SlideShare uma empresa Scribd logo

Introdução à Gestão de Riscos em Segurança da Informação

A
AdemarNeto18

CCT0894_aula03

Engenharia
1 de 32
Baixar para ler offline
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Prof. Dr. Daniel Caetano 2020 - 1 GESTÃO DE RISCOS – PARTE I
Objetivos • Compreender os conceitos de risco, ameaça, vulnerabilidade e desastre • Compreender os aspectos que envolvem riscos e a percepção dos mesmos • Aplicar a análise e avaliação dos riscos.
Material de Estudo Material Acesso ao Material Notas de Aula e Apresentação http://www.caetano.eng.br/ (Segurança da Informação – Aula 3) Material Didático Gestão de Segurança da Informação, Cap 4. Leitura Adicional https://www.esab.edu.br/wp- content/uploads/monografias/nara-suely-oliveira- bandeira.pdf (Monografia)
RETOMANDO: SEGURANÇA FÍSICA X LÓGICA E CICLO DE VIDA DA INFORMÃÇÃO
Aspectos Lógicos x Físicos Não existe segurança lógica sem segurança física
Ciclo de Vida da Informação Criar, importar ou modificar dados Detectar dados Classificar e Rotular Dados Proteger os dados com base em Política de Segurança Enviar, compartilhar e mover dados Monitorar Dados Reter, expirar e deletar dados
RISCO? QUE RISCO?
Ameaça, vulnerabilidade e desastre • Definindo alguns termos... – Ameaça • Qualquer ocorrência que possa provocar perda – Vulnerabilidade • Elementos que expõem às ameaças – Desastre • Impacto de uma força externa que ocasiona perda ou prejuízo; não precisa ser destruidor!
Ameaça, vulnerabilidade e desastre • Exemplos – Ameaças • Existência de potenciais invasores com interesse nas informações que mantemos • Funcionários insatisfeitos com acesso ao banco de dados – Vulnerabilidades • Uma versão antiga de webserver com falha conhecida • Código PHP mal elaborado que permita injection – Desastres • Furto das informações confidenciais de nosso banco de dados • Deleção do banco de dados como um todo
O que é Risco? • Risco é uma probabilidade de... – Ameaças e vulnerabilidades... – Levarem a desastres • Em geral, define-se risco como sendo: • Em outras palavras... – Se não houver ameaças ou vulnerabilidades... – ... Não haverá riscos. 𝑟𝑖𝑠𝑐𝑜 = 𝑎𝑚𝑒𝑎ç𝑎𝑠 . 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠
Inevitabilidade dos Riscos • Riscos são inevitáveis – Investidores comprando ações – Cirurgiões realizando operações – Engenheiros projetando pontes – Empresários abrindo negócios – Etc... • Mas gerenciá-los é estratégico: – Precisam ser minimizados ou mitigados... – Já que não temos como eliminá-los totalmente
A GESTÃO DE RISCOS
Gestão de Riscos • Gestão de Riscos é: – Processo para identificar, mensurar e planejar passos para reduzir um determinado risco a níveis aceitáveis pela organização • Já vimos que a informação é estratégica – Fundamental realizar análise de riscos voltada aos ativos de informação – Determinar quais riscos podem afetar a entrega de produtos ou serviços – É preciso conhecer os requisitos de negócio!
Objetivos da Gestão de Risco • Fornecer subsídios para: – A segurança efetiva dos sistemas de TIC – processamento, armazenagem e transmissão de dados – Base sólida para a tomada de decisão – execução de orçamento e investimentos em tecnologias para minimizar riscos – Possibilidade de equilíbrio entre custos de proteção e desempenho dos sistemas
Gestão de Riscos (PMBOK) • Segundo o PMBOK – Processos sistemáticos de identificação, análise e avaliação dos riscos e no estabelecimento de respostas adequadas • Processos envolvidos – Planejar o gerenciamento de riscos – Identificar os riscos (iterativamente!) – Analisar qualitativamente os riscos (probab. x impacto) – Análise quantitativamente os riscos – Planejar as respostas aos riscos (e responsáveis) – Monitorar os riscos (acompanhar e identificar novos)
ANÁLISE E AVALIAÇÃO DE RISCOS
Avalição de Riscos • Passos para a avaliação – Caracterização do ambiente e sistemas – Identificação das ameaças – Identificação das vulnerabilidades – Análise de controles de segurança – Determinação da probabilidade – Análise de impacto – Determinação do risco – Recomendação dos controles – Documentação dos resultados.
Caracterização do Ambiente • Permitir identificar limitações operacionais, computacionais, de informação etc. • Inventariar – Equipamentos – Sistemas – Informações – Serviços (suporte, garantias etc.) – Pessoas • Identificar sua criticidade
Identificação das Ameaças • Históricos de incidentes de segurança – Estatísticas da empresa ou fontes externas • Tipos de ameaças – Naturais (terremoto, enchente, incêndio etc...) – Humanas (dolosos, imperitos, imprudentes ou negligentes) – Ambientais (falta de energia, poluição etc...)
Identificação de Vulnerabilidades • Falhas ou fraquezas de segurança • Listas de verificação – Falhas de software e hardware • Outros métodos – Testes e simulações – Teste de invasão de sistemas – Auditoria de código – ...
Análise de Controles • Avaliar controles existentes – Controles para minimizar ou eliminar chance de ameaça – Adequados, ineficazes, insuficientes ou injustificáveis • Informações podem ser obtidas através de: – Análise de documentos dos processos de gestão de segurança – Averiguação da efetividade dos controles existentes.
Análise de Probabilidades • Produção de índice indicativo da chance de uma ameaça se tornar um desastre – Alta: existe uma ameaça evidente e nenhum controle preventivo efetivo – Média: existe uma ameaça evidente, mas há controles efetivos em ação – Baixa: a ameaça é desmotivada e há controles efetivos em ação • Considerar experiências passadas – Estatísticas históricas de ocorrências – Fatores climáticos e geográficos – Situações que poderiam levar a erros humanos
Análise de Impactos • Determinar impacto e valor do sistema para a organização • Inicia-se com: – Missão do sistema – Criticidade do sistema de dados – Sensibilidade dos dados do sistema • Identificar o impacto... – Caso a ameaça “tenha sucesso” – Integridade, disponibilidade e confidencialidade • Qualitativa x Quantitativa
Determinação do Risco • Avaliar: – A possibilidade de exploração da vulnerabilidade – O impacto ao negócio devido a evento adverso – Efetividade de controles para reduzir os riscos. • Tabela conforme ABNT (notas 0 a 8)
Recomendações de Controle • Sugerir novos controles para mitigar riscos • Considerar: – Efetividade de opções recomendadas – Legislação e regulamentação – Política organizacional – Impacto operacional – Segurança e confiabilidade.
Documentação dos Resultados • Documentação e armazenamento – Estabelecer uma base de conhecimento – Apoiar novas políticas e procedimentos • Não se busca apontar erros – Indicar os riscos inerentes – Justificar investimentos – Reduzir potenciais perdas e danos
QUESTÕES
Questão 1
Questão 2 I
CONCLUSÕES
Resumo e Próximos Passos • Ameaça, vulnerabilidade e riscos • Gestão de riscos • Análise e Avaliação de Riscos – Várias etapas! • Tratamento dos riscos – Mitigação – Aceitação – Comunicação – Monitoramento
PERGUNTAS?

Recomendados

Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Controles de segurança da informação
Controles de segurança da informaçãoControles de segurança da informação
Controles de segurança da informaçãoThiago Branquinho
 
Segurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptxSegurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptxClausia Antoneli
 
Aula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfAula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfssuser1c1fba1
 
Análise Preliminar de Risco.ppt
Análise Preliminar de Risco.pptAnálise Preliminar de Risco.ppt
Análise Preliminar de Risco.pptJoisesGomesSantos
 
ANALISE PRELIMINAR DE RISCOS.ppt
ANALISE PRELIMINAR DE RISCOS.pptANALISE PRELIMINAR DE RISCOS.ppt
ANALISE PRELIMINAR DE RISCOS.pptbrenorocha36
 
docslide.com.br_analise-preliminar-de-riscos-558c833854b40[1].ppt
docslide.com.br_analise-preliminar-de-riscos-558c833854b40[1].pptdocslide.com.br_analise-preliminar-de-riscos-558c833854b40[1].ppt
docslide.com.br_analise-preliminar-de-riscos-558c833854b40[1].pptAmarildoFerreiradeMe
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 

Recomendados

Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
Controles de segurança da informação
Controles de segurança da informaçãoControles de segurança da informação
Controles de segurança da informaçãoThiago Branquinho
 
Segurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptxSegurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptxClausia Antoneli
 
Aula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfAula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfssuser1c1fba1
 
Análise Preliminar de Risco.ppt
Análise Preliminar de Risco.pptAnálise Preliminar de Risco.ppt
Análise Preliminar de Risco.pptJoisesGomesSantos
 
ANALISE PRELIMINAR DE RISCOS.ppt
ANALISE PRELIMINAR DE RISCOS.pptANALISE PRELIMINAR DE RISCOS.ppt
ANALISE PRELIMINAR DE RISCOS.pptbrenorocha36
 
docslide.com.br_analise-preliminar-de-riscos-558c833854b40[1].ppt
docslide.com.br_analise-preliminar-de-riscos-558c833854b40[1].pptdocslide.com.br_analise-preliminar-de-riscos-558c833854b40[1].ppt
docslide.com.br_analise-preliminar-de-riscos-558c833854b40[1].pptAmarildoFerreiradeMe
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Gerenciamento de Riscos
Gerenciamento de RiscosGerenciamento de Riscos
Gerenciamento de RiscosInstituto Communitas para o Desenvolvimento Humano e Tecnológico
 
Aula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptAula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptGleidson Almeida
 
int à segurança de processos e gerenciamento de riscos.pdf
int à segurança de processos e gerenciamento de riscos.pdfint à segurança de processos e gerenciamento de riscos.pdf
int à segurança de processos e gerenciamento de riscos.pdfLarissaNtali
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Jairo Willian Pereira
 
Mapeamento de processos e riscos
Mapeamento de processos e riscosMapeamento de processos e riscos
Mapeamento de processos e riscosFabíola Rocha
 
Webinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em SegurosWebinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em SegurosEscola Nacional de Seguros
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3Fabrício Basto
 
Ris02
Ris02Ris02
Ris02Angelo Yasui
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
gestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptgestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptOtacioCandido1
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
3. hst avaliação de riscos
3. hst avaliação de riscos3. hst avaliação de riscos
3. hst avaliação de riscosGilson Adao
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Vulnerabilidade.ppt
Vulnerabilidade.pptVulnerabilidade.ppt
Vulnerabilidade.pptAgostinho9
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsiThais Oliveira
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 
Gerenciamento de Riscos
Gerenciamento de RiscosGerenciamento de Riscos
Gerenciamento de RiscosLeandro Sperotto SPEROTTO
 
Apresentacão Pagliusi Ciberseguranca.pdf
Apresentacão Pagliusi Ciberseguranca.pdfApresentacão Pagliusi Ciberseguranca.pdf
Apresentacão Pagliusi Ciberseguranca.pdfPaulo Pagliusi, PhD, CISM
 
10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptx
10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptx10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptx
10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptxVagner Soares da Costa
 
07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptx
07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptx07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptx
07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptxVagner Soares da Costa
 

Mais conteúdo relacionado

Semelhante a Introdução à Gestão de Riscos em Segurança da Informação

Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Aula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptAula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptGleidson Almeida
 
int à segurança de processos e gerenciamento de riscos.pdf
int à segurança de processos e gerenciamento de riscos.pdfint à segurança de processos e gerenciamento de riscos.pdf
int à segurança de processos e gerenciamento de riscos.pdfLarissaNtali
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Jairo Willian Pereira
 
Mapeamento de processos e riscos
Mapeamento de processos e riscosMapeamento de processos e riscos
Mapeamento de processos e riscosFabíola Rocha
 
Webinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em SegurosWebinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em SegurosEscola Nacional de Seguros
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3Fabrício Basto
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
gestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptgestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptOtacioCandido1
 
3. hst avaliação de riscos
3. hst avaliação de riscos3. hst avaliação de riscos
3. hst avaliação de riscosGilson Adao
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Vulnerabilidade.ppt
Vulnerabilidade.pptVulnerabilidade.ppt
Vulnerabilidade.pptAgostinho9
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 

Semelhante a Introdução à Gestão de Riscos em Segurança da Informação (20)

Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 
Gerenciamento de Riscos
Gerenciamento de RiscosGerenciamento de Riscos
Gerenciamento de Riscos
 
Aula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptAula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.ppt
 
int à segurança de processos e gerenciamento de riscos.pdf
int à segurança de processos e gerenciamento de riscos.pdfint à segurança de processos e gerenciamento de riscos.pdf
int à segurança de processos e gerenciamento de riscos.pdf
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
Mapeamento de processos e riscos
Mapeamento de processos e riscosMapeamento de processos e riscos
Mapeamento de processos e riscos
 
Webinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em SegurosWebinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em Seguros
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3
 
Ris02
Ris02Ris02
Ris02
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
gestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptgestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.ppt
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
3. hst avaliação de riscos
3. hst avaliação de riscos3. hst avaliação de riscos
3. hst avaliação de riscos
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Vulnerabilidade.ppt
Vulnerabilidade.pptVulnerabilidade.ppt
Vulnerabilidade.ppt
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafios
 
Gerenciamento de Riscos
Gerenciamento de RiscosGerenciamento de Riscos
Gerenciamento de Riscos
 
Apresentacão Pagliusi Ciberseguranca.pdf
Apresentacão Pagliusi Ciberseguranca.pdfApresentacão Pagliusi Ciberseguranca.pdf
Apresentacão Pagliusi Ciberseguranca.pdf
 

Último

10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptx
10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptx10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptx
10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptxVagner Soares da Costa
 
07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptx
07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptx07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptx
07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptxVagner Soares da Costa
 
TRABALHO INSTALACAO ELETRICA EM EDIFICIO FINAL.docx
TRABALHO INSTALACAO ELETRICA EM EDIFICIO FINAL.docxTRABALHO INSTALACAO ELETRICA EM EDIFICIO FINAL.docx
TRABALHO INSTALACAO ELETRICA EM EDIFICIO FINAL.docxFlvioDadinhoNNhamizi
 
Apresentação Manutenção Total Produtiva - TPM
Apresentação Manutenção Total Produtiva - TPMApresentação Manutenção Total Produtiva - TPM
Apresentação Manutenção Total Produtiva - TPMdiminutcasamentos
 
Lista de presença treinamento de EPI NR-06
Lista de presença treinamento de EPI NR-06Lista de presença treinamento de EPI NR-06
Lista de presença treinamento de EPI NR-06AndressaTenreiro
 
Calculo vetorial - eletromagnetismo, calculo 3
Calculo vetorial - eletromagnetismo, calculo 3Calculo vetorial - eletromagnetismo, calculo 3
Calculo vetorial - eletromagnetismo, calculo 3filiperigueira1
 

Último (6)

10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptx
10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptx10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptx
10 - RELOGIO COMPARADOR - OPERAÇÃO E LEITURA.pptx
 
07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptx
07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptx07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptx
07 - MICRÔMETRO EXTERNO SISTEMA MÉTRICO.pptx
 
TRABALHO INSTALACAO ELETRICA EM EDIFICIO FINAL.docx
TRABALHO INSTALACAO ELETRICA EM EDIFICIO FINAL.docxTRABALHO INSTALACAO ELETRICA EM EDIFICIO FINAL.docx
TRABALHO INSTALACAO ELETRICA EM EDIFICIO FINAL.docx
 
Apresentação Manutenção Total Produtiva - TPM
Apresentação Manutenção Total Produtiva - TPMApresentação Manutenção Total Produtiva - TPM
Apresentação Manutenção Total Produtiva - TPM
 
Lista de presença treinamento de EPI NR-06
Lista de presença treinamento de EPI NR-06Lista de presença treinamento de EPI NR-06
Lista de presença treinamento de EPI NR-06
 
Calculo vetorial - eletromagnetismo, calculo 3
Calculo vetorial - eletromagnetismo, calculo 3Calculo vetorial - eletromagnetismo, calculo 3
Calculo vetorial - eletromagnetismo, calculo 3
 

Introdução à Gestão de Riscos em Segurança da Informação

  • 1. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Prof. Dr. Daniel Caetano 2020 - 1 GESTÃO DE RISCOS – PARTE I
  • 2. Objetivos • Compreender os conceitos de risco, ameaça, vulnerabilidade e desastre • Compreender os aspectos que envolvem riscos e a percepção dos mesmos • Aplicar a análise e avaliação dos riscos.
  • 3. Material de Estudo Material Acesso ao Material Notas de Aula e Apresentação http://www.caetano.eng.br/ (Segurança da Informação – Aula 3) Material Didático Gestão de Segurança da Informação, Cap 4. Leitura Adicional https://www.esab.edu.br/wp- content/uploads/monografias/nara-suely-oliveira- bandeira.pdf (Monografia)
  • 4. RETOMANDO: SEGURANÇA FÍSICA X LÓGICA E CICLO DE VIDA DA INFORMÃÇÃO
  • 5. Aspectos Lógicos x Físicos Não existe segurança lógica sem segurança física
  • 6. Ciclo de Vida da Informação Criar, importar ou modificar dados Detectar dados Classificar e Rotular Dados Proteger os dados com base em Política de Segurança Enviar, compartilhar e mover dados Monitorar Dados Reter, expirar e deletar dados
  • 8. Ameaça, vulnerabilidade e desastre • Definindo alguns termos... – Ameaça • Qualquer ocorrência que possa provocar perda – Vulnerabilidade • Elementos que expõem às ameaças – Desastre • Impacto de uma força externa que ocasiona perda ou prejuízo; não precisa ser destruidor!
  • 9. Ameaça, vulnerabilidade e desastre • Exemplos – Ameaças • Existência de potenciais invasores com interesse nas informações que mantemos • Funcionários insatisfeitos com acesso ao banco de dados – Vulnerabilidades • Uma versão antiga de webserver com falha conhecida • Código PHP mal elaborado que permita injection – Desastres • Furto das informações confidenciais de nosso banco de dados • Deleção do banco de dados como um todo
  • 10. O que é Risco? • Risco é uma probabilidade de... – Ameaças e vulnerabilidades... – Levarem a desastres • Em geral, define-se risco como sendo: • Em outras palavras... – Se não houver ameaças ou vulnerabilidades... – ... Não haverá riscos. 𝑟𝑖𝑠𝑐𝑜 = 𝑎𝑚𝑒𝑎ç𝑎𝑠 . 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠
  • 11. Inevitabilidade dos Riscos • Riscos são inevitáveis – Investidores comprando ações – Cirurgiões realizando operações – Engenheiros projetando pontes – Empresários abrindo negócios – Etc... • Mas gerenciá-los é estratégico: – Precisam ser minimizados ou mitigados... – Já que não temos como eliminá-los totalmente
  • 12. A GESTÃO DE RISCOS
  • 13. Gestão de Riscos • Gestão de Riscos é: – Processo para identificar, mensurar e planejar passos para reduzir um determinado risco a níveis aceitáveis pela organização • Já vimos que a informação é estratégica – Fundamental realizar análise de riscos voltada aos ativos de informação – Determinar quais riscos podem afetar a entrega de produtos ou serviços – É preciso conhecer os requisitos de negócio!
  • 14. Objetivos da Gestão de Risco • Fornecer subsídios para: – A segurança efetiva dos sistemas de TIC – processamento, armazenagem e transmissão de dados – Base sólida para a tomada de decisão – execução de orçamento e investimentos em tecnologias para minimizar riscos – Possibilidade de equilíbrio entre custos de proteção e desempenho dos sistemas
  • 15. Gestão de Riscos (PMBOK) • Segundo o PMBOK – Processos sistemáticos de identificação, análise e avaliação dos riscos e no estabelecimento de respostas adequadas • Processos envolvidos – Planejar o gerenciamento de riscos – Identificar os riscos (iterativamente!) – Analisar qualitativamente os riscos (probab. x impacto) – Análise quantitativamente os riscos – Planejar as respostas aos riscos (e responsáveis) – Monitorar os riscos (acompanhar e identificar novos)
  • 17. Avalição de Riscos • Passos para a avaliação – Caracterização do ambiente e sistemas – Identificação das ameaças – Identificação das vulnerabilidades – Análise de controles de segurança – Determinação da probabilidade – Análise de impacto – Determinação do risco – Recomendação dos controles – Documentação dos resultados.
  • 18. Caracterização do Ambiente • Permitir identificar limitações operacionais, computacionais, de informação etc. • Inventariar – Equipamentos – Sistemas – Informações – Serviços (suporte, garantias etc.) – Pessoas • Identificar sua criticidade
  • 19. Identificação das Ameaças • Históricos de incidentes de segurança – Estatísticas da empresa ou fontes externas • Tipos de ameaças – Naturais (terremoto, enchente, incêndio etc...) – Humanas (dolosos, imperitos, imprudentes ou negligentes) – Ambientais (falta de energia, poluição etc...)
  • 20. Identificação de Vulnerabilidades • Falhas ou fraquezas de segurança • Listas de verificação – Falhas de software e hardware • Outros métodos – Testes e simulações – Teste de invasão de sistemas – Auditoria de código – ...
  • 21. Análise de Controles • Avaliar controles existentes – Controles para minimizar ou eliminar chance de ameaça – Adequados, ineficazes, insuficientes ou injustificáveis • Informações podem ser obtidas através de: – Análise de documentos dos processos de gestão de segurança – Averiguação da efetividade dos controles existentes.
  • 22. Análise de Probabilidades • Produção de índice indicativo da chance de uma ameaça se tornar um desastre – Alta: existe uma ameaça evidente e nenhum controle preventivo efetivo – Média: existe uma ameaça evidente, mas há controles efetivos em ação – Baixa: a ameaça é desmotivada e há controles efetivos em ação • Considerar experiências passadas – Estatísticas históricas de ocorrências – Fatores climáticos e geográficos – Situações que poderiam levar a erros humanos
  • 23. Análise de Impactos • Determinar impacto e valor do sistema para a organização • Inicia-se com: – Missão do sistema – Criticidade do sistema de dados – Sensibilidade dos dados do sistema • Identificar o impacto... – Caso a ameaça “tenha sucesso” – Integridade, disponibilidade e confidencialidade • Qualitativa x Quantitativa
  • 24. Determinação do Risco • Avaliar: – A possibilidade de exploração da vulnerabilidade – O impacto ao negócio devido a evento adverso – Efetividade de controles para reduzir os riscos. • Tabela conforme ABNT (notas 0 a 8)
  • 25. Recomendações de Controle • Sugerir novos controles para mitigar riscos • Considerar: – Efetividade de opções recomendadas – Legislação e regulamentação – Política organizacional – Impacto operacional – Segurança e confiabilidade.
  • 26. Documentação dos Resultados • Documentação e armazenamento – Estabelecer uma base de conhecimento – Apoiar novas políticas e procedimentos • Não se busca apontar erros – Indicar os riscos inerentes – Justificar investimentos – Reduzir potenciais perdas e danos
  • 31. Resumo e Próximos Passos • Ameaça, vulnerabilidade e riscos • Gestão de riscos • Análise e Avaliação de Riscos – Várias etapas! • Tratamento dos riscos – Mitigação – Aceitação – Comunicação – Monitoramento