GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO: DA NORMA À PRÁTICA. William Bini

Documentos relacionados
Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

Segurança e Auditoria de Sistemas

Interpretação da norma NBR ISO/IEC 27001:2006

Gerenciamento e Interoperabilidade de Redes

Público-Alvo (Áreas envolvidas)

Poder Judiciário Federal Justiça Eleitoral do Ceará. Planejamento Estratégico Plano de Gestão de Riscos

Rabobank Segurança Cibernética

Código Revisão Data Emissão Aprovação PPG /02/2016 HS - RC RCA

Módulo Contexto da organização 5. Liderança 6. Planejamento do sistema de gestão da qualidade 7. Suporte

MGQ Manual de Gestão da Qualidade. PDQ - Procedimento Documentado ITQ Instrução de Trabalho PQC Plano da Qualidade de Contrato

Institui a Política de Gestão de Riscos do Ministério do Meio Ambiente.

GESTÃO DE RISCOS NO SETOR PÚBLICO

Segurança da Informação ISO/IEC ISO/IEC 27002

Gerencial Industrial ISO 9000

Segurança da Informação

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

AULA 02 Qualidade em TI

Segurança de Redes. Gestão de Segurança da Informação. Prof. João Henrique Kleinschmidt

Requisitos onde as normas ISO 9001:2015 e ISO 14001:2015 requerem informação documentada:

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Segurança da Informação

Cadastro de Fornecedores de Bens e Serviços

Verificação: Diretoria Executiva

GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.

BM&FBOVESPA. Política de Controles Internos. Diretoria de Controles Internos, Compliance e Risco Corporativo. Última Revisão: março de 2013.

Política de Risco Operacional BM&FBOVESPA. Página 1

Gerenciamento de Projetos

Gestão de Riscos - ABNT NBR ISO 31000:2009

Política de Gestão de Riscos AES Brasil

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

PADRÃO DE GESTÃO TÍTULO: GESTÃO DAS ESTRATÉGIAS 1. OBJETIVO

Analista de Negócio 3.0

Grupos de Processos de Gerenciamento de Projetos

ABNT NBR ISO Sistemas de Gestão da Segurança Manual do SGS

DOCUMENTO DE USO INTERNO 1

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

Administração Pública

SIMULADO 01 Governança de TI

POLÍTICA DE GESTÃO DE RISCOS - ELETROPAULO

AUDITORIA DE SISTEMAS DE INFORMAÇÃO

Kit de documentação premium da ISO e ISO 22301

Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Kit de Documentação da ISO 27001

SLC AGRÍCOLA S.A. POLÍTICA DE GERENCIAMENTO DE RISCOS

Política Segurança da Informação do Sistema FIEB

ABNT NBR SGS MANUAL DO SGS

Política Controles Internos

POLÍTICA PCT 007 GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS

DE GESTÃO DE RISCOS DO IFMS

ASSOCIAÇÃO BRASILEIRA DE AVALIAÇÃO DA CONFORMIDADE

Segurança da Informação

Sistema de Gestão Segurança e Saúde Ocupacional (SGSSO) ESTRUTURA ISO :2016

RESOLUÇÃO CFC N.º 1.528, DE 18 DE AGOSTO DE O CONSELHO FEDERAL DE CONTABILIDADE, no uso de suas atribuições legais e regimentais,

POLÍTICA DE GERENCIAMENTO

Definição. Sistema de Gestão Ambiental (SGA):

POLÍTICA GESTÃO DE RISCOS

Política de Controles Internos BM&FBOVESPA. Página 1

POLÍTICA DE GESTÃO, INTEGRIDADE, RISCOS E CONTROLES INTERNOS MGI MINAS GERAIS PARTICIPAÇÕES S.A.

ÍNDICE DO MÓDULO Atendimento ao cliente Reclamações dos clientes Controle de ensaios e calibrações não conformes

Institui a Política de Gestão de Riscos - PGR do Ministério da Transparência, Fiscalização e Controladoria-Geral da União - CGU.

O Ambiente Cooperativo e a Necessidade de Segurança

Este documento é propriedade exclusiva da Santa Casa da Misericórdia do Porto. Data: 01/06/18 - v01 ; Classificação Doc.: Pública

Capacitação ForRisco. Estudos de Caso e Metodologia ForRisco

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Segurança da Informação. Alberto Felipe Friderichs Barros

POLÍTICA DE CONTROLES INTERNOS

FORMAÇÃO DE AUDITORES INTERNOS DA QUALIDADE ISO 19011:2012 PROF. NELSON CANABARRO

A força para transformar riscos em resultados

RESPONSABILIDADE SOCIAMBIENTAL

Riscos e Controles Internos

1/28. Roteiro Introdução NBR ISO NBR ISO Recomendações Conclusões Bibliografia 2/28

Portaria nº 966 de 26 de março de O Vice-Reitor da Universidade Federal de São Paulo, no uso de suas atribuições legais e regimentais,

Módulo 7. NBR ISO Interpretação dos requisitos: 4.3.3, 4.4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, Exercícios

Gestão Integrada: Saúde, MA e Segurança

POLÍTICA DE RISCO OPERACIONAL

UNITY CAPITAL GESTORA DE INVESTIMENTOS LTDA. POLÍTICA DE CONTROLES INTERNOS FEVEREIRO / 2019 VERSÃO 2.0

AUDITORIA DE CONFORMIDADE

ForRisco: gerenciamento de riscos em instituições públicas na prática. Apresentação: Rodrigo Fontenelle de A. Miranda. Brasília, DF

Questões sobre a IS014001

Especificar os requisitos de um Sistema de Gestão Ambiental, permitindo à organização desenvolver e implementar :

Responsabilidade Socioambiental

4.1 Determinação do Nível de Significância

Profa. Dra. Suelí Fischer Beckert

OHSAS 18001:2007 SAÚDE E SEGURANÇA OCUPACIONAL

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Gerenciamento de Projetos

GESTÃO DE RISCOS. A gestão de riscos pode ser aplicada a toda uma organização, em suas várias. bem como a funções, atividades e projetos específicos.

Transcrição:

GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO: DA NORMA À PRÁTICA William Bini william.bini@dataprev.gov.br

Ele o jogo! Eleprecisa precisamudar agir rápido! Ele decide implantar um processo Gestão de O negócio da empresa está emdeperigo! Riscos de Segurança da Informação

Etapa 1 O Carlos decide desenvolver suas competências técnicas em Gestão de Riscos

Por onde ele começou? ISO Guide 73 Fornece as definições de termos genéricos relativos à gestão de riscos ISO 27005 Fornece diretrizes para o processo de gestão de riscos de segurança da informação ISO 31000 Fornece princípios e diretrizes genéricas para a gestão de riscos Não reinvente a roda...

Gerenciamos riscos diariamente... Fonte: http://iso31000.net/mentalidade-de-risco/

Componentes de Risco Ativo (Escopo) Ameaça Vulnerabilidad e Gestão de Riscos Incidente de Segurança Proteção (Controles) Probabilidade & Impacto

O que é RISCO? Risco = PROBABILIDADE de uma AMEAÇA explorar uma (ou várias) VULNERABILIDADE causando prejuízos (IMPACTO). Sua escala é dada por dois fatores: Probabilidade Consequência (Impacto) Risco = Probabilidade x Consequência

Exemplificando... Ameaça: Rocha com elevada potencial de causar dano) inclinação (tem Vulnerabilidade: Ausência de uma barreira de contenção (característica de fraqueza, de ausência ou falha de um controle) Ativo: Pessoas (o que tem valor) Escopo: Conjunto de pessoas expostas à ameaça (tem haver com a abrangência, o que é coberto pelo processo de gestão de riscos) Probabilidade: Chance de ocorrer o deslizamento da rocha (tem haver com a frequência + avaliação da vulnerabilidade) Consequência: Grave acidente envolvendo pessoas (tem haver com o impacto).

O processo de GRSIC Fonte: ABNT ISO 27005

Benefícios da Gestão de Riscos Melhora a tomada de decisão Decisões rastreáveis e consistentes Classificação dos riscos permite priorizar as ações Melhora a disposição dos recursos Condução de forma científica e baseada em dados Diminui a subjetividade Condução do riscos ao nível desejado Risco zero não existe

Etapa 2 Carlos inicia a implementação do processo de GRSIC Quais os passos que ele percorreu?

Definição do Contexto Prancheta do Carlos É a parte inicial e tem como objetivo conhecer o ambiente da organização. Modelar a organização Definir o propósito da GRSIC Estabelecer os critérios de riscos Definir os Papéis/Responsabilidades Definir o escopo do projeto de análise de risco Metas/Indicadores

Modelagem da Organização do Carlos Cliente A Brasília Rio de Janeiro Organização Cliente B São Paulo Ativos (Pessoas, processo, ambiente e tecnologia) Componentes de Negócios Perímetros (Localidade Física)

DICA DICAS Critérios de Riscos Avaliação

DICA DICAS Critérios de Riscos - Tratamento

DICA DICAS Declaração de Escopo Matriz RACI

DICA DICAS Avaliação de Maturidade Fonte: https://nigesecurityguy.files.wordpress.com/2013/05/iso-scorecard-2.jpg

Resultados do Questionário de avaliação de maturidade Ausência de processos documentados e formalizados de segurança da informação Baixo nível de conscientização em segurança da informação Os ativos de tecnologia que suportam os processos de negócio da empresa não seguem um padrão de configuração de segurança

1º Ciclo da GRSIC Os ativos de tecnologia que suportam os processos de negócio da empresa não seguem um padrão de configuração de segurança Para o 1º ciclo, Carlos decidiu focar nos ativos de tecnologia

Identificação de Riscos 1 2 Levantou as ameaças Levantou os controles Direcionou o foco nas ameaças mais comuns para o contexto dos ativos da empresa Observou o histórico de incidentes ocorridos na empresa Elaborou um checklist de controles de segurança aplicáveis ao contexto dos ativos a serem analisados Agrupou os controles por tipo, e associou às ameaças 3 Levantou as vulnerabilidades Verificou a situação de cada controle do checklist elaborado (implementado/não implementado/não aplicável)

DICAS Questionário de Risco Ativos Ameaças Controles Vulnerabilidade Desc. do Ativo Tipo de Ameaça Descrição da Ameaça Descrição do Controle Situação do Controle Descrição da Vulnerabilidade Servidor A Falhas técnicas Sistema de apoio P&D pouco confiável Realizar teste de software Não implementado Problemas de disponibilidade e integridade de informações sensíveis Servidor B Comprom etimento de funções Abuso de diretos de acesso Realizar teste de segurança Implementado Nenhuma

Estimativa de Riscos Estimou a consequência das ameaças Avaliar o impacto que a concretização da ameaça irá causar no(s) ativo(s) Estimou a probabilidade de ocorrência das ameaças Pode ser analisada, basicamente, através de dois fatores: frequência e vulnerabilidades Risco = Probabilidade x Consequência

Matriz de Riscos Escala de Risco Corrigir a tabela, os valores estão errado.

DICA DICAS Questionário de Risco Ativos Ameaças Controles Vulnerabilidades Probabilidade Impacto Nível de risco Desc. do Ativo Tipo de Ameaça Descrição da Ameaça Descrição do Controle Situação do Controle Descrição da Vulnerabilidade Valor Valor Risco Servidor A Falhas técnicas Sistema de apoio P&D pouco confiável Realizar teste de software Não implementado Problemas de disponibilidade e integridade de informações sensíveis 5 5 25 Servidor B Comprometime nto de funções Abuso de diretos de acesso Realizar teste de segurança Implementado Nenhuma 1 5 5

Avaliação de Riscos Muito Alto Alto Médio Identificou os ativos de maior risco Classificou os riscos de acordo com os critérios de avaliação estabelecidos na definição do contexto. Priorizou os riscos serem tratados. a

Tratamento de Riscos Depois de estimado os riscos, o Carlos iniciou a fase de Tratamento de Riscos Reduzir o Risco Evitar o Risco Transferir o Risco Aceitar o Risco

Tratamento de Riscos Em conjunto com as áreas envolvidas, Carlos definiu as ações de tratamento, ou seja, os controles de segurança que serão implementados, para REDUZIR OS RISCOS aos PATAMARES ACEITÁVEIS pela empresa.

DICA DICAS Plano de Tratamento de Riscos Ativo: Servidores de Produção Ações de Tratamento Hardening dos SO Revisão das regras de Firewall Upgrade de versão do AV Teste de Segurança (Pen Test) Contratação de Anti-DDoS Prazo: 6 meses Responsável: Romário Supervisão: Carlos Aprovação: Diretoria

Carlos verificou que não há orçamento disponível para implementação de alguns controles. Ele decide compartilhar isto com a Diretoria, para uma tomada de decisão.

Aceitação de Riscos Quando não somos capazes de encontrar formas eficazes pra reduzir o risco, devemos simplesmente aceitar o risco. A aceitação do risco implica saber que ele existe e que não foi resolvido. Medidas compensatórias podem ser tomadas para amenizar um pouco os efeitos ou o nível desse risco. Deve ser justificado e formalizado, através do Termo de Aceite de Riscos.

DICA DICAS Termo de Aceite de Riscos Justificativa Aprovado por

Etapa 3 Resultados Alcançados

Estratégia de Segurança Maior visibilidade das ameaças e vulnerabilidades dos ativos que suportam o negócio da empresa. Visão estruturada dos controles de Segurança da Informação É possível agir de forma pró-ativa

Cultura de Segurança Estabelecer um Programa de Conscientização em Segurança da Informação

Melhoria Contínua Aferir os controles de segurança implementados Aumento do nível de maturidade em Segurança da Informação

Conformidade Diferencial competitivo no mercado Aderência às melhores práticas de segurança

Etapa 4 Monitoramento & Análise Crítica

Monitoramento do Riscos

Análise crítica Levantou Oportunidades de Melhorias Implementou ações preventivas e corretivas

Planejamento do novo ciclo Gestão Gestão De de Riscos Riscos

Após os resultados, Carlos decide tornar a Gestão de Riscos uma atividade regular na empresa

Contatos william.bini@dataprev.gov.br williambini@gmail.com https://www.linkedin.com/in/william-bini Créditos: Fotos por Victor1558 (Flickr) Formato da Palestra por Luiz Felipe Ferreira

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback