1) O documento discute vários tópicos relacionados à segurança e privacidade da informação, incluindo Edward Snowden, criptografia e normas como a NBR ISO/IEC 27001.
2) Também aborda conceitos como gestão de riscos, avaliação de riscos, planos de contingência e incident response.
3) Por fim, apresenta estatísticas sobre pirataria de software e faz uma breve sinopse do filme The Good Shepherd.
1. Segurança e privacidadeSegurança e privacidade
Gustavo C. Russo – 12.206.507-1
Marina C. Moraes – 12.112.680-9
Pedro P. Garcia – 12.112.399-6
Willian Weller – 12.206.544-4
Yuri N. Constanti – 12.206.490-0
3. Snowden
• Ex-funcionário da CIA
• Ex-contratado da NSA
• Entrevista exclusiva em Hong Kong
▫ Glenn Greenwald
▫ Laura Poitras
▫ http://www.theguardian.com/world/video/2013/jul/08/edward-snowden-video-interview
8. NBR ISO/IEC 27005:2008
DEFINIÇÃO DO CONTEXTO:
• Determinação de um propósito
• Definição de critérios básicos
▫ Critérios para avaliação de risco
▫ Critérios de impacto
▫ Critérios para aceitação do risco
• Escopo e limites
• Organização para gestão de risco de segurança da
informação
9. NBR ISO/IEC 27005:2008
ANÁLISE/AVALIÇÃO DE RISCO:
• Identificação dos riscos
▫ Identificação dos ativos
▫ Identificação das ameaças
▫ Identificação dos controles existentes
▫ Identificação das vulnerabilidades
▫ Identificação dos controles existentes
▫ Identificação das vulnerabilidades
▫ Identificação das conseqüências
• Estimativas de riscos
▫ Metodologias para estimativa de riscos
▫ Avaliação das conseqüências
▫ Avaliação da probabilidade dos incidentes
▫ Estimativa do nível de risco
• Avaliação dos riscos
11. NBR ISO/IEC 27005:2008
ACEITAÇÃO DO RISCO:
• Decisão dos gestores da organização
• Análise crítica• Análise crítica
• Considerado as circunstâncias predominantes
no momento
• Documento formal
▫ Lista de riscos aceitos
▫ Justificativa para aqueles que não satisfaçam os
critérios normais para aceitação de risco
12. General Security Risk Assessment
• Guia no qual os riscos de segurança podem ser
identificado e comunicados
• Metodologia dividida em 7 etapas• Metodologia dividida em 7 etapas
• Criado nos EUA por principais
representantes de organizações
de segurança do país
13. Etapas
• Compreender a organização e identificar as
pessoas e bens em risco
• Especificar perdas em eventos de risco /
vulnerabilidades
• Estabelecer a probabilidade de risco de perda e• Estabelecer a probabilidade de risco de perda e
freqüência de eventos
• Determinar o impacto dos eventos
• Desenvolver opções para aliviar os riscos
• Estudar a viabilidade de implementação das
opções
• Analisar o custo benefício
14.
15. “Handbook” de Segurança da
Informação Um Guia Para Gestores
• Objetivo e Aplicabilidade
• Relação com a Orientação
Existente
22. Certificação, Confiabilidade e
Avaliações de Segurança
• Papéis e Responsabilidades da Certificação, Confiabilidade e
avaliações de segurança;
• Delegação de Funções;• Delegação de Funções;
• O Processo de Certificação e Confiabilidade da Segurança;
• Documentação da Certificação de Segurança;
• Decisões de Confiabilidade;
• Monitoramento Contínuo;
• Avaliações de programas;
24. Resposta a Incidentes
Preparação
• Preparando para Resposta a Incidentes
• Preparando para coletar dados de Incidentes
• Prevenção de Incidentes• Prevenção de Incidentes
Detecção e Análise
Contenção, erradicação e recuperação
Pós-Incidente Atividade
26. BS 7799-3:2006 Information security
Management Systems
• Objetivo: Prover orientação e suporte para implantação dos
requerimentos definidos na
BS ISO/IEC 27001:2005.*
• Risk approach:
▫ 1-Escopo
▫ 2-Referência
▫ 3-Termos e definições
▫ 4-Contexto organizacional
▫ 5-Avaliação
▫ 6-Tratamento
▫ 7-On going Monitoring
▫ 7-Reavaliações *Mostrar tabela comparativa
27. Riscos da Segurança da Informação
nas organizações
• Scope and Policy
▫ Business Case:
Recurso
Razões (O por que implementar?)
RAZÕES
Legal ou
Regulatório
Recurso
Definições da empresa*
▫ ISMS Scope
Definição do Escopo
▫ ISMS Policy
▫ Risk Approach
• Approach
▫ Determinação do critério de aceitação de riscos
▫ Identificação de níveis aceitáveis de riscos
▫ Identificação e avaliação dos riscos
▫ Cobertura dos aspectos do escopo ISMS
RAZÕES Privada ou
estatal
Tamanho da
companhia
Localilzação
Geográfica
Tipo de
negócio
28. Avaliação do Risco
Cálculo do Risco
Avaliador de risco
A pessoa que perfomará a gestão do risco tem que ter diversas caracteristicas, tais como:
▫ Conhecimentos em TI
▫ Conhecimento no negócio
▫ Conhecimento de controle de risco
▫ E outros diversos
29. Objetivo: É contribuir para que a gestão de
empresas e demais organizações adotem uma forma
mais adequada de abordar os riscos inerentes ao
cumprimento de seus objetivos.
Como: Integrar diversos conceitos deComo: Integrar diversos conceitos de
administração de riscos em uma única estrutura .
Resultado: Acomodar a maior parte das
opiniões e, assim, possibilitar a avaliação e o
aprimoramento da gestão de riscos
corporativos para futuras iniciativas de órgãos
reguladores e de ensino.
30. O que é o gerenciamento de riscos?
São riscos e oportunidades de criar ou preservar valor.
Alguns conceitos fundamentais para definição de gerenciamento de riscos:
• Um processo contínuo e que flui pela organização;
• Conduzido pelos profissionais em todos os níveis da organização;
• Definição das estratégias;
• Visão de todos os riscos a que a organização está exposta;
• Identifique eventos em potencial, cuja ocorrência poderá afetar a organização,
e que administre os riscos de acordo com o seu apetite a risco;
• Capaz de propiciar garantia razoável para a organização;
• Orientado para à realização e cumprimento dos objetivos em uma
ou mais categorias distintas, mas dependentes.
31. Cumprimento dos Objetivos
Essa estrutura estabelece quatro categorias de objetivos para a organização:
• Estratégicos –referem-se às metas no nível mais elevado. Alinham-se e
fornecem apoio à missão;fornecem apoio à missão;
• Operações –têm como meta a utilização eficaz e eficiente dos recursos;
• Comunicação –relacionados à confiabilidade dos relatórios;
• Conformidade –fundamentam-se no cumprimento das leis e dos
regulamentos pertinentes.
32. O que são componentes do gerenciamento de riscos corporativos ?
São constituído de oito componentes inter-relacionados, que trata a
maneira de como a administração gerencia a organização, e que se
integram ao processo de gestão.
Ambiente Interno Resposta a RiscoAmbiente Interno
Fixação de Objetivos
Identificação de Eventos
Avaliação de Riscos
Resposta a Risco
Atividades de Controle
Informações e Comunicações
Monitoramento
33. Ambiente Interno
O ambiente interno determina os conceitos básicos sobre a forma como os riscos
e os controles serão vistos e abordados pelos empregados da organização.
Impacto de um ambiente interno ineficaz pode ir muito longe e talvez provocar
prejuízos financeiros, desgastes da imagem pública ou até mesmo o fracasso.
Fixação de Objetivos
Em primeiro lugar, é necessário que os objetivos existam para que a
administração possa identificar e avaliar os riscos quanto a sua realização, bem
como adotar as medidas necessárias para administrá-los.
• Objetivos estratégicos • Objetivos Correlatos
34. Avaliação de Riscos
Identificação de Eventos
Podemos identificar os eventos em :
Riscos Oportunidade Riscos e Oportunidade
Avaliação de Riscos
Os riscos identificados são analisados com a finalidade de determinar a forma
como serão administrados e depois serão associados aos objetivos que podem
influenciar.
Avaliam-se os riscos considerando seus efeitos:
Inerentes e Residuais Probabilidade e seu Impacto
35. Resposta a Risco
Os empregados identificam e avaliam as possíveis respostas aos riscos: evitar,
aceitar, reduzir ou compartilhar. A administração seleciona o conjunto de ações
destinadas a alinhar os riscos às respectivas tolerâncias e ao apetite a risco.
As respostas a riscos classificam-se nas seguintes categorias:
Evitar Reduzir Compartilhar CompartilharEvitar Reduzir Compartilhar Compartilhar
Atividades de Controle
Políticas e procedimentos são estabelecidos e implementados para assegurar que
as respostas aos riscos selecionados pela administração sejam executadas com
eficácia.
36. Relacionamento entre Objetivos e
Componentes
As quatro categorias de objetivos -
estão representadas nas colunas
verticais.verticais.
Os oito componentes, nas linhas
horizontais.
A organização e as unidades de
uma organização, na terceira
dimensão do cubo
37. Índice de Pirataria
• BSA (Business Software Alliance) – associação que representa
fabricantes de software
• 7º Estudo Anual Global de Pirataria de Software - 2009
• Mundo:• Mundo:
▫ Geórgia 95%
▫ Zimbábue 92%
▫ Bangladesh 91%
• Brasil:
▫ 56%
▫ Sendo que 2008 58%
• Media mundial
▫ 43% http://tecnologia.uol.com.br/ultimas-noticias/redacao/2010/05/11/conheca-
os-paises-30-paises-com-as-maiores-e-menores-taxas-de-pirataria-do-
mundo.jhtm
38. The Good Shepherd (2006)
• Elenco
▫ Robert De Niro
▫ Matt Damon▫ Matt Damon
▫ Angelina Jolie
• Sinopse
▫ Edward Wilson (Matt Damon) é recrutado
para trabalhar na CIA na época da Guerra
Fria. Tamanha espionagem, fazem com que
ele tenha que sacrificar sua vida pessoal,
seus ideais e sua família
40. Bibliografia
• ABNT NBR ISO/IEC 27005:2008 (ABNT,2008)
• ASIS. General Security Risk Assessment guideline
• ABNT. Tecnologia da informação – Técnicas de segurança –
Código de prática para gestão da segurança da informação:Código de prática para gestão da segurança da informação:
ABNT NBR ISSO/IEC 27002:2005. 2ª ed. Rio de Janeiro, 2005
• ABNT. Tecnologia da informação - Técnicas de segurança –
Sistemas da gestão de segurança da informação: ABNT
27001:2006 1ª ed. Rio de Janeiro, 2006
• BOWEN, P.; HASH, J.; WILSON, M. NIST Special Publication 800-
100: Information Security Handbook: A Guide for Managers. [S.I.],
October 2006.
41. Bibliografia
• BS.B.S. Information Security Management Systemns (BS 7799-3-
2006): Part 3: guidelines for information security risk management.
2006
• COSO: Committee of Sponsoring Oraganizations of the treadway
Commission. Enterprise Risk Managment Framewor:Commission. Enterprise Risk Managment Framewor:
Exposure Draft for Public Comment [S.I.], 2004
• http://www.asionline.org/guideleines/guidelines
• http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-
Mar07-2007.pdf
• http://www.coso.org/documents/COSO_ERM_ExecutiveSummary
_Portuguese.pdf