Gerenciamento de Riscos em Segurança da informação.

Save this PDF as:

WORD PNG TXT JPG

Tamanho: px

Começar a partir da página:

Download "Gerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br"

Samuel Sousa Diegues
2 Há anos
Visualizações:

Transcrição

1 $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR Gerenciamento de Riscos em Segurança da informação

)$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR Gerenciamento de

2 Introdução Não podemos listar os diversos riscos associados aos aspectos de negócio, mas prover ajuda na preparação de um sistema de gestão de riscos dentro da organização. A pró-atividade no tratamento dos riscos vem ao longo do tempo demonstrando cada vez mais a minimização das ameaças e incertezas que se torna mais efetiva com a antecipação do problema. Os riscos podem ter conseqüências que podem variar da mais impactante para menos significante, porém, nenhum risco pode ser negligenciado, mesmo que a decisão final seja aceitá-lo.

A pró-atividade no tratamento dos riscos vem ao longo do tempo demonstrando cada vez mais a minimização das ameaças e incertezas que

3 Fatores externos que influenciam a operacionalização de riscos (FRQ{PLFRV fatos relacionados a competição, movimentos de mercado, condições macro ou micro-econômicas; $PELHQWDLV situações relacionadas a desastres naturais; 3ROtWLFRV cenário político do país, guerra, terrorismo, nova legislação, etc.; 7HFQROyJLFRV evolução da tecnologia que impacte em mudança de processos e/ou cultura, deficiências na geração das informações ou a adequação das modificações nos sistemas de informação;,qiudhvwuxwxud custos inesperados de evolução, manutenção,ou incapacidade dos equipamentos suprirem a demanda; 3HVVRDV aumento no número de acidentes pessoais, erros humanos ou propensão a comportamentos fraudulentos; 4XDOLGDGHdeficiências na cadeia produtiva dos produtos, atrasos dos serviços ou prazo de entrega.

; 7HFQROyJLFRV evolução da tecnologia que impacte em mudança de processos e/ou cultura, deficiências na geração das informações ou a adequação das modificações nos sistemas de

4 Conceitos importantes Gestão de riscos:programa que define os conceitos e práticas para monitoramento e tratamento de riscos de ambiente, sendo operacionalizado por políticas e processos; Risco: trata-se de um possível evento/ação que, se efetivado, gera um impacto negativo, em função da exploração da fraqueza/vulnerabilidade, considerando tanto a probabilidade quanto o impacto de ocorrência; Impacto: resultado ou efeito decorrentes da materialização do risco; Exposição: resultados possíveis decorrentes da ocorrência de riscos;

impacto negativo, em função da exploração da fraqueza/vulnerabilidade, considerando tanto a probabilidade quanto o impacto de

5 Conceitos importantes Causa: principal fator interno ou externo que resulta em um risco; Conformidade:cumprimento de regulamentos e normas internas e externas à organização; Control self-assessment: processo de diagnóstico realizado pelo próprio gestor do processo ou controle, de forma a identificar e conhecer suas fragilidades e necessidades de melhoria; Controles internos:conjunto de atividades de controle que suportam os processos e operações da organização, criadas para garantir a efetividade das operações e eventuais regulamentos e normas internas e externas da organização; Métricas: conjunto de medidas, através dos quais a Gestão de Riscos pode ser mensurada.

e necessidades de melhoria; Controles internos:conjunto de atividades de controle que suportam os processos e operações da organização, criadas para garantir a

6 Responsabilidades da Gestão Definir as políticas de gestão de riscos, processos operacionais e, o principal, a missão e os objetivos dessa gestão na organização; Suportar e capacitar a implementação e manutenção das políticas, processos e procedimentos de gestão de riscos; Identificar os riscos e criar planos de ação para minimizá-los; Melhorar a estrutura de controles internos composta por atividades de controle; Monitorar o cumprimento das políticas e procedimentos;

processos e procedimentos de gestão de riscos; Identificar os riscos e criar planos de ação para minimizá-los;

7 Responsabilidades da Gestão Efetuar os trabalhos de diagnósticos de riscos; Garantir a implementação das recomendações e sugestões dos diagnósticos Prever avaliações periódicas; Promover, rever e efetuar a cultura do diagnóstico, por meio de revisões periódicas

dos diagnósticos Prever avaliações periódicas; Promover, rever e

8 Execução da Gestão de Riscos A organização deve realizar periodicamente trabalhos de diagnósticos do nível de riscos, partindo da necessidade do negócio, observando a materialidade nas operações. Investimento em controles baseados em riscos que representem ameaças e fraquezas potenciais as operações da organização. Além da gestão de riscos, auxílio das áreas de inspetoria, auditoria e governança coorporativa.

Investimento em controles baseados em riscos que representem ameaças e fraquezas potenciais as

9 Estratégia de Avaliação de Risco A gestão de Riscos deve estabelecer uma estratégia capaz de: Estabelecer seu escopo; Assegurar por meio de métodos e práticas, que a metodologia necessária para execução do trabalho de diagnóstico esteja bem definida; e Se responsabilizar pela identificação da solução de controle definitivo junto às áreas do negócio.

metodologia necessária para execução do trabalho de diagnóstico esteja bem definida; e

10 Tipos de análises Quantitativa esta análise deve trazer os valores financeiros no caso da materialização do risco, como ex, se um backup falhar, qual o valor da informação que estava na mídia. Tal análise utiliza valores numéricos em vez de escalas descritivas Qualitativa Faz uso da percepção, por meio de entrevistas, estruturas dadas por técnicas e práticas. Podem utilizar cenários apresentados em escalas descritivas que expressam a magnitude da conseqüência e da probabilidade de um risco.

Tal análise utiliza valores numéricos em vez de escalas descritivas Qualitativa Faz uso da percepção, por meio de

11 Variáveis que compõem o risco Valor dos ativos e se os mesmos são tangíveis ou intangíveis. Quais as ameaças que cercam os ativos; Conseqüências e relacionamento entre as ameaças; Associar ativos a aspectos operacionais, de regulamentações e tecnologia.

Quais as ameaças que cercam os ativos; Conseqüências e

12 Plano de ação Os riscos podem ser aceitos,minimizados, eliminados. Nos casos de minimização e eliminação deve-se implementar controles. Estes controles devem possuir um custo/investimento inferior ao impacto financeiro que o risco proporcione a organização. Os controles devem assegurar a prevenção e detecção dos riscos. Aceitação formal no nível executivo da organização.

Estes controles devem possuir um custo/investimento inferior ao impacto financeiro que o

13 Diagnósticos periódicos É importante o diagnóstico periódico dos riscos, pois no mercado atual, as organizações estão em constante mutação, seja pela concorrência, pela necessidade de inovação de seus produtos e serviços,pela necessidade de regulamentação, entre outras. Os risco podem variar de período para outro.

concorrência, pela necessidade de inovação de seus produtos e serviços,pela

14 Metodologia SP Risc Management Guide for Information Technology Systems, do National Institute of Standards and Technology. A metodologia de avaliação de riscos contempla 9 passos a serem seguidos: 1- Caracterização dos sistemas 2 - Identificação das ameaças 3 Identificação das vulnerabilidades 4 Análise dos controles de segurança 5 Determinação da probabilidade 6 Análise de impacto 7 Determinação do risco 8 Recomendação dos controles 9 Documentação dos resultados

A metodologia de avaliação de riscos contempla 9 passos a serem seguidos: 1- Caracterização dos sistemas 2 -

15 Caracterização dos sistemas Caracterizar um sistema informatizado ajuda na definição do escopo e abrangência, delineia os limites para autorizações e fornece informações essenciais para definir o risco. (ex.: hardware, software,profissionais, etc.) Identificação das ameaças Ameaça é a possibilidade de um invasor ou evento inesperado explorar uma vulnerabilidade de forma eficaz. A meta desse passo é a identificação efetiva das fontes de ameaças e sua formalização, destacando as ameaças potenciais que são aplicáveis ao ambiente avaliado.

) Identificação das ameaças Ameaça é a possibilidade de um invasor ou evento inesperado explorar uma vulnerabilidade de forma eficaz.

16 Identificação das vulnerabilidades O objetivo desta etapa é desenvolver uma relação das vulnerabilidades do sistema ( falhas ou fraquezas) que podem ser exploradas pelas potenciais fontes de ameaças. Análise dos controles de segurança O objetivo desta etapa é analisar os controles que foram, ou serão implementados, visando diminuir ou eliminar a probabilidade de incidentes de segurança

17 Determinação da Probabilidade Para determinar a probabilidade de ocorrência que uma potencial vulnerabilidade possa ser explorada, os seguintes fatores devem ser considerados: Motivação da fonte da ameaça Natureza da vulnerabilidade Existência e eficácia dos controles de segurança 'HILQLomRGRQtYHOGHSUREDELOLGDGH$OWR0pGLR%DL[R Análise de Impacto A melhor forma para determinar o grau de risco é relacionar em detalhes quais seriam os impactos para a organização, se uma ameaça conseguir explorar uma vulnerabilidade. Antes de iniciar uma análise de impacto, é necessário ter em mãos informações que podem ser obtidas por meio de documentações, relatórios de avaliações anteriores.

Análise de Impacto A melhor forma para determinar o grau de risco é relacionar em detalhes quais seriam os impactos para a organização, se uma ameaça conseguir explorar

18 Determinação do Risco O objetivo desta etapa é avaliar o nível de risco dos sistemas. A determinação do risco de uma ameaça /vulnerabilidade específica pode ser expressada da seguinte forma: A probabilidade de ocorrência O nível de impacto causado pelo sucesso da exploração de uma vulnerabilidade; A eficácia dos controles de segurança existentes para minimizar o risco. Recomendações dos controles de segurança O objetivo dos controles que serão recomendados é reduzir o nível de risco que os sistemas estão expostos até um nível aceitável. 5HFRPHQGDomRGRVFRQWUROHVHVROXo}HVDOWHUQDWLYDVSDUDGLPLQXLomR GRVULVFRV

impacto causado pelo sucesso da exploração de uma vulnerabilidade; A eficácia dos controles de segurança existentes para minimizar o risco.

19 Documentação dos Resultados Concluindo a avaliação de risco, os resultados devem ser formalizados. O relatório de avaliação deve ser destinado a alta administração e partes interessadas para ajudá-los na tomadas de decisões. 5HODWyULRGHDYDOLDomRGHULVFRGHVFUHYHDVDPHDoDV YXOQHUDELOLGDGHVULVFRVHUHFRPHQGDo}HVSDUDLPSOHPHQWDomRGRV FRQWUROHVGHVHJXUDQoD

O relatório de avaliação deve ser destinado a alta administração e partes interessadas

20 Referências bibliográficas FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de Política de Segurança da Informação Guia Prático para elaboração e implementação 2 ª edição,ed Ciência Moderna, RJ, 2008

de Segurança da Informação Guia Prático para

Documentos relacionados

1. Esta Política Institucional de Gestão de Continuidade de Negócios:

1. Esta Política Institucional de Gestão de Continuidade de Negócios: a) é elaborada por proposta da área de gestão de continuidade de negócios da Confederação Nacional das Cooperativas do Sicoob Sicoob