2. É qualquer coisa que tenha valor para a organização. É qualquer recurso cujo
risco precisa ser analisado e gerenciado.
Exemplo:
• Servidores
• Estações
• Softwares
• Pessoas
• Dados
No contexto da gestão de riscos, ativo é o elemento que a segurança da
informação tem o objetivo de proteger.
ATIVOS
3. É uma fraqueza de um ativo que pode ser explorado por uma ou mais
ameaças.
Exemplo:
• Serviço desnecessário executado no servidor
• Aplicativos sem correção
• Sistema operacional sem correção
• Acesso irrestrito à redes
• Porta aberta em um firewall
• Segurança física negligente (qualquer pessoa entrar em uma sala de
servidores)
• Senha fraca
VULNERABILIDADES
4. AMEAÇA
Causa potencial de um incidente indesejado, que pode resultar em dano para um
sistema ou organização.
Pode ser:
• De origem humana ou natural
• Interna ou externa
• Intencional ou acidental
Exemplos:
• Ativismo
• Curiosidade
• Vingança
• Eventos climáticos, deslizamento e roubo de cabo
• Falhas técnicas
• Terrorismo
5. AGENTE DA AMEAÇA
É a entidade que se aproveita uma vulnerabilidade.
Um agente de ameaça pode ser um intruso acessando a rede através de uma porta
no firewall, um processo acessando dados de uma forma que viole a política de
segurança, um tornado aniquilando uma instalação ou um funcionário cometendo
um erro não intencional que poderia expor informações confidenciais ou destruir a
integridade de um arquivo.
Exemplos:
• Funcionário insatisfeito
• Funcionário sem treinamento
• Concorrente
• Oportunista
• Ativista
6. EXPOSIÇÃO
Uma vulnerabilidade expõe um ativo e consequentemente a organização.
É estar exposto a um agente de ameaça.
Exemplos:
• A política de senha é bem redigida, mas não é aplicadas. As senhas dos
usuários podem ser capturadas e usadas de maneira não autorizada.
• A empresa utiliza vários andares em um prédio comercial compartilhado
e utiliza o shaft do prédio para “passar” seus cabos de dados. Estará
exposta a roubo de dados por intercetação do sinal.
7. RISCO
Um risco é a combinação das consequências advindas da ocorrência de um
evento indesejado e da probabilidade de sua ocorrência.
O risco vincula a vulnerabilidade, a ameaça e a probabilidade de exploração ao
impacto resultante.
Exemplo:
• Firewall com várias portas abertas. Há maior probabilidade de que um
intruso entre na rede.
• Usuários não instruídos nos processos. Há maior probabilidade de que
o funcionário cometa erro não intencional e destruição de dados.
• Ausência de um sistema de prevenção de Intrusão. Há maior
probabilidade de que um ataque passe despercebido.
8. CONTROLES (CONTRAMEDIDA)
São medidas tomadas para proteger um sistema de informações de ataques contra
a confidencialidade, integridade e disponibilidade
Ação que elimina a vulnerabilidade ou reduz a probabilidade de um agente de
ameaça ter sucesso na exploração de uma vulnerabilidade.
Exemplo:
• Gerenciamento de senhas fortes
• Segurança Bsica
• Login
• PolíFcas e treinamento de conscienFzação em segurança
9. TIPOS DE CONTROLES (CONTRAMEDIDA)
Os controles são manifestados por meio da implementação de políticas,
procedimentos, padrões e diretrizes. Podem ser:
• Administrativos
• Técnicos ou tecnológicos
• Físicos
10. CONTROLES (CONTRAMEDIDA)
Todos os controles de segurança são implementados para
fornecer um ou mais desses princípios, e todos os riscos,
ameaças e vulnerabilidades são medidos por sua potencial
capacidade de comprometer um ou todos os princípios.
14. O sistema de gestão da segurança da informação preserva a confidencialidade,
integridade e disponibilidade da informação por meio da aplicação de um processo
de gestão de riscos e fornece confiança para as partes interessadas de que os
riscos são adequadamente gerenciados.
15. a) compreender os requisitos de segurança da informação de
uma organização e a necessidade de estabelecer políticas e
objetivos para segurança da informação;
b) implementar e operar controles para gerenciar os riscos de
segurança da informação de uma organização no contexto dos
riscos gerais de negócios da organização;
c) monitorar e revisar o desempenho e a eficácia do Sistema de
Gestão da segurança da informação; e
d) melhoria contínua com base na medição objetiva.
SGSI SEGUNDO
ISO 27002
17. Atividades coordenadas para dirigir e controlar uma organização em relação ao
risco. O gerenciamento de riscos geralmente inclui avaliação de risco, tratamento
de risco, aceitação de risco e comunicação de risco.
Gestão de Risco é o processo que identifica e trata os riscos de forma sistemática
e continua.
18. • Quais são as principais ameaças ao negócio?
• Que vulnerabilidades existem atualmente?
• Qual é o nível de risco de um ativo?
• Quais são as recomendações para reduzir um determinado risco?
• Como definir e implantar controles para eliminar e mitigar riscos?
• Como justificar e priorizar os investimentos de segurança?
AJUDA A RESPONDER:
19.
20. • Motivação
• Escopo e justificativas
• Quantidade de ativos (escopo)
• Agrupados em categorias
• Obter critérios básicos:
• Requisitos legais e regulatórios
• Expectativas
• CID
• Critérios de impacto
• Estimativa de danos
• Critérios de aceitação (por classes)
21. • Determina o valor dos ativos
• Primários (Processos e Informações)
• Suporte e infraestrutura (hardware, software, pessoal)
• Identifica vulnerabilidades
• Identifica ameaças
• Determina as consequências possíveis
• Prioriza os riscos e ordena-os de acordo com os critérios
de avaliação de riscos estabelecidos na “definição do
contexto”
• Identifica os controles existentes e seus efeitos no risco
identificado
22. • Ativos do escopo e os respectivos proprietários
• Vínculo com processos
• Ameaças (probabilidades)
• Genéricas (ações não autorizadas, falhas técnicas)
• Comuns
• Catálogos, peritos, jurídico, especialistas, incidentes e
etc.
• Identificação de controles existentes (planos anteriores)
• Vulnerabilidades
• Cenários de incidentes (uma ameaça explorando uma
vulnerabilidade)
Determinar eventos que possam causar uma perda potencial e
indica onde e por que a perda pode acontecer.
23. Estimativa de riscos é o processo utilizado para atribuir
valores à probabilidade e consequências de um risco
• Diversas metodologias
• Qualitativa
• Quantitativa
• Consequências
• Relevância, valor do ativo
• Qual impacto irá causar ao negócio (perda do CID)
• BIA
• Probabilidade
• Histórico
• Cenários
• Frequência
• Geográficos (barragem, fábrica, refinaria e etc.)
• Nível de pessoal
• Nível de risco (PxI)
24. Compara o risco com critérios predefinidos para
determinar a importância do risco
Com base no critério de risco define quais são os níveis
máximos do risco que uma organização está disposta a tolerar
Usa o entendimento do risco obtido pela analise de
riscos para a tomada de decisões sobre ações futuras
Leis e regulamentações obrigam as organizações a endereçar
certos riscos, independente da vontade da organização
25. Etapa de seleção e implementação de medidas para modificar,
reter, evitar ou compartilhar os riscos
• Custo esperado (US$ 10 para proteger US$ 1)
• Regulatório
• Improváveis mais de alto impacto
26. • Controles apropriados e devidamente justificados
• Categorias (tipos de proteção):
• Correção
• Eliminação
• Prevenção
• Minimização do impacto
• Dissuasão
• Detecção
• Recuperação
• Monitoramento
• Conscientização
• Restrições levadas em consideração
• Capex e Opex
• Skill
• Burocratização
27. Restrição aos controles
• Temporal
• Financeiras
• Técnicas
• Operacionais
• Culturais
• Ambientais
• Legais
• Usabilidade
• Recursos humanos
• Integração
• Falsa percepção
• Risco ainda maior (senhas complexas)
• Controle mais importante que o negócio
28. AMEAÇA VULNERABILIDADE ATAQUE INCIDENTE IMPACTO
MEDIDAS
PREVENTIVAS
MÉTODOS
DETECTIVOS
MEDIDAS
REATIVAS
REDUZEM
DESENCADEAM
EXPÕE REDUZEM
ERRO HUMANO
DESASTRES
FRAUDE
INVASÃO
ESPIONAGEM
POLÍTICA DE SEGURANÇA
CONTROLES DE ACESSO
PROGRAMAS DE CONSCIENTIZAÇÃO
BUGS
PESSOAL NÃO TREINADO
OBSOLESCÊNCIA
SEG. FÍSICA
INVASÃO
ACESSO INDEVIDO
DDoS
ROGUE
VANDALISMO
DESTRUIÇÃO DE DADOS
VAZAMENTO
INTEGRIDADE
INDISPONIBILIDADE
IMAGEM
LEGAL
FINANCEIRO
OPORTUNIDADE
SOC
IPS
AUDIT
AÇÃO LEGAL
BACKUP
RESPOSTA A INCIDENTE
INVESTIGAÇÃO
MODIFICAÇÃO DOS RISCOS (exemplos)
29. Se o nível de risco atender aos critérios para a aceitação
do risco, não há necessidade de se implementarem
controles adicionais e pode haver a retenção do risco.
30. • Riscos identificados são demasiadamente elevados
• Custos da implementação de outras opções de
tratamento do risco excedem os benefícios
• Eliminação de uma atividade planejada ou existente
(ou de um conjunto de atividades)
• Mudanças nas condições em que a operação da
atividade ocorre.
31. • Outra entidade que possa gerenciá-lo de forma mais
eficaz
• Pode criar novos riscos ou modificar riscos existentes
e identificados
• SOC é um exemplo
• Responsabilidade legal por impactos
32. • Risco residual
• Monitoramento constante
• Registro formal da decisão
• Critérios não acatados
• Benefícios muito atraentes ou custos de modificação
são elevados