ISO/IEC 27005

Exemplificada

Segurana Objetiva

Fernando Fonseca fernando@segurancaobjetiva.com

Agenda
Case: Vrus Funlove em grande rede Normas e a Srie 27000 Riscos

O Sistema de gesto da ISO 27005

Soluo Tiroteio de Cegos

Soluo A Arte da Guerra

Concluso
Segurana Objetiva

Case: Vrus Funlove em grande rede

Para ilustrar o processo de gesto de riscos segundo a ISO 27005, utilizaremos um case de uma empresa com presena em todo o Brasil e administraes regionais com relativa

independncia na tomada de decises.

A empresa possui um gerente de TI e um domnio em cada

regio do Brasil, mas todas as unidades (1 ou mais por estado)

so interligadas na mesma rede frame-relay

Segurana Objetiva

Normas
O que norma?

um documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou caractersticas para atividades

ou seus resultados, visando obteno de um grau timo de

ordenao em um dado contexto.
Definio internacional - Fonte: ABNT
Segurana Objetiva

Srie ISO 27000

Norma 27000 Viso Geral e Vocabulrio 27001 Requisitos de Sistemas de Gesto de Segurana da Informao Descrio Estgio FDIS Publicada 2005

27002 Cdigo de prtica para Gesto da Segurana da Informao Diretrizes para Implementao de Sistemas de Gesto de 27003 Segurana da Informao
27004 Mtricas de Sistemas de Gesto de Segurana da Informao 27005 Gesto de Riscos de Segurana da Informao Requisitos para Acreditao das Partes - Sistemas de Gesto 27006 de Segurana da Informao Diretrizes para auditar Sistemas de Gesto de Segurana da 27007 Informao

Publicada 2005
DIS DIS Publicada 2008 Publicada 2007 WD

Segurana Objetiva

Riscos
Risco o efeito da incerteza nos objetivos. ISO Guide 73
Uma expectativa de perda expressada como a

probabilidade de que uma ameaa em particular ir

explorar uma vulnerabilidade em particular com um

resultado danoso em particular.

RFC 2828 (Internet Security Glossary)

Segurana Objetiva

Percepo de Risco
Maneira como a parte envolvida percebe o risco
A percepo reflete as necessidades, problemas e

conhecimento da parte envolvida.

A percepo de um risco pode diferir dos dados reais e objetivos relacionados a este risco.

Segurana Objetiva

Definio do Contexto
Entrada: Todas as informaes relevantes Definio de escopo e limites Coleta de dados

Segurana Objetiva

Escopo
Conjunto de ativos, ameaas e vulnerabilidades que

sero cobertos pelo Sistema de Gesto de Risco

Segurana Objetiva

Coleta de Dados
Coletar atravs dos questionrios,

entrevistas e outras ferramentas

informaes sobre o ambiente,

ameaas, protees existentes

Segurana Objetiva

Sistema de gesto da ISO 27005

Atividades de anlise/avaliao podem ser realizadas mais de uma vez Atividades de tratamento tambm
Definio do Contexto Monitoramento e Anlise Crtica de Riscos

Anlise/Avaliao de Riscos Anlise de Riscos

Identificao de Riscos Estimativa de Riscos Comunicao do Risco

Avaliao de Riscos
Ponto de deciso 1 Avaliao Satisfatria? No Sim

Tratamento do Risco
Ponto de deciso 2 Tratamento Satisfatrio?
No Sim

Segurana Objetiva

Aceitao do Risco

Anlise/Avaliao de Riscos
Identificao dos Riscos Estimativa de Riscos Avaliao de Riscos
Definio do Contexto

Anlise/Avaliao de Riscos Anlise de Riscos

Identificao de Riscos Estimativa de Riscos

Avaliao de Riscos

Segurana Objetiva

Tratamento do Risco
Iniciado somente se a avaliao for satisfatria Utiliza a ao definida na avaliao de riscos
Reduzir o Risco
Ponto de deciso 1 Avaliao Satisfatria? No Sim

Tratamento do Risco
Opes de Tratamento do Risco

Reter do Risco

Evitar o Risco

Transferir o Risco

Riscos Residuais

Ponto de deciso 2 Tratamento Satisfatrio?

No Sim

Aceitao do Risco

Segurana Objetiva

Tempos de paz

Segurana Objetiva

Tempos de paz
Critrios de impacto:
Impacto? Isso no vai acontecer, fique tranquilo... Aceitao de riscos: Se acontecer algo, a culpa do gerente de TI.

Segurana Objetiva

Tiroteio de Cegos

Segurana Objetiva

Tiroteio de Cegos
Definio do Contexto:
Escopo: estaes e servidores da rede Windows Aproximadamente 10.000 estaes (a maioria Windows 95 e 98) e 500 servidores Windows NT 4.0 .

Segurana Objetiva

Tiroteio de Cegos
Definio do Contexto:
Apesar de usarmos um antivrus X, estamos com uma infeco em 80% do parque de estaes pelo vrus Funlove;

Nota: A Infeco persiste por mais de um ms

Segurana Objetiva

Tiroteio de Cegos
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de gerenciamento e considerado mediano por especialistas Vulnerabilidades: Antivrus no consegue bloquear ataque do

Funlove

Segurana Objetiva

Tiroteio de Cegos
Opo de tratamento: Erradicar o vrus
Fazer um mutiro, desconectar
Ponto de deciso 1 Avaliao Satisfatria? Sim

Tratamento do Risco
Opes de Tratamento do Risco

todas estaes no Brasil e

desinfet-las offline.

Reduzir o Risco Erradicar o vrus atravs de mutiro

Riscos Residuais

Ponto de deciso 2 Tratamento Satisfatrio?

No Sim

Aceitao do Risco

Segurana Objetiva

Tiroteio de Cegos
Tratamento do risco
Aps um final de semana com pessoas em todas as cidades do Brasil, todas as
Definio do Contexto

estaes e servidores foram limpas

Tratamento no satisfatrio
Nova infeco em nvel nacional dias
depois
Tratamento do Risco
Ponto de deciso 2 Tratamento Satisfatrio? Sim No

Segurana Objetiva

Aceitao do Risco

Tiroteio de Cegos
Redefinio do Contexto:
Apesar do mutiro, o vrus persiste na rede. O Antivrus incapaz de proteger as estaes

Segurana Objetiva

Tiroteio de Cegos
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de gerenciamento e considerado medocre pela crtica Vulnerabilidades: Antivrus no consegue bloquear ataque do

Funlove

Segurana Objetiva

Tiroteio de Cegos
Tratamento do risco
Substituir o Antivrus
Ponto de deciso 1 Avaliao Satisfatria? Sim

Tratamento do Risco
Opes de Tratamento do Risco

Reduzir o Risco Erradicar o vrus atravs de mutiro

Riscos Residuais

Ponto de deciso 2 Tratamento Satisfatrio?

No Sim

Aceitao do Risco

Segurana Objetiva

Tiroteio de Cegos
Tratamento do risco
Definio do Contexto

Cada regional iniciou um processo emergencial de compra, sendo que algumas optaram pelo fabricante y e outros pelo z.

Tratamento no satisfatrio
Os novos antivrus no evitaram a propagao do vrus.
Segurana Objetiva
Tratamento do Risco
Ponto de deciso 2 Tratamento Satisfatrio? Sim No

Aceitao do Risco

A Arte da Guerra
Conhea seu inimigo

Segurana Objetiva

A Arte da Guerra
Redefinio do Contexto:
Uma regional resolveu manter o antivrus x e estudar o agente de ameaa: O vrus Funlove;

Parque com milhares de estaes Windows 95 e 98

compartilhando dados entre si sem controle de acesso adequado; Vrus com caractersticas de Worm infectando executveis atravs de compartilhamentos
Segurana Objetiva

Tiroteio de Cegos
Anlise/Avaliao:
Ameaa: perda de dados e indisponibilidade.
Controles existentes: Antivrus sem console de gerenciamento e considerado medocre pela crtica Vulnerabilidades: Compartilhamentos;

Alta probabilidade de novos vrus atacarem a mesma

vulnerabilidade comum payload mais destrutivo.

Segurana Objetiva

A Arte da Guerra
Plano de tratamento
Instalar um file server com Windows 2000 e proibir o compartilhamento de pastas em estaes.

Alterar permisses NTFS em todos executveis em pastas

compartilhadas, deixando direito de escrita somente nos arquivos de dados. Ex: DBF

Segurana Objetiva

A Arte da Guerra
Tratamento do risco
Instalao do File Server Busca de compartilhamentos na rede

Transferncia dos programas para o File Server

Atribuio de permisses NTFS adequadas

Monitorar compartilhamentos na rede

Palestra de conscientizao
Segurana Objetiva

A Arte da Guerra
Tratamento Satisfatrio
A Regional conseguiu praticamente eliminar o vrus de suas estaes, e apesar disso continuava a receber tentativas de

infeco vindas de outras regionais

Soluo foi replicada para outras regionais

Tratamento do Risco
Ponto de deciso 2 Tratamento Satisfatrio? Sim

Segurana Objetiva

Aceitao do Risco

A Arte da Guerra
Aceitao do Risco
Risco Residual: Alguns usurios poderiam contrariar a nova
Comunicao do Risco

poltica, compartilhar pastas em

seu Windows, e ser infectado antes que a rea de TI agisse. O Risco foi considerado aceitvel

Tratamento do Risco
Ponto de deciso 2 Tratamento Satisfatrio? Sim

Segurana Objetiva

Aceitao do Risco

Concluso

Segurana Objetiva

Concluso
Vrus poderia ser eliminado (eficcia) com custo muito

menor (eficincia) se fosse feita uma anlise de risco

visando entender as ameaas e vulnerabilidades

Aps o tratamento adequado a organizao ficou imune

a vrus semelhantes porm mais agressivos como o

Ninda e o Sircan
Segurana Objetiva

Dvidas?

Segurana Objetiva

Fernando Fonseca fernando@segurancaobjetiva.com