Este documento discute a implementação de uma metodologia de análise de risco baseada na norma ISO 27005 em uma empresa. A empresa estava sofrendo com infecções de vírus em 80% de seus computadores. A análise de risco identificou que o antivírus era inadequado e cada região estava tomando decisões diferentes sobre substituí-lo. A solução foi instalar um servidor de arquivos centralizado e restringir permissões para reduzir o risco de infecções entre regiões.
Implementação de uma metodologia de análise de risco baseada na BS 7799-3
1. I M P L E M E N T A Ç Ã O D E U M A M E T O D O
L O G I A D E A N Á L I S E D E R I S C O
B A S E A D A N A B S 7 7 9 9 - 3
Estudo de Caso ISO 27005
2. Padrão BS7799
O padrão normativo BS7799 foi publicado em 1995
pela British Standards Institute e trata-se de um
código da prática da segurança da informação que
visa estabelecer práticas e procedimentos que
garantam a segurança dos ativos de uma instituição.
Essa mesma família de padrões, em especial as
normas BS7799-1 e BS7799-2, BS 7799-3 foram
formalizadas posteriormente como padrões
internacionais da família ISO 27000
3. Problemas Principais da Empresa
Uma corporação possui um conjunto de ameaças e
vulnerabilidades que precisam ser corrigidas. Essas
perdas podem ocorrer devido aos mais variados
motivos, como a indisponibilidades de sistemas,
deixando de prestar serviços para seus clientes; ou
no caso de vazamento de dados confidenciais da
corporação.
Uma análise de risco permite identificar todas as
vulnerabilidades e ameaças existentes nos ativos de
determinada instituição e quantificar os riscos de
cada ameaça, ajudando a definir prioridades.
4. Características da ISSO 27005
ISO 27005 – Guidelines for Information Security
Risk Management. Esta norma define propriedades
e características de metodologias de análise de risco
usadas em Sistemas de Gestão de Segurança da
Informação
ISO 27005 - Esta norma será constituída por
indicações para implementação, monitoramento e
melhoria contínua do sistema de controles
6. Resultados Obtidos
Aperfeiçoamento efetivo na Segurança da
Informação
Diferencial no mercado
Prover confidencialidade nas negociações com
parceiros, clientes.
Redução a exposição a riscos
Conformidade
Padrão aceito globalmente.
7. Exemplo de caso
Situação - utilizaremos um caso de uma empresa
com presença em todo o Brasil e administrações
regionais com relativa independência na tomada de
decisões.
A empresa possui um gerente de TI e um domínio
em cada região do Brasil.
8. O Problema
Apesar de usarmos um antivírus “X”, estamos com
uma infecção em 80% do parque de estações pelo
vírus “Funlove”;
Nota: A Infecção persiste por mais de um mês.
Ameaça: perda de dados e indisponibilidade.
Vulnerabilidades: Antivírus não consegue
bloquear ataque do “ Funlove”
9. Opção de Tratamento
Erradicar o vírus: Fazer um
mutirão, desconectar todas
estações no Brasil e desinfetá-
las offline
Apesar do mutirão, o vírus
persiste na rede
O Antivírus é incapaz de
proteger as estações
10. Análise e Avaliação
Ameaça: perda de dados e indisponibilidade
Antivírus sem console de gerenciamento e
considerado “medíocre” pela crítica
Antivírus não consegue bloquear ataque do
“Funlove”
12. Terceiro Tratamento
Cada regional iniciou um processo emergencial de
compra, sendo que algumas optaram pelo
fabricante “y” e outros pelo “z”
Ameaça: perda de dados e
Indisponibilidade, Alta probabilidade de novos
vírus atacarem.
Vulnerabilidades: Compartilhamentos
13. Terceiro Tratamento
Instalar um file server com Windows 2000 e proibir
o compartilhamento de pastas em estações.
Alterar permissões NTFS em todos executáveis em
pastas compartilhadas, deixando direito de escrita
somente nos arquivos de dados. Ex: DBF
14. Tratamento Satisfatório
A Regional conseguiu praticamente eliminar o vírus
de suas estações, e apesar disso continuava a receber
tentativas de infecção vindas de outras regionais
Solução foi replicada para outras regionais.
15. Risco Residual
Alguns usuários poderiam contrariar a nova política,
compartilhar pastas em seu Windows, e ser infectado
antes que a área de TI agisse.
O Risco foi considerado aceitável