Gestão da Segurança da Informação - · PDF fileGestão da...
Transcript of Gestão da Segurança da Informação - · PDF fileGestão da...
15/09/2011
1
Gestão da Segurança da Informação
Frederico Sauer, D.Sc.Auditor de Segurança da
Informação
Preliminares
• Apresentação do Professor• Objetivos da Cadeira• Avaliações• Bibliografia:
– “Gestão da Segurança da Informação: um enfoque estratégico” – Marcos Sêmola
– ISO 27001, 27002, 27005
15/09/2011
2
Conceito
• Por quê investir em Segurança ?– RISCO
• Ameaças• Vulnerabilidades• Impactos
– CONTROLES• Mecanismos para reduzir o Risco
R = V x A x IM
Risco
• O que são ameaças ?• O que são vulnerabilidades ?• Quão impactante pode ser um
Incidente de Segurança ?• Como podemos controlar este
risco ?
15/09/2011
3
Proposta
Proposta
• Metodologia prática– Primeiro Passo: "Se você conhece o inimigo e conhece a si
mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas." Sun Tzu.
15/09/2011
4
Mapeamento do Negócio
• Visão Holística do Risco• Cenário de Influências• Orientação básica
–Evitar a visão míope–Foco na Informação
Exemplo
• O setor de expedições recebe os pedidos do setor de vendas; processa os pedidos de acordo com as rotas disponibilizadas pela transportadora (terceirizado); emite as notas fiscais de entrega para a transportadora. Após as entregas, processa os recibos entregues pela transportadora e emite uma notificação de entrega de item para o setor de faturamento
15/09/2011
5
Exemplo
Pe di do s
Notific
. E
ntre
ga
Objetivo do Mapeamento
• Isolar o fluxo de informações• Identificar dependências
funcionais entre os Processos• Ferramenta de verificação de
conformidade com a realidade
15/09/2011
6
Caso
• Identificação e mapeamento dos Processos de Negócio do Estudo de Caso
Resultado
15/09/2011
7
Atividade
• Identifique e mapeie um processo de negócio do seu dia-a-dia (ex.: pagamento de contas)
Segundo Passo
• Mapeamento de Ativos–Significado–Taxonomia
• Físicos• Tecnológicos• Humanos
15/09/2011
8
Segundo Passo
• Ciclo de Vida da Informação–Manipulação–Armazenamento–Transporte–Descarte
Exemplo
• Os pedidos são feitos por telefone.Tudo é manipulado exclusivamente por gestores identificados através de um sistema (SG) em rede. São entregas de matéria prima para pesquisas, logo, as entregas são sigilosas; após o faturamento, os registros da venda no sistema são descartados pelo setor de faturamento. O setor de expedição tem um histórico de indisponibilidade por problemas de saúde do seu gestor.
15/09/2011
9
Exemplo
• Elaborar o Elenco de Ativos e Correlacionar com o Ciclo de Vida e com as Informações do Primeiro Passo
Exemplo
Ativo Fase do ciclo Informação
Processo de Negócios “Expedição”
Rede dados Transporte Pedidos, notificações de entrega
SG Armazenamento Pedidos, rotas, recibos, NF entrega
Telefonia Transporte Pedidos
Gestor Manipulação Todas
PN Faturamento Gestor Descarte Pedidos
PN Vendas Gestor Manipulação Pedidos18
15/09/2011
10
Objetivo desta etapa
• A correlação entre os ativos, informações e fase o ciclo permite:– Planejar treinamentos apropriados– Proteger a informação em todo o seu ciclo de
vida, através dos ativos– Evita investimentos inadequados para os
reais riscos
Caso
• Elaboração do quadro para o Estudo de Caso
15/09/2011
11
Resultado (Extrato)
Ativo Fase Ciclo Info
PN A
Salas, mobiliário Armazenamento Todas (em forma visívelou audível)
Cofre Armazenamento Resultado da Pesquisa(impressa)
Infra-estrutura dedados, equipamentosde conectividadelocais
Transporte Todas, exceto o convitepara entrevista
Infra-estrutura de voz Transporte Convite para entrevista
Computadores Armazenamento Todas, exceto o convitepara entrevista
Gestor Manipulação Todas
Gestor Descarte Qualquer Info impressareferente ao candidato
21
Atividade
• Fazer o segundo passo para o seu Processo de Negócio
15/09/2011
12
Análise de Riscos Baseline
• Principais Riscos–Casos Reais já ocorridos–Estatísticas com empresas
semelhantes–Observação especialista
Terceiro Passo
• Fazer a Análise de Riscos Baseline
15/09/2011
13
Exemplo
• No texto exemplo, podem ser evidenciados:– Incidente de Confidencialidade
• Ameaça: potencial interessado do objeto das pesquisas
• Vulnerabilidade: alto grau de sigilo da informação, possivelmente sem a compatível proteção
– Incidente de Disponibilidade• Ameaça: potencial indisponibilidade de execução
do PN • Vulnerabilidade: inassiduidade e indisponibilidade
de substituto de ativo humano
Objetivos da Análise de Riscos Baseline
• Incidentes já ocorridos tem grande probabilidade de voltar a ocorrer
• Ainda não conhecemos o problema o suficiente
• “O bom é inimigo do ótimo”
15/09/2011
14
Caso
• Análise de Riscos baseline do Estudo de Caso
Resultados
Ameaça Vulnerabilidade
PNA
Candidato com dadosexpostos (processo judicial)
Funcionário do setor (Tratamentoinadequado da informação sigilosa)
Qualquer Gestor de PN sem cultura de segurança
PNB
Pane elétrica Empresa fornecedora de energia de baixaqualidade
Sabotador Acesso fácil de estranhos
Técnico mal-intencionado Customização do sistema
Qualquer Gestor de PN sem cultura de Segurança
28
15/09/2011
15
Atividade
• Faça uma Análise de Riscos do seu Processo de Negócio
Análise CIDAL
• Agora que sei o que proteger, COMO devo proteger ?
• Níveis diferentes de SENSIBILIDADE dentro de cada requisito
15/09/2011
16
Quarto Passo
• Atributos da Informação (CIDAL)–Confidencialidade–Integridade–Disponibilidade–Autenticidade–Legalidade
Exemplo
• Métricas adotadas:– Nivel 3: CRÍTICO – um incidente pode até
fazer a empresa FALIR– Nível 2: IMPORTANTE – um incidente pode
causar prejuízos relevantes, mas contornáveis em médio prazo
– Nível 1: RELEVANTE – um incidente causa medidas corretivas indesejadas porém satisfatórias em curto prazo, com custos absorvíveis
15/09/2011
17
Exemplo
• PN Expedição:C I D A L
CRÍTICO (3) X
IMPORTANTE (2) X
RELEVANTE (1) X X X
Justificativa: A confidencialidade é crítica porque os insumos servem para pesquisas sigilosas; a integridade é importante para que os pedidos estejam espelhando corretamente as encomendas, evitando prejuízos com devoluções ou reenvios urgentes. A disponibilidade, autenticidade e a legalidade foram consideradas apenas relevantes pela indisponibidade de informações que evidenciem maior sensibilidade. Resultado: média 1,6 (PN IMPORTANTE
33
Objetivos da Análise CIDAL
• Possibilitar a identificação de sensibilidade nem sempre óbvia
• Permitir soluções compatíveis com a natureza do risco
• Priorizar processos de acordo com suas sensibilidades ao risco
15/09/2011
18
Caso
• Com a tabela de métricas fornecida, fazer o CIDAL para o Estudo de Caso
Métricas
Índice Nível Enquadramento
1 Não Considerável
A ocorrência de um incidente de segurança (IS) neste PN é absorvida integralmenteatravés de um Plano de Continuidade de baixo custo sem prejuízo algum à atividadeprodutiva
2 Relevante A ocorrência de um IS no PN em análise demanda ações reativas programadasperceptíveis em outros PN, podendo causar impactos de baixa monta, comopequenos atrasos ou prejuízos financeiros absorvíveis, porém indesejados
3 Importante Um IS no PN em avaliação provoca a redução imediata de sua operacionalidadenormal, causando prejuízos diários. Demanda ações reativas emergenciais para quea extensão de seus impactos não afetem outros PN da empresa e metas da empresa
4 Crítico Os impactos de um IS podem ser percebidos em vários PN associados, demandandoiniciativas reativas não previstas anteriormente, causando a necessidade de esforçosadicionais e redução da capacidade produtiva de toda ou grande parte da empresa.Compromete metas. A ausência ou demora na reação pode transformar o evento emvital.
5 Vital A ocorrência de um IS deste tipo no PN em análise pode atingir toda a empresa eseus parceiros, causando impactos irreversíveis e demandando ações emergenciaisque envolvem desde o setor estratégico até o operacional. Se persistente, podeprovocar a falência da empresa
36
15/09/2011
19
Resultados
Conclusão Objetiva: PN A: média 2,2 (relevante) e PN B: 4,0 (crítico)
Atividade
• Fazer uma tabela com possíveis efeitos impactantes compatíveis com o seu Processo de Negócio e fazer o CIDAL
15/09/2011
20
Resultados até aqui
• Resultados– Documentação do PDS– Envolvimento de todos os Gestores– Início da formação da Mentalidade de
Segurança– Melhor entendimento do negócio– Os diferentes índices de sensibilidade
apontam para uma priorização de ações
Quinto Passo
• Inserção da Sensibilidade Temporal• Ferramenta GUT
– Transporta resultados da fase anterior– Mais focado no negócio (disponibilidade)– Agrega sensibilidade temporal em crise e na
evolução do negócio– Permite maior priorização usando a
multiplicação dos índices (no CIDAL é a média)
15/09/2011
21
Exemplo
• Estima-se que o PN expedição pode ficar parado por no máximo 48 horas, e que há intenções de investimento a curto prazo para conquista de novos nichos de mercado
Exemplo
• Usando a métrica:
Urgência Tendência
CRÍTICO Abaixo de 12h Agravamento dentro do Ano (curto prazo)
IMPORTANTE Entre 12h e 48h Agravamento nos próximos 5 Anos (médio prazo)
RELEVANTE Acima 48h Agravamento sem previsão
O GUT do PN EXPEDIÇÃO é 2 x 2 x 3 = 12 pontos
42
15/09/2011
22
Objetivos do GUT
• Analisar tolerâncias temporais• Inserir expectativas dos stakeholders no
PDS• Evoluir na priorização entre os Processos
Caso
• Usando a tabela dada, elaborar o GUT do Estudo de Caso
1 Neste caso, PN significa Plano de Negócios
15/09/2011
23
Resultado
Atividade
• Fazer o GUT do seu Processo de Negócio
15/09/2011
24
Resultados até aqui
• Além da priorização entre os processos– Continuidade do processo de envolvimento
dos Gestores– Continuidade da formação da Mentalidade de
Segurança– Documentação do Plano Diretor de
Segurança
Próximos Passos
• Encerra-se assim a fase de levantamento das características do negócio
• Próximas etapas:– FSI
• É importante ser top-down ?• É importante ser abrangente e democrática ?• É importante haver um Security Officer ?
– Início do PDCA
15/09/2011
25
PDCA
Sexto Passo
• Plano de Continuidade dos Negócios– Contém os “Planos B” para as situações de
risco de alta criticidade– Devem ser criados para os PN, e não para os
ativos– Devem ser organizados para missões
distintas:• PAC – Plano de Administração de Crise• PCO – Plano de Continuidade Operacional• PRD – Plano de Recuperação de Desastres
15/09/2011
26
Business Impact Analysis
• Ferramenta para priorização de processos de acordo com sua criticidade e tolerância temporal
• As ameaças devem ser evidenciadas para cada Processo de Negócio
Exemplo BIA
• Considerando a disponibilidade citada para o PN expedição e a Análise de Riscos baseline, teríamos:
Sabotador Colaborador Concorrente Tolerância
PN Expedição X 24hPN Vendas
PN Financeiro
52
15/09/2011
27
Objetivo do BIA
• Ferramenta objetiva para isolar componentes vitais para o negócio
• Orienta, de acordo com as prioridades, a elaboração do PCN
Caso
• Elaboração do BIA do Estudo de Caso
15/09/2011
28
Resultado
Atividade
• Fazer o BIA do seu Processo de Negócio
15/09/2011
29
Plano de Continuidade
• Elaborado para as necessidades mais evidentes (BIA)– Envolve questões orçamentárias
• ROI
– Deve, com o menor custo, garantir a funcionalidade dentro da tolerância temporal
Exemplo
• Plano de Contingência – Indisponibilidade da Função de Expedição– PAC
• Em caso de possibilidade de paralisação por tempo indefinido, o gestor do setor de faturamento acumula a função; clientes de vendas urgentes são cientificados de um possível pequeno atraso;
– PCO• O Gestor de Faturamento prioriza a expedição; executa breve
auditoria nos pedidos em andamento e agiliza as entregas junto à transportadora; faz hora-extra se necessário; e
– PRD• Ao retorno da funcionalidade normal, o Gestor de Faturamento faz
um relatório de suas ações em contingência para o Diretor-executivo, sugerindo ações para que o incidente não volte a ocorrer, de acordo com o cenário.
15/09/2011
30
Objetivo do PCN
• Além de buscar garantia do retorno da funcionalidade dentro da tolerância desejada, visa evitar novas ocorrências
• Deve ser testado periodicamente (PDCA)
Caso
• Elaboração de um Plano de Contingência para a Pane Elétrica do PN 2
15/09/2011
31
Resultado - PAC
Resultado - PCO
15/09/2011
32
Resultado - PRD
Atividade
• Escolha um incidente de segurança do seu BIA e elabore um PCN para ele
15/09/2011
33
Último Passo do Plan(PDCA)
• Política de Segurança– É o dia-a-dia do controle do nível de risco– Depende de conscientização, treinamento e
envolvimento top-down– Definida através de Diretrizes, Normas e
Procedimentos– Dever focar objetivamente os riscos
evidenciados durante o mapeamento para o PDS
PolSeg
15/09/2011
34
Exemplo
• Diretriz – Abrangência Corporativa– Para cada função essencial, devem haver elementos
treinados para pronta substituição;• Norma – Abrangência Setorial
– Para a eventual substituição do Gestor do PN de Expedição, o Gestor do PN de Faturamento deve estar capacitado; e
• Procedimento – Abrangência Operacional– O treinamento consiste em uma assunção bimestral
da função de Gestor do PN de expedição pelo Gestor de Faturamento, por um dia, na presença do titular. Ao final do dia, o Gestor substituto deve relatar as dificuldades por escrito ao Diretor.
Objetivos da PolSeg
• Os itens da PolSeg constituem dispositivos para controle do nível de risco
• Seus itens devem ser do conhecimento de todos
• Uma estratégia de capacitação deve garantir sua eficácia com eficiência
15/09/2011
35
Caso
• Elaboração de uma PolSeg focada na Confidencialidade (Diretriz), PN ERP (Norma) e Restrições de Acesso (Procedimentos)
Resultado
15/09/2011
36
Resultado (cont)
Atividade
• Elabore um conjunto de Diretrizes, uma Norma e um Procedimento para controlar risco da ocorrência de Incidentes no seu Processo de Negócio
15/09/2011
37
Próximo Passo
• Visando ativar o PDCA, o monitoramento contínuo e as auditorias permitem alterações nos PLCont e na PolSeg
• Uma Análise de Riscos agora pode ser feita com melhores resultados
ISO 27005 Risk Management
15/09/2011
38
PDCA do Risco
Tratamento do Risco
15/09/2011
39
Conclusão Final
• Com o uso de uma metodologia, apoio do setor executivo, criação de mentalidade de segurança e postura pró-ativa, é possível manter o nível de risco sob controle