gestão de riscos e fraudes - segurança da informação (dia 2)
DESCRIPTION
Apresentação das aulas de gestão de risco e de processos de segurança da informação.TRANSCRIPT
-
SEGURANA DA INFORMAO
Prof. Marcif, CISSP, CISA
-
Reviso
Introduo
Desafios, fundamentos, ameaas e contramedidas
Normatizao e prticas
Gesto da SI
Gesto de Riscos
-
Plano
Introduo
Desafios
Fundamentos
Ameaas
Contramedidas
Normatizao e prticas
Gesto da SI
Gesto de Riscos
-
Desafios
Informao: Ativo cada vez mais valorizado
Crescimento da dependncia
Viso holstica do risco
Receita explosiva
Anatomia do problema
-
Desafios
Nuvem
Virtualizao
BYOD
Complexidade
Ataques avanados persistentes e direcionados
-
Segurana da Informao
Como proteger informaes
Relao custo X valor da informao
Security Officer e seu time
Valores financeiros X imagem ou reputao
Tecnologia x Processos x Pessoas x Estratgia
-
Segurana da Informao
Cyber-bullying
Responsabilidades de Segurana da Informao
Compartilhamento de senhas
Segredos
Realidade atual
Phishing
Pen drives
-
Fundamentos
Controles Administrativos
Fsicos
Tcnicos
Exemplos Senhas
Guardas
Auditorias
Que mais?
-
Fundamentos
Objetivos (CIA) Confidencialidade (Confidentiality)
Integridade (Integrity)
Disponibilidade (Availability)
Exemplos Arquivo corrompido
Queda da linha de comunicao
Senha em post-it junto a tela ou teclado
Que mais?
-
Fundamentos
Disponibilidade X Resilincia
Autenticidade
No-repdio
-
Riscos
-
Ameaas
Cdigos maliciosos
Vrus
Trojan
Worms
Bots
APTs
Pirataria
-
Tcnicas de Defesa
Controles de Acesso
Antivrus
Criptografia
Configurao segura Hardening
Patches
Firewalls
DMZ
Segurana Fsica
-
Tcnicas de Defesa
Varreduras
Testes de invaso
Anlise de cdigo
Monitorao
IDS x IPS
Logs
-
Resilincia
Backups
Redundncia
Documentao
Planos de recuperao de desastres e continuidade
Simulao de testes
-
Riscos e Componentes de Segurana da Informao
-
Reforando conceitos
AMEAA (THREAT)
A ameaa a possibilidade de que algum ou alguma coisa explorar uma vulnerabilidade, intencional ou acidentalmente, e causar dano a um bem.
-
Reforando conceitos
VULNERABILIDADE (VULNERABILITY)
Uma vulnerabilidade a ausncia de uma salvaguarda (em outras palavras, uma fraqueza) que pode ser explorada.
-
Reforando conceitos
RISCO (RISK)
Um risco a probabilidade de um agente de ameaa explorar uma vulnerabilidade e o potencial de perda da ao.
O risco pode ser transferido (seguro), evitado, reduzido, ou aceito.
Reduzir vulnerabilidades e/ou ameaas reduz o risco.
-
Reforando conceitos
RISCO (RISK)
Ameaas vulnerabilidade valor patrimonial = risco total
Ameaas ( vulnerabilidade valor patrimonial) controla gap = risco residual
-
Reforando conceitos
ATIVO (ASSET)
Identificao de ativos deve incluir ativos tangveis (instalaes e hardware) e ativos intangveis (dados corporativos e reputao).
-
Reforando conceitos
SALVAGUARDA (SAFEGUARD)
Contramedida, tambm chamada de salvaguarda, atenua (mitiga) o risco.
Garantia um grau de confiana que certo nvel de segurana oferece.
Ao escolher a salvaguarda para reduzir um risco especfico, o custo, funcionalidade e eficcia devem ser avaliadas e uma anlise de custo / benefcio realizada.
-
Reforando conceitos
CONTROLES
Uma medida preventiva pode ser um aplicativo, configurao de software, hardware, ou um procedimento.
Se algum est praticando o devido cuidado, est agindo de forma responsvel e ter uma menor probabilidade de ser pego agindo de forma negligente e ser responsabilizado por uma quebra de segurana que ocorrer.
Least privilege
-
Hoje
Gesto de SI Programa e modelo organizacional Plano Diretor de Segurana da Informao Poltica de Segurana Frameworks
Gesto de Riscos de SI Ameaas e ataques Objetivos e escopo Anlise quantitativa Anlise qualitativa Mtodos
-
Dvidas
-
Administrao X Riscos
-
Modelo Organizacional
-
Programa de Segurana da Informao
-
Desenvolvimento do Programa de Segurana
-
Gesto de SI
-
Gesto de SI
Gesto ou governana de segurana deve trabalhar de cima para baixo (alta administrao s equipes).
Governana o conjunto de responsabilidades e prticas exercidas pelo conselho e gesto executiva com o objetivo de: fornecer orientao estratgica para assegurar que sejam
alcanados os objetivos;
determinar que os riscos so geridos apropriadamente;
e verificando que os recursos da empresa so utilizados de forma responsvel.
-
Gesto de SI
O modelo de segurana que uma empresa deve escolher depende do tipo de negcio, suas misses crticas e os seus objetivos.
O programa de segurana deve ser integrado com os objetivos de negcios atuais.
Gesto deve definir o mbito e objetivo da gesto de segurana, prestar apoio, nomear uma equipe de segurana, delegar responsabilidades e avaliar os resultados da equipe.
-
Gesto de SI
Um elemento-chave durante o processo de planejamento de segurana inicial definir relaes hierrquicas.
-
Poltica de Segurana
-
Poltica de Segurana
A poltica de segurana uma declarao da administrao ditando o papel de segurana desempenha na organizao.
A norma especifica como hardware e software esto a ser utilizados. As normas so obrigatrias.
Os procedimentos so aes detalhadas passo-a-passo que devem ser seguidos para alcanar uma determinada tarefa.
-
Poltica de Segurana
A poltica de segurana uma declarao da administrao ditando o papel de segurana desempenha na organizao.
A norma especifica como hardware e software esto a ser utilizados. As normas so obrigatrias.
Os procedimentos so aes detalhadas passo-a-passo que devem ser seguidos para alcanar uma determinada tarefa.
-
Poltica de Segurana
-
Poltica de Segurana
Um baseline o nvel mnimo de segurana;
Diretrizes so recomendaes e orientaes gerais que fornecem conselhos e flexibilidade.
-
Responsabilidades
Gesto Executiva
O Chief Security Officer
Comit de SI
O proprietrio dos dados
O Depositrio de Dados ou Custodiante
O Proprietrio da Aplicao
O Administrador de Segurana
O Analista de Segurana
O Analista de Controle de Mudana
-
Responsabilidades
O guardio de dados (custodiante das informaes) responsvel pela manuteno e proteo de dados.
Um analista de segurana funciona em um nvel estratgico e ajuda a desenvolver polticas, normas e diretrizes, e tambm define vrias linhas de base.
Os proprietrios de aplicativos so responsveis por ditar quem pode e quem no pode acessar as suas aplicaes, bem como o nvel de proteo destas aplicaes fornecem para os dados que processam e para a sociedade.
-
Responsabilidades RH
Prticas de Contratao
Controles de Funcionrio
Desligamentos
Capacitao
Job rotation um controle para detectar a fraude.
Frias obrigatrias so o tipo de controle que podem ajudar a detectar atividades fraudulentas.
-
Controles Administrativos
Separao de funes garante que nenhuma pessoa tenha o controle total sobre uma atividade ou tarefa;
Conhecimento compartilhado e dupla custdia so dois aspectos da separao de funes.
-
Controles Administrativos
Classificao dos dados
Os dados so classificados para atribuir prioridades aos dados e garantir o nvel adequado de proteo;
Proprietrios de dados especificam a classificao de dados.
-
Controles Administrativos
Classificao dos dados
Pblicos
Internos
Restritos
Confidenciais
-
Controles Administrativos
Separao de funes garante que nenhuma pessoa tenha o controle total sobre uma atividade ou tarefa;
Conhecimento compartilhado e dupla custdia so dois aspectos da separao de funes.
-
Padres / Frameworks
-
Padres / Frameworks
-
Padres / Frameworks
ISO/IEC 27001 Com base na norma britnica BS7799 Parte 2, que criao, implementao, controle e melhoria do Sistema de Gesto de Segurana da Informao.
ISO/IEC 27002 Cdigo de prtica de aconselhamento de boas prticas sobre ISMS (anteriormente conhecido como ISO 17799), baseou-se na norma britnica BS 7799 Parte 1.
-
Padres / Frameworks
ISO/IEC 27004 Um padro para mtricas de gesto de segurana da informao.
ISO/IEC 27005 Projetado para auxiliar a execuo satisfatria da segurana da informao com base em uma abordagem de gerenciamento de risco.
ISO/IEC 27006 Um guia para o processo de certificao/registro.
ISO/IEC 27799 Um guia para ilustrar como para proteger as informaes pessoais de sade.
-
Dvidas
-
Gesto de Riscos
Ameaas e ataques
Objetivos e escopo
Anlise quantitativa
Anlise qualitativa
Mtodos
-
Ameaas e ataques
-
Ameaas e ataques
-
E o funcionrio? 3?
-
Ataques para obteno de informaes
Dumpster diving ou Trashing
Revirar o lixo a procura de informaes;
Pode revelar informaes pessoais e confidenciais.
Engenharia Social
Tem como objetivo enganar e ludibriar pessoas;
Ataca o elo mais fraco da segurana: o usurio;
Normalmente o atacante se faz passar por um funcionrio da empresa.
-
Anlise de Riscos
-
Gesto de Riscos de SI
Principais objetivos:
Identificar ativos e atribuir valores a eles;
Identificar vulnerabilidades e ameaas;
Quantificar o impacto das ameaas potenciais e
Proporcionar um equilbrio econmico entre o impacto da risco e os custos das salvaguardas.
-
Gesto de Riscos de SI
Gesto do Risco de Informao (IRM Information Risk Management), processo de:
Identificao,
Avaliao e
Reduo do risco para um nvel aceitvel por meio da
Implantao de mecanismos de controle
para manter esse nvel risco.
-
Gesto de Riscos de SI
O entendimento e definio do escopo deve ser feito antes de uma anlise de risco ser realizada;
Incluir indivduos de diferentes departamentos dentro da organizao, no apenas o pessoal tcnico.
-
Gesto de Riscos de SI
-
Gesto de Riscos de SI
-
Anlise Quantitativa
A anlise de risco quantitativa tenta atribuir valores monetrios aos componentes dentro da anlise.
A anlise de risco puramente quantitativa no possvel porque os itens qualitativos no podem ser quantificados com preciso.
-
Anlise Quantitativa
Capturar o grau de incerteza quando da realizao de uma anlise de risco importante, pois indica o nvel de confiana da equipe e gesto deve ter nos nmeros resultantes.
-
Anlise Quantitativa
Para determinar o valor da informao:
O custo para adquirir e desenvolver dados;
o custo e para manter proteger os dados;
o valor dos dados para os proprietrios, usurios e adversrios;
o custo de substituio, se os dados so perdidos;
os outros preos esto dispostos a pagar para o dados;
oportunidades perdidas;
e a utilidade dos dados.
-
Anlise Qualitativa
Usa o julgamento e intuio em vez de nmeros;
Envolve as pessoas com a experincia para:
avaliao de cenrios de ameaa,
classificando a probabilidade,
o potencial perda,
e severidade de cada ameaa,
com base na sua experincia pessoal.
-
Quantitativa X Qualitativa
A classificao qualitativa seria expressa em alto, mdio ou baixo, ou numa escala de 1 a 5 ou 1 a 10.
Um resultado quantitativo seria expresso em dlar valores e porcentagens.
-
Anlise Quantitativa
-
Anlise Qualitativa
-
Quantitativa X Qualitativa
-
Metodologias de Anlise de Risco
NIST SP 800-30
Guide for Conducting Risk Assessments
FRAP
Facilitated Risk Analysis Process
-
Metodologias de Anlise de Risco
OCTAVE
Operationally Critical Threat, Asset, and Vulnerability Evaluation
AS/NZS ISO 31000:2009
Risk Management Principles and guidelines
-
FMEA
Esta abordagem provou ser um sucesso e tem sido mais recentemente adaptada para uso na avaliao das prioridades de gesto de risco e mitigao de
ameaas vulnerabilidades conhecidas.
-
FMEA
-
Anlise de Falhas
-
Matriz de Risco
-
Sumrio
Gesto de SI Programa e modelo organizacional Plano Diretor de Segurana da Informao Poltica de Segurana Frameworks
Gesto de Riscos de SI Ameaas e ataques Objetivos e escopo Anlise quantitativa Anlise qualitativa Mtodos