Análise de Riscos e Políticas de Segurança II

Análise de Riscos e Políticas de Segurança II Bruno Lopes Alcantara Batista

Quem eu sou?

• Bruno Lopes Alcantara Batista

• Bacharel em Sistemas de Informação

• Pós-graduando na especialização em Desenvolvimento de Soluções Web Com Java EE

• Programador Java, Java EE, Android, Ruby on Rails.

• Administrador de Redes GNU/Linux

• Palestrante em diversos eventos e instituições

• Ministrou cursos na área de Redes, Programação Web, Programação em Dispositivos Móveis e Segurança

Onde conseguir esse material

• Para conseguir este e outros material referentes a este curso acesse:

issuu.com/brunolopesjn/docs/arps1

issuu.com/brunolopesjn/docs/arps2

A História da NBR ISO/IEC 27002

A História da NBR ISO/IEC 27002 • Em 1987, o departamento do comercio e indústria do reino

unido (DTI) criou um centro de segurança de informações, o CCSC (Comercial Computer Security Center) que dentre outras atribuições tinha a tarefa de criar uma norma de segurança a informação do Reino Unido.

• Desde 1989 vários documentos foram publicado por esse centro.

• Em 1995 surgiu a BS 7799 (British Standart 7799).

• Esse documento foi disponibilizado em duas partes para consulta publica:

• A primeira em 1995

• E a segunda em 1998.

NBR ISO/IEC 27002

• A NBR ISO/IEC 27001 é um padrão para sistemas de gestão de sistemas de informação, publicada em 2005 pela ISO e pelo IEC.

• É uma atualização da NBR ISO/IEC 17799, que é uma norma de segurança revisada em 2005.

• Baseada no padrão britânico BS-7799.

• O padrão é um conjunto de recomendações para práticas de gestão de Segurança da Informação.

• A NBR ISO/IEC 27002 tem como objetivo a confidencialidade, integridade e disponibilidade das informações de uma organização.

NBR ISO/IEC 27002

• A norma esta dividida em 11 seções de controles de segurança da informação.

• Juntas totalizam 39 categorias prinicpais de segurança da informação.

• A ordem das seções dentro da norma não significa o seu grau de importancia.

• Dependendo das circustâncias, todas as seções podem ser importantes.

A História da NBR ISSO/IEC 27002 • Em primeiro de dezembro de 2000, após incorporar diversas

sugestões e alterações , a BS 7799 ganhou status internacional com a sua publicação na forma da ISSO/IEC 17799:200

• Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada NBR ISO/IEC 17799.

• Em 2007 a norma ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISSO/IEC 27002.

• A NBR ISSO/IEC 27002 cobre os mais diversos aspectos da área da segurança, possuindo um grande número de controles (contramedidas) e requerimentos que devem ser atendidos para garantir a segurança da informação de uma empresa, de forma que a obtenção da certificação pode ser um processo demorado e muito trabalhoso.

História da NBR ISSO/IEC 27002 • Em contra partida, a certificação é uma forma bastante clara

de mostrar a sociedade que a empresa da segurança de suas informações e de seus clientes a importância que merecem.

• Alguns especialista profetizam que dentro de alguns anos todas as grandes empresas irão aderir a norma e obter sua certificação.

NBR ISSO/IEC 27002

NBR ISO/IEC 27002

• A NBR ISO/IEC está dividida em 11 seções.

• As seções são: • Politica de segurança da informação;

• Organizando a segurança da informação;

• Gestão de ativos;

• Segurança em recursos humanos;

• Segurança física do ambiente;

• Gestão das operações e comunicações;

• Controle de acesso;

• Aquisição, Desenvolvimento e manutenção de sistemas de informação

• Gestão de incidentes de segurança da informação.

• Gestão da continuidade do negócio.

• Conformidades

NBR ISO/IEC 27002

• Cada categoria principal de segurança da informação contém: • Um objetivo de controle (proteção ou contramedida) que define

o que deve ser alcançado.

• Um ou mais controles que podem ser aplicados para se alcançar o objetivo de controle.

• As descrições do controle estão estruturadas da seguinte forma: • Controle: Define qual controle específico para atender o objetivo

do cotrole.

• Diretrizes para implementação: Contém informações mais detalhadas para apoiar a implementação do controle e atender aoobjetivo de controle.

• Informações adicionais: Contém informações adicionais que podem ser consideradas, como, por exemplo, considerações legais ou referência a outras normas.

Análise e tratamento de riscos


• A análise de riscos deve contemplar a identificação, quatidade e a priorização dos riscos.

• Essa análize deve ser baseada em critérios para aceitação dos riscos e dos objetivos relevantes à organização.

• Os resultados da análise orientarão e determinarão as ações de gestão apropriadas e as prioridades do gerenciamento de riscos.

• Esta análise deve ser executada várias vezes, afim de cobrir diferentes partes da organização.

• Convém que a análise do risco inclua um enfoque sistemático de estimar a magnitude do risco.

• E além disso, o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco.


• As análises de risco devem ser feitas periódicamente, para contemplar as mudanças de requisitos de segurança da informação.

• Essas análises devemser realizadas de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis.

• A análise de riscos deve ter um escopo claramente definido para ser eficaz, incluindo os relacionamentos de com as avaliações de risco em outras áreas, se necessário.

• O escopo de uma análise de riscos pode tanto ser em toda organização, partes da organização, em um sistema de informação específico, em componentes de um sistema de informação ou em serviços onde isto seja praticável, realístico e util.


• Convém que, antes de considerar o tratamento de um risco, a organização defina os critérios para determinar se os riscos podem ser aceitos ou não.

• Riscos podem ser aceitos, se, por exemplo, for avaliado que o risco é baixo, ou que o custo de tratamento não é economicamente viável para a organização.

• Para cada um dos riscos identificados, seguindo a análise de riscos, uma decisão sobre tratamento do risco precisa ser tomada.


• Possíveis opções para o tratamento de riscos são:

• Aplicar contramedidasapropriados para reduzir custos;

• Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente a política da organização e aos critérios para aceitação de risco;

• Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;

• Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.


• Para aqueles riscos onde a decisão é de aplicar as contramedidas apropriadas, esses controles sejam selecionados e implementados para atender os requisitos identificados pela análise de risco.

• Convém que as contramedidas assegurem que os riscos sejam reduzidos a um nível aceitável. • Os requisitos de restrições de legislação e regulamentações nacionais e

internacionais;

• Os objetivos organizacionais;

• Os requisitos e restrições operacionais

• Custo de implementação e a operação em relação aos riscos que estão sendo reduzidos e que permanecem proporcionais às restrições e requisitos da organização.

• A necessidade de balancear o investimento na implementação e operações de controle contra a probabilidade de danos que resultemam falhas na segurança da informação.

Política de segurança da informação

Política de segurança da informação • Objetivo:

• Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes.

• Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio e demosntre apoio e comprometimento com a segurança da informação por meio da publicação e manutençao de uma política de segurança da informação para toda a organização.

Política de segurança da informação • Contramedidas:

• Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado a todos os funcionários e partes externasaç relevantes.

• Diretrizes para implementação:

• Uma definico de segurança da informação, suas metas globais, escopo e importância .

• Uma declação do comprometimento da direção, apoiando as metas e principios da segurança da informação, alinhada com os objetivos do negócio.

Políticas de segurança da informação • Contramedida - Análise critica :

• Convém que a politica de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

• Diretrizes para implementação:

• Convém que a política de segurança da informação tenha um gestor que tenha responsabilidade de gestão aprovada para o desenvolvimento, analise critica e avaliação da política de segurança da informação.

• Convém que a analise critica da política de segurança da informação leve em consideração os resultados da análise critica pela direção.

Políticas de segurança da informação • Convém que as entradas para a análise critica pela

direção incluam informações sobre:

• Realimentação das partes interesadas;

• Resultados das análises criticas independentes;

• Situações de ações preventivas e corretivas;

• Resultados das analises criticas anteriores feitas pela direção;

• Tendências relacionadas com as ameaças e vulnerabilidades;

• Relato sobre incidentes de segurança da informação;

• Recomendações fornecidas por autoridades relevantes;

Organizando a segurança da informação

Organizando a segurança da informação • Objetivo:

• Gerenciar a segurança da informação dentro da organização.

• Convém:

• Que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação.

• Que a direção aprove a política de segurança da informação, atribua as funções de segurança, coordene e analise criticamente a implementação da segurança da informação por toda organização.

Organizando a segurança da informação • Contramedida: • Convém que a direção apoie ativamente a segurança da

informação dentro da organização, por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuições de forma explícita e reconhecendo as responsabilidades pela segurança da informação.

• Diretrizes: • Asssegure que as metas de segurança da informação estão

identificadas, atendem aos requisitos da organização e estão integrados nos processos relevantes.

• Formule, analise criticamente a eficácia da implementação da política da segurança da informação.

• Forneça um claro direcionamento e apoio para as iniciativas da segurança da informação.

Oganizando a segurança da informação

• Forneca recursos necessários para a segurança da informação.

• Aprove as atribuições das tarefas e das responsabilidades específicas por toda organização.

• Inicie planos e programas para manter a conscientização da segurança da informação.

• Assegure que a implementação dos controles de segurança da informação tem uma coordenação e permeia a organização.

Organizando a segurança da informação • Contramedida - Coordenação da segurança da

informação: • Convém que as atividades de segurança da informação

sejam coordenadas por representantes de diferentes partes da organização, com funções e papéis relevantes.

• Diretrizes: • Garanta que as atividades de segurança da informação são

executadas em conformidade com a politica de segurança da informação.

• Identifique como conduzir as não-conformidades.

• Aprove as metodologias e processos para a segurança da informação, tais como análise de riscos e classificação da informação

Organizando a segurança da informação

• Identifique as ameaças significativas e a exposição da informação e dos recursos de processamento da informação às ameaças.

• Avalie a adequação e coordene a implementação de contramedidas da segurança da informação.

• Promova, de forma eficaz, a educação, o treinamento e a conscientização pela seguarnça da informação por toda a organização.

• Avalie as informações recebidas do monitoramento e da análise crítica dos incidentes de segurança da informação, e recomende ações apropriadas como respostas para os incidentes de seguarnça da informação.

Partes externas

Partes externas

• Objetivo:

• Manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados, processados, comunicados, ou gerenciados por partes externas.

• Convém:

• Que a segurança dos recursos de processamento da informação não seja reduzida pela introdução de produtos e serviços oriundos de partes externas.

• Que qualquer acesso aos recursos de processamento da informação da organização e ao processamento e comunicação da informação por partes externas seja controlado.

Gestão de ativos

Gestão de ativos

• Objetivo:

• Alcançar e manter a proteção dos ativos da organização.

• Convém:

• Que todos os ativos sejam inventariados e tenham um proprietário responsável.

• Que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriadas das contramedidas

• A implementação das contramedidas específicas pode ser delegada pelo proprietário, conforme apropiado, porém o proprietário permanece responsável pela proteção adequada dos ativos.

Gestão de ativos

• Inventário dos ativos – Contramedida:

• Convém que todos os arquivos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido.

• Diretrizes:

• A organização identifique todos os ativos e documente a importância destes ativos.

• O iventário do ativo deve incluir todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo do ativo, localização, informações sobre cópias de segurança, informações sobre licensas e a importância do ativo para o negócio.

Gestão de ativos

• Existem vários tipos de ativos:

• Ativos de informação: Base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas.

• Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários.

• Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos.

• Serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, refrigeração, eletricidade e iluminação.

• Pessoas e suas qualificações, habilidades e experiência.

• Intangíveis, tais como a reputação e a imagem da organização.

Segurança física do ambiente


• Objetivo: • Prevenir o acesso físico não autorizado, danos e

interferências com as instalações e informações da organização.

• Convém: • Que as instalações de processamento da informação críticas

ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controle de acesso apropriados.

• Que as instalações sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências.

• Que a proteção oferecida seja compatível com os riscos identificados.


• Contramedida – Perímetro de segurança • Convém que sejam utilizados perímetros de segurança (barreiras

tais como, paredes, portões de entrada controlados por cartões ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação.

• Diretrizes: • Os perímetros de segurança sejam claramente definidos e que a

localização e a capacidade de resistência de cada perímetro dependam dos requisitos de segurança dos ativos existentes no interior do perímetro, e dos resultados da análise de riscos.

• Os perimetros de um edifício ou de um local que contenha instalações de processamento da informação sejam fisicamente sólidos (ou seja, o perímetro não deve ter brechas nem pontos onde poderia ocorer facilmente uma invasão).


• Convém que as paredes externas do local sejam de construção robusta e todas as portas externas sejam adequadamente protegidas contra acesso não autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras e etc.

• Convem que as portas e janelas sejam trancadas quando estiverem sem monitoração, e que uma proteção externa das janelas sejam construidas, principalmente para aquelas que estejam no térreo.

• As instalações de processamento da informação gerenciadas pela organização devem ficar fisicamente separadas daquelas que são gerenciados por terceiros.


• Contramedida • Convém que sejam projetadas e aplicadas proteção física contra

incêndios, enchentes, terremotos, explosões, pertubações da ordem pública e outras formas de desastres naturais ou causados pelo homem.

• Diretrizes: • Convém que sejam levadas em consideração todas as ameaças à

segurança representadas por instalações vizinhas, por exemplo, um incêncio no edifício vizinho, vazamento de agua nos telhados ou nos pisos do subsolo ou uma explosào na rua.

• Convem que sejam levadas em consideração as seguintes diretrizes para evitar danos causados por incêndios, enchentes, terremotos, explosões, pertubações da ordem pública, e outras formas de desastres naturais ou causados pelo homem:


• Os materiais perigosos ou combustíveis sejam armazenados a uma distância segura da área de segurança. Suprimentos de grandes volumes, como materiais de papelaria, não devem ser armazenados dentro de uam área segura.

• Os equipamentos para contigência e mídia de backup fiquem a uma distância segura, para que não sejam danificados por um desastre que afete o local principal

• Os equipamentos apropiados de detecção e combate a incêndios sejam providenciados e posicionados corretamente.


• Contramedida – Segurança dos equipamentos

• Impedir perdas, danos, furtos ou roubo, ou compromentimento de ativos e interrupções das atividades da organização.

• Convém:

• Que os equipamentos sejam protegidos contra ameaças físicas e do meio ambiente.

• A proteção dos equipamentos (incluindo aqueles utilizados fora do local e a retirada de ativos) é necessária para reduzir o risco de acesso não autorizado às informações e para proteger contra perdas ou danos.


• Contramedida – Segurança do cabeamento

• Convém que o cabeamento de energia e de telecomunicações que transportam dados ou da suporte a serviços de informações seja protegido contra interceptação, ou danos.

• Diretrizes:

• Convém que sejam levadas em consideração as seguintes diretrizes para a segurança do cabeamento:

• As linhas de energia e de telecomunicações que entram nas instalações de processamento da informação sejam subterrâneas (ou fiquem abaixo do piso), sempre que possível, ou recebam proteção adequada.

• Cabeamento de redes seja protegido contra interceptação não autorizada ou danos, por exemplo, pelo uso de conduítes ou evitando trajetos que passem por áreas públicas.


• Os cabos de energia sejam segregados dos cabos de comunicações, para evitar interferências.

• Nos cabos e nos equipamentos, sejam utilizadas marcações claramente identificáveis, a fim de minimizar erros de manuseio, como, por exemplo, fazer de forma acidental conexões erradas em cabos de rede.

• Seja utilizada uma lista de documentação das conexões para reduzir a possibilidade de erros.

• Para sistemas sensíveis ou criticos, as seguintes contramedidas devem ser consideradas: • Instalação de conduites blindados e salas ou caixas trancadas em pontos

de inspeção ou pontos terminais.

• Uso de rotas alternativas e/ou mios de transmissão alternativos que proporcionem segurança adequada.


• Utilização de cabeamento de fibras ópticas.

• Utilização de blindagem eletromagnética para proteções dos cabos.

• Realização de varreduras técnicas e inspeções físicas para detectar a presença de dispositivos não autorizados conectados aos cabos.

• Acesso controlado aos paineis de conexões e as salas de cabos.


• Contramedida - Manutenção dos equipamentos

• Convém que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridades permanentes.

• Diretrizes:

• Convém que sejam levadas em consideração as seguintes diretrizes para a manutenção dos equipamentos:

• A manutenção dos equipamentos seja realizada nos intervalos recomendados pelo fornecedor, e de acordo com suas especifícações.

• A manutenção e os consertos dos equipamentos sejam relizados somente por pessoal de manutenção autorizado.

Segurabça física do ambiente

• Sejam mantidos os registros de todas as falhas, suspeitas ou reais, de todas as operações de manutenção preventiva e corretiva realizadas.

• Sejam implementados as contramedidas apropriadas , na época programada para a manutenção do equipamento, dependendo de a manutenção ser realizada pelo pessoal local ou por pessoal externo à organização; onde necessário, as informações sensíveis sejam eliminadas do equipamento, ou o pessoal de manutenção seja de total confiança.

• Sejam atendidas todas as informações contidas nas apólices de seguro.

Gerenciamento das operações de comunicações

Gerenciamento das operações e comunicações • Objetivo:

• Garantir a operação segura e correta dos recursos de processamento da informação.

• Convém:

• Que os procedimentos e responsabilidades pela gestão e operações de todos os recursos de processamento das informações sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados.

• Convém que seja utilizada a segregação de funções quando apropriado, para reduzir o risco de mau uso ou uso doloso dos sistemas.

Gerenciamento das operações e comunicação • Contramedida – Documentação dos procedimentos das

operações.

• Convém que os procedimentos de operações sejam documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem.

• Diretrizes:

• Convém que procedimentos documentados sejam preparados para as atividades de sistemas associadas a recursos de processamento e comunicação das informações, tais como procedimentos de inicialização e desligamento de computadores, geração de cópias de segurança (backup), manutenção de equipamentos, tratamento de mídias, segurança e gestão do tratamento das correspondências e das salas de computadores.

Gerenciamento das operações e comunicações • Objetivo – Minimizar o risco de falhas nos sistemas

• O planejamento e a preparação prévios são requeridos para garantir a disponibilidade adequada de capacidade e recursos para entrega do desempenho desejado do sistema.

• Convém que projeções de requisitos de capacidade futura sejam feitas para reduzir o risco de sobrecargas dos sistemas.

• Convém que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e testados antes da sua aceitação e uso

Gerenciamento das operações e comunicações • Controle – Gestão da capacidade

• Convém que a utilização dos recursos seja monitorada e ajustada, e as projeções feitas para a necessidades de capacidade futura, para garantir o desempenho requerido do sistema.

• Diretrizes

• Convém que requisitos de capacidade sejam identificados para cada atividade nova ou em andamento

• Convém que o ajuste e o monitoramento dos sistemas sejam aplicados para garantir e, quando necessário, melhorar a disponibilidade e eficiência dos sistemas.

• Atenção particular precisa ser dada a qualquer recurso que possua um ciclo de renovação ou custo maior, sendo responsabilidade dos gestores monitorar a utilização dos recursos-chave dos sistemas

Gerenciamento das operações e comunicações • Objetivo – Proteger a integridade do software e da informação

• Precauções são requeridas para prevenir e detectar a introdução de códigos maliciosos e códigos móveis não autorizados.

• Os recursos de processamento da informação e os softwares são vulneráveis à introdução de código malicioso, tais como vírus de computador, worms de rede, cavalos de tróia e bombas lógicas.

• Convém que os usuários estejam conscientes do perigo de códigos maliciosos.

• Convém que os gestores, onde apropriado, implantem contramedidas para prevenir, detectar e remover código malicioso e controlar códigos móveis.

Gerenciamento das operações e comunicações • Contramedida – Controles contra códigos maliciosos

• Convém que sejam implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.

• Diretrizes:

• Convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças.

• Convém que as seguintes diretrizes sejam consideradas:

• Estabelecer uma política formal proibindo o uso de softwares não autorizados;

Gerenciamento das operações e comunicações

• Instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos nos arquivos em mídias magnéticas, de forma preventiva ou de forma rotineira.

• Convém que as verificações realizada incluam;

• Verificação, antes do uso, da existência de códigos maliciosos nos arquivos em mídias óticas ou eletrônicas , bem como nos arquivos transmitidos através de redes;

• Verificação, antes do uso, da existência de software malicioso em qualquer arquivo recebido através de correio eletrônico importado (download). Convém que essa avaliação seja feita em diversos locais, como por exemplo, nos servidores de correio eletrônico, nos computadores pessoais ou quando da sua entrada na rede da organização;

• Verificação de código malicioso em páginas web.

Gerenciamento das operações e comunicações • Objetivo – Gerenciamento da segurança de redes

• Garantir a proteção das informações em redes e a proteção da infraestrutura de suporte

• O gerenciamento seguro de redes, que podem ir além dos limites da organização, requer cuidadosas considerações relacionadas ao fluxo de dados, implicações legais, monitoramento e proteção.

• Controles adicionais podem ser necessários para proteger informações sensíveis trafegando sobre redes públicas.

Gerenciamento das operações e comunicações • Contramedida – Controles de redes

• Convém que as redes sejam adequadamente gerenciadas e controladas, de forma a protege-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam essas redes, incluindo informação em trânsito.

• Diretrizes: • Convém que os gestores de redes implementem controles para

garantir a segurança da informação nestas redes e a proteção dos serviços a elas conectados, de acessos não autorizados

• Em particular, convém que os seguintes item sejam considerados: • A responsabilidade operacional pelas redes seja separada dos

recursos computacionais, onde for apropriado.

• As responsabilidades e procedimentos sobre o gerenciamento de equipamentos remotos, incluindo equipamentos em áreas de usuários, sejam estabelecidos.

Gerenciamento das operações e comunicações

• Os controles especiais sejam estabelecidos para a proteção da confidencialidade e integridade dos dados trafegado sobre redes públicas ou sobre as redes sem fio (wireless) e para proteger os sistemas e aplicações a elas conectadas; controles especiais podem também ser requeridos para manter a disponibilidade dos serviços de rede e computadores conectados.

• Os mecanismos apropriados de registro e monitoração sejam aplicados para habilitar a gravação das ações relevantes de segurança;

• As atividades de gerenciamento sejam coordenadas para otimizar os serviços para a organização e assegurar que os controles estejam aplicados de forma consistente sobre toda a infraestrutura de processamento da informação.

Metodologia de análise de risco


• As metodologias de análise de risco devem cumprir os seguintes requisitos:

• A metodologia deve ser aplicada sistematicamente (isto é usada para todos os riscos).

• Identificar as ameaças, vulnerabilidade e suas consequências de casa risco.

• Calcular o grau de perigos do risco, baseado na probabilidade e no impacto.

• Classificar os riscos de acordo com este calculo usando uma escala diferenciada


• Existem diversas metodologias de análise de riscos.

• ISSO/IEC TR 13335-3:1998

• CRAMM

• OCTAVE

• CORAS

• NIST SP 800-30

• IT Baseline Protection Manual

• Porém utilizaremos neste curso uma metodologia mais simples, chamada Método Brasiliano.

• Este método foi criado pelo Doutor em Ciência e Inteligência da informação e de Inteligência Estratégica Antônio Celso Ribeiro Brasiliano.


• O risco acompanha o homem e é inerente a sua natureza.

• Porém nem todos os riscos são iguais.

• O risco é a condição que aumenta ou diminui o potencial de perdas, ou seja, o risco é a condição existente.

• Com base nessa condição de segurança ou insegura é que há maior ou menor chance do perigo se concretizar.

• Essa condição deve ser incerta, fortuita e de consequências negativas ou danosas.

• O risco é, então, uma possibilidade, quer dizer que o acontecimento tem que ser possível e deve, ou pode, realizar-se


• Paralelamente, o acontecimento tem que ser incerto.

• O homem que se atira à rua do trigésimo-quinto andar de um edifício não corre nenhum risco, pois conhece as consequências antes de faze-lo.

• O acontecimento tem que ser fortuito ou acidental, ou seja, independente das vontades do homem, cuja a disposição normal deve ser, em todas as circunstâncias , a de evita-lo ou reduzir as suas perdas caso aconteça.

• O risco difere do perigo, pois o perigo é a origem da perda.

• O incêndio é um perigo

• Os riscos são as condições de armazenagem, carga de incêndio, cultura de funcionários, entre outras.


• A análise de riscos estruturada possui dois parâmetros claros a serem estudados:

• Saber qual a chance, a probabilidade, dos perigos virem a acontecer, frente a condição existente – risco.

• Calcular o impacto, seja ele operacional ou financeiro.

• A Microsoft em seu Guia de Gerenciamento de Riscos, enfatiza que deve haver uma declaração estruturada do risco, também sobre dois aspectos:

• Impacto

• Probabilidade


• Com esses dois critérios bem definidos, podemos calcular a Perda Esperada (PE), que é a multiplicação direta entre a probabilidade (Pb) do risco de vir a acontecer pelo seu Impacto Financeiro (IF).

PE = Pb X IF

• A perda esperada é a fotografia de cada risco nas matrizes de monitoramento .

• Representa o patamar máximo de investimento a ser realizado pela empresa na mitigação de seu risco.

• Os métodos de análise de riscos são divididos em duas categorias

• Métodos objetivos (Quantitativos)

• Métodos subjetivos (Qualitativo)

Método Brasiliano

Método Brasiliano

• O método brasiliano é uma forma do gestor de riscos corporativos acompanhar a evolução dos seus perigos de maneira geral.

• O método completo fornece como resultado prático a Matriz de Vulnerabilidade, que é o cruzamento da probabilidade de ocorrência versus o impacto financeiro.

• O método brasiliano possui como diferencial a obtenção do grau de probabilidade (GP) e da relevância do impacto do perigo.

• O método brasiliano foi elaborado com o intuito de facilitar a prospectiva dos dois critérios universais de classificação de riscos; A probabilidade e o impacto.

Método Brasiliano

• O método brasiliano não classifica o perigo, mas sim estima a sua probabilidade e o impacto, frente determinadas condições.

• O método brasiliano de análise de riscos possui cinco fases, que são:

• Identificação dos fatores de risco;

• Identificação dos fatores de riscos motrizes – Matriz SWOT;

• Determinação do grau de probabilidade;

• Determinação da relevância do impacto –Objetiva e Subjetiva

• Elaboração da matriz de vulnerabilidade

• Para elaborar o grau de probabilidade, temos que estudar dois critérios: Critério dos fatores de riscos e o Critério da exposição.

Método Brasiliano

• O grau de probabilidade (GP) está alicerçado em uma formula simples, que calcula de forma direta, através da multiplicação dos dois critérios, o nível de possibilidade do perigo e ou evento a vir acontecer.

IDENTIFICAÇÃO DOS FATORES DE RISCO

Identificação dos fatores de risco • Os fatores de risco são, na verdade, a origem e ou a causa de

cada perigo.

• Para compreender o risco, a condição, a soma de todos os fatores, há a necessidade de dissecar o fluxo de cada processo.

• Utilizamos a técnica do Diagrama de Causa e Efeito, o chamado diagrama de Ishikawa ou diagrama espinha de peixe.

• Esta técnica é uma notação simples para identificar fatores que causam o evento estudado.

• Em 1953, o professor Karou Ishikawa, da universidade de Tóquio sintetizou a opinião dos engenheiros de uma fabrica em um diagrama de causa efeito, enquanto discutiam problemas e qualidade.

Identificando os fatores de risco • A técnica foi adaptada para a segurança, inserindo os

seguintes fatores de risco:

• Meios organizacionais;

• Recursos humanos da segurança;

• Meios técnicos passivos;

• Meios técnicos ativos;

• Ambiente interno;

• Ambiente externo.

• O diagrama de causa e efeito fica assim exemplificado

Identificando os fatores de risco

Meios técnicos passivos

Meios técnicos ativos

RH em segurança

Ambiente externo

Meios organizacionais

Ambiente interno

Perigo

Causas Efeito

Identificação dos fatores de risco • Meios organizacionais

• É o levantamento se na empresa possui normas de rotina e de emergência, políticas de tratamento de riscos, gerenciamento do riscos entre outras. A não formalização ou o não detalhamento pode ser um fator de influência para a concretização do perigo.

• Recurso humano de segurança

• É o levantamento do nível de qualificação, quantidade e posicionamento tático da equipe.

• Meios técnicos passivos

• É o levantamento da não existência de recursos físicos, tais como layout de portaria, salas, resistência de paredes, vidros entre outros.

Identificação dos fatores de risco • Meios técnicos ativos

• É o levantamento da não existência de sistemas eletrônicos, indo deste CFTV, controle de acesso, sensoriamento, sistemas de rastreamento e centrais de segurança.

• Ambiente interno

• É o levantamento do nível de relacionamento dos colaboradores e empresa. Inclui desde políticas de remuneração até políticas de recursos humanos.

• Ambiente externo

• É o levantamento de cenários prospectivos, identificando fatores externos incontroláveis, mas que influenciam na concretização e perigos.

Identificação dos fatores de riscos • A técnica para detalhar os fatores de risco é fazendo a

pergunta PORQUE até esgotar o respectivo fator.

• O objetivo é identificar quais subfatores influenciam na concretização do perigo.

• O risco passa ser então o somatório dos fatores.

RH de segurança

Perigo

Quantidade insuficiente

Capacitação Insuficiente, Porque?

Falta de instrução ...

IDENTIFICAÇÃO DOS FATORES DE RISCOS MOTRIZES

Identificação dos fatores de riscos motrizes • Após a identificação dos vários fatores de riscos ou também

chamados de fatores facilitadores, o analista precisa realizar uma análise.

• Esta análise precisa identificar quais são os fatores de riscos comuns a todos os perigos.

• E também identificar todos os perigos e quais são os mais motrizes, ou seja quais são os que possuem maior influência no contexto.

• Foi adaptada uma ferramenta gerencial utilizada pelos gestores estratégicos para identificar os pontos fracos , fortes, oportunidades de fraquezas no contexto empresarial.

• A ferramenta se chama matriz SWOT, que em inglês significa Strengths, Weakness, Opportunities e Threats.

Identificação dos fatores de riscos motrizes • Avaliação das forças e fraquezas dizem respeito as condições

dos sistemas e processos que a empresa possui domínio de ação e decisão.

• São chamados de fatores de riscos internos, ou variáveis interna.

• Os fatores de risco considerados incontroláveis dizem respeito ao ambiente externo, podendo ser negativa (ameaça) ou positiva (oportunidades).

• A matriz possui quatro células, avaliadas quantitativamente, utilizando-se dois parâmetros:

Identificação dos fatores de riscos motrizes • Magnitude

• Significa o tamanho ou grandeza que a variável ou evento possui perante a empresa.

• Caso aconteça positivamente ou negativamente, o quanto ela vai influenciar no contexto como um todo.

• A magnitude é ranqueada, utilizando-se uma pontuação, que varia -3 a +3, dentro do seguinte parâmetro: • Fatores positivos:

• +3 (alto)

• +2 (médio)

• +1 (baixo)

• Fatores negativos: • -1 (baixo

• -2 (médio)

• -3 (alto)

Identificação dos fatores de riscos motrizes

• No nosso caso, podemos ter como parâmetro para poder dar a nota da magnitude da célula da fraqueza e ameaça o número de vezes que as variáveis aparecem no diagrama de causa e efeito.

• É uma forma mais objetiva de saber a magnitude do Fator de Risco, pois se um Fator de Risco aparece 5 vezes em seis perigos estudados, significa que esta variável é de grande magnitude.

• Importância

• Significa a prioridade que esta variável deve possuir perante a conjuntura da empresa.

• É uma nota subjetiva com base na experiência do avaliador.

• Utilizamos também três níveis de pontuação:

• 3 (muito importante)

• 2 (importante)

• 1 (pouca importância)

Identificação dos fatores de riscos motrizes

• Para ranquear os itens em cada célula, podemos multiplicar a avaliação da magnitude e da importância.

• Os fatores de riscos ranqueados com maior numeração, positiva e negativa, são considerados motrizes.

• Motrizes porque devem receber maior atenção.

• A matriz SWOT demonstra o conjunto de Fatores de Risco (fraquezas e ameaças), e seus pontos fortes e oportunidades.

• Com esta fotografia o analista enxergará seus pontos de maior fragilidade.

DETERMINAÇÃO DO GRAU DE PROBABILIDADE - GP

Determinação do grau de probabilidade - GP • O Grau de Probabilidade (GP) é a consequência da

multiplicação dos fatores de risco pelo critério de exposição.

• É uma multiplicação direta, onde cada critério possui uma escala de valoração entre 1 e 5.

• Os critérios são:

• Critérios do fator de risco

• Este critério possui seis subcritérios estudados na fase da identificação da origem de cada perigo.

• Os subcritérios possui uma escala de valoração que mede o grau de influência para a concretização do perigo.

• Neste caso julgamos qual o nível de influência, por subcritério, para que o perigo seja concretizado.

• É uma nota subjetiva, com base no diagrama de causa e efeito e na experiência do analista.

Determinação do grau de probabilidade - CP

• Os subfatores de risco são:

• FR Ambiente interno: Este critério projeta a influencia das variáveis internas na concretização do perigo em estudo.

• FR Ambiente externo: Este critério projeta a influência das variáveis externas incontroláveis, ambiência - cenários, na concretização do perigo em estudo.

• FR Recursos Humanos: Este critério projeta o nível da equipe de segurança, na concretização do perigo em estudo. Deve-se levar em consideração o efetivo existente, perfil, qualificação e posicionamento tático.

• FR Meios Organizacionais: Este critério projeta a influencia da formalização das normas e políticas, não existentes na empresa, na concretização do perigo em estudo.

• FR Meios técnicos ativos: Este critério projeta a influencia dos equipamentos e sistemas eletrônicos, não existentes na empresa, na concretização do perigo em estudo.

Determinação do grau de probabilidade - GP

• FR Meios técnicos passivos: Este critério projeta a influencia dos recursos físicos, não existentes na empresa, na concretização do perigo em estudo.

• Os seis fatores de risco mencionados acima possuem uma escala de valoração que mede o nível e o grau de influencia de cada aspecto para a materialização do risco, conforme abaixo:

• Escala Pontuação

• Influencia muito - 5

• Influencia - 4

• Influencia Medianamente - 3

• Influencia Pouco - 2

• Influencia Muito Pouco - 1


• Após a pontuação das questões pertinentes aos respectivos fatores de risco, é necessário efetuar a soma do resultado/media dos seis fatores e dividir por 6 para determinar o grau final (média) desta variável:

𝐹𝑅 = 𝐴𝐼 + 𝐴𝐸 + 𝑅𝐻 + 𝑀𝑂 + 𝑀𝑇𝐴 + 𝑀𝑇𝑃

6


• Critério da exposição – E

• É a frequência na qual o perigo costuma se manifestar na empresa ou em empresas similares.

• Neste critério é importante o analista observar de forma integrada o nível de critério FR.

• Pois de acordo com a condição existente poderá realizar a prospectiva da manifestação do perigo.

Descritor Critério – Sugestão Pontuação

Várias vezes ao dia Uma ou mais vezes por mês 5

Frequentemente Uma ou mais vezes por ano 4

Ocasionalmente Uma ou mais vezes a cada 5 anos 3

Irregularmente Uma ou mais vezes a cada 10 anos 2

Remotamente possível Remotamente possível 1

Determinação do grau de probabilidade - GP • Desta forma para termos o grau de probabilidade (GP) basta

multiplicarmos o valores obtidos dos riscos acima:

GRAU DE PROBABILIDADE = FATOR DE RISCO X EXPOSIÇÃO 𝐺𝑃 = 𝐹𝑅 𝑋 𝐸

• O valor obtido desta multiplicação é o grau de probabilidade (GP), que para saber a sua classificação devemos consultar a tabela abaixo:

Escala Nível de probabilidade Nível da probabilidade

1 – 5 BAIXA 4% a 20%

5,01 – 10 MÉDIA de 20,01% a 40%

10,1 – 15 ALTA de 40,01% a 60%

15,01 – 20 MUITO ALTA de 60,01% a 80%

20,01 - 25 ELEVADA de 80,01% a 100%

DETERMINAÇÃO DO IMPACTO

Determinação do impacto

• Devemos projetar todos os custos que os perigos causam de impacto nos negócios da empresa, levantando tanto as consequências diretas como as indiretas

• O investimento necessário para se prevenir, monitorar ou simplesmente transferir em caso de contingência vai ser fruto da multiplicação direta entre a probabilidade de ocorrência de cada risco com seu impacto financeiro.

• Esta multiplicação denomina-se perda esperada (PE), sendo considerado o investimento máximo a ser realizado pela empresa.

• Os dados a serem levantados em toda a empresa são:


• Substituição permanente - Sp

• Neste item enquadram-se os custos definitivos, ou seja, equipamentos, instalações, salários, indenizações que a empresa não obterá mais.

• Substituição temporária - St

• Neste item enquadra-se o que a empresa perde temporariamente, tal como, aluguel de equipamentos, instalação, tempo de funcionários parados, etc.

• Custo consequente – Cc

• Neste item é avaliado o que de prejuízo o risco deu à empresa, tal como, queda do faturamento, imagem da empresa, etc.

• Redução de dinheiro em caixa – Rc

• Este item diz respeito a redução efetiva do numerário em caixa, em casos de assalto, incêndio, entre outros.


• Indenização do seguro – I

• Neste item é levantado, caso haja, quanto o seguro irá pagar para a empresa no caso de sinistro.

• Prêmio pago até o momento do sinistro – P

• Neste item é levantado quanto já se pagou, em parcelas mensais, a seguradora.

• De forma metodológica podemos avaliar o custo das perdas reais e potenciais, pela formula:

𝐶𝑃 = 𝑆𝑝 + 𝑆𝑡 + 𝐶𝑐 + 𝑅𝑐 − (𝐼 − 𝑃)


• O ideal é que as empresas possuam uma classificação de impacto no negócio, tendo em vista as consequências, tanto reais como potenciais. Segue uma sugestão de classificação:

• Catastrófico

• Severo

• Moderado

• Leve


• Uma segunda maneira de calcular o impacto nas organizações, não levando-se em consideração somente a questão financeira é a Relevância do Impacto.

• A Relevância do Impacto no negócio pode ser calculado de forma subjetiva e simples .

• No método brasiliano foi estipulado quatro subcritérios de impacto.

• Cada subcritério tem seu grau de relevância para a empresa.

• Os quatros subcritérios e seus respectivos pesos são:


Imagem - 4 Financeiro - 3

Legislação - 2 Operacional - 2

Impacto


• Imagem – Peso 4

• De caráter internacional - 5

• De caráter nacional - 4

• De caráter regional - 3

• De caráter local - 2

• De caráter individual - 1

• Financeiro – Peso 3

• Massivo - 5

• Severo - 4

• Moderado - 3

• Leve - 2

• Insignificante - 1


• Legislação – Peso 2

• Perturbações muito graves - 5

• Graves - 4

• Limitadas - 3

• Leves - 2

• Muito leves - 1

• Operacional – Peso 2

• Perturbações muito graves - 5

• Graves - 4

• Limitadas - 3

• Leves - 2

• Muito leves - 1


• O nível de impacto é o resultado da soma dos resultados de subcritério de impacto, dividido pela soma dos pesos, conforme demonstrado abaixo:

𝑁í𝑣𝑒𝑙 𝑑𝑒 𝑖𝑚𝑝𝑎𝑐𝑡𝑜 =𝐼𝑚𝑎𝑔𝑒𝑛 + 𝐹𝑖𝑛𝑎𝑛𝑐𝑒𝑖𝑟𝑜 + 𝐿𝑒𝑔𝑖𝑠𝑙𝑎çã𝑜 + 𝑂𝑝𝑒𝑟𝑎𝑐𝑖𝑜𝑛𝑎𝑙

11

Análise de Riscos e Políticas de Segurança II

Documents

Transcript of Análise de Riscos e Políticas de Segurança II