SEGURANA DA INFORMAO
Prof. Marcif, CISSP, CISA
Reviso
Introduo
Desafios, fundamentos, ameaas e contramedidas
Normatizao e prticas
Gesto da SI
Gesto de Riscos
Plano
Introduo
Desafios
Fundamentos
Ameaas
Contramedidas
Normatizao e prticas
Gesto da SI
Gesto de Riscos
Desafios
Informao: Ativo cada vez mais valorizado
Crescimento da dependncia
Viso holstica do risco
Receita explosiva
Anatomia do problema
Desafios
Nuvem
Virtualizao
BYOD
Complexidade
Ataques avanados persistentes e direcionados
Segurana da Informao
Como proteger informaes
Relao custo X valor da informao
Security Officer e seu time
Valores financeiros X imagem ou reputao
Tecnologia x Processos x Pessoas x Estratgia
Segurana da Informao
Cyber-bullying
Responsabilidades de Segurana da Informao
Compartilhamento de senhas
Segredos
Realidade atual
Phishing
Pen drives
Fundamentos
Controles Administrativos
Fsicos
Tcnicos
Exemplos Senhas
Guardas
Auditorias
Que mais?
Fundamentos
Objetivos (CIA) Confidencialidade (Confidentiality)
Integridade (Integrity)
Disponibilidade (Availability)
Exemplos Arquivo corrompido
Queda da linha de comunicao
Senha em post-it junto a tela ou teclado
Que mais?
Fundamentos
Disponibilidade X Resilincia
Autenticidade
No-repdio
Riscos
Ameaas
Cdigos maliciosos
Vrus
Trojan
Worms
Bots
APTs
Pirataria
Tcnicas de Defesa
Controles de Acesso
Antivrus
Criptografia
Configurao segura Hardening
Patches
Firewalls
DMZ
Segurana Fsica
Tcnicas de Defesa
Varreduras
Testes de invaso
Anlise de cdigo
Monitorao
IDS x IPS
Logs
Resilincia
Backups
Redundncia
Documentao
Planos de recuperao de desastres e continuidade
Simulao de testes
Riscos e Componentes de Segurana da Informao
Reforando conceitos
AMEAA (THREAT)
A ameaa a possibilidade de que algum ou alguma coisa explorar uma vulnerabilidade, intencional ou acidentalmente, e causar dano a um bem.
Reforando conceitos
VULNERABILIDADE (VULNERABILITY)
Uma vulnerabilidade a ausncia de uma salvaguarda (em outras palavras, uma fraqueza) que pode ser explorada.
Reforando conceitos
RISCO (RISK)
Um risco a probabilidade de um agente de ameaa explorar uma vulnerabilidade e o potencial de perda da ao.
O risco pode ser transferido (seguro), evitado, reduzido, ou aceito.
Reduzir vulnerabilidades e/ou ameaas reduz o risco.
Reforando conceitos
RISCO (RISK)
Ameaas vulnerabilidade valor patrimonial = risco total
Ameaas ( vulnerabilidade valor patrimonial) controla gap = risco residual
Reforando conceitos
ATIVO (ASSET)
Identificao de ativos deve incluir ativos tangveis (instalaes e hardware) e ativos intangveis (dados corporativos e reputao).
Reforando conceitos
SALVAGUARDA (SAFEGUARD)
Contramedida, tambm chamada de salvaguarda, atenua (mitiga) o risco.
Garantia um grau de confiana que certo nvel de segurana oferece.
Ao escolher a salvaguarda para reduzir um risco especfico, o custo, funcionalidade e eficcia devem ser avaliadas e uma anlise de custo / benefcio realizada.
Reforando conceitos
CONTROLES
Uma medida preventiva pode ser um aplicativo, configurao de software, hardware, ou um procedimento.
Se algum est praticando o devido cuidado, est agindo de forma responsvel e ter uma menor probabilidade de ser pego agindo de forma negligente e ser responsabilizado por uma quebra de segurana que ocorrer.
Least privilege
Hoje
Gesto de SI Programa e modelo organizacional Plano Diretor de Segurana da Informao Poltica de Segurana Frameworks
Gesto de Riscos de SI Ameaas e ataques Objetivos e escopo Anlise quantitativa Anlise qualitativa Mtodos
Dvidas
Administrao X Riscos
Modelo Organizacional
Programa de Segurana da Informao
Desenvolvimento do Programa de Segurana
Gesto de SI
Gesto de SI
Gesto ou governana de segurana deve trabalhar de cima para baixo (alta administrao s equipes).
Governana o conjunto de responsabilidades e prticas exercidas pelo conselho e gesto executiva com o objetivo de: fornecer orientao estratgica para assegurar que sejam
alcanados os objetivos;
determinar que os riscos so geridos apropriadamente;
e verificando que os recursos da empresa so utilizados de forma responsvel.
Gesto de SI
O modelo de segurana que uma empresa deve escolher depende do tipo de negcio, suas misses crticas e os seus objetivos.
O programa de segurana deve ser integrado com os objetivos de negcios atuais.
Gesto deve definir o mbito e objetivo da gesto de segurana, prestar apoio, nomear uma equipe de segurana, delegar responsabilidades e avaliar os resultados da equipe.
Gesto de SI
Um elemento-chave durante o processo de planejamento de segurana inicial definir relaes hierrquicas.
Poltica de Segurana
Poltica de Segurana
A poltica de segurana uma declarao da administrao ditando o papel de segurana desempenha na organizao.
A norma especifica como hardware e software esto a ser utilizados. As normas so obrigatrias.
Os procedimentos so aes detalhadas passo-a-passo que devem ser seguidos para alcanar uma determinada tarefa.
Poltica de Segurana
A poltica de segurana uma declarao da administrao ditando o papel de segurana desempenha na organizao.
A norma especifica como hardware e software esto a ser utilizados. As normas so obrigatrias.
Os procedimentos so aes detalhadas passo-a-passo que devem ser seguidos para alcanar uma determinada tarefa.
Poltica de Segurana
Poltica de Segurana
Um baseline o nvel mnimo de segurana;
Diretrizes so recomendaes e orientaes gerais que fornecem conselhos e flexibilidade.
Responsabilidades
Gesto Executiva
O Chief Security Officer
Comit de SI
O proprietrio dos dados
O Depositrio de Dados ou Custodiante
O Proprietrio da Aplicao
O Administrador de Segurana
O Analista de Segurana
O Analista de Controle de Mudana
Responsabilidades
O guardio de dados (custodiante das informaes) responsvel pela manuteno e proteo de dados.
Um analista de segurana funciona em um nvel estratgico e ajuda a desenvolver polticas, normas e diretrizes, e tambm define vrias linhas de base.
Os proprietrios de aplicativos so responsveis por ditar quem pode e quem no pode acessar as suas aplicaes, bem como o nvel de proteo destas aplicaes fornecem para os dados que processam e para a sociedade.
Responsabilidades RH
Prticas de Contratao
Controles de Funcionrio
Desligamentos
Capacitao
Job rotation um controle para detectar a fraude.
Frias obrigatrias so o tipo de controle que podem ajudar a detectar atividades fraudulentas.
Controles Administrativos
Separao de funes garante que nenhuma pessoa tenha o controle total sobre uma atividade ou tarefa;
Conhecimento compartilhado e dupla custdia so dois aspectos da separao de funes.
Controles Administrativos
Classificao dos dados
Os dados so classificados para atribuir prioridades aos dados e garantir o nvel adequado de proteo;
Proprietrios de dados especificam a classificao de dados.
Controles Administrativos
Classificao dos dados
Pblicos
Internos
Restritos
Confidenciais
Controles Administrativos
Separao de funes garante que nenhuma pessoa tenha o controle total sobre uma atividade ou tarefa;
Conhecimento compartilhado e dupla custdia so dois aspectos da separao de funes.
Padres / Frameworks
Padres / Frameworks
Padres / Frameworks
ISO/IEC 27001 Com base na norma britnica BS7799 Parte 2, que criao, implementao, controle e melhoria do Sistema de Gesto de Segurana da Informao.
ISO/IEC 27002 Cdigo de prtica de aconselhamento de boas prticas sobre ISMS (anteriormente conhecido como ISO 17799), baseou-se na norma britnica BS 7799 Parte 1.
Padres / Frameworks
ISO/IEC 27004 Um padro para mtricas de gesto de segurana da informao.
ISO/IEC 27005 Projetado para auxiliar a execuo satisfatria da segurana da informao com base em uma abordagem de gerenciamento de risco.
ISO/IEC 27006 Um guia para o processo de certificao/registro.
ISO/IEC 27799 Um guia para ilustrar como para proteger as informaes pessoais de sade.
Dvidas
Gesto de Riscos
Ameaas e ataques
Objetivos e escopo
Anlise quantitativa
Anlise qualitativa
Mtodos
Ameaas e ataques
Ameaas e ataques
E o funcionrio? 3?
Ataques para obteno de informaes
Dumpster diving ou Trashing
Revirar o lixo a procura de informaes;
Pode revelar informaes pessoais e confidenciais.
Engenharia Social
Tem como objetivo enganar e ludibriar pessoas;
Ataca o elo mais fraco da segurana: o usurio;
Normalmente o atacante se faz passar por um funcionrio da empresa.
Anlise de Riscos
Gesto de Riscos de SI
Principais objetivos:
Identificar ativos e atribuir valores a eles;
Identificar vulnerabilidades e ameaas;
Quantificar o impacto das ameaas potenciais e
Proporcionar um equilbrio econmico entre o impacto da risco e os custos das salvaguardas.
Gesto de Riscos de SI
Gesto do Risco de Informao (IRM Information Risk Management), processo de:
Identificao,
Avaliao e
Reduo do risco para um nvel aceitvel por meio da
Implantao de mecanismos de controle
para manter esse nvel risco.
Gesto de Riscos de SI
O entendimento e definio do escopo deve ser feito antes de uma anlise de risco ser realizada;
Incluir indivduos de diferentes departamentos dentro da organizao, no apenas o pessoal tcnico.
Gesto de Riscos de SI
Gesto de Riscos de SI
Anlise Quantitativa
A anlise de risco quantitativa tenta atribuir valores monetrios aos componentes dentro da anlise.
A anlise de risco puramente quantitativa no possvel porque os itens qualitativos no podem ser quantificados com preciso.
Anlise Quantitativa
Capturar o grau de incerteza quando da realizao de uma anlise de risco importante, pois indica o nvel de confiana da equipe e gesto deve ter nos nmeros resultantes.
Anlise Quantitativa
Para determinar o valor da informao:
O custo para adquirir e desenvolver dados;
o custo e para manter proteger os dados;
o valor dos dados para os proprietrios, usurios e adversrios;
o custo de substituio, se os dados so perdidos;
os outros preos esto dispostos a pagar para o dados;
oportunidades perdidas;
e a utilidade dos dados.
Anlise Qualitativa
Usa o julgamento e intuio em vez de nmeros;
Envolve as pessoas com a experincia para:
avaliao de cenrios de ameaa,
classificando a probabilidade,
o potencial perda,
e severidade de cada ameaa,
com base na sua experincia pessoal.
Quantitativa X Qualitativa
A classificao qualitativa seria expressa em alto, mdio ou baixo, ou numa escala de 1 a 5 ou 1 a 10.
Um resultado quantitativo seria expresso em dlar valores e porcentagens.
Anlise Quantitativa
Anlise Qualitativa
Quantitativa X Qualitativa
Metodologias de Anlise de Risco
NIST SP 800-30
Guide for Conducting Risk Assessments
FRAP
Facilitated Risk Analysis Process
Metodologias de Anlise de Risco
OCTAVE
Operationally Critical Threat, Asset, and Vulnerability Evaluation
AS/NZS ISO 31000:2009
Risk Management Principles and guidelines
FMEA
Esta abordagem provou ser um sucesso e tem sido mais recentemente adaptada para uso na avaliao das prioridades de gesto de risco e mitigao de
ameaas vulnerabilidades conhecidas.
FMEA
Anlise de Falhas
Matriz de Risco
Sumrio
Gesto de SI Programa e modelo organizacional Plano Diretor de Segurana da Informao Poltica de Segurana Frameworks
Gesto de Riscos de SI Ameaas e ataques Objetivos e escopo Anlise quantitativa Anlise qualitativa Mtodos
Top Related