Gestão de riscos
date post
12-Jul-2015Category
Documents
view
109download
1
Embed Size (px)
Transcript of Gestão de riscos
Gesto de Riscos de SeguranaJos Eduardo Malta de S Brando Joni da Silva [email protected] [email protected]
1
SBSeg 2008 - Gesto de Riscos de Segurana
SumrioMotivao Conceitos Principais Padres MticasCommon Vulnerability Scoring System (CVSS)
Estudo de Caso
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
2
SBSeg 2008 - Gesto de Riscos de Segurana
Motivao
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
3
1
SBSeg 2008 - Gesto de Riscos de Segurana
Qual o Risco ?
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
4
SBSeg 2008 - Gesto de Riscos de Segurana
Mitigao do Risco
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
5
SBSeg 2008 - Gesto de Riscos de Segurana
Por que Gerenciar Riscos ?A noo correta dos riscos permite que se definam caminhos e ferramentas para mitig-los Os riscos podem ser identificados e reduzidos, mas nunca totalmente eliminados (Garfinkel et al. 2003)
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
6
2
SBSeg 2008 - Gesto de Riscos de Segurana
Quando Gerenciar os Riscos ? comum a aplicao de ferramentas de anlise de risco em prottipos desenvolvidos em projetos de software cientficos ou comerciais Anlise de Vulnerabilidades Problemas encontrados: Vulnerabilidades inerentes tecnologia adotadaDeciso: troca da tecnologia ou aceitao de um risco maior do que o desejado ?
Tratar os riscos apenas no ponto de prottipo pode ser extremamente dispendioso e, em alguns casos, os resultados podem inviabilizar o prprio projeto As vulnerabilidades encontradas poderiam ter sido facilmente identificadas na etapa de planejamento do projeto.
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
7
SBSeg 2008 - Gesto de Riscos de Segurana
Conceitos Iniciais
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
8
SBSeg 2008 - Gesto de Riscos de Segurana
Propriedades de SeguranaIntegridade:garante que a informao no ser alterada ou destruda sem a autorizao adequada.
Confidencialidade:garante que a informao no ser revelada sem a autorizao adequada.
Disponibilidade:garante que a informao estar acessvel aos usurios legtimos quando solicitada.
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
9
3
SBSeg 2008 - Gesto de Riscos de Segurana
Violaes de SeguranaQuando h a quebra de uma ou mais propriedades de seguranaViolao de confidencialidadeRevelao no autorizada da informao
Violao de integridadeModificao no autorizada da informao
Violao de disponibilidadeNegao de servio
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
10
SBSeg 2008 - Gesto de Riscos de Segurana
VulnerabilidadeDefeito ou fraqueza no design ou na implementao de um sistema de informaes (incluindo procedimentos de segurana e controles de segurana associados ao sistema), que pode ser intencionalmente ou acidentalmente explorada, afetando a confidencialidade, integridade ou disponibilidade (Ross et al. 2005)05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
11
SBSeg 2008 - Gesto de Riscos de Segurana
Risco o impacto negativo da explorao de uma vulnerabilidade, considerando a probabilidade do uso do mesmo e o impacto da violao (Stoneburner et al. 2002)
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
12
4
SBSeg 2008 - Gesto de Riscos de Segurana
Estimativa do RiscoO risco pode ser expressado matematicamente como uma funo da probabilidade de uma origem de ameaa (ou atacante) explorar uma vulnerabilidade potencial e do impacto resultante deste evento adverso no sistema e, conseqentemente, na empresa ou organizao.
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
13
SBSeg 2008 - Gesto de Riscos de Segurana
Gesto de RiscosA gesto de riscos baseia-se em atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos (ISO/IEC Guide 73:2002) Envolve um processo criterioso e recursivo de documentao, avaliao e deciso durante todas as fases do ciclo de vida do projeto
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
14
SBSeg 2008 - Gesto de Riscos de Segurana
Estudo de casoIlustrao prtica da aplicao da gesto de riscos em um projeto cientfico Gesto de Riscos no Projeto de Composies de IDSs Adotou inicialmente a norma AS/NZ4360 e posteriormente adaptada para o padro ISO 27005 Ser apresentado em conjunto com a metodologia05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
15
5
SBSeg 2008 - Gesto de Riscos de Segurana
Principais Padres Relacionados Gesto de RiscosMelhores Prticas Common Criteria (CC) Normas de Gesto de RiscosNIST SP800-30 AS/NZS 4360, ISO 27005 e ISO 31000ca
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
16
SBSeg 2008 - Gesto de Riscos de Segurana
Melhores Prticas em SGI
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
17
SBSeg 2008 - Gesto de Riscos de Segurana
Famlia de Normas ISO 27000
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
18
6
SBSeg 2008 - Gesto de Riscos de Segurana
Norma ISO 27000Est em desenvolvimento Ir definir os conceitos fundamentais e o vocabulrio de segurana da informao adotado na famlia de documentos ISO 27000
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
19
SBSeg 2008 - Gesto de Riscos de Segurana
Norma ISO 27001Baseada na BS 17799-2 Foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI)
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
20
SBSeg 2008 - Gesto de Riscos de Segurana
Norma ISO 27002Baseada na BS/ISO 17799-1 Introduz os conceitos de segurana da informao e faz uma discusso inicial a respeito das motivaes para o estabelecimento da gesto de segurana. Na maior parte do documento so detalhadas as prticas de segurana, que so associadas aos os objetivos de controles, e os controles de segurana citados na norma ISO 27001
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
21
7
SBSeg 2008 - Gesto de Riscos de Segurana
Norma ISO 27003Em desenvolvimento baseada no anexo B da norma BS 7799-2 Basicamente um guia para a implantao do SGSI
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
22
SBSeg 2008 - Gesto de Riscos de Segurana
Norma ISO 27004Em desenvolvimento Definir mtricas e medidas para o acompanhamento do SGSI
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
23
SBSeg 2008 - Gesto de Riscos de Segurana
Norma ISO 27006Define critrios para as pessoas e empresas que faro a certificao e auditoria do SGSI Segue o padro da norma 17021
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
24
8
SBSeg 2008 - Gesto de Riscos de Segurana
Norma ISO 27007Em desenvolvimento Definir critrios especficos para a auditoria dos processos do SGSI Baseada na norma ISO 19011
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
25
SBSeg 2008 - Gesto de Riscos de Segurana
O Modelo PDCA
Plan
Partes InteressadasDoExpectativas e requisitos de segurana da informao Implementao e Operao do SGSI
Estabelecimento do SGSI
Partes InteressadasManuteno e Melhoria do SGSI
Act
Monitoramento e anlise crtica do SGSI
Check
Segurana da informao gerenciada
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
26
SBSeg 2008 - Gesto de Riscos de Segurana
PlanO ciclo do PDCA comea com o estabelecimento da poltica, dos objetivos, dos processos e dos procedimentos do SGSI, que sejam relevantes para a gesto de riscos e a melhoria da segurana da informao e que produzam resultados de acordo com as polticas e objetivos globais de uma organizao.05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
27
9
SBSeg 2008 - Gesto de Riscos de Segurana
DoEnvolve a implantao e a operao da poltica, dos controles, dos processos e dos procedimentos estabelecidos na primeira etapa
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
28
SBSeg 2008 - Gesto de Riscos de Segurana
Check feita a avaliao e, quando aplicvel, a medio do desempenho de um processo frente poltica, aos objetivos e experincia prtica do SGSI, apresentando os resultados para a anlise crtica pela direo.
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
29
SBSeg 2008 - Gesto de Riscos de Segurana
ActCabe a execuo das aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI. Aps esta etapa, o ciclo reiniciado, tomando como base o aprendizado do ciclo anterior. O resultado esperado da adoo do PDCA a segurana da informao devidamente gerenciada.
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
30
10
SBSeg 2008 - Gesto de Riscos de Segurana
Normas de Gesto de Riscos
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
31
SBSeg 2008 - Gesto de Riscos de Segurana
Common Criteria (CC)Conjunto de normas ISO/IEC 14Derivado do livro laranja (TCSE
![813189_Técnico de Gestão Desportiva[1]](https://static.fdocumentos.com/doc/165x107/5571fd1c4979599169987682/813189tecnico-de-gestao-desportiva1.jpg?t=1657112885)
