SlideShare uma empresa Scribd logo

Cyber risk indicators

Eduardo Poggi
Eduardo Poggi

Webinar Cyber Risk Indicators - Portuguese Webinar de Indicadores de Riscos Cibernéticos

Tecnologia
1 de 23
Baixar para ler offline
Indicadores de Monitoramento de Segurança Cibernética Monitoramento dos CIS Controls Eduardo Poggi, MBA CISSP, CRISC, CISA, CGEIT, MCSO, MCRM epoggi@modulo.com
© © 2019 Módulo Security Solutions. Todos os direitos reservados 2
© © 2019 Módulo Security Solutions. Todos os direitos reservados 3 Primeiramente.... Quais informações são necessárias para apoiar a tomada de decisão? Medidas ou Indicadores devem fornecer informações. Caso contrário, são INÚTEIS!
© © 2019 Módulo Security Solutions. Todos os direitos reservados
© © 2019 Módulo Security Solutions. Todos os direitos reservados 5 ISO 31000 – Mentalidade de Risco Qual a possibilidade de um evento ocorrer e afetar os objetivos de segurança cibernética?
© © 2019 Módulo Security Solutions. Todos os direitos reservados 6 Metaframework de Gestão de Riscos (base na ISO 31000)
© © 2019 Módulo Security Solutions. Todos os direitos reservados 7 DEFINIR CONTEXTO, ESCOPO, OBJETIVOS, CRITÉRIOS E PROCESSO DE GR IDENTIFICAR RISCOS E OCORRÊNCIAS ANALISAR RISCOS E OCORRÊNCIAS IDENTIFICADAS AVALIAR RISCOS E OCORRÊNCIAS ANALISADAS VISUALIZAR CONTEXTO, ESCOPO, OBJETIVOS E CRITÉRIOS CAPACITAR PROCESSO DE GR CONSCIENTIZAR PARTES INTERESSADAS MONITORAR CONTEXTO, ESCOPO, OBJETIVOS E PROCESSO DE GR REGISTRAR ESCOPO, CONTEXTO, OBJETIVOS E PROCESSO DE GR RELATAR PROCESSO DE GR VISUALIZAR RISCOS E OCORRÊNCIAS IDENTIFICADAS MONITORAR RISCOS E OCORRÊNCIAS IDENTIFICADAS REGISTRAR RISCOS E OCORRÊNCIAS IDENTIFICADAS VISUALIZAR RISCOS E OCORRÊNCIAS ANALISADAS MONITORAR RISCOS E OCORRÊNCIAS ANALISADAS REGISTRAR RISCOS E OCORRÊNCIAS ANALISADAS VISUALIZAR RISCOS E OCORRÊNCIAS AVALIADAS MONITORAR RISCOS E OCORRÊNCIAS AVALIADAS REGISTRAR RISCOS E OCORRÊNCIAS AVALIADAS PLANEJAR PLANO DE TRATAMENTO (RISCOS E OCORRÊNCIAS) TRATAR RISCOS E OCORRÊNCIAS (CONTROLES) VISUALIZAR PLANO DE TRATAMENTO (RISCOS E OCORRÊNCIAS) VISUALIZAR CONTROLES MONITORAR PLANO DE TRATAMENTO (RISCOS E OCORRÊNCIAS) MONITORAR CONTROLES REGISTRAR PLANO DE TRATAMENTO (RISCOS E OCORRÊNCIAS) REGISTRAR CONTROLES COMUNICAÇÃO E CONSULTA MONITORAMENTO E ANÁLISE CRÍTICA REGISTRO E RELATO IMPLEMENTAÇÃO Escopo, Contexto e Critérios Identificação de Riscos Análise de Riscos Avaliação de Riscos Tratamento de Riscos Indicadores apoiam o processo de Gestão de Riscos Cibernéticos...
© © 2019 Módulo Security Solutions. Todos os direitos reservados 8 ISO 27004
© © 2019 Módulo Security Solutions. Todos os direitos reservados 9 ISO 27004 A cláusula 9.1 da ISO/IEC 27001 requer que a organização avalie o desempenho da segurança da informação e a eficácia de seu SGSI.
© © 2019 Módulo Security Solutions. Todos os direitos reservados 10 Exemplo de um modelo Campo Significado Identificador do indicador ID único da medida/indicador na empresa Necessidade da Informação Necessidade fundamental para entendimento da contribuição da medida. Medida Declaração da medida, geralmente descrita usando palavras como “porcentagem”, ”número”, “frequência”, “media”. Fórmula / Pontuação Forma como convém que a medida seja avaliada, calculada ou pontuada. Meta Resultado desejado da medida, por exemplo, um marco, uma medida estatística ou um conjunto de gatilhos. Note que o monitoramento contínuo pode ser requerido para garantir o atendimento de uma meta. Evidência de implementação Evidência que valida que a medida é realizada, ajuda a identificar possíveis causas de resultados fracos, e fornece entrada para o processo. Dado que fornece entrada para uma fórmula. Frequência Quão frequente convém que o dado seja coletado e reportado. Pode-se haver uma razão para que se tenha múltiplas frequências. Partes responsáveis A pessoa responsável pela coleta e processamento da medida. Convém que ao menos, um Dono da Informação, Coletor da Informação e Cliente da Medida sejam identificados. Fonte de dados Fontes de dados potenciais podem ser base de dados, ferramentas de rastreamento, outras partes da organização, organizações externas, ou funções individuais específicas. Formato da comunicação Forma como convém que a medida seja coletada e reportada – Por exemplo, como texto, numericamente, graficamente (gráfico de pizza, gráfico de linha, gráfico de barras ...), como parte de um painel ou outra forma de apresentação.
© © 2019 Módulo Security Solutions. Todos os direitos reservados 11 Basic CIS Controls
© © 2019 Módulo Security Solutions. Todos os direitos reservados 12 Basic CIS Controls
© © 2019 Módulo Security Solutions. Todos os direitos reservados 13 CIS Control # 1 | Gestão do inventário de hardware Gerenciar ativamente os dispositivos de hardware na rede. Apenas dispositivos autorizados devem receber permissão de acesso a rede. Dispositivos não autorizados e não gerenciados devem ser encontrados e impedidos de acessar a rede. O CIS Control #1 recomenda implantar uma descoberta ativa para identificar dispositivos conectados à rede de uma organização e fazer a gestão de inventário. O que é desconhecido não poderá ser defendido e gerenciado.
© © 2019 Módulo Security Solutions. Todos os direitos reservados 14 CIS Control # 1 | Gestão do inventário de hardware 01. Uma Ferramenta de Descoberta de Dispositivos Ativa deve ser implementada na rede da organização. 02. Uma Ferramenta de Descoberta de Dispositivos Passiva deve ser implementada na rede da organização. 03. A auditoria dos servidores DHCP deve ser utilizada para atualizar o Inventário de Ativos. 04. Um Inventário de Ativos de Hardware detalhado deve ser mantido pela organização. 05. As informações do Inventário de Ativos de Hardware devem ser mantidas pela organização. 06. Os Ativos de Hardware não autorizados identificados devem ser tratados pela organização. 07. O controle de acesso em nível de porta deve ser implementado nos equipamentos de rede. 08. Certificados digitais devem ser usados para autenticar Ativos de Hardware.
© © 2019 Módulo Security Solutions. Todos os direitos reservados 15 Garantia de Hardware do fabricante (#CIS 1.4) Campo Propósito ou Significado Id da medida / Indicador #01.04.001 Necessidade de Informação Avaliar se os equipamentos (ativos críticos) possuem garantia do fabricante. Medida Percentual total dos ativos críticos sem garantia Fórmula Quantidade de ativos sem garantia / quantidade total * 100 Meta % sem garantia < 10%. Gerar ocorrência quando for maior que a meta Evidência de Implementação Levantamento de inventário automatizado. Frequência Diariamente Partes responsáveis Proprietário da informação: Gestor de Tecnologia da Informação; Coletores de informação: coletores automáticos. Fonte de Dados Ferramenta de Inventário. Formato do Relato Painéis de Indicadores.
16© © 2019 Módulo Security Solutions. Todos os direitos reservados # EVENTO # FALHA DE EQUIPAMENTO CRÍTICO Falta de Garantia Causa 2 Causa 3 Indisponibilidade de Hardware Consequência 2 Consequência 3 Indicadores de tendência (Lead) Indicadores de resultado (Lag) % de Equipamentos sem Garantia % de Equipamentos indisponíveis por falha de hardware Linha do tempo da ocorrência de 1 evento CIS CSC #01.04 P I
17© © 2019 Módulo Security Solutions. Todos os direitos reservados # EVENTO # INVASÃO DE SERVIDORES E SISTEMAS Falta de Patch Causa 2 Causa 3 Vazamento de dados pessoais e privados Consequência 2 Consequência 3 % de Software / SO sem correção de patch % de ocorrência de vazamento de informação por falta de patch Linha do tempo da ocorrência de 1 evento CIS CSC #03.04 CIS CSC #03.05 Indicadores de tendência (Lead) Indicadores de resultado (Lag) P I
© © 2019 Módulo Security Solutions. Todos os direitos reservados 18 Exemplo de Catálogo de Indicadores para Segurança Cibernética CIS Control ISO 27004 Necessidade de informação Indicador / Medida Tipo CIS CSC 01 B.20 Gestão da manutenção periódica Avaliar a pontualidade das atividades de manutenção em relação ao agendado. Atraso da manutenção por evento de manutenção completado. Resultado CIS CSC 01 B.20 Gestão da manutenção periódica Avaliar a garantia do fabricante dos meus hardwares. Percentual total dos ativos críticos sem garantia Tendência CIS CSC 03 CIS CSC 05 B4 - Exposição aos Riscos Avaliar os riscos de segurança cibernética dos ativos da organização Quantidade de Riscos Altos e Médios além do nível aceitável. Quantidade de Revisão periódica dos riscos Altos e Médios Tendência CIS CSC 04 B.17 Análise crítica dos direitos de acesso do usuário Avaliar as revisões sistemáticas de direitos de acesso de usuários que são realizadas em sistemas críticos. Percentual de sistemas críticos onde os direitos de acesso de usuários são periodicamente revisados. Tendência CIS CSC 05 B.21 Gestão de mudanças Avaliar se as melhores práticas de gestão de mudanças, assim como a política de hardening, são respeitadas. Porcentagem de novos sistemas instalados que respeitaram as melhores práticas de gestão de mudanças e a política de hardening. Tendência CIS CSC 08 B.23 Anti-malware Quantidade de sistemas afetados por malware que não possuem uma solução anti-malware atualizada. Porcentagem de sistemas afetados por malware, conectados à rede da organização, com assinaturas de malware obsoletas (ex. mais de uma semana). Resultado CIS CSC 19 B7 - Custos de Incidentes de Segurança Considerações sobre os custos oriundos da ausência de segurança da informação. Soma dos custos de cada incidente de segurança da informação ocorrido no período de amostra. Resultado CIS CSC 19 B.8 Aprendendo com Incidentes de Segurança da Informação Verifica se incidentes de segurança da informação acionam ações para melhoria da situação atual de segurança. Quantidade de incidentes de segurança da informação que geraram ações de melhoria em segurança da informação. Resultado TODOS B2 - Análise Crítica da Política Avaliar se as políticas para segurança da informação estão sendo analisadas criticamente em intervalos regulares ou quando mudanças significativas ocorrem. Percentual de políticas analisadas criticamente Tendência
© © 2019 Módulo Security Solutions. Todos os direitos reservados 19 Case de Implementação CATÁLOGO DE INDICADORES RESULTADOS DE MEDIÇÕES ATIVOS | RISCO OBJETIVO | CONTROLE FAIXAS DE ALERTA REGISTRO DE OCORRÊNCIAS SERVIÇO DE COLETA SISTEMAS ESPECÍFICOS
© © 2019 Módulo Security Solutions. Todos os direitos reservados 20 CIS Control # 1 | Gestão do inventário de hardware SEM GARANTIA 10,26% (08) VENCE EM 6 MESES 51,28% (40) VENCE EM MENOS DE 1 ANO 25,64% (20) VENCE EM UM ANO OU MAIS 12,82% (10) RISCO DE INDISPONIBILIDADE
© © 2019 Módulo Security Solutions. Todos os direitos reservados 21 Gestão de ocorrências de alertas de indicadores – Bots e mensagens
© © 2019 Módulo Security Solutions. Todos os direitos reservados 22 Então.... Em outras palavras, Monitoramento! Informações são necessárias para apoiar a tomada de decisão! Medidas ou Indicadores fornecem informações! Portanto, são FUNDAMENTAIS!
Indicadores de Monitoramento de Segurança Cibernética Monitoramento dos CIS Controls Eduardo Poggi, MBA CISSP, CRISC, CISA, CGEIT, MCSO, MCRM epoggi@modulo.com

Recomendados

Modulo Metaframework
Modulo MetaframeworkModulo Metaframework
Modulo MetaframeworkEduardo Poggi
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosCarlos Henrique Martins da Silva
 
Webinar Gestão Integrada de Riscos 12abr2019
Webinar Gestão Integrada de Riscos 12abr2019Webinar Gestão Integrada de Riscos 12abr2019
Webinar Gestão Integrada de Riscos 12abr2019Fernando Nery
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação danilopv
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Robson Silva Espig
 

Recomendados

Modulo Metaframework
Modulo MetaframeworkModulo Metaframework
Modulo MetaframeworkEduardo Poggi
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosCarlos Henrique Martins da Silva
 
Webinar Gestão Integrada de Riscos 12abr2019
Webinar Gestão Integrada de Riscos 12abr2019Webinar Gestão Integrada de Riscos 12abr2019
Webinar Gestão Integrada de Riscos 12abr2019Fernando Nery
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação danilopv
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Robson Silva Espig
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraVinícius Schmidt
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Clavis Segurança da Informação
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Robson Silva Espig
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Seguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationSeguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationDenilson Barbosa ®
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Daniel Checchia
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1Robson Silva Espig
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Monitoramento
MonitoramentoMonitoramento
MonitoramentoJulio Cesar Camargo
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Oficina do Texto Assessoria de Comunicação
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaSymantec Brasil
 
Agir f nery 01mar2019
Agir f nery 01mar2019Agir f nery 01mar2019
Agir f nery 01mar2019Fernando Nery
 
Security Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial UnbrokenSecurity Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial Unbrokenunbrokensecurity
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Controles de segurança da informação
Controles de segurança da informaçãoControles de segurança da informação
Controles de segurança da informaçãoThiago Branquinho
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 

Mais conteúdo relacionado

Mais procurados

Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraVinícius Schmidt
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Clavis Segurança da Informação
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Seguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationSeguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationDenilson Barbosa ®
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Daniel Checchia
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaSymantec Brasil
 
Agir f nery 01mar2019
Agir f nery 01mar2019Agir f nery 01mar2019
Agir f nery 01mar2019Fernando Nery
 
Security Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial UnbrokenSecurity Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial Unbrokenunbrokensecurity
 
Controles de segurança da informação
Controles de segurança da informaçãoControles de segurança da informação
Controles de segurança da informaçãoThiago Branquinho
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 

Mais procurados (20)

Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - Dextra
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
 
Modulo 01 Capitulo 03
Modulo 01 Capitulo 03Modulo 01 Capitulo 03
Modulo 01 Capitulo 03
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Seguranca da Informaçao - Security Information
Seguranca da Informaçao - Security InformationSeguranca da Informaçao - Security Information
Seguranca da Informaçao - Security Information
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?Políticas de Segurança: Verdade ou Mito?
Políticas de Segurança: Verdade ou Mito?
 
Essentials Modulo1
Essentials Modulo1Essentials Modulo1
Essentials Modulo1
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Monitoramento
MonitoramentoMonitoramento
Monitoramento
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
 
Agir f nery 01mar2019
Agir f nery 01mar2019Agir f nery 01mar2019
Agir f nery 01mar2019
 
Security Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial UnbrokenSecurity Advisor - Material Comercial Unbroken
Security Advisor - Material Comercial Unbroken
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Controles de segurança da informação
Controles de segurança da informaçãoControles de segurança da informação
Controles de segurança da informação
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 

Semelhante a Cyber risk indicators

Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1Simba Samuel
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar OliveiraTI Safe
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS OverviewUlisses Castro
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueSymantec Brasil
 
[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azureEnrique Gustavo Dutra
 

Semelhante a Cyber risk indicators (20)

Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
 
Palestra
PalestraPalestra
Palestra
 
[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira[CLASS 2014] Palestra Técnica - Cesar Oliveira
[CLASS 2014] Palestra Técnica - Cesar Oliveira
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Whitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-ptWhitepaper dtp-directors-managing-risk-pt
Whitepaper dtp-directors-managing-risk-pt
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS Overview
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
WEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataqueWEBINAR BE AWARE - Antes, durante e depois do ataque
WEBINAR BE AWARE - Antes, durante e depois do ataque
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure
 

Cyber risk indicators

  • 1. Indicadores de Monitoramento de Segurança Cibernética Monitoramento dos CIS Controls Eduardo Poggi, MBA CISSP, CRISC, CISA, CGEIT, MCSO, MCRM epoggi@modulo.com
  • 2. © © 2019 Módulo Security Solutions. Todos os direitos reservados 2
  • 3. © © 2019 Módulo Security Solutions. Todos os direitos reservados 3 Primeiramente.... Quais informações são necessárias para apoiar a tomada de decisão? Medidas ou Indicadores devem fornecer informações. Caso contrário, são INÚTEIS!
  • 4. © © 2019 Módulo Security Solutions. Todos os direitos reservados
  • 5. © © 2019 Módulo Security Solutions. Todos os direitos reservados 5 ISO 31000 – Mentalidade de Risco Qual a possibilidade de um evento ocorrer e afetar os objetivos de segurança cibernética?
  • 6. © © 2019 Módulo Security Solutions. Todos os direitos reservados 6 Metaframework de Gestão de Riscos (base na ISO 31000)
  • 7. © © 2019 Módulo Security Solutions. Todos os direitos reservados 7 DEFINIR CONTEXTO, ESCOPO, OBJETIVOS, CRITÉRIOS E PROCESSO DE GR IDENTIFICAR RISCOS E OCORRÊNCIAS ANALISAR RISCOS E OCORRÊNCIAS IDENTIFICADAS AVALIAR RISCOS E OCORRÊNCIAS ANALISADAS VISUALIZAR CONTEXTO, ESCOPO, OBJETIVOS E CRITÉRIOS CAPACITAR PROCESSO DE GR CONSCIENTIZAR PARTES INTERESSADAS MONITORAR CONTEXTO, ESCOPO, OBJETIVOS E PROCESSO DE GR REGISTRAR ESCOPO, CONTEXTO, OBJETIVOS E PROCESSO DE GR RELATAR PROCESSO DE GR VISUALIZAR RISCOS E OCORRÊNCIAS IDENTIFICADAS MONITORAR RISCOS E OCORRÊNCIAS IDENTIFICADAS REGISTRAR RISCOS E OCORRÊNCIAS IDENTIFICADAS VISUALIZAR RISCOS E OCORRÊNCIAS ANALISADAS MONITORAR RISCOS E OCORRÊNCIAS ANALISADAS REGISTRAR RISCOS E OCORRÊNCIAS ANALISADAS VISUALIZAR RISCOS E OCORRÊNCIAS AVALIADAS MONITORAR RISCOS E OCORRÊNCIAS AVALIADAS REGISTRAR RISCOS E OCORRÊNCIAS AVALIADAS PLANEJAR PLANO DE TRATAMENTO (RISCOS E OCORRÊNCIAS) TRATAR RISCOS E OCORRÊNCIAS (CONTROLES) VISUALIZAR PLANO DE TRATAMENTO (RISCOS E OCORRÊNCIAS) VISUALIZAR CONTROLES MONITORAR PLANO DE TRATAMENTO (RISCOS E OCORRÊNCIAS) MONITORAR CONTROLES REGISTRAR PLANO DE TRATAMENTO (RISCOS E OCORRÊNCIAS) REGISTRAR CONTROLES COMUNICAÇÃO E CONSULTA MONITORAMENTO E ANÁLISE CRÍTICA REGISTRO E RELATO IMPLEMENTAÇÃO Escopo, Contexto e Critérios Identificação de Riscos Análise de Riscos Avaliação de Riscos Tratamento de Riscos Indicadores apoiam o processo de Gestão de Riscos Cibernéticos...
  • 8. © © 2019 Módulo Security Solutions. Todos os direitos reservados 8 ISO 27004
  • 9. © © 2019 Módulo Security Solutions. Todos os direitos reservados 9 ISO 27004 A cláusula 9.1 da ISO/IEC 27001 requer que a organização avalie o desempenho da segurança da informação e a eficácia de seu SGSI.
  • 10. © © 2019 Módulo Security Solutions. Todos os direitos reservados 10 Exemplo de um modelo Campo Significado Identificador do indicador ID único da medida/indicador na empresa Necessidade da Informação Necessidade fundamental para entendimento da contribuição da medida. Medida Declaração da medida, geralmente descrita usando palavras como “porcentagem”, ”número”, “frequência”, “media”. Fórmula / Pontuação Forma como convém que a medida seja avaliada, calculada ou pontuada. Meta Resultado desejado da medida, por exemplo, um marco, uma medida estatística ou um conjunto de gatilhos. Note que o monitoramento contínuo pode ser requerido para garantir o atendimento de uma meta. Evidência de implementação Evidência que valida que a medida é realizada, ajuda a identificar possíveis causas de resultados fracos, e fornece entrada para o processo. Dado que fornece entrada para uma fórmula. Frequência Quão frequente convém que o dado seja coletado e reportado. Pode-se haver uma razão para que se tenha múltiplas frequências. Partes responsáveis A pessoa responsável pela coleta e processamento da medida. Convém que ao menos, um Dono da Informação, Coletor da Informação e Cliente da Medida sejam identificados. Fonte de dados Fontes de dados potenciais podem ser base de dados, ferramentas de rastreamento, outras partes da organização, organizações externas, ou funções individuais específicas. Formato da comunicação Forma como convém que a medida seja coletada e reportada – Por exemplo, como texto, numericamente, graficamente (gráfico de pizza, gráfico de linha, gráfico de barras ...), como parte de um painel ou outra forma de apresentação.
  • 11. © © 2019 Módulo Security Solutions. Todos os direitos reservados 11 Basic CIS Controls
  • 12. © © 2019 Módulo Security Solutions. Todos os direitos reservados 12 Basic CIS Controls
  • 13. © © 2019 Módulo Security Solutions. Todos os direitos reservados 13 CIS Control # 1 | Gestão do inventário de hardware Gerenciar ativamente os dispositivos de hardware na rede. Apenas dispositivos autorizados devem receber permissão de acesso a rede. Dispositivos não autorizados e não gerenciados devem ser encontrados e impedidos de acessar a rede. O CIS Control #1 recomenda implantar uma descoberta ativa para identificar dispositivos conectados à rede de uma organização e fazer a gestão de inventário. O que é desconhecido não poderá ser defendido e gerenciado.
  • 14. © © 2019 Módulo Security Solutions. Todos os direitos reservados 14 CIS Control # 1 | Gestão do inventário de hardware 01. Uma Ferramenta de Descoberta de Dispositivos Ativa deve ser implementada na rede da organização. 02. Uma Ferramenta de Descoberta de Dispositivos Passiva deve ser implementada na rede da organização. 03. A auditoria dos servidores DHCP deve ser utilizada para atualizar o Inventário de Ativos. 04. Um Inventário de Ativos de Hardware detalhado deve ser mantido pela organização. 05. As informações do Inventário de Ativos de Hardware devem ser mantidas pela organização. 06. Os Ativos de Hardware não autorizados identificados devem ser tratados pela organização. 07. O controle de acesso em nível de porta deve ser implementado nos equipamentos de rede. 08. Certificados digitais devem ser usados para autenticar Ativos de Hardware.
  • 15. © © 2019 Módulo Security Solutions. Todos os direitos reservados 15 Garantia de Hardware do fabricante (#CIS 1.4) Campo Propósito ou Significado Id da medida / Indicador #01.04.001 Necessidade de Informação Avaliar se os equipamentos (ativos críticos) possuem garantia do fabricante. Medida Percentual total dos ativos críticos sem garantia Fórmula Quantidade de ativos sem garantia / quantidade total * 100 Meta % sem garantia < 10%. Gerar ocorrência quando for maior que a meta Evidência de Implementação Levantamento de inventário automatizado. Frequência Diariamente Partes responsáveis Proprietário da informação: Gestor de Tecnologia da Informação; Coletores de informação: coletores automáticos. Fonte de Dados Ferramenta de Inventário. Formato do Relato Painéis de Indicadores.
  • 16. 16© © 2019 Módulo Security Solutions. Todos os direitos reservados # EVENTO # FALHA DE EQUIPAMENTO CRÍTICO Falta de Garantia Causa 2 Causa 3 Indisponibilidade de Hardware Consequência 2 Consequência 3 Indicadores de tendência (Lead) Indicadores de resultado (Lag) % de Equipamentos sem Garantia % de Equipamentos indisponíveis por falha de hardware Linha do tempo da ocorrência de 1 evento CIS CSC #01.04 P I
  • 17. 17© © 2019 Módulo Security Solutions. Todos os direitos reservados # EVENTO # INVASÃO DE SERVIDORES E SISTEMAS Falta de Patch Causa 2 Causa 3 Vazamento de dados pessoais e privados Consequência 2 Consequência 3 % de Software / SO sem correção de patch % de ocorrência de vazamento de informação por falta de patch Linha do tempo da ocorrência de 1 evento CIS CSC #03.04 CIS CSC #03.05 Indicadores de tendência (Lead) Indicadores de resultado (Lag) P I
  • 18. © © 2019 Módulo Security Solutions. Todos os direitos reservados 18 Exemplo de Catálogo de Indicadores para Segurança Cibernética CIS Control ISO 27004 Necessidade de informação Indicador / Medida Tipo CIS CSC 01 B.20 Gestão da manutenção periódica Avaliar a pontualidade das atividades de manutenção em relação ao agendado. Atraso da manutenção por evento de manutenção completado. Resultado CIS CSC 01 B.20 Gestão da manutenção periódica Avaliar a garantia do fabricante dos meus hardwares. Percentual total dos ativos críticos sem garantia Tendência CIS CSC 03 CIS CSC 05 B4 - Exposição aos Riscos Avaliar os riscos de segurança cibernética dos ativos da organização Quantidade de Riscos Altos e Médios além do nível aceitável. Quantidade de Revisão periódica dos riscos Altos e Médios Tendência CIS CSC 04 B.17 Análise crítica dos direitos de acesso do usuário Avaliar as revisões sistemáticas de direitos de acesso de usuários que são realizadas em sistemas críticos. Percentual de sistemas críticos onde os direitos de acesso de usuários são periodicamente revisados. Tendência CIS CSC 05 B.21 Gestão de mudanças Avaliar se as melhores práticas de gestão de mudanças, assim como a política de hardening, são respeitadas. Porcentagem de novos sistemas instalados que respeitaram as melhores práticas de gestão de mudanças e a política de hardening. Tendência CIS CSC 08 B.23 Anti-malware Quantidade de sistemas afetados por malware que não possuem uma solução anti-malware atualizada. Porcentagem de sistemas afetados por malware, conectados à rede da organização, com assinaturas de malware obsoletas (ex. mais de uma semana). Resultado CIS CSC 19 B7 - Custos de Incidentes de Segurança Considerações sobre os custos oriundos da ausência de segurança da informação. Soma dos custos de cada incidente de segurança da informação ocorrido no período de amostra. Resultado CIS CSC 19 B.8 Aprendendo com Incidentes de Segurança da Informação Verifica se incidentes de segurança da informação acionam ações para melhoria da situação atual de segurança. Quantidade de incidentes de segurança da informação que geraram ações de melhoria em segurança da informação. Resultado TODOS B2 - Análise Crítica da Política Avaliar se as políticas para segurança da informação estão sendo analisadas criticamente em intervalos regulares ou quando mudanças significativas ocorrem. Percentual de políticas analisadas criticamente Tendência
  • 19. © © 2019 Módulo Security Solutions. Todos os direitos reservados 19 Case de Implementação CATÁLOGO DE INDICADORES RESULTADOS DE MEDIÇÕES ATIVOS | RISCO OBJETIVO | CONTROLE FAIXAS DE ALERTA REGISTRO DE OCORRÊNCIAS SERVIÇO DE COLETA SISTEMAS ESPECÍFICOS
  • 20. © © 2019 Módulo Security Solutions. Todos os direitos reservados 20 CIS Control # 1 | Gestão do inventário de hardware SEM GARANTIA 10,26% (08) VENCE EM 6 MESES 51,28% (40) VENCE EM MENOS DE 1 ANO 25,64% (20) VENCE EM UM ANO OU MAIS 12,82% (10) RISCO DE INDISPONIBILIDADE
  • 21. © © 2019 Módulo Security Solutions. Todos os direitos reservados 21 Gestão de ocorrências de alertas de indicadores – Bots e mensagens
  • 22. © © 2019 Módulo Security Solutions. Todos os direitos reservados 22 Então.... Em outras palavras, Monitoramento! Informações são necessárias para apoiar a tomada de decisão! Medidas ou Indicadores fornecem informações! Portanto, são FUNDAMENTAIS!
  • 23. Indicadores de Monitoramento de Segurança Cibernética Monitoramento dos CIS Controls Eduardo Poggi, MBA CISSP, CRISC, CISA, CGEIT, MCSO, MCRM epoggi@modulo.com