Pgina 2 de 47

............................................................................................................................................ 3 AULA 1 28 SET. 2012

SEGURANA DA INFORMAO ...................................................................................................................... 3
ABORDAGEM INTEGRADA SEGURANA...................................................................................................... 5
NORMAS E LEGISLAO APLICVEL ............................................................................................................... 6
INTRODUO ISO 27001 ............................................................................................................................. 6
INTRODUO GESTO DE RISCO ................................................................................................................ 8
INTRODUO GESTO DE CONTINUIDADE DE NEGCIO .......................................................................... 10
........................................................................................................................................ 11 AULA 2 19 OUT. 2012
A ANLISE E GESTO DE RISCOS .................................................................................................................. 11
MITIGAO TCNICA E/OU ADMINISTRATIVA ............................................................................................. 13
MODELO DE SEGURANA INTEGRADO ........................................................................................................ 15
CONTROLOS DE SEGURANA (TECNOLGICOS, OPERACIONAIS E DE GESTO) ............................................ 17
.......................................................................................................................................... 20 AULA 3 2 NOV. 2012
NOES DE CRIPTOGRAFIA .......................................................................................................................... 20
GESTO DE CHAVES ..................................................................................................................................... 24
INTRODUO AO PROCESSO DE ANLISE DE RISCO FRAAP ......................................................................... 26
........................................................................................................................................ 30 AULA 4 16 NOV. 2012
PROCESSO DE ANLISE DE RISCO FRAAP ..................................................................................................... 30
SESSO FRAAP ............................................................................................................................................. 37
METODOLOGIAS DE GESTO DE RISCO ........................................................................................................ 42
........................................................................................................................................ 44 AULA 5 30 NOV. 2012
PROCESSO DE ANLISE DE RISCO FRAAP ..................................................................................................... 44
........................................................................................................................................... 46 AULA 6 7 DEZ. 2012
BUSINESSIMPACTANALYSIS (BIA)................................................................................................................. 46
GAP ANALISYS ............................................................................................................................................. 47

Pgina 3 de 47

Segurana da Informao
Dados vs Informao
Os dados so representaes de factos, conceitos ou instrues de uma maneira normalizada
que se adapte comunicao, interpretao e processamento pelo ser humano ou atravs de
sistemas automatizados.
Os dados so representados por smbolos como por exemplo as letras ou nmeros: a, b, 1, 2
etc., mas no constituem por si informao til.
Informao todo o conjunto de dados devidamente ordenados e organizados de forma a
terem significado.
A informao atualmente considerada o ativo mais importante nas Organizaes

Controlo de acesso Informao
mbito da informao
Interna
Parceiros
Clientes
Pblica

Classificao
No classificada
Reservada
Confidencial


Ateno: Tanto o mbito como a classificao podem variar ao longo do tempo <> processo de gesto

Pgina 4 de 47
Segurana da Informao
"A preservao da confidencialidade, integridade e disponibilidade da informao, alm disso, outras
propriedades, tais como autenticidade, no-repdio, responsabilidade e confiabilidade tambm podem
ser envolvidas"

Caractersticas da Seg. Informao
C Confidencialidade a informao no pode estar disponvel ou revelada a indivduos no
autorizados, entidades ou processos.
I Integridade propriedade de salvaguarda da preciso e integridade de ativos.
D Disponibilidade propriedade da informao estar acessvel e utilizvel sob demanda por
uma entidade autorizada.

Gesto da Segurana de Informao na Organizao
Garantir a preservao da confidencialidade, integridade e disponibilidade da informao;
Reduzir os riscos para o negcio prevenindo e minimizando os impactos dos incidentes de
segurana;
Assegurar a Continuidade do Negcio da Organizao.
um processo de gesto;
No se resume componente tecnolgica, mas esta faz parte do processo de gesto da
segurana

Conceitos
Ameaa (Threat) Uma ameaa qualquer coisa (ato humano intencional ou no, ou
causada pela natureza), que tem o potencial de causar danos
Vulnerabilidades (vulnerability) A vulnerabilidade uma fragilidade que pode ser
usada para colocar em perigo ou causar danos a um ativo de informao
Riscos (Risk) Risco a probabilidade de algo mau vir a acontecer e causar danos a um ativo
de informao

Pgina 5 de 47
A probabilidade de uma ameaa vir a usar uma vulnerabilidade, para causar dano, resulta num risco
para a organizao.

NOTA:A Segurana da informao deve ser um processo integrado, que abrange toda a organizao

Abordagem Integrada Segurana
A Segurana de um Sistema de Informao s se
consegue atingir considerando de forma integrada:
Normas e Procedimentos
Sistemas e Aplicaes
Infraestrutura
Acesso Fsico

Requisitos da Poltica de Segurana
A poltica de segurana deve ser caracterizada pela preservao da:
o Confidencialidade da informao;
o Integridade da informao;
o Disponibilidade da informao;
Requisitos contratuais, regulamentares, estatutrios e legais

A Poltica deve focar
Segurana Organizacional
Conformidade com requisitos regulamentares, legais, etc.;
Controlo de acessos, comunicaes e dados;
Procedimentos para a classificao da informao;
Procedimentos e responsabilidades operacionais;
Requisitos de segurana para manutenes e novos desenvolvimentos;
Planos de continuidade de negcio

Pgina 6 de 47
Importante garantir o alinhamento da Poltica de
Segurana
Auditorias internas/externas
Anlise dos relatrios de incidentes
Alteraes dos requisitos de negcio

Normas e legislao aplicvel
ISO/IEC 27001:2005 (BS7799-2) Requisitos para implementar o Sistema de gesto de
Segurana da Informao ( a norma que permite certificar)
ISO/IEC 27002 ex. ISO/IEC 17799- Cdigo de boas prticas e controlos para a
implementao do SGSI
ISO/IEC 27003:2010 - Guia para a implementao do SGSI
ISO/IEC 27004:2009 Avaliao (medidas) do SGSI
ISO/IEC 27005:2008 (BS7799-3) Norma sobre a Gesto de Risco
BS25999 Norma que deve ser seguida para a Gesto de Continuidade de Negcio.
NOTA: Tanto a Qualidade como a Segurana devem estar presentes ao longo de todo o ciclo de vida
de um Sistema de Informao.

Introduo ISO 27001

ISO/IEC 27001:2005
Especificao de requisitos para Sistemas de Gesto de Segurana da Informao
Especifica os requisitos para o estabelecimento, implementao e documentao de um Sistema
de Gesto de Segurana da Informao (ISMS - Information Security Management System)
Especifica os requisitos para os controlos de segurana a serem implementados de acordo com
as necessidades individuais das organizaes


Pgina 7 de 47
ISO/IEC 27002:2005 (ex. ISO17799)
Cdigo de boas prticas para a gesto da segurana da informao
Para utilizao como documento de referncia
Possui um conjunto compreensivo de controlos de segurana
As melhores prticas de segurana atuais, em utilizao
Possui 11 seces de controlos, detalhando a sua implementao
No pode ser utilizado para anlise (auditoria) e/ou certificao

Resumo do Modelo PDCA aplicado ao ISMS
Plan (estabelecer o SGSI) Estabelecer polticas do SGSI, objetivos, processos e
procedimentos relevantes para a gesto de risco e melhorar a segurana da informao para
fornecer resultados de acordo com as polticas globais de uma organizao e objetivos.
Do (implementar e operar o SGSI) Implementar e operar as polticas do SGSI,
controlos, processos e procedimentos.
Check (monitorizar e rever o SGSI) Avaliar e, se for o caso, o medir o
desempenho do processo contra as polticas do SGSI, objetivos e experincia prtica e relatar os
resultados da gesto para serem revistos.
Act (Manter e Melhorar o SGSI) Tomar aes corretivas e preventivas, com base
nos resultados da auditoria interna do SGSI e reviso da gesto ou outras informaes
relevantes, para alcanar a melhoria contnua do SGSI.



Pgina 8 de 47
Introduo Gesto de Risco
Norma a ter em conta
ISO/IEC 27005:2008 (BS7799-3) - Information security risk management

Alguns conceitos
Riscos (Risk) probabilidade de algo mau vir a acontecer e causar danos a um ativo de
informao.
Anlise de Risco (Risk Analysis) uso sistemtico de informaes para identificar fontes e
estimar o risco.
Clculo do Risco (Risk Evaluation) processo de comparao do risco estimado com
critrios de risco dados para determinar a importncia do mesmo.
Avaliao do Risco (Risk Assessment) todo o processo global que envolve a anlise de
risco e clculo (classificao).
Tratamento do Risco (Risk Treatment) processo de seleo e implementao de
medidas (controlos) para mitigar o risco.
Gesto de Risco (Risk Management) atividades para dirigir e controlar uma organizao
no que diz respeito ao risco.

O risco avaliado de acordo com parmetros, cujo peso
pode variar de acordo com o mtodo utilizado
Ameaa
Vulnerabilidade
Probabilidade
Valor do bem
Impacto
Controlos existentes



Pgina 9 de 47
Exemplos de Ameaas [ISO 27005]
Terrorismo
Espionagem industrial
Uso no autorizado de equipamento
Fogo
Inundaes
Terramotos
Falha de energia
Falha de comunicaes
Falha de hardware ou software

Acesso no autorizado
Roubo de informao
Corrupo de dados
Bugs de software
Social engeneering
Ataques de vrus
Hacking
...

Exemplos de Vulnerabilidades [ISO 27005]
Inexistncia de sistemas de deteo e extino de incndios
Inexistncia de sistemas de deteo de Inundaes
Inexistncia de um programa BCM
Inexistncia de redundncia de power e comunicaes
Testes de software fracos
Inexistncia de sistemas de proteo contra intruses (ex. FW, IPS, etc.)
Inexistncia de sistemas de controlo de acessos fsicos (barreiras, seguranas, vdeo, ID cards,
etc.)
Inexistncia de sistemas de controlo de acessos lgicos (login/passwd, id manag, tokens, etc.)
...

Avaliao de risco
Existem vrias formas de calcular o risco:
Em funo da metodologia adotada
No entanto, tem que ser sistemtica e repetvel
Preferencialmente, devem ser utilizados valores quantitativos (1,2, 3, 4, 5) em vez de qualitativos (alto,
mdio, baixo)

Pgina 10 de 47
Tratamento do risco
Aceitar os riscos (ex. abaixo de um determinado valor);
Evitar os riscos (ex. fechar um servio ou substitui-lo deve ser feita nova avaliao);
Transferir os riscos (seguradoras).
Mitigao dos riscos
o Implementar os respetivos controlos (alguns identificados no Annex A da
o ISO27001);
o Deve ser realizada nova avaliao tendo em conta os novos controlos

Introduo Gesto de Continuidade de
Negcio

O processo de Gesto Continuidade de Negcio conduz produo de planos e procedimentos
que permitem, a uma organizao, responder a incidentes mantendo ou reativando em tempo
til os seus servios crticos ou essenciais para o negcio
A dependncia das organizaes face aos Sistemas de Informao e os riscos a que se expem
torna necessrio conceber e operacionalizar uma eficaz e eficiente Gesto Continuidade de
Negcios.
Atualmente, o standard a seguir nesta rea a BS25999 do BSI, British Standards Institution.
Uma Gesto de Continuidade de Negcio eficiente
permite Organizao
Identificar os processos/informao/sistemas crticos para o negcio
Identificar os impactos de uma eventual descontinuao dos servios;
Preparar a resposta a incidentes, que permitam minimizar esses impactos para o negcio;
Definir processos e organizao da equipa na sua implementao, testes e ativao;
Oferece organizao uma vantagem competitiva
Em caso de incidentes, oferecendo uma maior preparao e rpida resposta
Explorado em termos de marketing


Pgina 11 de 47
A anlise e gesto de riscos
Anlise de Risco Vs Gesto de Risco

mais abrangente e inclui:
Avaliao de Risco
Mitigao de Risco
Implementao de controlos
Reavaliao/monitorizao

Gesto de Riscos objetivos
Manter em segurana os sistemas de informao que guardam, processam ou transmitem
informao da organizao
Permitir gesto a tomada de decises devidamente fundamentadas que justifiquem os
investimentos e custos das Tis
Assistir a gesto na acreditao dos sistemas de IT com base na documentao resultante das
atividades desenvolvidas na Gesto de Risco
um processo, no um projeto

Formas de quantificar o Risco?
Avaliao quantitativa, recorrendo a valores numricos
No seu clculo inclui pode incluir o impacto no negcio
Que pode ser considerado na anlise custo-benefcio dos controlos a implementar
Avaliao qualitativa, atravs de nveis de valores
Utilizando categorias e nveis de risco
Atravs deste mtodo observa-se facilmente a priorizao dos Riscos

Pgina 12 de 47
Avaliao quantitativa
Atravs da aplicao deste mtodo, os fatores do risco (probabilidade e impacto) so
classificados atravs da atribuio de um valor (numrico ou verbal) que est integrado numa
escala de valores relativos.
Cada valor da escala associado a uma descrio explicativa.

Exemplo de uma escala qualitativa para classificar a probabilidade

Considerados nveis de avaliao de 1 a 5, no caso do exemplo
abaixo, o nvel de Risco de 45, considerando: o valor de 5 para o ativo
3 para a probabilidade da ameaa se concretiza e 3 para o impacto da
vulnerabilidade.



Formas de estimar a probabilidade
Estimar a probabilidade atravs de dados e input interno
Utilizar histrico dos incidentes para determinar os riscos atuais
Recorrer ao conhecimento e experincia dos colaboradores e
especialistas internos em segurana
Atravs de metodologias estruturadas de recolha de dados: Com questionrios e discusses de
grupo.
Estimar a probabilidade atravs de dados externos
Dados partilhados por outras organizaes


Pgina 13 de 47
Mitigao tcnica e/ou administrativa
Opes de Tratamento de Risco (ISO)
Assumir o Risco
o Aceitar o Risco continuando com o sistema em operao
o Podendo/devendo ir implementando controlos tendentes reduo do risco
Evitar o Risco
o Eliminando a causa do risco ou as consequncias (desativar certas funcionalidades, ou
mesmo desligar o sistema)
Transferncia de Risco
o Utilizando opes que permitam compensao em caso de perdas (p.e. seguros)
Aplicao de Controlos
o Controlos de segurana apropriados s ameaas e vulnerabilidades encontradas no
sentido de reduzir o risco final
Opes de Mitigao de Risco (NIST)
Assumir o Risco
o Aceitar o Risco continuando com o sistema em operao
o Podendo/devendo ir implementando controlos tendentes reduo do risco
Evitar o Risco
o Eliminando a causa do risco ou as consequncias (desativar certas funcionalidades ou,
mesmo, desligar o sistema)
Transferncia de Risco
o Utilizando opes que permitam compensao em caso de perdas (p.e. seguros)
Planeamento de Risco
o Gerir o risco, desenvolvendo um plano de mitigao que prioriza, implementa e mantem
os controlos
Limitar o Risco
o Implementar os controlos capazes de minimizar o impacto de certas ameaas sobre
alguma vulnerabilidade
Pgina 14 de 47
o Necessrio implementar medidas de deteo, preveno e suporte
(se for verificado um determinado incidente, desligar sistema, ou repor sistema)
Reconhecimento e Desenvolvimento de controlos
o De forma a baixar o risco, medida que as vulnerabilidades so reconhecidas,
implementado um plano de desenvolvimento e implementao de controlos que
permitam corrigir ou minimizar a vulnerabilidade.

Risk Mitigation Checklist (extrado do NIST)
Cada opo de mitigao de risco projetada deve ser examinada a partir das seguintes perspetivas:
Eficcia Ser que vai reduzir ou eliminar os riscos identificados? At que ponto as
alternativas iro mitigar os riscos?
Custo/benefcio Os benefcios entendidos da opo superam os custos? Ser que os
ganhos potenciais so proporcionais ao impacto da mudana necessria?
Praticidade vivel e adequado em termos de tecnologia disponvel, viabilidade
financeira, viabilidade administrativa, legislao e regulamentos, disponibilidade poltica, etc.?
Desafio Pode a medida de mitigao de risco resistir mudana de todas as partes
interessadas (empregados, gerentes, acionistas / Estado administraes, etc.)?
Aceitao das partes interessadas Quanta resistncia das partes interessadas se
pode esperar? (As discusses com as partes interessadas durante a fase de avaliao de risco
podem indicar a sua opo preferida mitigao de risco.)
Exequibilidade Se as novas regras (POPs, regulamentos, etc.) so implementadas, so
exequveis?
Durabilidade Ser que a medida ir resistir ao longo do tempo? Ser que vai ser um
benefcio temporrio ou ser que vai ser til a longo prazo?
Riscos residuais Aps a medida de mitigao de risco ser implementada, quais sero
os riscos residuais em relao ameaa original? Haver capacidade de mitigar quaisquer riscos
residuais?
Problemas novos Que novos problemas ou novos (talvez pior) riscos surgiro com o
controlo introduzido?

Pgina 15 de 47
Modelo de segurana integrado
A definio de estratgia e metodologias deve estar suportada numa Poltica de Segurana
Integrada, ou no, num SGSI Sistema de Gesto de Segurana da Informao
Inserido, ou no num processo de certificao

Roadmap para Poltica de Segurana



Norma utilizada
Utilizao da ISO 27002 (ou 17799) como suporte gesto da segurana da informao.



Pgina 16 de 47
Poltica de segurana
Definio de Segurana da Informao aprovada pela Gesto de Topo, seus objetivos,
abrangncia e importncia
o Breve explicao dos princpios, normas e conformidades de relevo
o Referncias a documentos ou processos externos
Comunicao a toda a organizao
Uma poltica de segurana dever ser aprovada pela direo da organizao, publicada e
comunicada apropriadamente a todos os funcionrios
Para possuir a direo dos gestores de topo e o seu indiscutvel suporte segurana da
informao;
Para fornecer elementos comuns de abordagem Segurana da Informao;
Para responsabilizao de todos os elementos da organizao.
A poltica de segurana de alto nvel (topo) no pode deixar dvidas quanto necessidade de
TODOS os funcionrios a respeitarem na ntegra.
Simples e direta;
Os pontos principais devero ocupar uma simples folha de papel A4;
O contedo completo da poltica dever estar acessvel a todos dentro da organizao.
Esta dever responsabilizar e sancionar aqueles que a no respeitem.

Poder conter
A descrio da necessidade de aes de formao especficas;
A indicao da existncia de um frum de segurana;
A identificao de outras polticas especficas;
A viso do processo de gesto do risco.
Os requisitos para o plano de contingncia da organizao;
As necessidades de backup/restore;
A forma de seleo e gesto de ferramentas de eliminao de vrus;
As especificaes de mecanismos para controlo de acessos a sistemas e dados;
Para comunicao de incidentes de segurana;
A descrio de aes disciplinares para atividades maliciosas ou de acesso/utilizao
inapropriado de recursos.
Etc.
Pgina 17 de 47
Concluso
Utilizao da ISO 27002 (ou 17799), define as melhores prticas para a gesto de segurana da
informao
Sem uma gesto formal da segurana da informao, a segurana ser quebrada algures no
tempo.
A segurana da informao um processo de gesto, no um processo tecnolgico.

Controlos de segurana (Tecnolgicos,
Operacionais e de Gesto)

A implementao de controlos ou medidas de segurana:
Deve resultar de um processo de avaliao de riscos
Opo de Mitigao Tcnica ou Administrativa
Compromisso entre ambas
Carece de uma cuidada anlise de custo-benefcio
Na ISO/IEC 27001 os controlos de segurana esto agrupados em 11 pontos, do Anexo A

Agrupar controlos
Os controlos a implementar podem ser agrupados em (NIST Special Publication 800-30) em:
Tecnolgicos
o Suporte
o Preventivos
o Para deteo e recuperao
No tecnolgicos
o Gesto
o Operacionais
o Organizacionais


Pgina 18 de 47
Controlos Tecnolgicos
Suporte
So a base e esto interligados com outros controlos de segurana.
Identificao
Gesto de Chaves Criptogrficas
Administrao da Segurana
Proteo de Sistemas

Preventivos
Autenticao (ex.: User/Pass; PIN; Autenticao forte; Biometria)
No repudio (Ao assegurar a correta accountability das transaes relevantes previne-se o no
repdio)
Proteo das comunicaes (ex: Estabelecimento de VPNs)
Autorizao
Para deteo e recuperao
Controlos que permitem a deteo de violao ou tentativa de violao das regras de polticas
Funcionam como complemento segurana das medidas de suporte e preventivas

Exemplos de Controlos:
Audit.
Intrusion Detection and Containment.
Proof of Wholeness.
Restore Secure State.
Virus Detection and Eradication.


Pgina 19 de 47
Controlos no tecnolgicos
Devem ser implementados em conjunto com os controlos tecnolgicos e contribuem para gerir e
minimizar o risco.
Controlos de Gesto e Organizacionais
Focados na definio de polticas e normas de proteo da informao, realizadas atravs de
procedimentos operacionais.
Processos e procedimentos que definem como os elementos da organizao devem atuar no
sentido de colaborar na segurana.
Exemplos:
Atribuir responsabilidades relativas segurana dos sistemas crticos
Estabelea programas de formao e sensibilizao dos utilizadores
Estabelecimento de procedimentos para acesso de terceiros
Credenciao de pessoal o analisando as competncias e o passado (p.e. Registo Criminal e
Referncias)
Providenciar o estabelecimento e gesto de um plano operacional de continuidade de
negcio

Controlos Operacionais
Conjunto de controlos e linhas orientadoras que assegurem procedimentos seguros de
governao do IT, no sentido de cumprir os objetivos da organizao
Deve considerar as polticas e normas definidas na gesto
Exemplos:
Manter em segurana os sistemas de rede e cablagem
Estabelecer e controlar os procedimentos de segurana de armazenamento de dados fora
da organizao
Controlo ambiental do Data Center (Ar condicionado)
Assegurar a segurana ambiental (detetores de incndios, sensores de temperatura e
humidade, e alarmes).
Pgina 20 de 47
Noes de criptografia
O que ?
Escrita secreta por meio de abreviaturas ou de sinais convencionados de modo a preservar a
confidencialidade da informao

Em que consiste?
Transformao de textos originais, chamada texto original (plaintext) ou texto claro (cleartext), em
informao transformada, chamada texto cifrado (ciphertext), texto cdigo (codetext) ou simplesmente
cifra (cipher), que tm a aparncia de um texto random ilegvel.

Proteo da Informao
O truque da segurana da informao :
Proteg-la de algum mal (roubo, alterao, acesso no autorizado)
Ao mesmo tempo que mantm a informao disponvel para quem precisa

As ameaas que a informao enfrenta
Perda ou Roubo de Media - Tapes ou discos de backup armazenados ou em trnsito
Roubo de Informao por utilizadores com acesso
Distribuio no intencional (envio para um destinatrio diferente)
Hacking (aplicacional), alterando aplicaes ou configuraes com impacto nos dados
Roubo de dispositivos mveis

Proteo da informao em vrios pontos
Segurana de dados armazenados
Segurana nos Servidores (emails, etc.)
Segurana dos Terminais de utilizador (PC, PDA, Pens, etc.)
Pgina 21 de 47
Processos bsicos de criptografia
Encryption processo de transformao (encriptao) de informao em claro (plaintext) em
texto cifrado (ciphertext).
Decryption processo de converso de texto cifrado na mensagem original utilizando a chave
criptogrfica apropriada.

Sistemas criptogrficos simtricos
Usam a mesma chave para encriptar e desencriptar mensagens; ou pelo menos, chaves que
possam ser determinadas de forma simples e direta uma a partir da outra.
Necessitam de um canal seguro para a divulgao das chaves.
S os utilizadores do grupo podem ter acesso s chaves.
Com a sada de um utilizador do grupo, o sistema fica comprometido
Exemplos:
Cdigo Playfair
Substituio de Hill
Data Encryption Standard (DES)
International Data Encryption Algorithm (IDEA)
One Time Pad (One time key, ou Chave nica)
Advanced Encryption Standard (AES)

Sistemas criptogrficos assimtricos (chave pblica)
Tipo de encriptao que usa duas chaves distintas, uma para a encriptao e outra para a
desencriptao de mensagens (chave pblica e chave privada, respetivamente).
Evita o problema da divulgao das chaves, dos sistemas simtricos.
Cerca de 1000 vezes mais lento que os algoritmos simtricos
Utilizaes mais comuns...
o Distribuio de chaves sem segredos pr-acordados
o Assinaturas digitais e no repdio
o Identificao utilizando protocolos de desafio-resposta com chaves pblicas
o Encriptao (mas muito mais lento)


Pgina 22 de 47

Exemplos
Diffie - Hellman (# 1 sistema de chave pblica inventado)
HM (Merkle e Hellman)
RSA (Ron Rivest, Adi Shamir e Leonard Adleman)
PGP (Pretty Good Privacy)

PKI Public Key Infrastructure
Infraestrutura necessria para a gesto do ciclo de vida das chaves criptogrficas de sistemas
assimtricos
Gerao
Distribuio
Renovao
Revogao
Etc.

Certificado Digital (Digital Certificate)
um documento eletrnico que liga a identidade fsica de uma entidade (pessoa, organizao
ou computador) sua chave pblica
Em sistemas seguros (particularmente em PKIs) um certificado digital emitido para
o autenticar a(s) parte(s) envolvidas numa transao,
o assinar eletronicamente documentos assegurando a integridade do seu contedo e/ou
no repdio de transaes eletrnicas


Pgina 23 de 47
Combinao dos dois mtodos
Codificando-se a mensagem com o mtodo da chave simtrica e trocando a chave simtrica com o
mtodo de chave pblica.
Chave de sesso simtrica
o processamento mais rpido
Partilhada recorrendo a criptografia assimtrica
o mais lenta
o mas mais segura


Assinatura Digital
Proporcionado pela criptografia assimtrica que permite garantir a autenticidade de quem envia a
mensagem, associada integridade do seu contedo.
No caso de se pretender enviar uma mensagem garantindo a integridade:
Mensagem cifrada na origem com a chave privada
Destinatrio utiliza a chave pblica do emissor, para decifrar a mensagem
Fica garantida assim a
o autenticidade,
o integridade e
o no-repudiao da mensagem recebida

Pgina 24 de 47
Gesto de chaves
Algumas notas
A Cifra requer:
os dados a proteger
algoritmos de cifra
chaves de cifra

O processo de cifrar uma comodidade disponibilizada por um conjunto variado de ferramentas
Ter em ateno que nenhum algoritmo inquebrvel
o A questo quanto tempo leva a quebrar

O foco deve ser dado ao nvel da Gesto de chaves
o Uma gesto de chaves fraca pode comprometer processos e algoritmos de cifra
robustos

A segurana depende em grande parte da gesto de chave
o no sentido de apenas dar acesso a pessoas autorizadas e de acordo com polticas de
aprovao e atribuio

As chaves tm que ser
o geradas de forma segura e realmente aleatrias
o armazenadas de forma cuidada
o transportadas de forma segura
o ter (ou no) forma de recuperao

Para uma gesto eficaz, necessrio perceber que as chaves tm um ciclo de vida.


Pgina 25 de 47
O que a Gesto de chaves?
o conjunto de tcnicas e procedimentos relacionados com o ciclo de vida das chaves
criptogrficas
Mas tambm das relaes entre as entidades emissoras
Mantendo as chaves e essas relaes em segurana

Public Key Infrastructure (PKI)
Certificate Authority (CA)
CA uma organizao que emite certificados utilizando uma assinatura digital, que vincula um
certificado digital identidade de uma entidade.
Registration Authority (RA):
RA autentica a identidade das entidades e requer CA a emisso do certificado para cada uma
dessas entidades.
Hierarquicamente, a RA opera na dependncia da CA e atua como interface da CA para com o
utilizador ou entidade requerente.
Validation Authority (VA):
VA pode fazer parte do servio fornecido pela CA ou por um terceiro.
Valida os certificados digitais, emite comprovativos digitais e servios confiveis de
reconhecimento como prova de que uma transao eletrnica ocorreu.

Relaes de confiana entre CAs
Existe um modelo hierrquico que estabelece as relaes de confiana entre CAs diferentes,
dentro da hierarquia de confiana mesmo.
No entanto, se os seus CAs no partilham uma raiz comum CA, deve ser realizada uma
certificao cruzada.
As CAs raiz devem desenvolver relaes de confiana bilateral.
o Constituindo um modelo hbrido de relaes de confiana.

Pgina 26 de 47
Introduo ao processo de anlise de risco
FRAAP

Definio e conceitos

FRAAP Facilitated Risk Analysis and Assessment Process
uma metodologia de anlise e avaliao de risco desenvolvido por Thomas R. Peltier
Tem por base as normas existentes (nomeadamente a 17799/27002)
o Que transmitem as boas prticas, no a metodologia
Resulta da experincia da equipa em projetos
Tem sido utilizada, e melhorada, nos ltimos 15 anos
Prima por:
o Ser dirigido pelo responsvel de negcio
o Levar dias, em vez de semanas
o Boa relao custo-benefcio
o Utilizar especialistas/experincia interna
Este processo envolve a anlise de 1 sistema processo, plataforma, processo de negcio
definido de cada vez
um mtodo qualitativo de anlise de risco
o Baseado no nvel de impacto do risco
o Em vez do valor monetrio do impacto
Durante o processo a equipa envolvida conduzida a participar na discusso e identificao de
o potenciais ameaas
o nveis de risco
o possveis controlos a aplicar


Pgina 27 de 47
Constituio do FRAAP
Pr-FRAAP
Reunio de 1 a 1,5 horas como responsvel de negcio
Vo definir as bases de trabalho para as fases seguintes
FRAAP
Dura aproximadamente 4 horas e deve incluir uma equipa mais abrangente que inclua os
responsveis de negcio e da infraestrutura
Identificar: Ameaas, Vulnerabilidades, Impactos e Controlos
Post-FRAAP
Normalmente 1 a 2 semanas
Anlise dos resultados e produo do relatrio final

Antes do processo FRAAP
Antes de iniciar deve existir um Programa de Sensibilizao.
Dar a conhecer o processo
Envolver os participantes
Este Programa deve ser conduzido de forma a:
o Avaliar o conhecimento relativo a avaliao de risco
o Determinar o que os gestores e outros funcionrios pretendem aprender
o Verificar o nvel de aceitao do programa de segurana
o Traar forma de conquistar a aceitao
o Identificar possveis aliados

Pr-FRAAP
Reunio de 1 a 1,5 horas como responsvel de negcio
o Neste caso, o gestor de negcio ou processo
Deve incluir o Gestor de Projeto, Facilitador e Secretrio(a)
o O Gestor de projeto deveria ser nomeado pelo gestor de negcio
O seu papel acompanhar o desenrolar do projeto e garantir as condies
necessrias requeridas pela equipa (sala, agendar reunio)
Pode ser o Gestor de negcio
Pgina 28 de 47
o Facilitador - consultor que ajude a conduzir o grupo no sentido de obter os resultados
esperados
o Secretrio(a) responsvel por documentar as reunies

Resultados esperados
Pr-triagem dos resultados esperados
Definio do mbito
Diagrama com a descrio/detalhe do sistema ou processo a avaliar
Estabelecimento da equipa a incluir no processo
Requisitos para a reunio FRAAP
o Agendamento, sala, materiais ..
Acordar definies de princpio
o O que Ativo, Ameaa, Vulnerabilidades, Probabilidade, Impacto, Risco,
Mini-Brainstorming
o No sentido de identificar algumas ameaas como introduo reunio FRAAP

FRAAP
No deve durar mais que quatro horas
Envolver os elementos da equipa que
o estejam envolvidos com o processo ou sistema a avaliar
o conheam a soluo/infraestrutura tcnica
Deve ter a seguinte agenda
o Introduo, preparada no Pr-FRAAP
o Identificao de Ameaas e Vulnerabilidades
o Identificao Controlos Existentes
o Estabelecer nveis de risco
Identificando probabilidade e impacto
o Identificar Riscos Residuais
o Apresentao do Sumrio da Reunio


Pgina 29 de 47
Resultados esperados
Identificao das Ameaas
Identificao das Vulnerabilidades
Identificao dos Controlos Existentes
Caracterizao dos Riscos Residuais

Post-FRAAP
Realizado pela equipa de consultores
o Anlise dos resultados da reunio
Pode ser necessrio contactar alguns elementos da equipa
o Atravs do gestor de projeto
o Para algum esclarecimento adicional
o Ou informao complementar

Resultados esperados
Relatrio final
o com sumrio executivo
o Resumo da reunio de equipa
o Identificao de controlos complementares
o Anlise do processo
Apresentao das concluses ao Gestor de Negcio


Pgina 30 de 47
Processo de anlise de Risco FRAAP
FRAAP Facilitated Risk Analysis and Assessment Process
uma metodologia de anlise e avaliao de risco desenvolvido por Thomas R. Peltier
o Tem por base as normas existentes (nomeadamente a 17799/27002)
Que transmitem as boas prticas, no a metodologia
Resulta da experincia da equipa em projetos
Tem sido utilizada, e melhorada, nos ltimos 15 anos
Prima por:
o Ser dirigido pelo responsvel de negcio
o Levar dias, em vez de semanas
o Boa relao custo-benefcio
o Utilizar especialistas/experiencia interna
Este processo envolve a anlise de 1 sistema processo, plataforma, processo de negcio
definido de cada vez
A afinao do processo, baseada na experincia prtica
o Rpido
o Fcil de implementar

Durante o processo a equipa envolvida conduzida a participar na discusso e identificao de
o potenciais ameaas
o nveis de risco
o possveis controlos a aplicar

Mtodo de avaliao a utilizar?
O Autor defende a utilizao de um mtodo qualitativo:
Em detrimento de mtodos quantitativos
A utilizao de valores no clculo resulta num valor final difcil de interpretar
Podem ser definidos nveis para medio, mas a interpretao ser qualitativa

Pgina 31 de 47
Mtodo Qualitativo vs Quantitativo
Vantagens
Mtodo Quantitativo Mtodo Qualitativo
Os resultados so baseados em processos
objetivos substancialmente independentes
e em mtricas.
Clculos mais simples.
dado um grande foco na definio de
valor de ativos e mitigao de riscos.
No necessrio determinar o valor monetrio do ativo.
O esforo do custo-benefcio de avaliao
essencial.
No h necessidade de quantificar a frequncia de
ameaas.

Permite flexibilidade no processo e elaborao de
relatrios.

Desvantagens
Mtodo Quantitativo Mtodo Qualitativo
Clculos podem tornar-se complexos. Pode apresentar uma natureza subjetiva.
Historicamente, apenas funciona
corretamente com uma ferramenta
automatizada com a associao de um
conhecimento tcnico.
exigido um esforo necessrio para desenvolvimento
com valor monetrio para os ativos.
Existe um trabalho preliminar extenso.
No h bases para a anlise de custo-benefcio de
reduo do risco.
Os participantes no podem ser auxiliados
facilmente durante o processo.

dificultada a mudana de direes.
difcil calcular quando existem questes
fora do mbito.


Pgina 32 de 47
Vantagens do FRAAP
realizado em alguns dias, em vez de semanas/meses.
Envolve o responsvel de negcio
o Participa no processo
o Compreende as necessidades de implementao
o Envolvido na seleo de controlos eficientes (custo-benefcio)
Envolve as reas de negcio
o Reconhecimento da participao e controlo do processo
Permite equipa participar na seleo de controlos apropriados
Facilita a Gesto da Mudana

Equipa envolvida
Responsvel de negcio do processo, sistema ou ativo
Gestor de Projeto - nomeado pelo gestor de negcio
o O seu papel acompanhar o desenrolar do projeto e garantir as condies necessrias
requeridas pela equipa (sala, agendar reunio)
Facilitador consultor com conhecimento do FRAAP
Escriba ou secretrio(a) responsvel por documentar as reunies
Especialistas relacionados com o objeto
o Negcio
o IT
o Colaboradores

Facilitador
Consultor que ajude a conduzir o grupo no sentido de obter os resultados esperados
o Ameaas, probabilidades, impacto, nvel de risco
Guiar a equipa pelas vrias reas de interesse
o Identificando o maior nmero de ameaas
Manter o grupo focado no tema
Atuar como regulador e rbitro da sesso
Controlar o tempo

Pgina 33 de 47
Deve observar as seguintes regras:
o Encorajar a participao de todos
o Aceitar todas as sugestes
o Envolver os participantes, escutando opinies
o Estar atento s movimentaes, gestos, silncios
o Atuar como regulador e rbitro da sesso
o Deve ser imparcial, sem tomar posies particulares, mas guiando a equipa quando est
perdida ou preciso consenso
o Ser objetivo

Escriba ou secretrio(a)
Responsvel por documentar as reunies
Assegura que todas as ameaas, controlos e aes so registadas
Libertando o facilitador desta funo, permite-lhe desempenhar melhor a sua funo principal

Especialistas relacionados com o objeto em anlise
So elementos da prpria organizao que conhecem o sistema ou processo em anlise
Deve ser uma equipa equilibrada, entre as vrias reas de competncia
o Conhecimento do negcio, familiarizados com a misso do objeto em anlise
o Utilizadores que conheam as vulnerabilidades e ameaas
o Tcnicos IT com conhecimento da infraestrutura e sistemas em causa
Elementos devem conseguir funcionar em equipa

Constituio do FRAAP
Este processo envolve a anlise de 1 sistema processo, plataforma, processo de negcio definido de
cada vez.
Pr-FRAAP
Reunio de 1 a 1,5 horas como responsvel de negcio
Vo definir as bases de trabalho para as fases seguintes

Pgina 34 de 47
FRAAP
Dura aproximadamente 4 horas e deve incluir uma equipa mais abrangente que inclua os
responsveis de negcio e da infraestrutura
Identificar: Ameaas, Vulnerabilidades, Impactos e Controlos

Post-FRAAP
Normalmente 1 a 2 semanas
Anlise dos resultados e produo do relatrio final

Antes de inicializar um processo FRAAP
Antes de iniciar deve existir um Programa de Sensibilizao:
Dar a conhecer o processo
Envolver os participantes
Este Programa deve ser conduzido de forma a:
o Avaliar o conhecimento relativo a avaliao de risco
o Determinar o que os gestores e outros funcionrios pretendem aprender
o Verificar o nvel de aceitao do programa de segurana
o Traar forma de conquistar a aceitao
o Identificar possveis aliados

Ferramentas para um Programa de Sensibilizao?
E-Mail
Site
Cartazes
Questionrios
o Mail
o Eletrnicos
o Papel
Sesso de presentao

Pgina 35 de 47
Programa de Sensibilizao
Adaptado organizao
o Ferramentas e linguagem
Selecionar as ferramentas adequadas a cada grupo
Encontrar reas no conformes
o Trabalhar no sentido de reduzir exposio
E resolver possveis atritos
o Sem comprometer resultados da avaliao
Envolver os utilizadores

Pontos-chave do FRAAP

Garantir o envolvimento dos participantes
O processo da organizao, no do consultor/facilitador
o No utilizar expresses como o meu projeto
o o Vosso ou Nosso projeto

Conceitos chave funes

Owner
Deve ser o mais alto responsvel da unidade onde o objeto do processo pertence
responsvel por:
o Estabelecer a classificao da informao
o Identificar controlos razoveis e prudentes
o Monitorizar a adequao de implementao de controlos
o Autorizar o acesso a quem necessita ou inibio
Custodian
Nomeado pelo owner como responsvel do controlo
Colaborador (user)
Empregados autorizados para aceder informao

Pgina 36 de 47
Reunio de Pr-FRAAP

Reunio de 1 a 1,5 horas com o responsvel de negcio
Deve incluir :
o Gestor de Negcio/Processo e Gestor de Projeto
o Facilitador
o Escriba
Resultados esperados
1. Pr-triagem
2. Definio do mbito
3. Diagrama com a descrio/detalhe do sistema ou processo a avaliar
4. Estabelecimento da equipa a incluir no processo
5. Requisitos para a reunio FRAAP
6. Acordar definies de princpio
7. Mini-Brainstorming

Resultados do Pr-FRAAP
Pr-triagem
Triagem das aplicaes, sistemas ou processos que
o Dispensam uma anlise mais profunda
o Requerem uma avaliao de risco formal
Ou um Business Impact Analysys
Definio do mbito
Qual o mbito da avaliao a realizar
Identificar categorias de ameaas
o Tendo como base a C-I-A
o Mas podendo incluir outros como a performance ou reliability
o Consultar www.sabsa.org como checklist
Diagrama com a descrio/detalhe do sistema ou processo a avaliar
o Diagrama com a descrio do processo em anlise
o Para documentao e informao da equipa FRAAP
uma imagem vale por mil palavras
o Estabelecimento da equipa a incluir no processo
Pgina 37 de 47
Identificar entre 15 a 30 elementos
Requisitos para a reunio FRAAP
o Agendamento
o Sala
o Materiais
Acordar definies de princpio
o O que Ativo, Ameaa, Vulnerabilidades, Probabilidade, Impacto, Risco,

Mini-Brainstorming
o No sentido de identificar algumas ameaas como introduo reunio FRAAP

Checklist para reunio
Garantir abordagem de todos os pontos

Sesso FRAAP

Sesso de trabalho

No deve durar mais que quatro horas
o suficiente, na maioria dos casos
o Difcil arranjar mais disponibilidade
Envolver todos os elementos da equipa
o Identificados no Pr-FRAAP
o E devidamente convocados

Pgina 38 de 47
Resultados esperados
Identificao das Ameaas
Identificao das Vulnerabilidades
Identificao dos Controlos Existentes
Caracterizao dos Riscos Residuais

Sesso de trabalho
Requisitos da reunio
Assegurar materiais necessrios
o Projetor
o Quadro
o Canetas
Disposio da Sala em U
o Importante para assegurar a participao de todos
o Todos esto na linha da frente, com o facilitador
Desencorajar a utilizao de portteis ou PDAs
Lembrar para desligar os telemveis
o Ou colocar em silncio

Sesso de trabalho - Introduo
Explicar os conceitos e processos do FRAP
o Responsvel de negcio ir
Abrir a sesso
Introduzir o facilitador
o Facilitador dever
Apresentar a agenda
Explicar o processo
Rever o mbito do processo - Owner
o importante identificar
O que foi assumido
Constrangimentos identificados
o Deve ser entregue uma cpia do Scope Statment equipa

Pgina 39 de 47
Review Visual Diagram Technical support
o Deve fazer a apresentao do diagrama, explicando o processo
o Cerca de 5 min.
Discuss definitions - Facilitator
o Apresenta as definies acordadas
o Se o processo j conhecido na organizao, estas definies j devem estar
interiorizadas
Review Objectives - Facilitator
o So revistos os objetivos a atingir
Identificar ameaas
Estabelecer nveis de risco
Identificar controlos
o Serve como introduo segunda parte da sesso
Identify roles and introduction - team
o Os elementos da equipa identificam-se
Nome
Departamento
Localizao
Contacto
Review session agreements
o Todos os elementos devem participar
o Devem cingir-se aos seus papis
o Focar-se no ponto da agenda
o Todas as ideias tm um valor igual
o Escutar os outros pontos de vista
o Todas as questes/contributos sero registados
o Mesmo os que forem preteridos
o Colocar e registar a ideia, antes de discuti-la
o Assegurar que o escriba assenta todas as questes
o Uma conversa de cada vez
o Limite de tempo por questo (3 a 5 minutos)



Pgina 40 de 47
Conduo da reunio
Idealmente deve ser respeitada a disposio em U
O facilitador deve comear por colocar o primeiro atributo em discusso, colocando os
resultados do mini-brainstorming
Solicitar a participao de todos na identificao de ameaas
o Dar 3 a 5 minutos para pensar em possveis ameaas
o Comear numa ponta
o Percorrer todos
o Cada elemento s sugere 1 ameaa de cada vez
o Dar vrias voltas at que se esgotem as sugestes
o Ter em ateno
Os manipuladores
Centrar no tpico em discusso
Passar ao segundo atributo
o Comear na outra ponta
o Utilizar cores diferentes
o Ir colocando anotaes volta da sala

Utilizao de Checklists
Para ameaas
Para controlos
Permite reduzir o tempo de identificao
Complementa a identificao feita pelos elementos da equipa

Antes do prximo ponto, fazer pausa
D oportunidade para
o Verificar mensagens
o Tomar um caf
o Limpar

Pgina 41 de 47
Identificao de Controlos existentes
Rever todas as ameaas identificando os controlos existentes
Esta caracterizao permite equipa identificar melhor o risco atual
Razo pela qual fundamental ter elementos da infraestrutura
Conhecem os controlos atuais

Estabelecimento do nvel de risco
Verificar se os elementos da equipa esto familiarizados com os termos e definies de
Probabilidade e Impacto
Resumir as ameaas e controlos existentes
Caracterizar os nveis de avaliao para
o Probabilidade
o Impacto
Explicar os nveis de avaliao
o Quando existe risco, os elementos tendem a classificar com nvel mximo
Definies e nveis de avaliao
o Probabilidade
o Impacto
Definies e nveis de avaliao
o Matriz de probabilidade x impacto
o Caracterizar o risco residual
Avaliao das ameaas e controlos identificados

Identificar novos controlos ou melhoria dos existentes
Para os riscos que requerem essa necessidade

Estabelecimento do nvel de risco
Caracterizar novos nveis de risco
Priorizar implementao de controlos
Planear essa implementao
Devem ser consideradas as normas e legislao em vigor.

Pgina 42 de 47
Post-FRAAP
Realizado pela equipa de consultores
o Anlise dos resultados da reunio
Pode ser necessrio contactar alguns elementos da equipa
o Atravs do gestor de projeto
o Para algum esclarecimento adicional
o Ou informao complementar
Relatrio final
o com sumrio executivo
o Resumo da reunio de equipa
o Identificao de controlos complementares
o Anlise do processo
Apresentao das concluses ao Gestor de Negcio


Metodologias de Gesto de Risco
Para suporte Gesto de Risco pode ser utilizados referenciais como:
ISO/IEC 17799 - Information technology- Security techniques - code of practice for information
security management
ISO/IEC 27001 - Information security management systems Requirements
ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk
management


Pgina 43 de 47
Ferramentas de suporte
Exemplos de ferramentas de suporte gesto de risco
Modulo


RiskWatch


Proteus



Pgina 44 de 47
Nota: apenas coloquei a informao que no foi referida na aula anterior.
Processo de anlise de Risco FRAAP



Estabelecimento do nvel de risco



Pgina 45 de 47
Post-FRAAP
Realizado pela equipa de consultores
o Anlise dos resultados da reunio
Pode ser necessrio contactar alguns elementos da equipa
o Atravs do gestor de projeto
o Para algum esclarecimento adicional
o Ou informao complementar
Resumo da reunio de equipa
o Identificao de controlos complementares
o Anlise do processo
o Deve ter:

Sumrio executivo
Documentao das fases
Pr-FRAAP
FRAAP
Anexos (toda a informao complementar ao processo)
o Apresentao das concluses ao Gestor de Negcio

Sumrio executivo
Composio
Capa com caracterizao do processo
ndice
Lista de participantes no processo
Resumo do mbito e princpios estabelecidos
o 2 ou 3 pargrafos com um resumo de como decorreu o processo
o Onde e quando decorreu
o
Resumo das principais concluses da avaliao
o Maiores riscos e controlos
Referenciao restante documentao
Concluses
o Viso sobre o processo todo
o Controlos a considerar e um plano de ao /priorizao

Pgina 46 de 47
BusinessImpactAnalysis (BIA)
Objetivo
Um processo de Business Impact Analysis pretende determinar os efeitos que as falhas dos Sistemas de
Informao Crticos tm na operao e na viabilidade dos processos core de negcio .

Implicaes (pr-requisitos)
Determinar os processos core
Determinar quais so os principais recursos utilizados por esses processos
o Aplicaes
o Sistemas
o Processos
o Funes
o Pessoas
Classificar esses recursos (em termos de importncia e prioridade)
Como concluso do processo de pr-triagem pode ser requerida a realizao de um processo de
Business Impact Analysis

Importncia dos resultados
Os resultados do Business Impact Analysis so importantes no estabelecimento de:
Planos de Continuidade de Negcio
Disaster Recovery

Quando se aplica o BIA?
O BIA aplica-se na fase de Recuperao
preciso conhecer os processos crticos de negcio
Quais devem ser recuperados primeiro


Pgina 47 de 47
Impactos podem causar
Perdas Intangveis
Perdas Tangveis

No final
Comunicar resultados ao Responsvel por manter os planos de recuperao de negcio
Atualizar os planos existentes
o Se o tempo mximo de downtime for inferior ao definido anteriormente


GAP Analisys

Conceitos
GAP Analysis consiste na comparao entre o estado presente e o estado desejado (futuro).

Para tal preciso resposta para:
Qual o estado atual
Qual o estado desejado
O que precisa ser feito para passar ao estado desejado
o Ou estado compliant, quando numa auditoria/certificao

Desdobrada em documentos auxiliares que apresentam princpios e orientaes mais especficas e
dirigidas a grupos de funcionrios ou a funes determinadas
Utilizar Best pratices (p.e. ISO 27002)