SlideShare uma empresa Scribd logo

Implementação de uma metodologia de análise de risco baseada na BS 7799-3

Transferir como PPTX, PDF
D
Didimax

Este documento discute a implementação de uma metodologia de análise de risco baseada na norma ISO 27005 em uma empresa. A empresa estava sofrendo com infecções de vírus em 80% de seus computadores. A análise de risco identificou que o antivírus era inadequado e cada região estava tomando decisões diferentes sobre substituí-lo. A solução foi instalar um servidor de arquivos centralizado e restringir permissões para reduzir o risco de infecções entre regiões.

Tecnologia
1 de 15
I M P L E M E N T A Ç Ã O D E U M A M E T O D O L O G I A D E A N Á L I S E D E R I S C O B A S E A D A N A B S 7 7 9 9 - 3 Estudo de Caso ISO 27005
Padrão BS7799  O padrão normativo BS7799 foi publicado em 1995 pela British Standards Institute e trata-se de um código da prática da segurança da informação que visa estabelecer práticas e procedimentos que garantam a segurança dos ativos de uma instituição.  Essa mesma família de padrões, em especial as normas BS7799-1 e BS7799-2, BS 7799-3 foram formalizadas posteriormente como padrões internacionais da família ISO 27000
Problemas Principais da Empresa  Uma corporação possui um conjunto de ameaças e vulnerabilidades que precisam ser corrigidas. Essas perdas podem ocorrer devido aos mais variados motivos, como a indisponibilidades de sistemas, deixando de prestar serviços para seus clientes; ou no caso de vazamento de dados confidenciais da corporação.  Uma análise de risco permite identificar todas as vulnerabilidades e ameaças existentes nos ativos de determinada instituição e quantificar os riscos de cada ameaça, ajudando a definir prioridades.
Características da ISSO 27005  ISO 27005 – Guidelines for Information Security Risk Management. Esta norma define propriedades e características de metodologias de análise de risco usadas em Sistemas de Gestão de Segurança da Informação  ISO 27005 - Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles
Processo PDCA
Resultados Obtidos  Aperfeiçoamento efetivo na Segurança da Informação  Diferencial no mercado  Prover confidencialidade nas negociações com parceiros, clientes.  Redução a exposição a riscos  Conformidade  Padrão aceito globalmente.
Exemplo de caso  Situação - utilizaremos um caso de uma empresa com presença em todo o Brasil e administrações regionais com relativa independência na tomada de decisões.  A empresa possui um gerente de TI e um domínio em cada região do Brasil.
O Problema  Apesar de usarmos um antivírus “X”, estamos com uma infecção em 80% do parque de estações pelo vírus “Funlove”;  Nota: A Infecção persiste por mais de um mês.  Ameaça: perda de dados e indisponibilidade.  Vulnerabilidades: Antivírus não consegue bloquear ataque do “ Funlove”
Opção de Tratamento  Erradicar o vírus: Fazer um mutirão, desconectar todas estações no Brasil e desinfetá- las offline   Apesar do mutirão, o vírus persiste na rede  O Antivírus é incapaz de proteger as estações
Análise e Avaliação  Ameaça: perda de dados e indisponibilidade  Antivírus sem console de gerenciamento e considerado “medíocre” pela crítica  Antivírus não consegue bloquear ataque do “Funlove”
Segunda opção de Tratamento  Substituir o Antivírus
Terceiro Tratamento  Cada regional iniciou um processo emergencial de  compra, sendo que algumas optaram pelo  fabricante “y” e outros pelo “z” Ameaça: perda de dados e Indisponibilidade, Alta probabilidade de novos vírus atacarem. Vulnerabilidades: Compartilhamentos
Terceiro Tratamento  Instalar um file server com Windows 2000 e proibir o compartilhamento de pastas em estações.  Alterar permissões NTFS em todos executáveis em pastas compartilhadas, deixando direito de escrita somente nos arquivos de dados. Ex: DBF
Tratamento Satisfatório  A Regional conseguiu praticamente eliminar o vírus de suas estações, e apesar disso continuava a receber tentativas de infecção vindas de outras regionais  Solução foi replicada para outras regionais.
Risco Residual  Alguns usuários poderiam contrariar a nova política, compartilhar pastas em seu Windows, e ser infectado antes que a área de TI agisse.  O Risco foi considerado aceitável

Recomendados

Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Linguagem de Programação Python
Linguagem de Programação PythonLinguagem de Programação Python
Linguagem de Programação PythonJunior Sobrenome
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 

Recomendados

Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Linguagem de Programação Python
Linguagem de Programação PythonLinguagem de Programação Python
Linguagem de Programação PythonJunior Sobrenome
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas OperativosPmpc10
 
Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...
Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...
Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...Leinylson Fontinele
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Modelos de processos de software
Modelos de processos de softwareModelos de processos de software
Modelos de processos de softwareNécio de Lima Veras
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAMaraLuizaGonalvesFre
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
Introdução a Linguagem de Programação C
Introdução a Linguagem de Programação CIntrodução a Linguagem de Programação C
Introdução a Linguagem de Programação CGercélia Ramos
 
UFCD 0781 - Análise de Sistemas de Informação.pptx
UFCD 0781 - Análise de Sistemas de Informação.pptxUFCD 0781 - Análise de Sistemas de Informação.pptx
UFCD 0781 - Análise de Sistemas de Informação.pptxEscola Básica e Secundária da Povoação
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasCleber Fonseca
 
Informação digital e segurança
Informação digital e segurançaInformação digital e segurança
Informação digital e segurançaLuis Borges Gouveia
 
Aula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIAula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIDaniel Brandão
 
Diagrama de Fluxo de Dados
Diagrama de Fluxo de DadosDiagrama de Fluxo de Dados
Diagrama de Fluxo de DadosRobson Silva Espig
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoEscola de Governança da Internet no Brasil
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Slide
SlideSlide
Slideemanuelechiabaipivetta
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Shield Consulting
 

Mais conteúdo relacionado

Mais procurados

Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas OperativosPmpc10
 
Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...
Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...
Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...Leinylson Fontinele
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAMaraLuizaGonalvesFre
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
Introdução a Linguagem de Programação C
Introdução a Linguagem de Programação CIntrodução a Linguagem de Programação C
Introdução a Linguagem de Programação CGercélia Ramos
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasCleber Fonseca
 
Informação digital e segurança
Informação digital e segurançaInformação digital e segurança
Informação digital e segurançaLuis Borges Gouveia
 
Aula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIAula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIDaniel Brandão
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 

Mais procurados (20)

Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativos
 
Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...
Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...
Introdução à Computação - Aula Prática 3 - Banco de Dados (Conversão do model...
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Modelos de processos de software
Modelos de processos de softwareModelos de processos de software
Modelos de processos de software
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas Operativos
 
Introdução a Linguagem de Programação C
Introdução a Linguagem de Programação CIntrodução a Linguagem de Programação C
Introdução a Linguagem de Programação C
 
UFCD 0781 - Análise de Sistemas de Informação.pptx
UFCD 0781 - Análise de Sistemas de Informação.pptxUFCD 0781 - Análise de Sistemas de Informação.pptx
UFCD 0781 - Análise de Sistemas de Informação.pptx
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafios
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
Informação digital e segurança
Informação digital e segurançaInformação digital e segurança
Informação digital e segurança
 
Aula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIAula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SI
 
Diagrama de Fluxo de Dados
Diagrama de Fluxo de DadosDiagrama de Fluxo de Dados
Diagrama de Fluxo de Dados
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 

Destaque

Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Shield Consulting
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 

Destaque (7)

Slide
SlideSlide
Slide
 
Implementação de sgsi [impressão]
Implementação de sgsi [impressão]Implementação de sgsi [impressão]
Implementação de sgsi [impressão]
 
Palestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de RiscosPalestra Jeferson D'Addario Governança de Riscos
Palestra Jeferson D'Addario Governança de Riscos
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Segurança em Instituições de Ensino
Segurança em Instituições de EnsinoSegurança em Instituições de Ensino
Segurança em Instituições de Ensino
 

Semelhante a Implementação de uma metodologia de análise de risco baseada na BS 7799-3

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADAApresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADATI Safe
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentationBravo Tecnologia
 
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Evandro Guilherme Miguel
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)TI Safe
 
[White Paper] TI Safe SCADA Security Testbed v1
[White Paper] TI Safe SCADA Security Testbed v1[White Paper] TI Safe SCADA Security Testbed v1
[White Paper] TI Safe SCADA Security Testbed v1TI Safe
 
Ransomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaRansomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaMafalda Martins
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
Motivos para escolher a ESET
Motivos para escolher a ESETMotivos para escolher a ESET
Motivos para escolher a ESETESET Brasil
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...TI Safe
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Fernando Dulinski
 

Semelhante a Implementação de uma metodologia de análise de risco baseada na BS 7799-3 (20)

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADAApresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
Apresentação Técnica - Estratégias de Segurança para Redes Industriais e SCADA
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
 
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
Apresentação ENG PUCC - Implementação de Praticas de Segurança da Informação ...
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
 
[White Paper] TI Safe SCADA Security Testbed v1
[White Paper] TI Safe SCADA Security Testbed v1[White Paper] TI Safe SCADA Security Testbed v1
[White Paper] TI Safe SCADA Security Testbed v1
 
Ransomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaRansomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresa
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
Motivos para escolher a ESET
Motivos para escolher a ESETMotivos para escolher a ESET
Motivos para escolher a ESET
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
 
Unbroken Institutional
Unbroken Institutional Unbroken Institutional
Unbroken Institutional
 

Implementação de uma metodologia de análise de risco baseada na BS 7799-3

  • 1. I M P L E M E N T A Ç Ã O D E U M A M E T O D O L O G I A D E A N Á L I S E D E R I S C O B A S E A D A N A B S 7 7 9 9 - 3 Estudo de Caso ISO 27005
  • 2. Padrão BS7799  O padrão normativo BS7799 foi publicado em 1995 pela British Standards Institute e trata-se de um código da prática da segurança da informação que visa estabelecer práticas e procedimentos que garantam a segurança dos ativos de uma instituição.  Essa mesma família de padrões, em especial as normas BS7799-1 e BS7799-2, BS 7799-3 foram formalizadas posteriormente como padrões internacionais da família ISO 27000
  • 3. Problemas Principais da Empresa  Uma corporação possui um conjunto de ameaças e vulnerabilidades que precisam ser corrigidas. Essas perdas podem ocorrer devido aos mais variados motivos, como a indisponibilidades de sistemas, deixando de prestar serviços para seus clientes; ou no caso de vazamento de dados confidenciais da corporação.  Uma análise de risco permite identificar todas as vulnerabilidades e ameaças existentes nos ativos de determinada instituição e quantificar os riscos de cada ameaça, ajudando a definir prioridades.
  • 4. Características da ISSO 27005  ISO 27005 – Guidelines for Information Security Risk Management. Esta norma define propriedades e características de metodologias de análise de risco usadas em Sistemas de Gestão de Segurança da Informação  ISO 27005 - Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles
  • 6. Resultados Obtidos  Aperfeiçoamento efetivo na Segurança da Informação  Diferencial no mercado  Prover confidencialidade nas negociações com parceiros, clientes.  Redução a exposição a riscos  Conformidade  Padrão aceito globalmente.
  • 7. Exemplo de caso  Situação - utilizaremos um caso de uma empresa com presença em todo o Brasil e administrações regionais com relativa independência na tomada de decisões.  A empresa possui um gerente de TI e um domínio em cada região do Brasil.
  • 8. O Problema  Apesar de usarmos um antivírus “X”, estamos com uma infecção em 80% do parque de estações pelo vírus “Funlove”;  Nota: A Infecção persiste por mais de um mês.  Ameaça: perda de dados e indisponibilidade.  Vulnerabilidades: Antivírus não consegue bloquear ataque do “ Funlove”
  • 9. Opção de Tratamento  Erradicar o vírus: Fazer um mutirão, desconectar todas estações no Brasil e desinfetá- las offline   Apesar do mutirão, o vírus persiste na rede  O Antivírus é incapaz de proteger as estações
  • 10. Análise e Avaliação  Ameaça: perda de dados e indisponibilidade  Antivírus sem console de gerenciamento e considerado “medíocre” pela crítica  Antivírus não consegue bloquear ataque do “Funlove”
  • 11. Segunda opção de Tratamento  Substituir o Antivírus
  • 12. Terceiro Tratamento  Cada regional iniciou um processo emergencial de  compra, sendo que algumas optaram pelo  fabricante “y” e outros pelo “z” Ameaça: perda de dados e Indisponibilidade, Alta probabilidade de novos vírus atacarem. Vulnerabilidades: Compartilhamentos
  • 13. Terceiro Tratamento  Instalar um file server com Windows 2000 e proibir o compartilhamento de pastas em estações.  Alterar permissões NTFS em todos executáveis em pastas compartilhadas, deixando direito de escrita somente nos arquivos de dados. Ex: DBF
  • 14. Tratamento Satisfatório  A Regional conseguiu praticamente eliminar o vírus de suas estações, e apesar disso continuava a receber tentativas de infecção vindas de outras regionais  Solução foi replicada para outras regionais.
  • 15. Risco Residual  Alguns usuários poderiam contrariar a nova política, compartilhar pastas em seu Windows, e ser infectado antes que a área de TI agisse.  O Risco foi considerado aceitável