Este documento apresenta conceitos sobre riscos de segurança, processos de avaliação e tratamento de risco, sistemas de gestão e Sistemas de Gestão de Segurança da Informação (SGSI). Inclui exemplos de riscos, controles e exercícios para identificar riscos e controles para ativos. Também explica o que é um sistema de gestão e seus elementos, além de fatores críticos para o sucesso de um SGSI.

1. Sistema de
Gestão de Segurança
da Informação
Todos os direitos de cópia reservados. Não é permitida a distribuição
física ou eletrônica deste material sem a permissão expressa do autor.
Interpretação da norma
NBR ISO/IEC 27001:2006
Curso e- Learning

2. Conceitos
Riscos de segurança, processos de
avaliação e tratamento do risco,
sistema de gestão, Sistema de
Gestão de Segurança da Informação
Módulo 3

3. Riscos de segurança
Um risco de segurança é o potencial que uma dada ameaça irá explorar
vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos.
Exemplos...?
Nem sempre TI!
Os riscos podem ser técnicos, de
equipamentos, de pessoas e de
procedimentos.

4. Exemplos de riscos de segurança
Interrupção da continuidade do negócio
Indisponibilidade da informação
Perda da integridade dos dados
Perda ou roubo de informação
Perda do controle do serviço
Perda de credibilidade e imagem
Perda da confidencialidade de dados
Etc.

5. Evitar o risco
Transferir o risco (por exemplo: seguro)
Reduzir as vulnerabilidades
Reduzir as ameaças
Reduzir os possíveis impactos
Detectar eventos indesejados, reagir e
recuperar
Aceitar o risco (residual)
Processo de tratamento do risco

6. Continuando o exercício anterior do módulo 2, identifique os riscos de segurança, do seu
ponto de vista, para os três ativos para os quais você identificou vulnerabilidades,
ameaças e probabilidades das ameaças atingirem as vulnerabilidades.
As respostas dependem de critérios pessoais. Portanto é importante que o profissional
que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o
tratamento de riscos.
Exercício

7. Resposta
Antivírus,
desatualizado
Backup
inadequado
Patches
desatualizados
Peça-chave
do processo
Servidor
Contamina
ção por
vírus,
ataque de
hacker
Roubo,
divulgação
Ameaças
Antivírus
desatualizado
Backup
inadequado
Patches
desatualizados
Não há pessoal
de segurança
Não há critérios
de contratação
para o pessoal
de apoio
Vulnerabilidade
Peça-chave
do processo
Acarreta
dano, mas o
processo
pode ser
executado
ComentárioValor
Servidor
Metodologia
ProbabilidadeConfidencialidadeIntegridadeDisponibilidadeDescrição

8. Controles
A segurança eficaz normalmente requer a combinação das seguintes ações:
Detecção
Desencorajamento
Prevenção
Limitação
Correção
Recuperação
Monitoramento
Conscientização

9. Controles
Após a identificação dos riscos, é necessário identificar os controles já existentes na
organização e verificar se o risco resultante após a utilização destes controles é aceitável.
E só então deve-se avaliar a necessidade de novos controles.
A norma ISO 17799 e a norma ISO 27001 identificam 133 controles que a organização
pode implementar, mas a organização não deve se restringir a estes. Outros controles
podem ser identificados.
Exemplo de controles da norma ISO 17799 e da norma ISO 27001 – Anexo A:
A.11.5 – Controle de acesso ao sistema operacional
Procedimentos seguros de entrada no sistema (log on)
Identificação e autenticação de usuário
Sistema de gerenciamento de senha
Uso de utilitários de sistema
Desconexão de terminal por inatividade
Limitação de horário de conexão
Login

10. Avaliação de risco e controles
Ameaças
Vulneráveis
Controles
Riscos
Ativos
Requisitos de
Segurança
Valor
Impacto potencial
no negócio
Têm
Por ter valor
são
E por isso
podem ser
atacados por
E correm
E
Portanto é
necessário
que se
defina
Podendo provocar

11. Processos de avaliação e tratamento do risco
Avaliação de risco
Identificação e valorização dos ativos
Identificação das vulnerabilidades
Identificação das ameaças
Avaliação de impactos que a perda de confidencialidade, integridade e
disponibilidade nos ativos pode causar
Análise e avaliação dos riscos
Priorização dos riscos
Tratamento de risco
Definição do grau de garantia
Revisão de controles existentes
Identificação de novos controles
Implementação dos novos controles
Aceitação do risco residual
A cláusula 4.2.1 da ISO/IEC 27001:2005 estabelece que uma avaliação de
risco seja realizada para identificar ameaças aos ativos.

12. Exercício
Continuando o exercício anterior onde foram identificados os riscos, para um destes
ativos agora identifique, dentro de seu ponto de vista e conhecimento, controles que
poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou
eliminar cada um destes riscos.

13. Resposta
Vamos considerar um servidor como exemplo. Resgatando a análise do exercício anterior
teremos:
E alguns controles possíveis serão apresentados no próximo slide.
Contaminação
por vírus,
ataque de
hacker
Antivírus
desatualizado
Backup
inadequado
Patches
desatualizados
Peça-
chave do
processo
Servidor
Desc
rição
Probabil
idade
AmeaçasVulnerabilidadeComentári
o
ValorConfidenci
alidade
Integridad
e
Disponibilidad
e
Descrição

14. Resposta
Controle Aplicação do Controle
Criar procedimento
automático para atualização
Criar política adequada
para tratar o problema
Terceirizar a manutenção e
atualização do sistema anti -
vírus
Criar procedimento de
backup
Controlar a disponibilidade
de espaço
Terceirizar procedimento de
backup
Criar procedimento para
atualização de patches
Terceirizar a informação e
atualização dos softwares
Adquirir software IDS
Controle contra software
malicioso
Housekeeping
Desenvolvimento e
manutenção de sistema

15. O que é um sistema de gestão?

16. O que é monitorado pode ser medido,
e o que é medido pode ser gerenciado.
Definição de sistema de gestão
Um sistema de gestão é um sistema para estabelecer política e objetivos, e para atingir
estes objetivos utilizando:
A estrutura organizacional
Processos sistemáticos e recursos associados
Metodologia de medição e avaliação
Processo de análise crítica para assegurar que os problemas são corrigidos e as
oportunidades de melhoria são identificadas e implementadas quando necessário

17. Elementos de um sistema de gestão
Política (demonstração de compromisso e princípios para ação)
Planejamento (identificação das necessidades, recursos, estrutura e responsabilidades)
Implementação e operação (construção da consciência organizacional e treinamento)
Avaliação de desempenho (monitoramento e medição, auditoria e tratamento de não-
conformidades)
Melhoria (ação preventiva e corretiva, melhoria contínua)
Análise crítica pela direção

18. Normas de sistemas de gestão
ISO/IEC 27001 – Segurança da Informação
ISO/IEC 20000 – Gestão em TI
ISO 9001 – Qualidade
ISO 14001 – Ambiental
OHSAS 18001 – Segurança e Saúde Ocupacional
TL 9000 – Telecomunicações
TS 16949 – Automotiva
SAE AS 9100 – Aeroespacial
ISO 22001 – Alimentos

19. Sistema de Gestão de Segurança da Informação
SGSI
Parte do sistema de gestão, baseado no
enfoque de risco nos negócios, para
estabelecer, implementar, operar, monitorar,
revisar, manter e melhorar a segurança da
informação.
Projeto e implementação
Influenciados pelas necessidades e objetivos
dos negócios, resultando em requisitos de
segurança, processos utilizados, tamanho e
estrutura da organização. Espera-se que o
SGSI e os sistemas de apoio mudem com o
tempo.

20. Fatores críticos do sucesso
Comprometimento e apoio visível de todos os
níveis da direção
Provisão de recursos para as atividades de
Gerenciamento de Segurança da Informação
Divulgação, conscientização, educação e
treinamento adequados
Política de segurança da informação, objetivos e
atividades refletindo os objetivos do negócio
Bom entendimento dos requisitos de segurança da
informação, avaliação de risco e gerenciamento de
risco

21. Fatores críticos do sucesso
Implementação, manutenção,
monitoramento e melhoria da
segurança da informação consistente
com a cultura organizacional
Estabelecer um processo eficaz de
gestão de incidentes de segurança da
informação
Implementação de um sistema de
medição que seja usado para avaliar o
desempenho da Gestão de Segurança
da Informação e obtenção de
sugestões para melhoria

22. Exercício
Indique se é verdadeiro ou falso:
1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para
atingir estes objetivos.
2) ( F ) Análise crítica não é um elemento de um sistema de gestão.
3) ( F ) Um SGSI não deve mudar com o tempo.
4) ( V ) A estrutura da ISO 27001 está baseada no PDCA.
5) ( V ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação
escrita, falada e eletrônica é o objetivo da ISO 27001.
6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI.
7) ( V ) O SGSI é parte do sistema de gestão global da organização.

23. Resposta
Indique se é verdadeiro ou falso:
1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para
atingir estes objetivos.
2) ( F ) Análise crítica não é um elemento de um sistema de gestão.
3) ( F ) Um SGSI não deve mudar com o tempo.
4) ( V ) A estrutura da ISO 27001 está baseada no PDCA.
5) ( V ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação
escrita, falada e eletrônica é o objetivo da ISO 27001.
6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI.
7) ( V ) O SGSI é parte do sistema de gestão global da organização.

24. Conceitos
Riscos de segurança, processos de
avaliação e tratamento do risco,
sistema de gestão, Sistema de
Gestão de Segurança da Informação
Fim do módulo 3