I M P L E M E N T A Ç Ã O D E U M A M E T O D O
L O G I A D E A N Á L I S E D E R I S C O
B A S E A D A N A B S 7 7 9 9 - ...
Padrão BS7799
 O padrão normativo BS7799 foi publicado em 1995
pela British Standards Institute e trata-se de um
código d...
Problemas Principais da Empresa
 Uma corporação possui um conjunto de ameaças e
vulnerabilidades que precisam ser corrigi...
Características da ISSO 27005
 ISO 27005 – Guidelines for Information Security
Risk Management. Esta norma define proprie...
Processo PDCA
Resultados Obtidos
 Aperfeiçoamento efetivo na Segurança da
Informação
 Diferencial no mercado
 Prover confidencialidad...
Exemplo de caso
 Situação - utilizaremos um caso de uma empresa
com presença em todo o Brasil e administrações
regionais ...
O Problema
 Apesar de usarmos um antivírus “X”, estamos com
uma infecção em 80% do parque de estações pelo
vírus “Funlove...
Opção de Tratamento
 Erradicar o vírus: Fazer um
mutirão, desconectar todas
estações no Brasil e desinfetá-
las offline
...
Análise e Avaliação
 Ameaça: perda de dados e indisponibilidade
 Antivírus sem console de gerenciamento e
considerado “m...
Segunda opção de Tratamento
 Substituir o Antivírus
Terceiro Tratamento
 Cada regional iniciou um processo emergencial de
 compra, sendo que algumas optaram pelo
 fabrican...
Terceiro Tratamento
 Instalar um file server com Windows 2000 e proibir
o compartilhamento de pastas em estações.
 Alter...
Tratamento Satisfatório
 A Regional conseguiu praticamente eliminar o vírus
de suas estações, e apesar disso continuava a...
Risco Residual
 Alguns usuários poderiam contrariar a nova política,
compartilhar pastas em seu Windows, e ser infectado
...
Próximos SlideShares
Carregando em…5
×

Estudo de caso iso 27005

701 visualizações

Publicada em

Falaremos um pouco da ISO 27005 - Gestão de Segurança

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
701
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
26
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Estudo de caso iso 27005

  1. 1. I M P L E M E N T A Ç Ã O D E U M A M E T O D O L O G I A D E A N Á L I S E D E R I S C O B A S E A D A N A B S 7 7 9 9 - 3 Estudo de Caso ISO 27005
  2. 2. Padrão BS7799  O padrão normativo BS7799 foi publicado em 1995 pela British Standards Institute e trata-se de um código da prática da segurança da informação que visa estabelecer práticas e procedimentos que garantam a segurança dos ativos de uma instituição.  Essa mesma família de padrões, em especial as normas BS7799-1 e BS7799-2, BS 7799-3 foram formalizadas posteriormente como padrões internacionais da família ISO 27000
  3. 3. Problemas Principais da Empresa  Uma corporação possui um conjunto de ameaças e vulnerabilidades que precisam ser corrigidas. Essas perdas podem ocorrer devido aos mais variados motivos, como a indisponibilidades de sistemas, deixando de prestar serviços para seus clientes; ou no caso de vazamento de dados confidenciais da corporação.  Uma análise de risco permite identificar todas as vulnerabilidades e ameaças existentes nos ativos de determinada instituição e quantificar os riscos de cada ameaça, ajudando a definir prioridades.
  4. 4. Características da ISSO 27005  ISO 27005 – Guidelines for Information Security Risk Management. Esta norma define propriedades e características de metodologias de análise de risco usadas em Sistemas de Gestão de Segurança da Informação  ISO 27005 - Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles
  5. 5. Processo PDCA
  6. 6. Resultados Obtidos  Aperfeiçoamento efetivo na Segurança da Informação  Diferencial no mercado  Prover confidencialidade nas negociações com parceiros, clientes.  Redução a exposição a riscos  Conformidade  Padrão aceito globalmente.
  7. 7. Exemplo de caso  Situação - utilizaremos um caso de uma empresa com presença em todo o Brasil e administrações regionais com relativa independência na tomada de decisões.  A empresa possui um gerente de TI e um domínio em cada região do Brasil.
  8. 8. O Problema  Apesar de usarmos um antivírus “X”, estamos com uma infecção em 80% do parque de estações pelo vírus “Funlove”;  Nota: A Infecção persiste por mais de um mês.  Ameaça: perda de dados e indisponibilidade.  Vulnerabilidades: Antivírus não consegue bloquear ataque do “ Funlove”
  9. 9. Opção de Tratamento  Erradicar o vírus: Fazer um mutirão, desconectar todas estações no Brasil e desinfetá- las offline   Apesar do mutirão, o vírus persiste na rede  O Antivírus é incapaz de proteger as estações
  10. 10. Análise e Avaliação  Ameaça: perda de dados e indisponibilidade  Antivírus sem console de gerenciamento e considerado “medíocre” pela crítica  Antivírus não consegue bloquear ataque do “Funlove”
  11. 11. Segunda opção de Tratamento  Substituir o Antivírus
  12. 12. Terceiro Tratamento  Cada regional iniciou um processo emergencial de  compra, sendo que algumas optaram pelo  fabricante “y” e outros pelo “z” Ameaça: perda de dados e Indisponibilidade, Alta probabilidade de novos vírus atacarem. Vulnerabilidades: Compartilhamentos
  13. 13. Terceiro Tratamento  Instalar um file server com Windows 2000 e proibir o compartilhamento de pastas em estações.  Alterar permissões NTFS em todos executáveis em pastas compartilhadas, deixando direito de escrita somente nos arquivos de dados. Ex: DBF
  14. 14. Tratamento Satisfatório  A Regional conseguiu praticamente eliminar o vírus de suas estações, e apesar disso continuava a receber tentativas de infecção vindas de outras regionais  Solução foi replicada para outras regionais.
  15. 15. Risco Residual  Alguns usuários poderiam contrariar a nova política, compartilhar pastas em seu Windows, e ser infectado antes que a área de TI agisse.  O Risco foi considerado aceitável

×