Post on 14-Jul-2016
description
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 1/22
OCTAVEOperationally Critical Threat, Asset
and Vulnerability Evaluation
Avaliação Operacional Crítica de Ameaças, Ativos e Vulnerabilidades
André Aparecido de Melo Leonel Dasso
Visão Geral1. O que é OCTAVE?2. Objetivos do OCTAVE3. Segurança Dentro das Organizações4. Filosofia da Segurança OCTAVE5. Principais Características6. Funções da Equipe de Análise7. Onde começar?8. Como Funciona?9. Vida Após o OCTAVE10. Referencias
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 2/22
O que é OCTAVE?
• OCTAVE é uma técnica de avaliação de riscos e de melhoria estratégica da segurança.
• Foi criada pela Carnegie Mellon University, EUA.• Foca nos aspectos tecnológicos e
organizacionais da empresa.• Avalia o dia-a-dia do uso da infraestrutura
computacional da organização.
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 3/22
O que é OCTAVE?
• Captura, analisa o e aprimora conhecimento da práticas de segurança de uma organização.
• Os riscos dos recursos mais importantes da organização são usados como parâmetro de aprimoramento destas práticas;
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 4/22
Framework Gerencianento dos Riscos da Informação
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 5/22
Método OCTAVE como AvaliaçãoUma avaliação sobre os riscos da informação é parte integral do programa de gerenciamento de segurança da organização.
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 6/22
Objetivo do OCTAVEPlanejar como aplicar boas práticas de segurança para resolver vulnerabilidades tecnológicas/técnicas e organizacionais que poderiam impactar criticamente seus ativos.
Vulnerabilidades organizacionais:Pontos fracos da política ou prática de segurança que podem resultar em ações não-autorizadas.
Vulnerabilidades técnicas:Deficiências na infra-estrutura de tecnologia que podem levar diretamente para ações não-autorizadas.
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 7/22
Segurança Dentro das OrganizaçõesPráticas de segurança:- Organizacionais- TécnicasPessoal Envolvido:- Equipe de TI- Equipe operacional- Gerentes- Provedores de serviço- Parceiros
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 8/22
Segurança Dentro das Organizações
Fontes das ameaças:- Pessoas dentro organização;- Pessoas fora da organização;- Problemas no sistema;- Outros problemas;
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 9/22
Filosofia de Segurança do OCTAVE
- É impossível prever e mitigar todos os riscos a segurança da informação;- Orçamento, tempo e pessoa são limitados;- Buscar melhor uso-benefício dos recursos
disponíves.
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 10/22
Diferenças
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 11/22
OCTAVE Outros MétodosAvaliação da OrganizaçãoFoco nas Práticas de SegurançaAbordagem EstratégicaAuto-Dirigida
Avaliação no SistemaFoco na TecnologiaAbordagem TáticaNecessitade de Expert
Principais Características- Uma equipe da própria empresa (equipe de análise)
lidera avaliação;
- Tanto a perspectivas do negócio quanto quanto a estrutura de TI são são avaliadas como fator global nas políticas de segurança;
- Auto-dirigida: As próprias pessoas da organização realizam avaliação;
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 12/22
Onde começar?
O que você precisa para proteger? (Ativos ou Informações)
O que uma falha pode causar? (Impacto na organização)
Quais vulnerabilidades existem em seu ambiente? (Organizacionais e/ou tecnológicas)
Quanto proteção que você pode pagar? (Recursos e orçamento)
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 13/22
Funções da Equipe de Análise- Identificar e relacionar informações de ativos que são
importantes para organização;- Focar a análise nos ativos mais importantes;- Relacionar as vulnerabilidades e ameaças que afetam
estes ativos;- Buscar na avalição sempre o contexto operacional;- Criar planos estratégicos práticos de mitigação e
proteção aos riscos de segurança.
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 14/22
Como Funciona?
O Método OCTAVE se devolve em três fases:
Fase 1- Criação de Perfis de Ameaças Baseados nos Ativos Identificados: - Importantes ativos identificados; - O que é feito para proteger estes ativos; - Os requerimentos de segurança que estes ativos precisam são identificados.
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 15/22
Como Funciona?
Fase 2- Identificação das Vulnerabilides de Infraestrutura: - Importantes ativos identificados; - O que é feito para proteger estes ativos; - Os requerimentos de segurança que estes ativos precisam são identificados.
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 16/22
Como Funciona?
Fase 3- Desenvolvimento de Planos e Estratégias: - Identifica os riscos a ativos críticos; - Desenvolvimento dos planos estratégicos de mitigação das ameaças baseando-se no que foi avaliado nas etapas anteriores.
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 17/22
Como Funciona?
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 18/22
Estratégia de Proteção
Plano de Mitigação
Lista de Ações
Resultados
Define a direção da organização
Planos desenhados para redução de
riscos
Ações de curto-prazo
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 19/22
Vida Após o OCTAVE- Melhorias são feitas;- Progresso é monitorado;- Riscos são re-avaliados e planos são
reajustados;- Novos ativos críticos são analizados;- Periodicamente repetir o OCTAVE.
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 20/22
DÚVIDAS ?
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 21/22
Referências:
1. International Standards Organization (ISO), Information Technology – Security Techniques – Information Security Management Systems - Requirements, (1stedition) ISO/IEC Publications, Switzerland, 2005.
2. OCTAVE Method Implementation Guide V ersion 2.0.
3. OCTAVE S Implementation Guide, V ersion 1 .0
Informática Para Negócios - Fatec SBC - 2 º Semestre - Noturno 22/22