Gestão de riscos

Click here to load reader

  • date post

    12-Jul-2015
  • Category

    Documents

  • view

    109
  • download

    1

Embed Size (px)

Transcript of Gestão de riscos

Gesto de Riscos de SeguranaJos Eduardo Malta de S Brando Joni da Silva [email protected] [email protected]

1

SBSeg 2008 - Gesto de Riscos de Segurana

SumrioMotivao Conceitos Principais Padres MticasCommon Vulnerability Scoring System (CVSS)

Estudo de Caso

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

2

SBSeg 2008 - Gesto de Riscos de Segurana

Motivao

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

3

1

SBSeg 2008 - Gesto de Riscos de Segurana

Qual o Risco ?

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

4

SBSeg 2008 - Gesto de Riscos de Segurana

Mitigao do Risco

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

5

SBSeg 2008 - Gesto de Riscos de Segurana

Por que Gerenciar Riscos ?A noo correta dos riscos permite que se definam caminhos e ferramentas para mitig-los Os riscos podem ser identificados e reduzidos, mas nunca totalmente eliminados (Garfinkel et al. 2003)

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

6

2

SBSeg 2008 - Gesto de Riscos de Segurana

Quando Gerenciar os Riscos ? comum a aplicao de ferramentas de anlise de risco em prottipos desenvolvidos em projetos de software cientficos ou comerciais Anlise de Vulnerabilidades Problemas encontrados: Vulnerabilidades inerentes tecnologia adotadaDeciso: troca da tecnologia ou aceitao de um risco maior do que o desejado ?

Tratar os riscos apenas no ponto de prottipo pode ser extremamente dispendioso e, em alguns casos, os resultados podem inviabilizar o prprio projeto As vulnerabilidades encontradas poderiam ter sido facilmente identificadas na etapa de planejamento do projeto.

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

7

SBSeg 2008 - Gesto de Riscos de Segurana

Conceitos Iniciais

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

8

SBSeg 2008 - Gesto de Riscos de Segurana

Propriedades de SeguranaIntegridade:garante que a informao no ser alterada ou destruda sem a autorizao adequada.

Confidencialidade:garante que a informao no ser revelada sem a autorizao adequada.

Disponibilidade:garante que a informao estar acessvel aos usurios legtimos quando solicitada.

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

9

3

SBSeg 2008 - Gesto de Riscos de Segurana

Violaes de SeguranaQuando h a quebra de uma ou mais propriedades de seguranaViolao de confidencialidadeRevelao no autorizada da informao

Violao de integridadeModificao no autorizada da informao

Violao de disponibilidadeNegao de servio

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

10

SBSeg 2008 - Gesto de Riscos de Segurana

VulnerabilidadeDefeito ou fraqueza no design ou na implementao de um sistema de informaes (incluindo procedimentos de segurana e controles de segurana associados ao sistema), que pode ser intencionalmente ou acidentalmente explorada, afetando a confidencialidade, integridade ou disponibilidade (Ross et al. 2005)05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

11

SBSeg 2008 - Gesto de Riscos de Segurana

Risco o impacto negativo da explorao de uma vulnerabilidade, considerando a probabilidade do uso do mesmo e o impacto da violao (Stoneburner et al. 2002)

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

12

4

SBSeg 2008 - Gesto de Riscos de Segurana

Estimativa do RiscoO risco pode ser expressado matematicamente como uma funo da probabilidade de uma origem de ameaa (ou atacante) explorar uma vulnerabilidade potencial e do impacto resultante deste evento adverso no sistema e, conseqentemente, na empresa ou organizao.

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

13

SBSeg 2008 - Gesto de Riscos de Segurana

Gesto de RiscosA gesto de riscos baseia-se em atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos (ISO/IEC Guide 73:2002) Envolve um processo criterioso e recursivo de documentao, avaliao e deciso durante todas as fases do ciclo de vida do projeto

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

14

SBSeg 2008 - Gesto de Riscos de Segurana

Estudo de casoIlustrao prtica da aplicao da gesto de riscos em um projeto cientfico Gesto de Riscos no Projeto de Composies de IDSs Adotou inicialmente a norma AS/NZ4360 e posteriormente adaptada para o padro ISO 27005 Ser apresentado em conjunto com a metodologia05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

15

5

SBSeg 2008 - Gesto de Riscos de Segurana

Principais Padres Relacionados Gesto de RiscosMelhores Prticas Common Criteria (CC) Normas de Gesto de RiscosNIST SP800-30 AS/NZS 4360, ISO 27005 e ISO 31000ca

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

16

SBSeg 2008 - Gesto de Riscos de Segurana

Melhores Prticas em SGI

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

17

SBSeg 2008 - Gesto de Riscos de Segurana

Famlia de Normas ISO 27000

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

18

6

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27000Est em desenvolvimento Ir definir os conceitos fundamentais e o vocabulrio de segurana da informao adotado na famlia de documentos ISO 27000

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

19

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27001Baseada na BS 17799-2 Foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI)

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

20

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27002Baseada na BS/ISO 17799-1 Introduz os conceitos de segurana da informao e faz uma discusso inicial a respeito das motivaes para o estabelecimento da gesto de segurana. Na maior parte do documento so detalhadas as prticas de segurana, que so associadas aos os objetivos de controles, e os controles de segurana citados na norma ISO 27001

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

21

7

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27003Em desenvolvimento baseada no anexo B da norma BS 7799-2 Basicamente um guia para a implantao do SGSI

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

22

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27004Em desenvolvimento Definir mtricas e medidas para o acompanhamento do SGSI

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

23

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27006Define critrios para as pessoas e empresas que faro a certificao e auditoria do SGSI Segue o padro da norma 17021

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

24

8

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27007Em desenvolvimento Definir critrios especficos para a auditoria dos processos do SGSI Baseada na norma ISO 19011

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

25

SBSeg 2008 - Gesto de Riscos de Segurana

O Modelo PDCA

Plan

Partes InteressadasDoExpectativas e requisitos de segurana da informao Implementao e Operao do SGSI

Estabelecimento do SGSI

Partes InteressadasManuteno e Melhoria do SGSI

Act

Monitoramento e anlise crtica do SGSI

Check

Segurana da informao gerenciada

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

26

SBSeg 2008 - Gesto de Riscos de Segurana

PlanO ciclo do PDCA comea com o estabelecimento da poltica, dos objetivos, dos processos e dos procedimentos do SGSI, que sejam relevantes para a gesto de riscos e a melhoria da segurana da informao e que produzam resultados de acordo com as polticas e objetivos globais de uma organizao.05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

27

9

SBSeg 2008 - Gesto de Riscos de Segurana

DoEnvolve a implantao e a operao da poltica, dos controles, dos processos e dos procedimentos estabelecidos na primeira etapa

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

28

SBSeg 2008 - Gesto de Riscos de Segurana

Check feita a avaliao e, quando aplicvel, a medio do desempenho de um processo frente poltica, aos objetivos e experincia prtica do SGSI, apresentando os resultados para a anlise crtica pela direo.

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

29

SBSeg 2008 - Gesto de Riscos de Segurana

ActCabe a execuo das aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI. Aps esta etapa, o ciclo reiniciado, tomando como base o aprendizado do ciclo anterior. O resultado esperado da adoo do PDCA a segurana da informao devidamente gerenciada.

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

30

10

SBSeg 2008 - Gesto de Riscos de Segurana

Normas de Gesto de Riscos

05/09/2008

Jos Eduardo M. S. Brando / Joni S. Fraga

31

SBSeg 2008 - Gesto de Riscos de Segurana

Common Criteria (CC)Conjunto de normas ISO/IEC 14Derivado do livro laranja (TCSE