GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO: DA NORMA À PRÁTICA William Bini william.bini@dataprev.gov.br
Ele o jogo! Eleprecisa precisamudar agir rápido! Ele decide implantar um processo Gestão de O negócio da empresa está emdeperigo! Riscos de Segurança da Informação
Etapa 1 O Carlos decide desenvolver suas competências técnicas em Gestão de Riscos
Por onde ele começou? ISO Guide 73 Fornece as definições de termos genéricos relativos à gestão de riscos ISO 27005 Fornece diretrizes para o processo de gestão de riscos de segurança da informação ISO 31000 Fornece princípios e diretrizes genéricas para a gestão de riscos Não reinvente a roda...
Gerenciamos riscos diariamente... Fonte: http://iso31000.net/mentalidade-de-risco/
Componentes de Risco Ativo (Escopo) Ameaça Vulnerabilidad e Gestão de Riscos Incidente de Segurança Proteção (Controles) Probabilidade & Impacto
O que é RISCO? Risco = PROBABILIDADE de uma AMEAÇA explorar uma (ou várias) VULNERABILIDADE causando prejuízos (IMPACTO). Sua escala é dada por dois fatores: Probabilidade Consequência (Impacto) Risco = Probabilidade x Consequência
Exemplificando... Ameaça: Rocha com elevada potencial de causar dano) inclinação (tem Vulnerabilidade: Ausência de uma barreira de contenção (característica de fraqueza, de ausência ou falha de um controle) Ativo: Pessoas (o que tem valor) Escopo: Conjunto de pessoas expostas à ameaça (tem haver com a abrangência, o que é coberto pelo processo de gestão de riscos) Probabilidade: Chance de ocorrer o deslizamento da rocha (tem haver com a frequência + avaliação da vulnerabilidade) Consequência: Grave acidente envolvendo pessoas (tem haver com o impacto).
O processo de GRSIC Fonte: ABNT ISO 27005
Benefícios da Gestão de Riscos Melhora a tomada de decisão Decisões rastreáveis e consistentes Classificação dos riscos permite priorizar as ações Melhora a disposição dos recursos Condução de forma científica e baseada em dados Diminui a subjetividade Condução do riscos ao nível desejado Risco zero não existe
Etapa 2 Carlos inicia a implementação do processo de GRSIC Quais os passos que ele percorreu?
Definição do Contexto Prancheta do Carlos É a parte inicial e tem como objetivo conhecer o ambiente da organização. Modelar a organização Definir o propósito da GRSIC Estabelecer os critérios de riscos Definir os Papéis/Responsabilidades Definir o escopo do projeto de análise de risco Metas/Indicadores
Modelagem da Organização do Carlos Cliente A Brasília Rio de Janeiro Organização Cliente B São Paulo Ativos (Pessoas, processo, ambiente e tecnologia) Componentes de Negócios Perímetros (Localidade Física)
DICA DICAS Critérios de Riscos Avaliação
DICA DICAS Critérios de Riscos - Tratamento
DICA DICAS Declaração de Escopo Matriz RACI
DICA DICAS Avaliação de Maturidade Fonte: https://nigesecurityguy.files.wordpress.com/2013/05/iso-scorecard-2.jpg
Resultados do Questionário de avaliação de maturidade Ausência de processos documentados e formalizados de segurança da informação Baixo nível de conscientização em segurança da informação Os ativos de tecnologia que suportam os processos de negócio da empresa não seguem um padrão de configuração de segurança
1º Ciclo da GRSIC Os ativos de tecnologia que suportam os processos de negócio da empresa não seguem um padrão de configuração de segurança Para o 1º ciclo, Carlos decidiu focar nos ativos de tecnologia
Identificação de Riscos 1 2 Levantou as ameaças Levantou os controles Direcionou o foco nas ameaças mais comuns para o contexto dos ativos da empresa Observou o histórico de incidentes ocorridos na empresa Elaborou um checklist de controles de segurança aplicáveis ao contexto dos ativos a serem analisados Agrupou os controles por tipo, e associou às ameaças 3 Levantou as vulnerabilidades Verificou a situação de cada controle do checklist elaborado (implementado/não implementado/não aplicável)
DICAS Questionário de Risco Ativos Ameaças Controles Vulnerabilidade Desc. do Ativo Tipo de Ameaça Descrição da Ameaça Descrição do Controle Situação do Controle Descrição da Vulnerabilidade Servidor A Falhas técnicas Sistema de apoio P&D pouco confiável Realizar teste de software Não implementado Problemas de disponibilidade e integridade de informações sensíveis Servidor B Comprom etimento de funções Abuso de diretos de acesso Realizar teste de segurança Implementado Nenhuma
Estimativa de Riscos Estimou a consequência das ameaças Avaliar o impacto que a concretização da ameaça irá causar no(s) ativo(s) Estimou a probabilidade de ocorrência das ameaças Pode ser analisada, basicamente, através de dois fatores: frequência e vulnerabilidades Risco = Probabilidade x Consequência
Matriz de Riscos Escala de Risco Corrigir a tabela, os valores estão errado.
DICA DICAS Questionário de Risco Ativos Ameaças Controles Vulnerabilidades Probabilidade Impacto Nível de risco Desc. do Ativo Tipo de Ameaça Descrição da Ameaça Descrição do Controle Situação do Controle Descrição da Vulnerabilidade Valor Valor Risco Servidor A Falhas técnicas Sistema de apoio P&D pouco confiável Realizar teste de software Não implementado Problemas de disponibilidade e integridade de informações sensíveis 5 5 25 Servidor B Comprometime nto de funções Abuso de diretos de acesso Realizar teste de segurança Implementado Nenhuma 1 5 5
Avaliação de Riscos Muito Alto Alto Médio Identificou os ativos de maior risco Classificou os riscos de acordo com os critérios de avaliação estabelecidos na definição do contexto. Priorizou os riscos serem tratados. a
Tratamento de Riscos Depois de estimado os riscos, o Carlos iniciou a fase de Tratamento de Riscos Reduzir o Risco Evitar o Risco Transferir o Risco Aceitar o Risco
Tratamento de Riscos Em conjunto com as áreas envolvidas, Carlos definiu as ações de tratamento, ou seja, os controles de segurança que serão implementados, para REDUZIR OS RISCOS aos PATAMARES ACEITÁVEIS pela empresa.
DICA DICAS Plano de Tratamento de Riscos Ativo: Servidores de Produção Ações de Tratamento Hardening dos SO Revisão das regras de Firewall Upgrade de versão do AV Teste de Segurança (Pen Test) Contratação de Anti-DDoS Prazo: 6 meses Responsável: Romário Supervisão: Carlos Aprovação: Diretoria
Carlos verificou que não há orçamento disponível para implementação de alguns controles. Ele decide compartilhar isto com a Diretoria, para uma tomada de decisão.
Aceitação de Riscos Quando não somos capazes de encontrar formas eficazes pra reduzir o risco, devemos simplesmente aceitar o risco. A aceitação do risco implica saber que ele existe e que não foi resolvido. Medidas compensatórias podem ser tomadas para amenizar um pouco os efeitos ou o nível desse risco. Deve ser justificado e formalizado, através do Termo de Aceite de Riscos.
DICA DICAS Termo de Aceite de Riscos Justificativa Aprovado por
Etapa 3 Resultados Alcançados
Estratégia de Segurança Maior visibilidade das ameaças e vulnerabilidades dos ativos que suportam o negócio da empresa. Visão estruturada dos controles de Segurança da Informação É possível agir de forma pró-ativa
Cultura de Segurança Estabelecer um Programa de Conscientização em Segurança da Informação
Melhoria Contínua Aferir os controles de segurança implementados Aumento do nível de maturidade em Segurança da Informação
Conformidade Diferencial competitivo no mercado Aderência às melhores práticas de segurança
Etapa 4 Monitoramento & Análise Crítica
Monitoramento do Riscos
Análise crítica Levantou Oportunidades de Melhorias Implementou ações preventivas e corretivas
Planejamento do novo ciclo Gestão Gestão De de Riscos Riscos
Após os resultados, Carlos decide tornar a Gestão de Riscos uma atividade regular na empresa
Contatos william.bini@dataprev.gov.br williambini@gmail.com https://www.linkedin.com/in/william-bini Créditos: Fotos por Victor1558 (Flickr) Formato da Palestra por Luiz Felipe Ferreira