Palestra - Introdução à Gestão de Riscos

Introdução à Gestão de Riscos

Março de 2010

Termo de isenTermo de isençção de responsabilidadeão de responsabilidade

A TI Safe, seus colaboradores e executivos, não se responsabilizam pelo mal uso das informações aqui prestadas.

Aproveite esta apresentação para ampliar seus conhecimentos em Segurança da Informação. Use com responsabilidade.

Sobre a TI SafeSobre a TI Safe

• MissãoFornecer produtos e serviços de qualidade para a Segurança da Informação

• VisãoSer referência de excelência em serviços de Segurança da Informação

• Equipe técnica altamente qualificada

• Apoio de grandes marcas do mercado

Não precisa copiar...Não precisa copiar...

http://www.tisafe.com/recursos/palestras/

DefiniDefiniççõesões

Riscos: ConceitosRiscos: Conceitos

• DicionáriosRisco: “possibilidade de perda”Gerenciamento de Risco: “técnica ou atribuição de classificar, minimizar, e prevenir risco acidental a um ativo, seja pelo emprego de seguros ou outras medidas de segurança”

• (ISC)²Gerenciamento de Risco: “a aprendizagem de conviver com a possibilidade de que eventos futuros podem ser prejudiciais”, e o “gerenciamento de risco reduz riscos pelo reconhecimento e controle de ameaças e vulnerabilidades”

Termos e definiTermos e definiççõesões

• Ameaças aos ativos

• Vulnerabilidades (lógicas e físicas) presentes

• A probabilidade de uma ameaça ser concretizada no caso de uma exposição

• O impacto que a exposição poderá trazer a uma empresa

• Medidas de controle disponíveis para reduzir a capacidade de exploração ou de diminuir o impacto

• O risco residual: quanto sobrará de risco quando os controles apropriados são postos em prática

AnAnáálise de riscos lise de riscos –– dinâmicadinâmica

• Coleta de informaçõesListas e grupos de ativosAmeaças potenciais e as chances de se realizaremVulnerabilidades existentes e o grau de impacto se exploradasControles existentes

• Definição do riscoPar Ameaça/Vulnerabilidade, probabilidade e impacto

• Indicação de tratamentos• Reavaliação

AnAnáálise de riscos lise de riscos –– projeto projeto

• NívelOperacionalProjetoEstratégico

• AnáliseQualitativaSemiquantitativaQuantitativa

Etapa 1: InventEtapa 1: Inventááriorio

Iniciando o projetoIniciando o projeto

• Autorização da alta gerência• Compreensão do fluxo produtivo da empresa• Identificação do escopo da análise• Registro existente dos ativos e controles• Limitação dos personagens atendidos pelo escopo:

PerímetrosAgentesAmeaças potenciais

• Identificação dos responsáveis por cada etapa do projeto• Definição das etapas e prazos do projeto• Elaboração de questionários para análises

Definir valores qualitativos para os riscos baseados em critérios pré-definidos/combinados

Exemplo de questões para entrevistasExemplo de questões para entrevistas

• Qual é a importância da infraestrutura de sistemas da informação (rede, sistemas, computadores, etc) no seu cotidiano?

• Você e demais membros de sua equipe utilizam notebooks, PDAs ou smartphones?

• Ao sair, você guarda seus documentos que estão sobre a mesa?• As informações e procedimentos com os quais você e demais

pessoas de sua equipe lidam, podem ser considerados vitais para o funcionamento da empresa? Qual impacto pode ser causado com o vazamento de informações e procedimentos efetuados aqui?

• Você lida com segredos industriais ou comerciais? São compartilhados com quais setores/ cargos?

• Quanto tempo o seu setor poderia ficar parado, sem que ocorram prejuízos financeiros? Quais as chances de isso ocorrer? Já houve algum caso?

• Tem algum sistema cuja interrupção ou mal funcionamento exponha pessoas a ferimentos ou morte?

AvaliaAvaliaçção Fão Fíísicasica

• Controle de portarias• Muros/ cercas• Portões, Portas, cadeados e fechaduras• Seguranças• CFTV• Instalações físicas de rede e telefonia

Caixas de telefoniaConversores de fibraCabos e tomadas

• Distribuição de mobília• Organização de salas• Organização de mesas• Separação de ambientes• Isolamento acústico• Equipamentos• Inventário patrimonial• Acesso aos servidores, equipamentos de rede• Acesso a equipamentos críticos• Entrada e saída de material• Sistemas de climatização e combate a incêndio: existência e posicionamento• Disponibilidade de equipamento de proteção pessoal

Exemplos de ativosExemplos de ativos

• Informações e dados• Hardware• Software• Serviços• Documentos• Pessoal

Exemplos de ameaExemplos de ameaççasas

• Erros• Ataque malicioso• Fraude• Roubo• Falha de software e equipamentos

Exemplos de vulnerabilidadesExemplos de vulnerabilidades

• Falta de conhecimento do usuário• Falta de funcionalidade de segurança• Escolha de senhas fracas• Tecnologia emergente ou não testada• Transmissão de dados em claro

Exemplos de controlesExemplos de controles

• Firewalls, IDPSs• Múltiplos fatores de autenticação• Criptografia de comunicações e dados• Sistemas de monitoramento de temperatura• Seguros• Verificação de antecedentes na contratação• CFTV• Cães de guarda

Exemplos de impactoExemplos de impacto

• Perda financeira direta (dinheiro ou crédito)• Descumprimento de leis• Danos à reputação• Exposição de clientes e funcionários• Exposição de dados confidenciais• Perda de oportunidades de negócios• Redução de performance/eficiência operacional• Interrupção das atividades

Etapa 2: AnEtapa 2: Anááliselise

ComposiComposiçção do riscoão do risco

Vulnerabildade

Ameaça

Impacto

Ativoexplora

causando

exposição

ComposiComposiçção do riscoão do risco

Um administrador insatisfeito pode ser subornado para roubar informações do sistema de BI, causando a perda de negócios

Perda de produtividade;Perda de negócios;Descumprimento de leis

Autenticação fraca;Administrador com baixo salário;Falta de atualização

Adulteração de informações;Roubo de informações;Negação de serviço

Sistema de BI

Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes

Perda de produtividade;Exposição de dados de clientes;

Falta de segurança pública;Controle inapropriado de portaria;Falta de criptografia;Anti-vírus desatualizado

Roubo/ furto;Infecção por vírus;

Notebook

RiscoImpactoVulnerabilidadesAmeaçasAtivos

Etapa 3: AvaliaEtapa 3: Avaliaççãoão

AvaliaAvaliaçção dos riscosão dos riscos

• Medição de eficiência dos controles existentes• Indicação de contramedidas• Geração de relatórios e documentos• Reuniões executivas para apresentação de resultados• Orientação quanto aos resultados: planos de segurança

AvaliaAvaliaçção dos riscosão dos riscos

2 x 3 = 6Alto

3 x 3 = 9Alto

33Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes

Grau do riscoBaixo – 1 ou 2Médio – 3 ou 4Alto – 6 ou 9

ImpactoBaixo – 1Médio – 2Alto – 3

ProbabilidadeBaixa – 1Média – 2Alta – 3

RedaRedaçção de relatão de relatóóriosrios

• Relatórios favorecem o entendimento da análise desenvolvida

• Orientam o processo de tratamento dos riscos identificados

Tipos de relatTipos de relatóóriosrios

• Listagem de ativos

• Tabelas de acompanhamento

• Risco por ativo

• Análise de risco

• Avaliação de conformidadeISOs, CobiT, PCI, etc.

• Georeferenciamento

• Relatório operacional

• Scorecard

Plano de seguranPlano de seguranççaa

• O plano de segurança deve fornecer orientações para a obtenção do nível recomendado de segurança. Os planos deve obedecer à política de segurança corporativa

• EstruturaItensCriticidade (alta, média, baixa)Tipo (aplicação principal/ suporte)Propósito do planoAmbiente em que se encontram os ativosÁreas envolvidasLeis e normas associadasControles de segurança a serem aplicados

• Etapas, procedimentos e responsáveis

Data de implantação

Plano de contingênciaPlano de contingência

• O plano de contingência fornece as diretrizes para o fornecimento de respostas em caso de situação adversa

• Esse plano deve estar no contexto do gerenciamento da continuidade de negócios da empresa

• Itens fundamentaisAplicabilidadeRazões e indicadores de falhaObjetivo de Tempo de Recuperação (RTO)Mecanismos de controleResposta inicialManutençãoRecuperação

Etapa 4: TratamentoEtapa 4: Tratamento

Tratamento dos riscosTratamento dos riscos

• Mitigar• Eliminar • Evitar• Transferir

Contratação de segurosTerceirização

• AceitarQuando a perda vale menos que o controle ou a transferência

Tratamento de riscos Tratamento de riscos –– gravidez indesejada gravidez indesejada

• MitigarUsar método anticoncepcional

• EliminarEstereoctomia, vasectomia

• EvitarNão efetuar o ato

• TransferirDizer que foi outro

• AceitarProblema seu...

Estabelecimento de ContramedidasEstabelecimento de Contramedidas

• Itens para a escolha das contramedidas

Deve fornecer a segurança necessária com um custo-benefício aceitávelSua segurança não deve ser por obscuridadeDeve ser testável para certificar a equipe de sua eficiênciaDeve fornecer o mesmo nível de proteção para todos os ativosDeve ser isolável de outras contramedidas e ter baixa dependênciaDeve requerer o mínimo de intervenção humana

AplicaAplicaçção de controles/ tratamentosão de controles/ tratamentos

Vulnerabildade

Ameaça

Impacto

AtivoControle

bloqueia

elimina

AplicaAplicaçção de controles e risco residualão de controles e risco residual

Redução de privilégiosCriptografia de bancos de dados

Criptografia de disco

Controles

33Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes

IPRisco

Riscos gerados pelos controles Riscos gerados pelos controles estabelecidosestabelecidos

O administrador pode se sentir ameaçado e formatar o sistema, parando totalmente a produção

A chave de criptografia pode ser perdida, indisponibilizando o notebook e interrompendo o trabalho do usuário

Novo risco

21Redução de privilégiosCriptografia de bancos de dados

21Criptografia de disco

IPControles

ComunicaComunicaçção e monitoramentoão e monitoramento

• Considerada como a última e a primeira etapa do processo de análise de risco

• Fecha o ciclo por meio da divulgação dos resultados encontrados na análise

• Ao comunicar, a equipe de análise de risco passa a compartilhar as responsabilidades por qualquer incidente que venha a ocorrer

• O momento da comunicação deve ser pré-estabelecido antes do início do projeto de análise de risco

Gerenciamento de riscoGerenciamento de risco

AnAnáálise x Gerenciamento de riscoslise x Gerenciamento de riscos

• Análise de riscosProcesso científico e tecnológico composto por quatro etapas:

• identificação de ameaças• caracterização de ameaças• avaliação da exposição• caracterização de riscos

• Gerenciamento de riscosAtividades coordenadas que para direcionar e controlar assuntos relacionados aos riscos. Envolvem alternativas ponderadas, com base nas necessidades dos envolvidos e nas limitações financeiras

Plano de riscoPlano de risco

Dezembro de 2010

Maio de 2010

Início

24 meses

3 meses

Duração

Verificação de logs de auditoriaMédiaTI, RH,

Auditoria

Analista de RH; Analista de TI;

Auditor

Redução de privilégios

Redução de privilégios;Criptografia de bancos de dados

Atualização do algoritmo de

criptografia a cada atualização do

sistema

AltaTI

Rateio dos departamentos;

Consultores externos;

equipe de TI e service desk

Criptografia de disco

Criptografia de disco;Impedir a saída de

notebooks da empresa

Um notebook pode ser roubado devido a falta de segurança pública, expondo dados de clientes

ManutençãoPrioridadeResponsáveis

Recursos necessários

Controles planejados

Controles recomendados

MetodologiasMetodologias

GratuitaAlemanhaTodosGerencial, operacional e técnicoTotalTotalIT-Grundschutz

GratuitaFrançaTodosGerencial e operacionalTotalTotalEbios

Parcial

GratuitaÁustriaTodosGerencial e operacionalAustrian ISHB

GratuitaInternacionalTodosGerencialRFC 2196

ComercialAustrália e Nova ZelândiaTodosGerencial e operacionalAS/NZS 4360

GratuitaEUASMBGerencial e operacionalOctave v2.0

ComercialInternacionalTodosGerencial e operacionalISO 27005

ComercialInternacionalTodosGerencial e operacionalISO 27002

ComercialInternacionalGoverno e grandes empresasGerencial e operacionalISO 27001

Somente para associadosInternacionalTodos, exceto SMBGerencial, operacional e técnicoISF

ComercialReino UnidoGoverno e grandes empresasGerencial, operacional e técnicoCRAMM

GratuitaEUATodosOperacional e técnicoNIST 800-30

LicençaOrigemMercadoNívelMetodologia

Tipos de AnTipos de Anááliseslises de Riscosde Riscos

• Análise qualitativaAssocia palavras ou descrições para descrever probabilidades e impacto

É baseado no feeling e em opiniões de funcionários considerados

Usa o cenário de camadas de acesso às informações

• Análise semiquantitativaRankings descritivos são associados a uma escala numéricaReduz a subjetividade da análise qualitativa

• Análise quantitativaAssocia valores numéricos aos riscos e perdas potenciais

Os resultados são revertidos em cifras

Facilita o mapeamento de perdas

AnAnáálise Qualitativa: Aplicalise Qualitativa: Aplicaççõesões

• Falta de dados quantitativos sobre ativos

• Pouca experiência com a análise quantitativa

• Cronograma apertado

AnAnáálise Qualitativa: Metodologialise Qualitativa: Metodologia

• Aprovação Gerencial

• Formação de Equipe

• Levantamento de documentação

• Entrevistas

• Análise de dados

• Cálculo de risco

• Correções e contramedidas

AnAnáálise Quantitativalise Quantitativa

• Adotada por grandes empresas

• Pode exigir cronogramas extensos

• Requer pessoal especializado

• Fornece dados contundentes (em moeda) para definir se o custo da contramedida, vale mais ou menos que o risco

AnAnáálise Quantitativa: Metodologialise Quantitativa: Metodologia

• Aprovação

• Definição de equipe

• Revisão de informações corporativas

• Aplicação de CálculosSLE (Single Loss Expectancy)ARO (Annualized Rate of Occurance)ALE (Annualized Loss Expectancy)

ExemploExemplo

• Considerando um carro no valor de R$ 40.000,00:Uma colisão frontal tem o reparo estimado em R$ 8.000,00Uma colisão traseira tem o reparo estimado em R$ 4.000,00Uma colisão lateral tem o reparo estimado em R$ 4.000,00

• Ou seja, uma única batida, na melhor das hipóteses, custaria R$ 4.000,00 (SLE = 40.000,00 x 0,1)

Caso a perspectiva seja de 2 ocorrências por ano (ARO), considera-se que o ALE = 2 x SLE = R$ 8.000,00

• Com base nesses dados, pode-se avaliar quais as melhores formas de tratamento do risco

Contratação de seguro (transferência do risco)Reserva para incidentes (aceitação do risco)

Ferramentas e TFerramentas e Téécnicascnicas

• Principais ferramentas de mercado para a análise de riscoModulo Risk ManagerGAIN Risk ManagementPaliside @RiskAcertus GovernanceSE RiscosPlanilhas Excel CustomizadasMSAT

AnAnáálise de Riscolise de Risco

• Tempo Estimado: 15 minutos

• Objetivo: Utilizar ferramentas de análise de risco

• Metodologia: Acesso a websites e utilização da MSAT

Participe do nosso fParticipe do nosso fóórum de seguranrum de seguranççaa

• Acesse www.tisafe.com/forum e cadastre-se

ContatoContato

Palestra - Introdução à Gestão de Riscos

Technology

Palestra - Introdução a Robótica

Palestra - Como Montar e Administrar o seu Próprio Negócio: conheça as vantagens e os riscos

Palestra - Introdução à Engenharia Reversa

Sim 2014 - Palestra Reducao de riscos de parada durante o ramp up (Renato Oliveira)

Palestra (2009) - Introdução ao Desenvolvimento de Jogos

Palestra sobre Avaliações de Empresas Foco em ... · Palestra sobre Avaliações de Empresas Foco em Reorganizações Societárias ... Gerenciamento de Riscos Novos Sócios Abertura

Palestra BSides SP - FATEC-SCS - "Introdução a Criptografia Quântica e QKD"

Palestra Introdução a Linked Data

Palestra Introdução a Big Data

Palestra Introdução ao Game Design

Apresentação Palestra de Introdução Ao Marketing

Palestra introdução à economía consciente

Palestra - Introdução ao desenvolvimento de Jogos

Aula 01 - Palestra sobre Homeschooling (homeschool): introdução educação familiar no Brasil

Capítulo 7A – Introdução ao Tratamento de Riscos

Palestra - Introdução à segurança da informação

ISO 31000: A NOVA ERA DA GESTÃO DE RISCOS | Palestra na Marinha do Brasil

Palestra TGA - Aula 1 - Introdução à Administração

Palestra de Introdução à Sociocracia 3.0 2016-04-18

Riscos naturais 1.Introdução: A Pedra do Sol 2.Riscos naturais (geológicos) 3.Conduta e procedimentos diante de riscos e catástrofes