1

Escopo do SGSI

Definir um escopo, fictcio ou no, para atuar como modelo de

trabalho.

Processo: Atendimento ao Cliente de uma empresa de telefonia

Servio: emisso de 2 via de conta

Atividades para emisso de 2.via de conta:

Inicialmente o atendente loga no sistema e sempre que for se

ausentar bloqueia o sistema;

O cliente dirige-se ao quiosque de atendimento;

Atendente solicita o nmero do telefone para emisso da 2. Via

de uma conta telefnica;

Atendente emite a 2.via de conta;

Atendente entrega ao cliente a 2.via de conta emitida.

Escopo:

Fornecimento de 2. Via de conta telefnica em atendimento pessoal

pela empresa de telefonia X no posto de atendimento Y utilizado a base

atualizada de clientes e contas a receber.

Poltica de Segurana:

1. A Segurana da Informao deve garantir a Confidencialidade,

Integridade e Disponibilidade das informaes relacionadas ao

fornecimento de 2.via de conta telefnica.

2. Para cumprir com as obrigaes com as regulamentaes legais e

contratuais relativas a emisso da 2 via de conta telefnica.

2

3. Realizando as aes necessrias afim de garantir a minimizao

dos riscos identificados a nveis aceitveis pela alta

administrao.

4. Seguindo as normas internas relativas ao processo de emisso de

2 via.

5. Fornecendo as informaes claras e precisas e mantendo a

confidencialidade das informaes.

3

Sistemas de Informao (Fluxo de Informao)

Mapear os principais fluxos de informao conforme o escopo

anteriormente definido.

Ponto Inicial:

O cliente solicita a emisso da 2 via da conta para um determinado

nmero de telefone.

Ponto Final:

Entrega ao Cliente da 2 via emitida;

Destruio do documento com problemas;

Encaminhamento a outro departamento caso o telefone no seja

localizado no sistema.

4

Ativos de Informao

Determinar os ativos de informao no fluxo mapeado

anteriormente e sua importncia para o escopo (empresa).

Principais Componentes:

Cliente, Atendente, estao de trabalho, impressora, fragmentadora,

switch, Servidor de banco de dados, banco de dados (tabelas),

aplicativo gerenciador, SGBD, SO.

Principais segmentos de rede e de transmisso de informaes:

Segmento 1:

Ativos: cliente, atendente, documento conta em papel.

Informaes: nmero do telefone, dados cadastrais

Fluxo: transmisso via voz

Segmento 2:

Ativos: atendente, terminal.

Terminal: sistema operacional, aplicativos.

Hardware sem perifricos de armazenamento, floppy e USB.

Informaes: nmero do telefone, dados de cliente, logon (matricula,

senha)

Fluxo: digitao via teclado

Segmento 3:

Ativos: terminal, switch, cabo de rede.

Informaes: dados cadastrais, logon (matricula, senha), dados de 2

via.

Fluxo: digital

5

Segmento 4:

Ativos: switch, servidor, cabo de rede.

Informaes: dados cadastrais, logon (matricula, senha), dados da

conta do cliente.

Fluxo: digital

Segmento 5:

Ativos: terminal, conta em papel, impressora, cabo de rede.

Informaes: dados cadastrais, dados de 2 via.

Fluxo: digital

Segmento 6:

Ativos: atendente, fragmentadora, conta em papel.

Informaes: conta.

Fluxo: manual

6

Ativos/Informaes

Importncia do Ativo para o escopo:

(1-Baixa, 2-Media, 3-Alta)

Ativo/Informao C I D L Cliente 1 1 1 1 Atendente 2 2 3 1 Conta em papel 3 3 3 3 Nmero do telefone 1 2 3 1 Dados cadastrais 3 3 3 1 Estao de trabalho 2 3 3 1 Switch 2 3 3 1 Dados de logon 3 3 3 2 Cabo de rede (segmento 3) 2 3 3 1 Dados 2 via de conta 3 3 3 2 Servidor 3 3 3 3 Cabo de rede (segmento 4) 2 3 3 1 Cabo impressora paralela 1 1 3 1 Fragmentadora 1 1 1 1 Conta em papel invlida 3 1 1 2 Impressora 1 1 3 1 (*) incluir softwares

Ameaas e Vulnerabilidades

Identificar possveis eventos considerando a Poltica de

Segurana definida

Estao de trabalho:

7

Acesso indevido por pessoa no autorizada devido a mquina

estar em local pblico;

Acesso no autorizado em virtude da falta de atualizao dos

baselines de segurana;

Fornecimento de informaes incorretas devido a falta de

verificadores de integridade no sistema aplicativo;

Contaminao por vrus em virtude da ligao na rede da

empresa;

Indisponibilidade da estao de trabalho por falha de hardware;

Documento conta em papel:

Fornecimento de documentos para pessoas indevidas pela

atendente;

Encaminhamento para impressora indevida em virtude da estao

de trabalho estar ligada a rede da empresa;

Fornecimento de informaes incorretas ou indevidas em virtude

de problemas no sistema aplicativo.

8

Conseqncia (Impacto)

Identificar as conseqncias dos eventos identificados,

considerando o impacto para a confidencialidade, integridade,

disponibilidade e aspectos legais;

Conseqncias para o Ativo:

Evento C I D L Acesso indevido por pessoas no autorizadas em

virtude da estao de trabalho estar instalada em

local pblico.

3 2 2 1

Acesso no autorizado em virtude da falta de

atualizao dos baselines de segurana.

3 3 3 3

Fornecimento do documento 2 via para pessoas

indevidas pela atendente.

3 1 1 3

9

Probabilidade

Determinar mtricas para definio de probabilidade

Determinar a probabilidade de ocorrncia dos eventos

identificados

Mtrica:

(1-Baixa, 2-Media, 3-Alta)

Probabilidade:

Evento Probabilidade Acesso indevido por pessoas no autorizadas

em virtude da estao de trabalho estar

instalada em local pblico.

1

Fornecimento do documento de 2 via para

pessoas indevidas pela atendente.

1

Acesso no autorizado em virtude da falta de

atualizao dos baselines de segurana.

2

10

Consolidando os Resultados

Definir a melhor forma de obter o escore final do risco.

Quantificar os riscos mapeados

Clculo do Risco:

Risco = Impacto x Probabilidade

Clculo do Impacto:

Impacto = Mdia Aritmtica entre a importncia do Ativo para o escopo

e a conseqncia para o Ativo.

Quantificao do Risco:

Baixo (1-3) Aceitar o risco;

Mdio (4-6) Levar para Comit para discusso de acordo com estudo de

custo x benefcio;

Alto (7-9) Aplicar controles.

Ativo/Evento C I D L Observao Ativo: Estao de Trabalho 2 3 3 1 Importncia para o

escopo

Evento: acesso indevido por pessoas

no autorizadas em virtude da

estao de trabalho estar instalada

em local pblico

3 2 2 1 Conseqncia para

o ativo

Impacto para o escopo 2,5 2,5 2,5 1

Probabilidade 1 Da estao neste

escopo

RISCO 2,5 2,5 2,5 1 Baixo. No aplicar

controles.

11

Ativo: Documento conta em papel 3 3 3 3 Importncia

para o escopo

Evento: Fornecimento de documento

de 2 via para pessoas indevidas pela

atendente

3 1 1 3

Conseqncia

para o ativo

Impacto para o escopo 3 2 2 3

Probabilidade 1 Da estao

neste escopo

RISCO 3 2 2 3

Baixo.

No aplicar

controles.

Ativo: Estao de Trabalho 2 3 3 1 Importncia

para o escopo

Evento: Acesso no autorizado em

virtude da falta de atualizao dos

baselines de segurana.

3 3 3 3

Conseqncia

para o ativo

Impacto para o escopo 2,5 3 3 2

Probabilidade 2 Da estao

neste escopo

RISCO 5 6 6 4

Mdio.

Risco deve ser

tratado

12

Tratamento dos Riscos

Determinar um critrio para tratar os riscos identificados.

Selecionar todos os riscos que devem ser tratados.

Identificar os controles necessrios e montar um Plano de

Tratamento de Riscos.

Os riscos sero tratados minimizando o Impacto. (CS)

Risco antes Controle Risco depois Responsvel Deadline

5;6;6;4

(Alto)

O Ambiente de

Infra-estrutura

dever aplicar

os baselines

homologados

(ltimo patch,

mximo de 1

verso

atrasada) pela

empresa to

logo sejam

disponibilizados

2,5;3;3;2

(Baixo)

Ambiente de

Infra-

estrutura de

Tecnologia

Mar/2015

13

para o Sistema

Operacional e

Software

Aplicativo.

14

Documentando Controles

Selecionar um ou mais controles do Anexo A da norma NBR

27001.

Documentar identificar as mtricas conforme os itens

apresentados no documento CS.

Controle de Segurana (CS01):

Aplicao de baselines de segurana na Estao de Trabalho.

Objetivos:

Minimizar a probabilidade de ocorrncia de acesso no autorizado em

virtude da ausncia de atualizao dos baselines de segurana.

Descrio:

O Ambiente de Infra-estrutura dever aplicar os baselines homologados

(ltimo patch, mximo de 1 verso atrasada) pela empresa to logo

sejam disponibilizados para o Sistema Operacional e Software

Aplicativo.

Mtricas de controle:

Quantidade de acessos indevidos.

Nvel de Servio: nenhum a 10 (durante 6 meses).

Avaliao de resultados (*):

Log de acesso da estao de trabalho.

(*) onde encontrar evidncias do cumprimento dos niveis de servio de

acordo com as mtricas.

Nvel de Servio: nvel de aceitao conforme as mtricas definidas.

15

Declarao de Aplicabilidade (SoA)

Elaborar uma declarao de aplicabilidade

Controle Aplicao Justificativa Controle

de

Segurana

(*)

3.1.1 Aplicado Minimizar riscos X, Y e Z CS99

3.1.2

... ... ... ...

7.2.5 No aplicado A manuteno feita in

house

... ... ... ...

12.3.2

20.1.1 Aplicado Minimizar a probabilidade de

ocorrncias de acessos no

autorizados estao de

trabalho em virtude da falta

de atualizao dos baselines

de segurana

CS01

(*) Indica onde est descrito a aplicao do controle