apresentação octave

Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 1/22

OCTAVEOperationally Critical Threat, Asset

and Vulnerability Evaluation

Avaliação Operacional Crítica de Ameaças, Ativos e Vulnerabilidades

André Aparecido de Melo Leonel Dasso

Visão Geral1. O que é OCTAVE?2. Objetivos do OCTAVE3. Segurança Dentro das Organizações4. Filosofia da Segurança OCTAVE5. Principais Características6. Funções da Equipe de Análise7. Onde começar?8. Como Funciona?9. Vida Após o OCTAVE10. Referencias


O que é OCTAVE?

• OCTAVE é uma técnica de avaliação de riscos e de melhoria estratégica da segurança.

• Foi criada pela Carnegie Mellon University, EUA.• Foca nos aspectos tecnológicos e

organizacionais da empresa.• Avalia o dia-a-dia do uso da infraestrutura

computacional da organização.


O que é OCTAVE?

• Captura, analisa o e aprimora conhecimento da práticas de segurança de uma organização.

• Os riscos dos recursos mais importantes da organização são usados como parâmetro de aprimoramento destas práticas;


Framework Gerencianento dos Riscos da Informação


Método OCTAVE como AvaliaçãoUma avaliação sobre os riscos da informação é parte integral do programa de gerenciamento de segurança da organização.


Objetivo do OCTAVEPlanejar como aplicar boas práticas de segurança para resolver vulnerabilidades tecnológicas/técnicas e organizacionais que poderiam impactar criticamente seus ativos.

Vulnerabilidades organizacionais:Pontos fracos da política ou prática de segurança que podem resultar em ações não-autorizadas.

Vulnerabilidades técnicas:Deficiências na infra-estrutura de tecnologia que podem levar diretamente para ações não-autorizadas.


Segurança Dentro das OrganizaçõesPráticas de segurança:- Organizacionais- TécnicasPessoal Envolvido:- Equipe de TI- Equipe operacional- Gerentes- Provedores de serviço- Parceiros


Segurança Dentro das Organizações

Fontes das ameaças:- Pessoas dentro organização;- Pessoas fora da organização;- Problemas no sistema;- Outros problemas;


Filosofia de Segurança do OCTAVE

- É impossível prever e mitigar todos os riscos a segurança da informação;- Orçamento, tempo e pessoa são limitados;- Buscar melhor uso-benefício dos recursos

disponíves.


Diferenças


OCTAVE Outros MétodosAvaliação da OrganizaçãoFoco nas Práticas de SegurançaAbordagem EstratégicaAuto-Dirigida

Avaliação no SistemaFoco na TecnologiaAbordagem TáticaNecessitade de Expert

Principais Características- Uma equipe da própria empresa (equipe de análise)

lidera avaliação;

- Tanto a perspectivas do negócio quanto quanto a estrutura de TI são são avaliadas como fator global nas políticas de segurança;

- Auto-dirigida: As próprias pessoas da organização realizam avaliação;


Onde começar?

O que você precisa para proteger? (Ativos ou Informações)

O que uma falha pode causar? (Impacto na organização)

Quais vulnerabilidades existem em seu ambiente? (Organizacionais e/ou tecnológicas)

Quanto proteção que você pode pagar? (Recursos e orçamento)


Funções da Equipe de Análise- Identificar e relacionar informações de ativos que são

importantes para organização;- Focar a análise nos ativos mais importantes;- Relacionar as vulnerabilidades e ameaças que afetam

estes ativos;- Buscar na avalição sempre o contexto operacional;- Criar planos estratégicos práticos de mitigação e

proteção aos riscos de segurança.


Como Funciona?

O Método OCTAVE se devolve em três fases:

Fase 1- Criação de Perfis de Ameaças Baseados nos Ativos Identificados: - Importantes ativos identificados; - O que é feito para proteger estes ativos; - Os requerimentos de segurança que estes ativos precisam são identificados.


Como Funciona?

Fase 2- Identificação das Vulnerabilides de Infraestrutura: - Importantes ativos identificados; - O que é feito para proteger estes ativos; - Os requerimentos de segurança que estes ativos precisam são identificados.


Como Funciona?

Fase 3- Desenvolvimento de Planos e Estratégias: - Identifica os riscos a ativos críticos; - Desenvolvimento dos planos estratégicos de mitigação das ameaças baseando-se no que foi avaliado nas etapas anteriores.


Como Funciona?


Estratégia de Proteção

Plano de Mitigação

Lista de Ações

Resultados

Define a direção da organização

Planos desenhados para redução de

riscos

Ações de curto-prazo


Vida Após o OCTAVE- Melhorias são feitas;- Progresso é monitorado;- Riscos são re-avaliados e planos são

reajustados;- Novos ativos críticos são analizados;- Periodicamente repetir o OCTAVE.


DÚVIDAS ?


Referências:

1. International Standards Organization (ISO), Information Technology – Security Techniques – Information Security Management Systems - Requirements, (1stedition) ISO/IEC Publications, Switzerland, 2005.

2. OCTAVE Method Implementation Guide V ersion 2.0.

3. OCTAVE S Implementation Guide, V ersion 1 .0


apresentação octave

Documents