Sistema de Gestão de Segurança da Informação

Propaganda
Curso e­ Learning
Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Módulo 3
Conceitos Riscos de segurança, processos de avaliação e tratamento do risco, sistema de gestão, Sistema de Gestão de Segurança da Informação Riscos de segurança § Um risco de segurança é o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos. § Exemplos...? Nem sempre TI! Os riscos podem ser técnicos, de equipamentos, de pessoas e de procedimentos.
Exemplos de riscos de segurança § Interrupção da continuidade do negócio § Indisponibilidade da informação § Perda da integridade dos dados § Perda ou roubo de informação § Perda do controle do serviço § Perda de credibilidade e imagem § Perda da confidencialidade de dados § Etc.
Processo de tratamento do risco
§ Evitar o risco § Transferir o risco (por exemplo: seguro) § Reduzir as vulnerabilidades § Reduzir as ameaças § Reduzir os possíveis impactos § Detectar eventos indesejados, reagir e recuperar § Aceitar o risco (residual) Exercício
Continuando o exercício anterior do módulo 2, identifique os riscos de segurança, do seu ponto de vista, para os três ativos para os quais você identificou vulnerabilidades, ameaças e probabilidades das ameaças atingirem as vulnerabilidades. As respostas dependem de critérios pessoais. Portanto é importante que o profissional que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o tratamento de riscos. Resposta Descrição
Metodologia Servidor Disponibilidade Integridade Confidencialidade Valor Comentário Vulnerabilidade Ameaças Acarreta dano, mas o processo pode ser executado Não há pessoal de segurança Roubo, divulgação Peça­chave do processo Antivírus desatualizado Não há critérios de contratação para o pessoal de apoio Backup inadequado Patches desatualizados Servidor Peça­chave do processo Antivírus, desatualizado Backup inadequado Patches desatualizados Contamina ção por vírus, ataque de hacker Probabilidade Controles A segurança eficaz normalmente requer a combinação das seguintes ações: § Detecção § Desencorajamento § Prevenção § Limitação § Correção § Recuperação § Monitoramento § Conscientização
Controles Após a identificação dos riscos, é necessário identificar os controles já existentes na organização e verificar se o risco resultante após a utilização destes controles é aceitável. E só então deve­se avaliar a necessidade de novos controles. A norma ISO 17799 e a norma ISO 27001 identificam 133 controles que a organização pode implementar, mas a organização não deve se restringir a estes. Outros controles podem ser identificados. Exemplo de controles da norma ISO 17799 e da norma ISO 27001 – Anexo A: A.11.5 – Controle de acesso ao sistema operacional à Procedimentos seguros de entrada no sistema (log on) à Identificação e autenticação de usuário à Sistema de gerenciamento de senha à Uso de utilitários de sistema à Desconexão de terminal por inatividade à Limitação de horário de conexão Login
Avaliação de risco e controles Ativos Têm Impacto potencial no negócio Valor Por ter valor são Portanto é necessário que se defina Vulneráveis E por isso podem ser atacados por Requisitos de Segurança E Ameaças E correm Riscos Controles Podendo provocar
Processos de avaliação e tratamento do risco Avaliação de risco § Identificação e valorização dos ativos § Identificação das vulnerabilidades § Identificação das ameaças § Avaliação de impactos que a perda de confidencialidade, integridade e disponibilidade nos ativos pode causar § Análise e avaliação dos riscos § Priorização dos riscos Tratamento de risco § Definição do grau de garantia § Revisão de controles existentes § Identificação de novos controles § Implementação dos novos controles § Aceitação do risco residual A cláusula 4.2.1 da ISO/IEC 27001:2005 estabelece que uma avaliação de risco seja realizada para identificar ameaças aos ativos.
Exercício Continuando o exercício anterior onde foram identificados os riscos, para um destes ativos agora identifique, dentro de seu ponto de vista e conhecimento, controles que poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou eliminar cada um destes riscos.
Resposta Vamos considerar um servidor como exemplo. Resgatando a análise do exercício anterior teremos: Descrição
Servidor Disponibilidad e Integridad e Confidenci alidade Valor Comentári o Vulnerabilidade Ameaças Peça­ chave do processo Antivírus desatualizado Contaminação por vírus, ataque de hacker Backup inadequado Patches desatualizados E alguns controles possíveis serão apresentados no próximo slide. Probabil idade Desc rição Resposta Controle Controle contra software malicioso Housekeeping Desenvolvimento e manutenção de sistema
Aplicação do Controle Criar procedimento automático para atualização Criar política adequada para tratar o problema Terceirizar a manutenção e atualização do sistema anti ­ vírus Criar procedimento de backup Controlar a disponibilidade de espaço Terceirizar procedimento de backup Criar procedimento para atualização de patches Terceirizar a informação e atualização dos softwares Adquirir software IDS O que é um sistema de gestão?
Definição de sistema de gestão Um sistema de gestão é um sistema para estabelecer política e objetivos, e para atingir estes objetivos utilizando: § A estrutura organizacional § Processos sistemáticos e recursos associados § Metodologia de medição e avaliação § Processo de análise crítica para assegurar que os problemas são corrigidos e as oportunidades de melhoria são identificadas e implementadas quando necessário
O que é monitorado pode ser medido, e o que é medido pode ser gerenciado. Elementos de um sistema de gestão § Política (demonstração de compromisso e princípios para ação) § Planejamento (identificação das necessidades, recursos, estrutura e responsabilidades) § Implementação e operação (construção da consciência organizacional e treinamento) § Avaliação de desempenho (monitoramento e medição, auditoria e tratamento de não­ conformidades) § Melhoria (ação preventiva e corretiva, melhoria contínua) § Análise crítica pela direção
Normas de sistemas de gestão § ISO/IEC 27001 – Segurança da Informação § ISO/IEC 20000 – Gestão em TI § ISO 9001 – Qualidade § ISO 14001 – Ambiental § OHSAS 18001 – Segurança e Saúde Ocupacional § TL 9000 – Telecomunicações § TS 16949 – Automotiva § SAE AS 9100 – Aeroespacial § ISO 22001 – Alimentos
Sistema de Gestão de Segurança da Informação SGSI § Parte do sistema de gestão, baseado no enfoque de risco nos negócios, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. Projeto e implementação § Influenciados pelas necessidades e objetivos dos negócios, resultando em requisitos de segurança, processos utilizados, tamanho e estrutura da organização. Espera­se que o SGSI e os sistemas de apoio mudem com o tempo.
Fatores críticos do sucesso § Comprometimento e apoio visível de todos os níveis da direção § Provisão de recursos para as atividades de Gerenciamento de Segurança da Informação § Divulgação, conscientização, educação e treinamento adequados § Política de segurança da informação, objetivos e atividades refletindo os objetivos do negócio § Bom entendimento dos requisitos de segurança da informação, avaliação de risco e gerenciamento de risco
Fatores críticos do sucesso § Implementação, manutenção, monitoramento e melhoria da segurança da informação consistente com a cultura organizacional § Estabelecer um processo eficaz de gestão de incidentes de segurança da informação § Implementação de um sistema de medição que seja usado para avaliar o desempenho da Gestão de Segurança da Informação e obtenção de sugestões para melhoria
Exercício Indique se é verdadeiro ou falso: 1) ( ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para atingir estes objetivos. 2) ( ) Análise crítica não é um elemento de um sistema de gestão. 3) ( ) Um SGSI não deve mudar com o tempo. 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação escrita, falada e eletrônica é o objetivo da ISO 27001. 6) ( ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI. 7) ( ) O SGSI é parte do sistema de gestão global da organização.
Resposta Indique se é verdadeiro ou falso: 1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para atingir estes objetivos. 2) ( F ) Análise crítica não é um elemento de um sistema de gestão. 3) ( F ) Um SGSI não deve mudar com o tempo. 4) ( V ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( V ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação escrita, falada e eletrônica é o objetivo da ISO 27001. 6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI. 7) ( V ) O SGSI é parte do sistema de gestão global da organização.
Fim do módulo 3
Conceitos Riscos de segurança, processos de avaliação e tratamento do risco, sistema de gestão, Sistema de Gestão de Segurança da Informação 
Download