15/09/2011

1

Gestão da Segurança da Informação

Frederico Sauer, D.Sc.Auditor de Segurança da

Informação

Preliminares

• Apresentação do Professor• Objetivos da Cadeira• Avaliações• Bibliografia:

– “Gestão da Segurança da Informação: um enfoque estratégico” – Marcos Sêmola

– ISO 27001, 27002, 27005

15/09/2011

2

Conceito

• Por quê investir em Segurança ?– RISCO

• Ameaças• Vulnerabilidades• Impactos

– CONTROLES• Mecanismos para reduzir o Risco

R = V x A x IM

Risco

• O que são ameaças ?• O que são vulnerabilidades ?• Quão impactante pode ser um

Incidente de Segurança ?• Como podemos controlar este

risco ?

15/09/2011

3

Proposta

Proposta

• Metodologia prática– Primeiro Passo: "Se você conhece o inimigo e conhece a si

mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas." Sun Tzu.

15/09/2011

4

Mapeamento do Negócio

• Visão Holística do Risco• Cenário de Influências• Orientação básica

–Evitar a visão míope–Foco na Informação

Exemplo

• O setor de expedições recebe os pedidos do setor de vendas; processa os pedidos de acordo com as rotas disponibilizadas pela transportadora (terceirizado); emite as notas fiscais de entrega para a transportadora. Após as entregas, processa os recibos entregues pela transportadora e emite uma notificação de entrega de item para o setor de faturamento

15/09/2011

5

Exemplo

Pe di do s

Notific

. E

ntre

ga

Objetivo do Mapeamento

• Isolar o fluxo de informações• Identificar dependências

funcionais entre os Processos• Ferramenta de verificação de

conformidade com a realidade

15/09/2011

6

Caso

• Identificação e mapeamento dos Processos de Negócio do Estudo de Caso

Resultado

15/09/2011

7

Atividade

• Identifique e mapeie um processo de negócio do seu dia-a-dia (ex.: pagamento de contas)

Segundo Passo

• Mapeamento de Ativos–Significado–Taxonomia

• Físicos• Tecnológicos• Humanos

15/09/2011

8

Segundo Passo

• Ciclo de Vida da Informação–Manipulação–Armazenamento–Transporte–Descarte

Exemplo

• Os pedidos são feitos por telefone.Tudo é manipulado exclusivamente por gestores identificados através de um sistema (SG) em rede. São entregas de matéria prima para pesquisas, logo, as entregas são sigilosas; após o faturamento, os registros da venda no sistema são descartados pelo setor de faturamento. O setor de expedição tem um histórico de indisponibilidade por problemas de saúde do seu gestor.

15/09/2011

9

Exemplo

• Elaborar o Elenco de Ativos e Correlacionar com o Ciclo de Vida e com as Informações do Primeiro Passo

Exemplo

Ativo Fase do ciclo Informação

Processo de Negócios “Expedição”

Rede dados Transporte Pedidos, notificações de entrega

SG Armazenamento Pedidos, rotas, recibos, NF entrega

Telefonia Transporte Pedidos

Gestor Manipulação Todas

PN Faturamento Gestor Descarte Pedidos

PN Vendas Gestor Manipulação Pedidos18

15/09/2011

10

Objetivo desta etapa

• A correlação entre os ativos, informações e fase o ciclo permite:– Planejar treinamentos apropriados– Proteger a informação em todo o seu ciclo de

vida, através dos ativos– Evita investimentos inadequados para os

reais riscos

Caso

• Elaboração do quadro para o Estudo de Caso

15/09/2011

11

Resultado (Extrato)

Ativo Fase Ciclo Info

PN A

Salas, mobiliário Armazenamento Todas (em forma visívelou audível)

Cofre Armazenamento Resultado da Pesquisa(impressa)

Infra-estrutura dedados, equipamentosde conectividadelocais

Transporte Todas, exceto o convitepara entrevista

Infra-estrutura de voz Transporte Convite para entrevista

Computadores Armazenamento Todas, exceto o convitepara entrevista

Gestor Manipulação Todas

Gestor Descarte Qualquer Info impressareferente ao candidato

21

Atividade

• Fazer o segundo passo para o seu Processo de Negócio

15/09/2011

12

Análise de Riscos Baseline

• Principais Riscos–Casos Reais já ocorridos–Estatísticas com empresas

semelhantes–Observação especialista

Terceiro Passo

• Fazer a Análise de Riscos Baseline

15/09/2011

13

Exemplo

• No texto exemplo, podem ser evidenciados:– Incidente de Confidencialidade

• Ameaça: potencial interessado do objeto das pesquisas

• Vulnerabilidade: alto grau de sigilo da informação, possivelmente sem a compatível proteção

– Incidente de Disponibilidade• Ameaça: potencial indisponibilidade de execução

do PN • Vulnerabilidade: inassiduidade e indisponibilidade

de substituto de ativo humano

Objetivos da Análise de Riscos Baseline

• Incidentes já ocorridos tem grande probabilidade de voltar a ocorrer

• Ainda não conhecemos o problema o suficiente

• “O bom é inimigo do ótimo”

15/09/2011

14

Caso

• Análise de Riscos baseline do Estudo de Caso

Resultados

Ameaça Vulnerabilidade

PNA

Candidato com dadosexpostos (processo judicial)

Funcionário do setor (Tratamentoinadequado da informação sigilosa)

Qualquer Gestor de PN sem cultura de segurança

PNB

Pane elétrica Empresa fornecedora de energia de baixaqualidade

Sabotador Acesso fácil de estranhos

Técnico mal-intencionado Customização do sistema

Qualquer Gestor de PN sem cultura de Segurança

28

15/09/2011

15

Atividade

• Faça uma Análise de Riscos do seu Processo de Negócio

Análise CIDAL

• Agora que sei o que proteger, COMO devo proteger ?

• Níveis diferentes de SENSIBILIDADE dentro de cada requisito

15/09/2011

16

Quarto Passo

• Atributos da Informação (CIDAL)–Confidencialidade–Integridade–Disponibilidade–Autenticidade–Legalidade

Exemplo

• Métricas adotadas:– Nivel 3: CRÍTICO – um incidente pode até

fazer a empresa FALIR– Nível 2: IMPORTANTE – um incidente pode

causar prejuízos relevantes, mas contornáveis em médio prazo

– Nível 1: RELEVANTE – um incidente causa medidas corretivas indesejadas porém satisfatórias em curto prazo, com custos absorvíveis

15/09/2011

17

Exemplo

• PN Expedição:C I D A L

CRÍTICO (3) X

IMPORTANTE (2) X

RELEVANTE (1) X X X

Justificativa: A confidencialidade é crítica porque os insumos servem para pesquisas sigilosas; a integridade é importante para que os pedidos estejam espelhando corretamente as encomendas, evitando prejuízos com devoluções ou reenvios urgentes. A disponibilidade, autenticidade e a legalidade foram consideradas apenas relevantes pela indisponibidade de informações que evidenciem maior sensibilidade. Resultado: média 1,6 (PN IMPORTANTE

33

Objetivos da Análise CIDAL

• Possibilitar a identificação de sensibilidade nem sempre óbvia

• Permitir soluções compatíveis com a natureza do risco

• Priorizar processos de acordo com suas sensibilidades ao risco

15/09/2011

18

Caso

• Com a tabela de métricas fornecida, fazer o CIDAL para o Estudo de Caso

Métricas

Índice Nível Enquadramento

1 Não Considerável

A ocorrência de um incidente de segurança (IS) neste PN é absorvida integralmenteatravés de um Plano de Continuidade de baixo custo sem prejuízo algum à atividadeprodutiva

2 Relevante A ocorrência de um IS no PN em análise demanda ações reativas programadasperceptíveis em outros PN, podendo causar impactos de baixa monta, comopequenos atrasos ou prejuízos financeiros absorvíveis, porém indesejados

3 Importante Um IS no PN em avaliação provoca a redução imediata de sua operacionalidadenormal, causando prejuízos diários. Demanda ações reativas emergenciais para quea extensão de seus impactos não afetem outros PN da empresa e metas da empresa

4 Crítico Os impactos de um IS podem ser percebidos em vários PN associados, demandandoiniciativas reativas não previstas anteriormente, causando a necessidade de esforçosadicionais e redução da capacidade produtiva de toda ou grande parte da empresa.Compromete metas. A ausência ou demora na reação pode transformar o evento emvital.

5 Vital A ocorrência de um IS deste tipo no PN em análise pode atingir toda a empresa eseus parceiros, causando impactos irreversíveis e demandando ações emergenciaisque envolvem desde o setor estratégico até o operacional. Se persistente, podeprovocar a falência da empresa

36

15/09/2011

19

Resultados

Conclusão Objetiva: PN A: média 2,2 (relevante) e PN B: 4,0 (crítico)

Atividade

• Fazer uma tabela com possíveis efeitos impactantes compatíveis com o seu Processo de Negócio e fazer o CIDAL

15/09/2011

20

Resultados até aqui

• Resultados– Documentação do PDS– Envolvimento de todos os Gestores– Início da formação da Mentalidade de

Segurança– Melhor entendimento do negócio– Os diferentes índices de sensibilidade

apontam para uma priorização de ações

Quinto Passo

• Inserção da Sensibilidade Temporal• Ferramenta GUT

– Transporta resultados da fase anterior– Mais focado no negócio (disponibilidade)– Agrega sensibilidade temporal em crise e na

evolução do negócio– Permite maior priorização usando a

multiplicação dos índices (no CIDAL é a média)

15/09/2011

21

Exemplo

• Estima-se que o PN expedição pode ficar parado por no máximo 48 horas, e que há intenções de investimento a curto prazo para conquista de novos nichos de mercado

Exemplo

• Usando a métrica:

Urgência Tendência

CRÍTICO Abaixo de 12h Agravamento dentro do Ano (curto prazo)

IMPORTANTE Entre 12h e 48h Agravamento nos próximos 5 Anos (médio prazo)

RELEVANTE Acima 48h Agravamento sem previsão

O GUT do PN EXPEDIÇÃO é 2 x 2 x 3 = 12 pontos

42

15/09/2011

22

Objetivos do GUT

• Analisar tolerâncias temporais• Inserir expectativas dos stakeholders no

PDS• Evoluir na priorização entre os Processos

Caso

• Usando a tabela dada, elaborar o GUT do Estudo de Caso

1 Neste caso, PN significa Plano de Negócios

15/09/2011

23

Resultado

Atividade

• Fazer o GUT do seu Processo de Negócio

15/09/2011

24

Resultados até aqui

• Além da priorização entre os processos– Continuidade do processo de envolvimento

dos Gestores– Continuidade da formação da Mentalidade de

Segurança– Documentação do Plano Diretor de

Segurança

Próximos Passos

• Encerra-se assim a fase de levantamento das características do negócio

• Próximas etapas:– FSI

• É importante ser top-down ?• É importante ser abrangente e democrática ?• É importante haver um Security Officer ?

– Início do PDCA

15/09/2011

25

PDCA

Sexto Passo

• Plano de Continuidade dos Negócios– Contém os “Planos B” para as situações de

risco de alta criticidade– Devem ser criados para os PN, e não para os

ativos– Devem ser organizados para missões

distintas:• PAC – Plano de Administração de Crise• PCO – Plano de Continuidade Operacional• PRD – Plano de Recuperação de Desastres

15/09/2011

26

Business Impact Analysis

• Ferramenta para priorização de processos de acordo com sua criticidade e tolerância temporal

• As ameaças devem ser evidenciadas para cada Processo de Negócio

Exemplo BIA

• Considerando a disponibilidade citada para o PN expedição e a Análise de Riscos baseline, teríamos:

Sabotador Colaborador Concorrente Tolerância

PN Expedição X 24hPN Vendas

PN Financeiro

52

15/09/2011

27

Objetivo do BIA

• Ferramenta objetiva para isolar componentes vitais para o negócio

• Orienta, de acordo com as prioridades, a elaboração do PCN

Caso

• Elaboração do BIA do Estudo de Caso

15/09/2011

28

Resultado

Atividade

• Fazer o BIA do seu Processo de Negócio

15/09/2011

29

Plano de Continuidade

• Elaborado para as necessidades mais evidentes (BIA)– Envolve questões orçamentárias

• ROI

– Deve, com o menor custo, garantir a funcionalidade dentro da tolerância temporal

Exemplo

• Plano de Contingência – Indisponibilidade da Função de Expedição– PAC

• Em caso de possibilidade de paralisação por tempo indefinido, o gestor do setor de faturamento acumula a função; clientes de vendas urgentes são cientificados de um possível pequeno atraso;

– PCO• O Gestor de Faturamento prioriza a expedição; executa breve

auditoria nos pedidos em andamento e agiliza as entregas junto à transportadora; faz hora-extra se necessário; e

– PRD• Ao retorno da funcionalidade normal, o Gestor de Faturamento faz

um relatório de suas ações em contingência para o Diretor-executivo, sugerindo ações para que o incidente não volte a ocorrer, de acordo com o cenário.

15/09/2011

30

Objetivo do PCN

• Além de buscar garantia do retorno da funcionalidade dentro da tolerância desejada, visa evitar novas ocorrências

• Deve ser testado periodicamente (PDCA)

Caso

• Elaboração de um Plano de Contingência para a Pane Elétrica do PN 2

15/09/2011

31

Resultado - PAC

Resultado - PCO

15/09/2011

32

Resultado - PRD

Atividade

• Escolha um incidente de segurança do seu BIA e elabore um PCN para ele

15/09/2011

33

Último Passo do Plan(PDCA)

• Política de Segurança– É o dia-a-dia do controle do nível de risco– Depende de conscientização, treinamento e

envolvimento top-down– Definida através de Diretrizes, Normas e

Procedimentos– Dever focar objetivamente os riscos

evidenciados durante o mapeamento para o PDS

PolSeg

15/09/2011

34

Exemplo

• Diretriz – Abrangência Corporativa– Para cada função essencial, devem haver elementos

treinados para pronta substituição;• Norma – Abrangência Setorial

– Para a eventual substituição do Gestor do PN de Expedição, o Gestor do PN de Faturamento deve estar capacitado; e

• Procedimento – Abrangência Operacional– O treinamento consiste em uma assunção bimestral

da função de Gestor do PN de expedição pelo Gestor de Faturamento, por um dia, na presença do titular. Ao final do dia, o Gestor substituto deve relatar as dificuldades por escrito ao Diretor.

Objetivos da PolSeg

• Os itens da PolSeg constituem dispositivos para controle do nível de risco

• Seus itens devem ser do conhecimento de todos

• Uma estratégia de capacitação deve garantir sua eficácia com eficiência

15/09/2011

35

Caso

• Elaboração de uma PolSeg focada na Confidencialidade (Diretriz), PN ERP (Norma) e Restrições de Acesso (Procedimentos)

Resultado

15/09/2011

36

Resultado (cont)

Atividade

• Elabore um conjunto de Diretrizes, uma Norma e um Procedimento para controlar risco da ocorrência de Incidentes no seu Processo de Negócio

15/09/2011

37

Próximo Passo

• Visando ativar o PDCA, o monitoramento contínuo e as auditorias permitem alterações nos PLCont e na PolSeg

• Uma Análise de Riscos agora pode ser feita com melhores resultados

ISO 27005 Risk Management

15/09/2011

38

PDCA do Risco

Tratamento do Risco

15/09/2011

39

Conclusão Final

• Com o uso de uma metodologia, apoio do setor executivo, criação de mentalidade de segurança e postura pró-ativa, é possível manter o nível de risco sob controle