Professional Documents
Culture Documents
Segurana da Informao
Quais so riscos?
Conceitos Bsicos
Desperdcio de recursos tecnolgicos
Roubo ou Vazamento de informaes
Processos judiciais
Prejuzos para a imagem da empresa
PERDAS FINANCEIRAS!!!
Conceitos Bsicos
As empresas tm grande ateno aos seus
ativos fsicos e financeiros
Ativos de informao:
A prpria informao
Todos os recursos de suporte
Conceitos Bsicos
Trs propriedades bsicas de Segurana da
Informao:
Confidencialidade;
Integridade;
Disponibilidade;
Conceitos Bsicos
A Segurana da Informao mantida por um:
A informao possui:
Algum grau de disponibilidade?
Algum grau de confidencialidade?
Algum grau de integridade?
Posso agrupar ativos?
Sempre que um conjunto de ativos tiver o
mesmo:
Objetivo de negcio
Responsvel e localizao
Classificao de segurana
Exemplo:
Documentos de RH do colaborador.
Documentos fiscais.
Certificados de software.
Tipos de Ativos de Inf.
Processos de Negcio
Informao (lgica ou fsica)
Hardware de suporte
Software de suporte
Ambientes fsicos
Pessoas
Etc...
Definio de Responsabilidades
O inventrio prev trs tipos de responsveis:
Proprietrio
Custodiante
Administrador
Definio de Responsabilidades
Proprietrio
Toma decises pelo ativo
Responsvel pela classificao
Responde pelo ativo na organizao
Geralmente o setor de TI
Atividade 1 Identificao de Ativos
Definir dois ativos de cada tipo:
Informao lgica
Informao fsica
Hardware
Software
Ambiente fsico
Avaliao de Ativos
Deve-se determinar o impacto do ativo para a
organizao
Exemplo de critrios:
Imagem da organizao no mercado
Parada de processos operacionais
Prejuzos financeiros
Abrangncia dos efeitos
Ex.: processo, setor, organizao, mercado
Avaliao de Ativos
Exemplo de critrios:
Efeitos legais e contratuais
Custo de reposio
Perda confiana
Causam incidentes
Perda de confidencialidade, integridade e
disponibilidade
Para os ativos da
organizao
Avaliao de Ameaas
Deve-se avaliar as ameaas sob determinado
critrio e escala.
Grau de exposio:
Determina o quanto a organizao est exposta
ameaa.
Avaliao de Ameaas
Critrios de avaliao:
Histrico de incidentes
Experincia do analista
Natureza do negcio
Catlogo de ameaas
Fontes diversas
Avaliao de Ameaas
Critrios de ameaas intencionais:
Motivaes do atacante
Competncias do atacante
Poder atrativo dos ativos
Avaliao de Ameaas
Critrios de ameaas acidentais:
Proximidade com fbricas e depsitos
Possibilidade de eventos climticos
Fatores causadores de erros humanos
Ex. insalubridade
Fatores causadores de falha em equipamentos
Atividade 4 Avaliao de Ameaas
Fsicas;
Naturais;
De hardware;
De software;
Humanas;
Organizacionais;
Etc...
Ident. de Vulnerabilidades
Vulnerabilidades Fsicas:
Instalaes prediais fora do padro;
CPD mal planejado;
Falta de extintores de incndio;
Detectores de fumaa;
Proximidade com depsitos;
Manutenes mal feitas
Etc...
Ident. de Vulnerabilidades
Vulnerabilidades Naturais:
Falta de preveno para:
Enchentes;
Terremotos;
Acmulo de poeira;
Umidade;
Temperatura;
Ident. de Vulnerabilidades
Vulnerabilidades de Hardware:
Desgaste de peas;
Falha de recurso;
Erro de instalao;
M utilizao;
Falta de manuteno;
Etc...
Ident. de Vulnerabilidades
Vulnerabilidades de Software:
Erros de instalao;
Erros de configurao;
Defeitos de software;
Falta de requisitos de segurana;
Ident. de Vulnerabilidades
Vulnerabilidades Humanas:
Falta de treinamento;
Falta de conscientizao;
No executar procedimentos de segurana;
Erros ou omisses;
Greves;
Ident. de Vulnerabilidades
Vulnerabilidades de organizao:
Inexistncia de controles fsicos
Inexistncia de monitoramentos
Inexistncia de Poltica de Segurana
Inexistncia de Plano de Continuidade
Inexistncia de auditorias
Inexistncia de anlises crticas
Indefinio de responsabilidades
Etc...
Ident. de Vulnerabilidades
Tcnicas de identificao (tecnologia):
Ferramentas automatizadas de vulnerabilidades
Testes de invaso
Anlise da segurana de sistemas
Etc...
Ident. de Vulnerabilidades
Tcnicas de identificao (gesto):
Entrevistas com gerentes e usurios
Questionrios de segurana
Inspeo fsica
Anlise de documentos
Anlise GAP ISO 27001
Etc...
Avaliao de Vulnerabilidades
Critrios de avaliao de checklist:
Atendimento total
Atendimento parcial
Atendimento informal
No atendimento
Controle no relevante
Avaliao de Vulnerabilidades
Critrios de avaliao de boas prticas:
Faz sempre
Faz freqentemente
Faz raramente
No faz
Prtica no relevante
Avaliao de Vulnerabilidades
Critrios de avaliao de tecnologias:
Definir
vulnerabilidades de
diferentes tipos
Para as ameaas
definidas por seu
grupo
Avaliao de Vulnerabilidades
Deve-se avaliar as vulnerabilidades sob
determinado critrio e escala.
Grau de Deficincia:
Determina o tamanho da deficincia gerada pela
vulnerabilidade
Atividade 6 Avaliao de
Vulnerabilidades
Determinar o Grau de Deficincia para as
vulnerabilidades de seu grupo
Aceitar o risco.
7. Gesto de Ativos;
8. Segurana em Recursos Humanos;
15. Conformidade;
Atividade 8 Tratamento do Risco
Determine o tratamento para cada um dos
riscos identificados.
Paulo Silva
Tracker Segurana da Informao
PauloSilva@TrackerTI.com