus de suas estaes, e apesar disso continuava a receber tentativas de
Tratamento do Risco
Ponto de deciso 2 Tratamento Satisfatrio? Sim
Segurana Objetiva
Aceitao do Risco
A Arte da Guerra
Aceitao do Risco
Risco Residual: Alguns usurios poderiam contrariar a nova
Comunicao do Risco
Tratamento do Risco
Ponto de deciso 2 Tratamento Satisfatrio? Sim
Segurana Objetiva
Aceitao do Risco
Concluso
Segurana Objetiva
Concluso
Vrus poderia ser eliminado (eficcia) com custo muito
Dvidas?
Segurana Objetiva