View
11.356
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Por Fernando Palma
MOD 2 – Gerenciamento de Riscos de SI
Introdução a Segurança da Informação
Professor Fernando Palma([email protected])
(71) 8837-0007http://portalgsti.com.br
Pós Graduação em Qualidade e Governança de TI
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Agenda
● Conceitos de riscos
● Análise de Riscos
● Estratégias para lhe dar com riscos
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Conceitos de riscos
Ameaça:É o que provoca um risco, um dano ou uma perda.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Conceitos de riscos
Vulnerabilidade:A fragilidade ativo em relação a uma possível ameaça.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Conceitos de riscos
Exemplos de ameaças e vulnerabilidades:
Ameaças• Ataque de hacker• Incêndio• Inundação
Vulnerabilidades• Falta de contigência• Firewall desatualizado• Falta de no brake• Controles de segurança inadequados
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Conceitos de riscos
Incidente de Segurança da Informação: quando uma ameaça de manifesta.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Conceitos de riscos
Risco: um risco de segurança é o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou danos a um ativo ou um grupo de ativos.
Probabilidade da ameaça
Vu
lnera
bili
dad
e
Baixa Média Alta
Baixa
Média
Alta
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Conceitos de riscos
Exemplos de riscos de Segurança da Informação:
Perda de disponibilidade da informação Perda de credibilidade da empresa Perda de integridade da informação Parada do processo de negócio por conta de falhas em TI
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Agenda
● Conceitos de riscos
● Análise de Riscos
● Estratégias para lhe dar com riscos
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Análise de Riscos
Análise de riscos
• É uma ferramenta usada no Gerenciamento de Riscos, ou pode ser vista como uma etapa. • Visa identificar quais ameaças são relevantes no processo operacional e identificar os riscos associados. • Compreende 04 principais objetivos:• Identificar ativos e seus valores• Determinar vulnerabilidades e ameaças• Determintar quais ameaças e riscos tem maior impacto• Equilibrar o custo de um incidente e o custo das
medidas de segurança
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Análise de Riscos
Gerenciamento de Riscos
• O Gerenciamento de Riscos é um processo no qual os riscos são identificados, analisados e reduzidos a um nível aceitavel.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Análise de Riscos
Análise de Riscos Quantitativa
• Envolve calculo de impacto numericamente • Focado na perda financeira• Comparar o custo das medidas com o custo da perda financeira envolvida com o ativo
• Exemplos: quantos clientes podemos perder? Qual prejuízo financeiro envolve este risco?
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Análise de Riscos
Análise de Riscos Qualitativa
• A chance de que a ameaça se torne realidade é analisada baseada nos sentimentos das pessoas• A análise então avalia o processo operacional envolvido com qual a ameaça se relaciona e verifica quais medidas precisasm ser aplicadas
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Agenda
● Conceitos de riscos
● Análise de Riscos
● Estratégias para lhe dar com riscos
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Estratégias para lhe dar com riscos
Para conviver com riscos, existem medidas que podem ser aplicadas para a redução da probabilidade deste evento acontecer, redução do impacto caso ele aconteça, ou uma combinação as duas.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Estratégias para lhe dar com riscos
Estratégias para lhe dar com riscos
Estratégias
Aceitar o risco
Evitar o risco
Tornar o risco neutro
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Estratégias para lhe dar com riscos
Tipos de medidas de Segurança
PrevençãoUma prevenção impossibilita a ocorrência de uma ameaça, ou minimiza essa possibilidade. Ex: controle de acesso.
DetecçãoPara incidentes que tem danos com menor imapcto ou para aqueles que exite tempo hábil para tratar caso ocorram, a medida de detecção pode ser utilizada. Ex: monitoramento de eventos.
RepressãoMinimizar as consequências, após detecçãpo do incidente .
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Estratégias para lhe dar com riscos
Tipos de medidas de Segurança
Correção ou RecuperaçãoRealizar o reparo após ocorrência do incidente e minimização do seu impacto. Ex: restaurar backup.
GarantiaPara eventos quais não existem métodos de prevenção ou para quais existem altos níveis de impacto, devem ser procurados métodos que reduzem as consequências. Ex: seguro contra fogo.
AceitaçãoSimplesmente aceitar o risco, já que as medidas requerem um custo inaceitável ou custo maior do que os danos.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Estratégias para lhe dar com riscos
Tipos de ameaças
Ameaças
Humanas
Não Humanas
Tipos de danos
Danos
Diretos
Indiretos
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Verdadeiro ou Falso?
1. ( ) O conceito de ameaça pode ser definido como uma fragilidade de um ativo.
2. ( ) Um incidente de Segurança da Informação ocorre quando uma ameaça de manifesta.
3. ( ) A análise de reiscos pode ser considerada uma etapa do processo de gerenciamento de riscos.
4. ( ) O Gerenciamento de Riscos é um processo no qual os riscos são identificados, analisados e reduzidos a um nível aceitavel.
5. ( ) As estratégias para lhe dar com riscos são duas: aceitar o risco ou evitar o risco
6. ( ) Os tipos de ameaças possíveis são as diretas e indiretas.7. ( ) A análise de riscos qualitativa é focada na perda
financeira.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
Verdadeiro ou Falso?
1.( F ) O conceito de ameaça pode ser definido como uma fragilidade de um ativo. 2.( V ) Um incidente de Segurança da Informação ocorre quando uma ameaça de
manifesta. 3.( V ) A análise de reiscos pode ser considerada uma etapa do processo de
gerenciamento de riscos.4.( V ) O Gerenciamento de Riscos é um processo no qual os riscos são identificados,
analisados e reduzidos a um nível aceitavel. 5.( F ) As estratégias para lhe dar com riscos são duas: aceitar o risco ou evitar o
risco6. ( F ) Os tipos de ameaças possíveis são as diretas e indiretas.7. ( F ) A análise de riscos qualitativa é focada na perda financeira.