GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO: DA NORMA À PRÁTICA. William Bini

Transcrição

1 GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO: DA NORMA À PRÁTICA William Bini

2

3

4

5

6

7 Ele o jogo! Eleprecisa precisamudar agir rápido! Ele decide implantar um processo Gestão de O negócio da empresa está emdeperigo! Riscos de Segurança da Informação

8 Etapa 1 O Carlos decide desenvolver suas competências técnicas em Gestão de Riscos

9 Por onde ele começou? ISO Guide 73 Fornece as definições de termos genéricos relativos à gestão de riscos ISO Fornece diretrizes para o processo de gestão de riscos de segurança da informação ISO Fornece princípios e diretrizes genéricas para a gestão de riscos Não reinvente a roda...

10 Gerenciamos riscos diariamente... Fonte:

11 Componentes de Risco Ativo (Escopo) Ameaça Vulnerabilidad e Gestão de Riscos Incidente de Segurança Proteção (Controles) Probabilidade & Impacto

12 O que é RISCO? Risco = PROBABILIDADE de uma AMEAÇA explorar uma (ou várias) VULNERABILIDADE causando prejuízos (IMPACTO). Sua escala é dada por dois fatores: Probabilidade Consequência (Impacto) Risco = Probabilidade x Consequência

13 Exemplificando... Ameaça: Rocha com elevada potencial de causar dano) inclinação (tem Vulnerabilidade: Ausência de uma barreira de contenção (característica de fraqueza, de ausência ou falha de um controle) Ativo: Pessoas (o que tem valor) Escopo: Conjunto de pessoas expostas à ameaça (tem haver com a abrangência, o que é coberto pelo processo de gestão de riscos) Probabilidade: Chance de ocorrer o deslizamento da rocha (tem haver com a frequência + avaliação da vulnerabilidade) Consequência: Grave acidente envolvendo pessoas (tem haver com o impacto).

14 O processo de GRSIC Fonte: ABNT ISO 27005

15 Benefícios da Gestão de Riscos Melhora a tomada de decisão Decisões rastreáveis e consistentes Classificação dos riscos permite priorizar as ações Melhora a disposição dos recursos Condução de forma científica e baseada em dados Diminui a subjetividade Condução do riscos ao nível desejado Risco zero não existe

16 Etapa 2 Carlos inicia a implementação do processo de GRSIC Quais os passos que ele percorreu?

17 Definição do Contexto Prancheta do Carlos É a parte inicial e tem como objetivo conhecer o ambiente da organização. Modelar a organização Definir o propósito da GRSIC Estabelecer os critérios de riscos Definir os Papéis/Responsabilidades Definir o escopo do projeto de análise de risco Metas/Indicadores

18 Modelagem da Organização do Carlos Cliente A Brasília Rio de Janeiro Organização Cliente B São Paulo Ativos (Pessoas, processo, ambiente e tecnologia) Componentes de Negócios Perímetros (Localidade Física)

19 DICA DICAS Critérios de Riscos Avaliação

20 DICA DICAS Critérios de Riscos - Tratamento

21 DICA DICAS Declaração de Escopo Matriz RACI

22 DICA DICAS Avaliação de Maturidade Fonte:

23 Resultados do Questionário de avaliação de maturidade Ausência de processos documentados e formalizados de segurança da informação Baixo nível de conscientização em segurança da informação Os ativos de tecnologia que suportam os processos de negócio da empresa não seguem um padrão de configuração de segurança

24 1º Ciclo da GRSIC Os ativos de tecnologia que suportam os processos de negócio da empresa não seguem um padrão de configuração de segurança Para o 1º ciclo, Carlos decidiu focar nos ativos de tecnologia

25 Identificação de Riscos 1 2 Levantou as ameaças Levantou os controles Direcionou o foco nas ameaças mais comuns para o contexto dos ativos da empresa Observou o histórico de incidentes ocorridos na empresa Elaborou um checklist de controles de segurança aplicáveis ao contexto dos ativos a serem analisados Agrupou os controles por tipo, e associou às ameaças 3 Levantou as vulnerabilidades Verificou a situação de cada controle do checklist elaborado (implementado/não implementado/não aplicável)

26 DICAS Questionário de Risco Ativos Ameaças Controles Vulnerabilidade Desc. do Ativo Tipo de Ameaça Descrição da Ameaça Descrição do Controle Situação do Controle Descrição da Vulnerabilidade Servidor A Falhas técnicas Sistema de apoio P&D pouco confiável Realizar teste de software Não implementado Problemas de disponibilidade e integridade de informações sensíveis Servidor B Comprom etimento de funções Abuso de diretos de acesso Realizar teste de segurança Implementado Nenhuma

27 Estimativa de Riscos Estimou a consequência das ameaças Avaliar o impacto que a concretização da ameaça irá causar no(s) ativo(s) Estimou a probabilidade de ocorrência das ameaças Pode ser analisada, basicamente, através de dois fatores: frequência e vulnerabilidades Risco = Probabilidade x Consequência

28 Matriz de Riscos Escala de Risco Corrigir a tabela, os valores estão errado.

29 DICA DICAS Questionário de Risco Ativos Ameaças Controles Vulnerabilidades Probabilidade Impacto Nível de risco Desc. do Ativo Tipo de Ameaça Descrição da Ameaça Descrição do Controle Situação do Controle Descrição da Vulnerabilidade Valor Valor Risco Servidor A Falhas técnicas Sistema de apoio P&D pouco confiável Realizar teste de software Não implementado Problemas de disponibilidade e integridade de informações sensíveis Servidor B Comprometime nto de funções Abuso de diretos de acesso Realizar teste de segurança Implementado Nenhuma 1 5 5

30 Avaliação de Riscos Muito Alto Alto Médio Identificou os ativos de maior risco Classificou os riscos de acordo com os critérios de avaliação estabelecidos na definição do contexto. Priorizou os riscos serem tratados. a

31

32 Tratamento de Riscos Depois de estimado os riscos, o Carlos iniciou a fase de Tratamento de Riscos Reduzir o Risco Evitar o Risco Transferir o Risco Aceitar o Risco

33 Tratamento de Riscos Em conjunto com as áreas envolvidas, Carlos definiu as ações de tratamento, ou seja, os controles de segurança que serão implementados, para REDUZIR OS RISCOS aos PATAMARES ACEITÁVEIS pela empresa.

34 DICA DICAS Plano de Tratamento de Riscos Ativo: Servidores de Produção Ações de Tratamento Hardening dos SO Revisão das regras de Firewall Upgrade de versão do AV Teste de Segurança (Pen Test) Contratação de Anti-DDoS Prazo: 6 meses Responsável: Romário Supervisão: Carlos Aprovação: Diretoria

35 Carlos verificou que não há orçamento disponível para implementação de alguns controles. Ele decide compartilhar isto com a Diretoria, para uma tomada de decisão.

36 Aceitação de Riscos Quando não somos capazes de encontrar formas eficazes pra reduzir o risco, devemos simplesmente aceitar o risco. A aceitação do risco implica saber que ele existe e que não foi resolvido. Medidas compensatórias podem ser tomadas para amenizar um pouco os efeitos ou o nível desse risco. Deve ser justificado e formalizado, através do Termo de Aceite de Riscos.

37 DICA DICAS Termo de Aceite de Riscos Justificativa Aprovado por

38 Etapa 3 Resultados Alcançados

39

40 Estratégia de Segurança Maior visibilidade das ameaças e vulnerabilidades dos ativos que suportam o negócio da empresa. Visão estruturada dos controles de Segurança da Informação É possível agir de forma pró-ativa

41

42 Cultura de Segurança Estabelecer um Programa de Conscientização em Segurança da Informação

43

44 Melhoria Contínua Aferir os controles de segurança implementados Aumento do nível de maturidade em Segurança da Informação

45

46 Conformidade Diferencial competitivo no mercado Aderência às melhores práticas de segurança

47

48 Etapa 4 Monitoramento & Análise Crítica

49 Monitoramento do Riscos

50 Análise crítica Levantou Oportunidades de Melhorias Implementou ações preventivas e corretivas

51 Planejamento do novo ciclo Gestão Gestão De de Riscos Riscos

52 Após os resultados, Carlos decide tornar a Gestão de Riscos uma atividade regular na empresa

53

54 Contatos Créditos: Fotos por Victor1558 (Flickr) Formato da Palestra por Luiz Felipe Ferreira