Gestão da Segurança da Informação

Transcrição

1 Gestão da Segurança da Informação

2 Mercado Relatório diz que ataques a serviços financeiros triplicou em 2015 A Raytheon Websense, divulgou o Relatório e Análise de Serviços Financeiros em 2015, do Websense Security Labs, que avalia o cenário atual de ameaças virtuais e ataques visando o roubo de dados em empresas do setor financeiro. O estudo mostra um elevado grau de especialização entre os criminosos que atacam este setor, grande investimento na fase de isca da investida e ataques específicos e anômalos que apontam para alvos globais que tratam de finanças. "A famosa citação atribuída ao ladrão de bancos Willie Sutton, de que roubou bancos 'por que é lá que está o dinheiro' também vale para os cibercriminosos", disse Carl Leonard. O setor de Serviços Financeiros enfrenta 300% mais incidentes de segurança que outras verticais. Além disso, a sofisticação e persistência desses ataques é um desafio constante para o profissional de segurança. O relatório diz que 33% de todos os ataques com fase de isca estão focados em Serviços Financeiros. Fonte:

3 O que é risco? É uma combinação da probabilidade de um evento e sua consequência. Possíveis danos ou perdas de informações; O risco é determinado por um certo número de fatores; Esses fatores são a ameaça, ou melhor, a chance de que uma ameaça tem de realmente surgir, e suas consequências.

4 Análise de risco A utilização sistemática de informações para identificar fontes e estimar o risco. A análise de risco ajuda a estimar os riscos e a desenvolver as medidas de segurança; A análise de risco deve ser realizada antes das medidas de segurança serem tomadas.

5 Avaliação de risco A avaliação de Risco deve incluir a abordagem sistemática de estimar a magnitude dos riscos (análise de risco) e o processo de comparar os riscos estimados com base em critérios de risco para determinar a significância dos riscos (avaliação de risco). Avaliação de risco é a soma total da auditoria de ativos e a avaliação. Avaliação da ameaça; Avaliação da vulnerabilidade; Diagnóstico.

6 Análise de risco Análise de risco é utilizada para fazer com que todos na organização se conscientizem de todos os riscos. O nível de segurança adequado, juntamente com as medidas de segurança associadas, podem então ser determinados.

7 Análise de risco Os objetivos da análise de risco: Identificar os bens e seu valor; Determinar vulnerabilidades e ameaças; Determinar o risco que a as ameaças se tornarão ao se tornarem uma realidade e interromperão o processo operacional; Determinar um equilíbrio entre os custos de um incidente e os custos de uma medida de segurança.

8 Benefício A análise de custo / benefício faz parte do processo de análise de riscos. Exemplo: Um servidor custa U$ 1, As medidas de segurança para ele custam U$ 10, Você protegeria esse servidor?

9 Análise quantitativa de riscos Tem como objetivo calcular um valor de risco com base no nível do prejuízo financeiro e a probabilidade de que uma ameaça pode tornar-se um incidente. O valor de cada elemento em todos os processos operacionais é determinado. RH FINACEIRO DIRETORIA..

10 Análise quantitativa de riscos Baseado em cenários e situações, as chances de que uma ameaça se torne realidade são examinados com base na intuição; Isso tudo leva a uma visão subjetiva das possíveis ameaças. As medidas são posteriormente tomadas para minimizar o risco; O melhor resultado é conseguido através da realização de análise em uma sessão em grupo, isso leva a uma discussão na qual se evita o ponto de vista de uma única pessoa ou departamento.

11 Mercado Número de ciberataques deve aumentar, afirma executivo da IBM Nos últimos meses vieram à tona diversas tentativas de invasão a empresas e organizações do mundo todo, dos arquivos da Sony ao governo dos Estados Unidos. E, ao que tudo indica, o cenário de segurança na internet pode ficar ainda pior. Temos uma pandemia em nossas mãos. E o que temos que perceber é que isto é apenas a ponta do iceberg, afirma o vice-presidente da IBM Security, Caleb Barlow. Mesmo com as grandes empresas de segurança trabalhando para diminuir os riscos, os hackers continuam um passo à frente de seus alvos e, de acordo com Barlow, isso acontece porque eles trabalham em equipe. 80% do que está acontecendo não são ataques entre nações, é o crime organizado.. São Grupos criminosos têm se unido, trabalhando várias horas por dia e ajudando uns aos outros exatamente como trabalhar com outros profissionais na indústria para aprender mais, explica Barlow. Para o executivo, as empresas precisam começar a tratar ataques cibernéticos da mesma forma como a indústria médica trata epidemias globais. Se fizéssemos isso, trabalharíamos em conjunto para entender quais ferramentas e tratamentos funcionam. A fim de combater os problemas, a informação deve ser democratizada. Fonte:

12 Exercício 1 - Você acabou de aprender sobre análise de risco e apresenta a ideia ao seu gerente. Imediatamente ele lhe pede para formular uma listagem das possíveis ameaças e dos riscos que você identificou. 2 Quais são as medidas indicadas para prevenir esses riscos? 0,5 ponto na AV1, entrega imediata