SEGURANA DA INFORMAO ...................................................................................................................... 3 ABORDAGEM INTEGRADA SEGURANA...................................................................................................... 5 NORMAS E LEGISLAO APLICVEL ............................................................................................................... 6 INTRODUO ISO 27001 ............................................................................................................................. 6 INTRODUO GESTO DE RISCO ................................................................................................................ 8 INTRODUO GESTO DE CONTINUIDADE DE NEGCIO .......................................................................... 10 ........................................................................................................................................ 11 AULA 2 19 OUT. 2012 A ANLISE E GESTO DE RISCOS .................................................................................................................. 11 MITIGAO TCNICA E/OU ADMINISTRATIVA ............................................................................................. 13 MODELO DE SEGURANA INTEGRADO ........................................................................................................ 15 CONTROLOS DE SEGURANA (TECNOLGICOS, OPERACIONAIS E DE GESTO) ............................................ 17 .......................................................................................................................................... 20 AULA 3 2 NOV. 2012 NOES DE CRIPTOGRAFIA .......................................................................................................................... 20 GESTO DE CHAVES ..................................................................................................................................... 24 INTRODUO AO PROCESSO DE ANLISE DE RISCO FRAAP ......................................................................... 26 ........................................................................................................................................ 30 AULA 4 16 NOV. 2012 PROCESSO DE ANLISE DE RISCO FRAAP ..................................................................................................... 30 SESSO FRAAP ............................................................................................................................................. 37 METODOLOGIAS DE GESTO DE RISCO ........................................................................................................ 42 ........................................................................................................................................ 44 AULA 5 30 NOV. 2012 PROCESSO DE ANLISE DE RISCO FRAAP ..................................................................................................... 44 ........................................................................................................................................... 46 AULA 6 7 DEZ. 2012 BUSINESSIMPACTANALYSIS (BIA)................................................................................................................. 46 GAP ANALISYS ............................................................................................................................................. 47
Pgina 3 de 47
Segurana da Informao Dados vs Informao Os dados so representaes de factos, conceitos ou instrues de uma maneira normalizada que se adapte comunicao, interpretao e processamento pelo ser humano ou atravs de sistemas automatizados. Os dados so representados por smbolos como por exemplo as letras ou nmeros: a, b, 1, 2 etc., mas no constituem por si informao til. Informao todo o conjunto de dados devidamente ordenados e organizados de forma a terem significado. A informao atualmente considerada o ativo mais importante nas Organizaes
Controlo de acesso Informao mbito da informao Interna Parceiros Clientes Pblica
Classificao No classificada Reservada Confidencial
Ateno: Tanto o mbito como a classificao podem variar ao longo do tempo <> processo de gesto
Pgina 4 de 47 Segurana da Informao "A preservao da confidencialidade, integridade e disponibilidade da informao, alm disso, outras propriedades, tais como autenticidade, no-repdio, responsabilidade e confiabilidade tambm podem ser envolvidas"
Caractersticas da Seg. Informao C Confidencialidade a informao no pode estar disponvel ou revelada a indivduos no autorizados, entidades ou processos. I Integridade propriedade de salvaguarda da preciso e integridade de ativos. D Disponibilidade propriedade da informao estar acessvel e utilizvel sob demanda por uma entidade autorizada.
Gesto da Segurana de Informao na Organizao Garantir a preservao da confidencialidade, integridade e disponibilidade da informao; Reduzir os riscos para o negcio prevenindo e minimizando os impactos dos incidentes de segurana; Assegurar a Continuidade do Negcio da Organizao. um processo de gesto; No se resume componente tecnolgica, mas esta faz parte do processo de gesto da segurana
Conceitos Ameaa (Threat) Uma ameaa qualquer coisa (ato humano intencional ou no, ou causada pela natureza), que tem o potencial de causar danos Vulnerabilidades (vulnerability) A vulnerabilidade uma fragilidade que pode ser usada para colocar em perigo ou causar danos a um ativo de informao Riscos (Risk) Risco a probabilidade de algo mau vir a acontecer e causar danos a um ativo de informao
Pgina 5 de 47 A probabilidade de uma ameaa vir a usar uma vulnerabilidade, para causar dano, resulta num risco para a organizao.
NOTA:A Segurana da informao deve ser um processo integrado, que abrange toda a organizao
Abordagem Integrada Segurana A Segurana de um Sistema de Informao s se consegue atingir considerando de forma integrada: Normas e Procedimentos Sistemas e Aplicaes Infraestrutura Acesso Fsico
Requisitos da Poltica de Segurana A poltica de segurana deve ser caracterizada pela preservao da: o Confidencialidade da informao; o Integridade da informao; o Disponibilidade da informao; Requisitos contratuais, regulamentares, estatutrios e legais
A Poltica deve focar Segurana Organizacional Conformidade com requisitos regulamentares, legais, etc.; Controlo de acessos, comunicaes e dados; Procedimentos para a classificao da informao; Procedimentos e responsabilidades operacionais; Requisitos de segurana para manutenes e novos desenvolvimentos; Planos de continuidade de negcio
Pgina 6 de 47 Importante garantir o alinhamento da Poltica de Segurana Auditorias internas/externas Anlise dos relatrios de incidentes Alteraes dos requisitos de negcio
Normas e legislao aplicvel ISO/IEC 27001:2005 (BS7799-2) Requisitos para implementar o Sistema de gesto de Segurana da Informao ( a norma que permite certificar) ISO/IEC 27002 ex. ISO/IEC 17799- Cdigo de boas prticas e controlos para a implementao do SGSI ISO/IEC 27003:2010 - Guia para a implementao do SGSI ISO/IEC 27004:2009 Avaliao (medidas) do SGSI ISO/IEC 27005:2008 (BS7799-3) Norma sobre a Gesto de Risco BS25999 Norma que deve ser seguida para a Gesto de Continuidade de Negcio. NOTA: Tanto a Qualidade como a Segurana devem estar presentes ao longo de todo o ciclo de vida de um Sistema de Informao.
Introduo ISO 27001
ISO/IEC 27001:2005 Especificao de requisitos para Sistemas de Gesto de Segurana da Informao Especifica os requisitos para o estabelecimento, implementao e documentao de um Sistema de Gesto de Segurana da Informao (ISMS - Information Security Management System) Especifica os requisitos para os controlos de segurana a serem implementados de acordo com as necessidades individuais das organizaes
Pgina 7 de 47 ISO/IEC 27002:2005 (ex. ISO17799) Cdigo de boas prticas para a gesto da segurana da informao Para utilizao como documento de referncia Possui um conjunto compreensivo de controlos de segurana As melhores prticas de segurana atuais, em utilizao Possui 11 seces de controlos, detalhando a sua implementao No pode ser utilizado para anlise (auditoria) e/ou certificao
Resumo do Modelo PDCA aplicado ao ISMS Plan (estabelecer o SGSI) Estabelecer polticas do SGSI, objetivos, processos e procedimentos relevantes para a gesto de risco e melhorar a segurana da informao para fornecer resultados de acordo com as polticas globais de uma organizao e objetivos. Do (implementar e operar o SGSI) Implementar e operar as polticas do SGSI, controlos, processos e procedimentos. Check (monitorizar e rever o SGSI) Avaliar e, se for o caso, o medir o desempenho do processo contra as polticas do SGSI, objetivos e experincia prtica e relatar os resultados da gesto para serem revistos. Act (Manter e Melhorar o SGSI) Tomar aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e reviso da gesto ou outras informaes relevantes, para alcanar a melhoria contnua do SGSI.
Pgina 8 de 47 Introduo Gesto de Risco Norma a ter em conta ISO/IEC 27005:2008 (BS7799-3) - Information security risk management
Alguns conceitos Riscos (Risk) probabilidade de algo mau vir a acontecer e causar danos a um ativo de informao. Anlise de Risco (Risk Analysis) uso sistemtico de informaes para identificar fontes e estimar o risco. Clculo do Risco (Risk Evaluation) processo de comparao do risco estimado com critrios de risco dados para determinar a importncia do mesmo. Avaliao do Risco (Risk Assessment) todo o processo global que envolve a anlise de risco e clculo (classificao). Tratamento do Risco (Risk Treatment) processo de seleo e implementao de medidas (controlos) para mitigar o risco. Gesto de Risco (Risk Management) atividades para dirigir e controlar uma organizao no que diz respeito ao risco.
O risco avaliado de acordo com parmetros, cujo peso pode variar de acordo com o mtodo utilizado Ameaa Vulnerabilidade Probabilidade Valor do bem Impacto Controlos existentes
Pgina 9 de 47 Exemplos de Ameaas [ISO 27005] Terrorismo Espionagem industrial Uso no autorizado de equipamento Fogo Inundaes Terramotos Falha de energia Falha de comunicaes Falha de hardware ou software
Acesso no autorizado Roubo de informao Corrupo de dados Bugs de software Social engeneering Ataques de vrus Hacking ...
Exemplos de Vulnerabilidades [ISO 27005] Inexistncia de sistemas de deteo e extino de incndios Inexistncia de sistemas de deteo de Inundaes Inexistncia de um programa BCM Inexistncia de redundncia de power e comunicaes Testes de software fracos Inexistncia de sistemas de proteo contra intruses (ex. FW, IPS, etc.) Inexistncia de sistemas de controlo de acessos fsicos (barreiras, seguranas, vdeo, ID cards, etc.) Inexistncia de sistemas de controlo de acessos lgicos (login/passwd, id manag, tokens, etc.) ...
Avaliao de risco Existem vrias formas de calcular o risco: Em funo da metodologia adotada No entanto, tem que ser sistemtica e repetvel Preferencialmente, devem ser utilizados valores quantitativos (1,2, 3, 4, 5) em vez de qualitativos (alto, mdio, baixo)
Pgina 10 de 47 Tratamento do risco Aceitar os riscos (ex. abaixo de um determinado valor); Evitar os riscos (ex. fechar um servio ou substitui-lo deve ser feita nova avaliao); Transferir os riscos (seguradoras). Mitigao dos riscos o Implementar os respetivos controlos (alguns identificados no Annex A da o ISO27001); o Deve ser realizada nova avaliao tendo em conta os novos controlos
Introduo Gesto de Continuidade de Negcio
O processo de Gesto Continuidade de Negcio conduz produo de planos e procedimentos que permitem, a uma organizao, responder a incidentes mantendo ou reativando em tempo til os seus servios crticos ou essenciais para o negcio A dependncia das organizaes face aos Sistemas de Informao e os riscos a que se expem torna necessrio conceber e operacionalizar uma eficaz e eficiente Gesto Continuidade de Negcios. Atualmente, o standard a seguir nesta rea a BS25999 do BSI, British Standards Institution. Uma Gesto de Continuidade de Negcio eficiente permite Organizao Identificar os processos/informao/sistemas crticos para o negcio Identificar os impactos de uma eventual descontinuao dos servios; Preparar a resposta a incidentes, que permitam minimizar esses impactos para o negcio; Definir processos e organizao da equipa na sua implementao, testes e ativao; Oferece organizao uma vantagem competitiva Em caso de incidentes, oferecendo uma maior preparao e rpida resposta Explorado em termos de marketing
Pgina 11 de 47 A anlise e gesto de riscos Anlise de Risco Vs Gesto de Risco
mais abrangente e inclui: Avaliao de Risco Mitigao de Risco Implementao de controlos Reavaliao/monitorizao
Gesto de Riscos objetivos Manter em segurana os sistemas de informao que guardam, processam ou transmitem informao da organizao Permitir gesto a tomada de decises devidamente fundamentadas que justifiquem os investimentos e custos das Tis Assistir a gesto na acreditao dos sistemas de IT com base na documentao resultante das atividades desenvolvidas na Gesto de Risco um processo, no um projeto
Formas de quantificar o Risco? Avaliao quantitativa, recorrendo a valores numricos No seu clculo inclui pode incluir o impacto no negcio Que pode ser considerado na anlise custo-benefcio dos controlos a implementar Avaliao qualitativa, atravs de nveis de valores Utilizando categorias e nveis de risco Atravs deste mtodo observa-se facilmente a priorizao dos Riscos
Pgina 12 de 47 Avaliao quantitativa Atravs da aplicao deste mtodo, os fatores do risco (probabilidade e impacto) so classificados atravs da atribuio de um valor (numrico ou verbal) que est integrado numa escala de valores relativos. Cada valor da escala associado a uma descrio explicativa.
Exemplo de uma escala qualitativa para classificar a probabilidade
Considerados nveis de avaliao de 1 a 5, no caso do exemplo abaixo, o nvel de Risco de 45, considerando: o valor de 5 para o ativo 3 para a probabilidade da ameaa se concretiza e 3 para o impacto da vulnerabilidade.
Formas de estimar a probabilidade Estimar a probabilidade atravs de dados e input interno Utilizar histrico dos incidentes para determinar os riscos atuais Recorrer ao conhecimento e experincia dos colaboradores e especialistas internos em segurana Atravs de metodologias estruturadas de recolha de dados: Com questionrios e discusses de grupo. Estimar a probabilidade atravs de dados externos Dados partilhados por outras organizaes
Pgina 13 de 47 Mitigao tcnica e/ou administrativa Opes de Tratamento de Risco (ISO) Assumir o Risco o Aceitar o Risco continuando com o sistema em operao o Podendo/devendo ir implementando controlos tendentes reduo do risco Evitar o Risco o Eliminando a causa do risco ou as consequncias (desativar certas funcionalidades, ou mesmo desligar o sistema) Transferncia de Risco o Utilizando opes que permitam compensao em caso de perdas (p.e. seguros) Aplicao de Controlos o Controlos de segurana apropriados s ameaas e vulnerabilidades encontradas no sentido de reduzir o risco final Opes de Mitigao de Risco (NIST) Assumir o Risco o Aceitar o Risco continuando com o sistema em operao o Podendo/devendo ir implementando controlos tendentes reduo do risco Evitar o Risco o Eliminando a causa do risco ou as consequncias (desativar certas funcionalidades ou, mesmo, desligar o sistema) Transferncia de Risco o Utilizando opes que permitam compensao em caso de perdas (p.e. seguros) Planeamento de Risco o Gerir o risco, desenvolvendo um plano de mitigao que prioriza, implementa e mantem os controlos Limitar o Risco o Implementar os controlos capazes de minimizar o impacto de certas ameaas sobre alguma vulnerabilidade Pgina 14 de 47 o Necessrio implementar medidas de deteo, preveno e suporte (se for verificado um determinado incidente, desligar sistema, ou repor sistema) Reconhecimento e Desenvolvimento de controlos o De forma a baixar o risco, medida que as vulnerabilidades so reconhecidas, implementado um plano de desenvolvimento e implementao de controlos que permitam corrigir ou minimizar a vulnerabilidade.
Risk Mitigation Checklist (extrado do NIST) Cada opo de mitigao de risco projetada deve ser examinada a partir das seguintes perspetivas: Eficcia Ser que vai reduzir ou eliminar os riscos identificados? At que ponto as alternativas iro mitigar os riscos? Custo/benefcio Os benefcios entendidos da opo superam os custos? Ser que os ganhos potenciais so proporcionais ao impacto da mudana necessria? Praticidade vivel e adequado em termos de tecnologia disponvel, viabilidade financeira, viabilidade administrativa, legislao e regulamentos, disponibilidade poltica, etc.? Desafio Pode a medida de mitigao de risco resistir mudana de todas as partes interessadas (empregados, gerentes, acionistas / Estado administraes, etc.)? Aceitao das partes interessadas Quanta resistncia das partes interessadas se pode esperar? (As discusses com as partes interessadas durante a fase de avaliao de risco podem indicar a sua opo preferida mitigao de risco.) Exequibilidade Se as novas regras (POPs, regulamentos, etc.) so implementadas, so exequveis? Durabilidade Ser que a medida ir resistir ao longo do tempo? Ser que vai ser um benefcio temporrio ou ser que vai ser til a longo prazo? Riscos residuais Aps a medida de mitigao de risco ser implementada, quais sero os riscos residuais em relao ameaa original? Haver capacidade de mitigar quaisquer riscos residuais? Problemas novos Que novos problemas ou novos (talvez pior) riscos surgiro com o controlo introduzido?
Pgina 15 de 47 Modelo de segurana integrado A definio de estratgia e metodologias deve estar suportada numa Poltica de Segurana Integrada, ou no, num SGSI Sistema de Gesto de Segurana da Informao Inserido, ou no num processo de certificao
Roadmap para Poltica de Segurana
Norma utilizada Utilizao da ISO 27002 (ou 17799) como suporte gesto da segurana da informao.
Pgina 16 de 47 Poltica de segurana Definio de Segurana da Informao aprovada pela Gesto de Topo, seus objetivos, abrangncia e importncia o Breve explicao dos princpios, normas e conformidades de relevo o Referncias a documentos ou processos externos Comunicao a toda a organizao Uma poltica de segurana dever ser aprovada pela direo da organizao, publicada e comunicada apropriadamente a todos os funcionrios Para possuir a direo dos gestores de topo e o seu indiscutvel suporte segurana da informao; Para fornecer elementos comuns de abordagem Segurana da Informao; Para responsabilizao de todos os elementos da organizao. A poltica de segurana de alto nvel (topo) no pode deixar dvidas quanto necessidade de TODOS os funcionrios a respeitarem na ntegra. Simples e direta; Os pontos principais devero ocupar uma simples folha de papel A4; O contedo completo da poltica dever estar acessvel a todos dentro da organizao. Esta dever responsabilizar e sancionar aqueles que a no respeitem.
Poder conter A descrio da necessidade de aes de formao especficas; A indicao da existncia de um frum de segurana; A identificao de outras polticas especficas; A viso do processo de gesto do risco. Os requisitos para o plano de contingncia da organizao; As necessidades de backup/restore; A forma de seleo e gesto de ferramentas de eliminao de vrus; As especificaes de mecanismos para controlo de acessos a sistemas e dados; Para comunicao de incidentes de segurana; A descrio de aes disciplinares para atividades maliciosas ou de acesso/utilizao inapropriado de recursos. Etc. Pgina 17 de 47 Concluso Utilizao da ISO 27002 (ou 17799), define as melhores prticas para a gesto de segurana da informao Sem uma gesto formal da segurana da informao, a segurana ser quebrada algures no tempo. A segurana da informao um processo de gesto, no um processo tecnolgico.
Controlos de segurana (Tecnolgicos, Operacionais e de Gesto)
A implementao de controlos ou medidas de segurana: Deve resultar de um processo de avaliao de riscos Opo de Mitigao Tcnica ou Administrativa Compromisso entre ambas Carece de uma cuidada anlise de custo-benefcio Na ISO/IEC 27001 os controlos de segurana esto agrupados em 11 pontos, do Anexo A
Agrupar controlos Os controlos a implementar podem ser agrupados em (NIST Special Publication 800-30) em: Tecnolgicos o Suporte o Preventivos o Para deteo e recuperao No tecnolgicos o Gesto o Operacionais o Organizacionais
Pgina 18 de 47 Controlos Tecnolgicos Suporte So a base e esto interligados com outros controlos de segurana. Identificao Gesto de Chaves Criptogrficas Administrao da Segurana Proteo de Sistemas
Preventivos Autenticao (ex.: User/Pass; PIN; Autenticao forte; Biometria) No repudio (Ao assegurar a correta accountability das transaes relevantes previne-se o no repdio) Proteo das comunicaes (ex: Estabelecimento de VPNs) Autorizao Para deteo e recuperao Controlos que permitem a deteo de violao ou tentativa de violao das regras de polticas Funcionam como complemento segurana das medidas de suporte e preventivas
Exemplos de Controlos: Audit. Intrusion Detection and Containment. Proof of Wholeness. Restore Secure State. Virus Detection and Eradication.
Pgina 19 de 47 Controlos no tecnolgicos Devem ser implementados em conjunto com os controlos tecnolgicos e contribuem para gerir e minimizar o risco. Controlos de Gesto e Organizacionais Focados na definio de polticas e normas de proteo da informao, realizadas atravs de procedimentos operacionais. Processos e procedimentos que definem como os elementos da organizao devem atuar no sentido de colaborar na segurana. Exemplos: Atribuir responsabilidades relativas segurana dos sistemas crticos Estabelea programas de formao e sensibilizao dos utilizadores Estabelecimento de procedimentos para acesso de terceiros Credenciao de pessoal o analisando as competncias e o passado (p.e. Registo Criminal e Referncias) Providenciar o estabelecimento e gesto de um plano operacional de continuidade de negcio
Controlos Operacionais Conjunto de controlos e linhas orientadoras que assegurem procedimentos seguros de governao do IT, no sentido de cumprir os objetivos da organizao Deve considerar as polticas e normas definidas na gesto Exemplos: Manter em segurana os sistemas de rede e cablagem Estabelecer e controlar os procedimentos de segurana de armazenamento de dados fora da organizao Controlo ambiental do Data Center (Ar condicionado) Assegurar a segurana ambiental (detetores de incndios, sensores de temperatura e humidade, e alarmes). Pgina 20 de 47 Noes de criptografia O que ? Escrita secreta por meio de abreviaturas ou de sinais convencionados de modo a preservar a confidencialidade da informao
Em que consiste? Transformao de textos originais, chamada texto original (plaintext) ou texto claro (cleartext), em informao transformada, chamada texto cifrado (ciphertext), texto cdigo (codetext) ou simplesmente cifra (cipher), que tm a aparncia de um texto random ilegvel.
Proteo da Informao O truque da segurana da informao : Proteg-la de algum mal (roubo, alterao, acesso no autorizado) Ao mesmo tempo que mantm a informao disponvel para quem precisa
As ameaas que a informao enfrenta Perda ou Roubo de Media - Tapes ou discos de backup armazenados ou em trnsito Roubo de Informao por utilizadores com acesso Distribuio no intencional (envio para um destinatrio diferente) Hacking (aplicacional), alterando aplicaes ou configuraes com impacto nos dados Roubo de dispositivos mveis
Proteo da informao em vrios pontos Segurana de dados armazenados Segurana nos Servidores (emails, etc.) Segurana dos Terminais de utilizador (PC, PDA, Pens, etc.) Pgina 21 de 47 Processos bsicos de criptografia Encryption processo de transformao (encriptao) de informao em claro (plaintext) em texto cifrado (ciphertext). Decryption processo de converso de texto cifrado na mensagem original utilizando a chave criptogrfica apropriada.
Sistemas criptogrficos simtricos Usam a mesma chave para encriptar e desencriptar mensagens; ou pelo menos, chaves que possam ser determinadas de forma simples e direta uma a partir da outra. Necessitam de um canal seguro para a divulgao das chaves. S os utilizadores do grupo podem ter acesso s chaves. Com a sada de um utilizador do grupo, o sistema fica comprometido Exemplos: Cdigo Playfair Substituio de Hill Data Encryption Standard (DES) International Data Encryption Algorithm (IDEA) One Time Pad (One time key, ou Chave nica) Advanced Encryption Standard (AES)
Sistemas criptogrficos assimtricos (chave pblica) Tipo de encriptao que usa duas chaves distintas, uma para a encriptao e outra para a desencriptao de mensagens (chave pblica e chave privada, respetivamente). Evita o problema da divulgao das chaves, dos sistemas simtricos. Cerca de 1000 vezes mais lento que os algoritmos simtricos Utilizaes mais comuns... o Distribuio de chaves sem segredos pr-acordados o Assinaturas digitais e no repdio o Identificao utilizando protocolos de desafio-resposta com chaves pblicas o Encriptao (mas muito mais lento)
Pgina 22 de 47
Exemplos Diffie - Hellman (# 1 sistema de chave pblica inventado) HM (Merkle e Hellman) RSA (Ron Rivest, Adi Shamir e Leonard Adleman) PGP (Pretty Good Privacy)
PKI Public Key Infrastructure Infraestrutura necessria para a gesto do ciclo de vida das chaves criptogrficas de sistemas assimtricos Gerao Distribuio Renovao Revogao Etc.
Certificado Digital (Digital Certificate) um documento eletrnico que liga a identidade fsica de uma entidade (pessoa, organizao ou computador) sua chave pblica Em sistemas seguros (particularmente em PKIs) um certificado digital emitido para o autenticar a(s) parte(s) envolvidas numa transao, o assinar eletronicamente documentos assegurando a integridade do seu contedo e/ou no repdio de transaes eletrnicas
Pgina 23 de 47 Combinao dos dois mtodos Codificando-se a mensagem com o mtodo da chave simtrica e trocando a chave simtrica com o mtodo de chave pblica. Chave de sesso simtrica o processamento mais rpido Partilhada recorrendo a criptografia assimtrica o mais lenta o mas mais segura
Assinatura Digital Proporcionado pela criptografia assimtrica que permite garantir a autenticidade de quem envia a mensagem, associada integridade do seu contedo. No caso de se pretender enviar uma mensagem garantindo a integridade: Mensagem cifrada na origem com a chave privada Destinatrio utiliza a chave pblica do emissor, para decifrar a mensagem Fica garantida assim a o autenticidade, o integridade e o no-repudiao da mensagem recebida
Pgina 24 de 47 Gesto de chaves Algumas notas A Cifra requer: os dados a proteger algoritmos de cifra chaves de cifra
O processo de cifrar uma comodidade disponibilizada por um conjunto variado de ferramentas Ter em ateno que nenhum algoritmo inquebrvel o A questo quanto tempo leva a quebrar
O foco deve ser dado ao nvel da Gesto de chaves o Uma gesto de chaves fraca pode comprometer processos e algoritmos de cifra robustos
A segurana depende em grande parte da gesto de chave o no sentido de apenas dar acesso a pessoas autorizadas e de acordo com polticas de aprovao e atribuio
As chaves tm que ser o geradas de forma segura e realmente aleatrias o armazenadas de forma cuidada o transportadas de forma segura o ter (ou no) forma de recuperao
Para uma gesto eficaz, necessrio perceber que as chaves tm um ciclo de vida.
Pgina 25 de 47 O que a Gesto de chaves? o conjunto de tcnicas e procedimentos relacionados com o ciclo de vida das chaves criptogrficas Mas tambm das relaes entre as entidades emissoras Mantendo as chaves e essas relaes em segurana
Public Key Infrastructure (PKI) Certificate Authority (CA) CA uma organizao que emite certificados utilizando uma assinatura digital, que vincula um certificado digital identidade de uma entidade. Registration Authority (RA): RA autentica a identidade das entidades e requer CA a emisso do certificado para cada uma dessas entidades. Hierarquicamente, a RA opera na dependncia da CA e atua como interface da CA para com o utilizador ou entidade requerente. Validation Authority (VA): VA pode fazer parte do servio fornecido pela CA ou por um terceiro. Valida os certificados digitais, emite comprovativos digitais e servios confiveis de reconhecimento como prova de que uma transao eletrnica ocorreu.
Relaes de confiana entre CAs Existe um modelo hierrquico que estabelece as relaes de confiana entre CAs diferentes, dentro da hierarquia de confiana mesmo. No entanto, se os seus CAs no partilham uma raiz comum CA, deve ser realizada uma certificao cruzada. As CAs raiz devem desenvolver relaes de confiana bilateral. o Constituindo um modelo hbrido de relaes de confiana.
Pgina 26 de 47 Introduo ao processo de anlise de risco FRAAP
Definio e conceitos
FRAAP Facilitated Risk Analysis and Assessment Process uma metodologia de anlise e avaliao de risco desenvolvido por Thomas R. Peltier Tem por base as normas existentes (nomeadamente a 17799/27002) o Que transmitem as boas prticas, no a metodologia Resulta da experincia da equipa em projetos Tem sido utilizada, e melhorada, nos ltimos 15 anos Prima por: o Ser dirigido pelo responsvel de negcio o Levar dias, em vez de semanas o Boa relao custo-benefcio o Utilizar especialistas/experincia interna Este processo envolve a anlise de 1 sistema processo, plataforma, processo de negcio definido de cada vez um mtodo qualitativo de anlise de risco o Baseado no nvel de impacto do risco o Em vez do valor monetrio do impacto Durante o processo a equipa envolvida conduzida a participar na discusso e identificao de o potenciais ameaas o nveis de risco o possveis controlos a aplicar
Pgina 27 de 47 Constituio do FRAAP Pr-FRAAP Reunio de 1 a 1,5 horas como responsvel de negcio Vo definir as bases de trabalho para as fases seguintes FRAAP Dura aproximadamente 4 horas e deve incluir uma equipa mais abrangente que inclua os responsveis de negcio e da infraestrutura Identificar: Ameaas, Vulnerabilidades, Impactos e Controlos Post-FRAAP Normalmente 1 a 2 semanas Anlise dos resultados e produo do relatrio final
Antes do processo FRAAP Antes de iniciar deve existir um Programa de Sensibilizao. Dar a conhecer o processo Envolver os participantes Este Programa deve ser conduzido de forma a: o Avaliar o conhecimento relativo a avaliao de risco o Determinar o que os gestores e outros funcionrios pretendem aprender o Verificar o nvel de aceitao do programa de segurana o Traar forma de conquistar a aceitao o Identificar possveis aliados
Pr-FRAAP Reunio de 1 a 1,5 horas como responsvel de negcio o Neste caso, o gestor de negcio ou processo Deve incluir o Gestor de Projeto, Facilitador e Secretrio(a) o O Gestor de projeto deveria ser nomeado pelo gestor de negcio O seu papel acompanhar o desenrolar do projeto e garantir as condies necessrias requeridas pela equipa (sala, agendar reunio) Pode ser o Gestor de negcio Pgina 28 de 47 o Facilitador - consultor que ajude a conduzir o grupo no sentido de obter os resultados esperados o Secretrio(a) responsvel por documentar as reunies
Resultados esperados Pr-triagem dos resultados esperados Definio do mbito Diagrama com a descrio/detalhe do sistema ou processo a avaliar Estabelecimento da equipa a incluir no processo Requisitos para a reunio FRAAP o Agendamento, sala, materiais .. Acordar definies de princpio o O que Ativo, Ameaa, Vulnerabilidades, Probabilidade, Impacto, Risco, Mini-Brainstorming o No sentido de identificar algumas ameaas como introduo reunio FRAAP
FRAAP No deve durar mais que quatro horas Envolver os elementos da equipa que o estejam envolvidos com o processo ou sistema a avaliar o conheam a soluo/infraestrutura tcnica Deve ter a seguinte agenda o Introduo, preparada no Pr-FRAAP o Identificao de Ameaas e Vulnerabilidades o Identificao Controlos Existentes o Estabelecer nveis de risco Identificando probabilidade e impacto o Identificar Riscos Residuais o Apresentao do Sumrio da Reunio
Pgina 29 de 47 Resultados esperados Identificao das Ameaas Identificao das Vulnerabilidades Identificao dos Controlos Existentes Caracterizao dos Riscos Residuais
Post-FRAAP Realizado pela equipa de consultores o Anlise dos resultados da reunio Pode ser necessrio contactar alguns elementos da equipa o Atravs do gestor de projeto o Para algum esclarecimento adicional o Ou informao complementar
Resultados esperados Relatrio final o com sumrio executivo o Resumo da reunio de equipa o Identificao de controlos complementares o Anlise do processo Apresentao das concluses ao Gestor de Negcio
Pgina 30 de 47 Processo de anlise de Risco FRAAP FRAAP Facilitated Risk Analysis and Assessment Process uma metodologia de anlise e avaliao de risco desenvolvido por Thomas R. Peltier o Tem por base as normas existentes (nomeadamente a 17799/27002) Que transmitem as boas prticas, no a metodologia Resulta da experincia da equipa em projetos Tem sido utilizada, e melhorada, nos ltimos 15 anos Prima por: o Ser dirigido pelo responsvel de negcio o Levar dias, em vez de semanas o Boa relao custo-benefcio o Utilizar especialistas/experiencia interna Este processo envolve a anlise de 1 sistema processo, plataforma, processo de negcio definido de cada vez A afinao do processo, baseada na experincia prtica o Rpido o Fcil de implementar
Durante o processo a equipa envolvida conduzida a participar na discusso e identificao de o potenciais ameaas o nveis de risco o possveis controlos a aplicar
Mtodo de avaliao a utilizar? O Autor defende a utilizao de um mtodo qualitativo: Em detrimento de mtodos quantitativos A utilizao de valores no clculo resulta num valor final difcil de interpretar Podem ser definidos nveis para medio, mas a interpretao ser qualitativa
Pgina 31 de 47 Mtodo Qualitativo vs Quantitativo Vantagens Mtodo Quantitativo Mtodo Qualitativo Os resultados so baseados em processos objetivos substancialmente independentes e em mtricas. Clculos mais simples. dado um grande foco na definio de valor de ativos e mitigao de riscos. No necessrio determinar o valor monetrio do ativo. O esforo do custo-benefcio de avaliao essencial. No h necessidade de quantificar a frequncia de ameaas.
Permite flexibilidade no processo e elaborao de relatrios.
Desvantagens Mtodo Quantitativo Mtodo Qualitativo Clculos podem tornar-se complexos. Pode apresentar uma natureza subjetiva. Historicamente, apenas funciona corretamente com uma ferramenta automatizada com a associao de um conhecimento tcnico. exigido um esforo necessrio para desenvolvimento com valor monetrio para os ativos. Existe um trabalho preliminar extenso. No h bases para a anlise de custo-benefcio de reduo do risco. Os participantes no podem ser auxiliados facilmente durante o processo.
dificultada a mudana de direes. difcil calcular quando existem questes fora do mbito.
Pgina 32 de 47 Vantagens do FRAAP realizado em alguns dias, em vez de semanas/meses. Envolve o responsvel de negcio o Participa no processo o Compreende as necessidades de implementao o Envolvido na seleo de controlos eficientes (custo-benefcio) Envolve as reas de negcio o Reconhecimento da participao e controlo do processo Permite equipa participar na seleo de controlos apropriados Facilita a Gesto da Mudana
Equipa envolvida Responsvel de negcio do processo, sistema ou ativo Gestor de Projeto - nomeado pelo gestor de negcio o O seu papel acompanhar o desenrolar do projeto e garantir as condies necessrias requeridas pela equipa (sala, agendar reunio) Facilitador consultor com conhecimento do FRAAP Escriba ou secretrio(a) responsvel por documentar as reunies Especialistas relacionados com o objeto o Negcio o IT o Colaboradores
Facilitador Consultor que ajude a conduzir o grupo no sentido de obter os resultados esperados o Ameaas, probabilidades, impacto, nvel de risco Guiar a equipa pelas vrias reas de interesse o Identificando o maior nmero de ameaas Manter o grupo focado no tema Atuar como regulador e rbitro da sesso Controlar o tempo
Pgina 33 de 47 Deve observar as seguintes regras: o Encorajar a participao de todos o Aceitar todas as sugestes o Envolver os participantes, escutando opinies o Estar atento s movimentaes, gestos, silncios o Atuar como regulador e rbitro da sesso o Deve ser imparcial, sem tomar posies particulares, mas guiando a equipa quando est perdida ou preciso consenso o Ser objetivo
Escriba ou secretrio(a) Responsvel por documentar as reunies Assegura que todas as ameaas, controlos e aes so registadas Libertando o facilitador desta funo, permite-lhe desempenhar melhor a sua funo principal
Especialistas relacionados com o objeto em anlise So elementos da prpria organizao que conhecem o sistema ou processo em anlise Deve ser uma equipa equilibrada, entre as vrias reas de competncia o Conhecimento do negcio, familiarizados com a misso do objeto em anlise o Utilizadores que conheam as vulnerabilidades e ameaas o Tcnicos IT com conhecimento da infraestrutura e sistemas em causa Elementos devem conseguir funcionar em equipa
Constituio do FRAAP Este processo envolve a anlise de 1 sistema processo, plataforma, processo de negcio definido de cada vez. Pr-FRAAP Reunio de 1 a 1,5 horas como responsvel de negcio Vo definir as bases de trabalho para as fases seguintes
Pgina 34 de 47 FRAAP Dura aproximadamente 4 horas e deve incluir uma equipa mais abrangente que inclua os responsveis de negcio e da infraestrutura Identificar: Ameaas, Vulnerabilidades, Impactos e Controlos
Post-FRAAP Normalmente 1 a 2 semanas Anlise dos resultados e produo do relatrio final
Antes de inicializar um processo FRAAP Antes de iniciar deve existir um Programa de Sensibilizao: Dar a conhecer o processo Envolver os participantes Este Programa deve ser conduzido de forma a: o Avaliar o conhecimento relativo a avaliao de risco o Determinar o que os gestores e outros funcionrios pretendem aprender o Verificar o nvel de aceitao do programa de segurana o Traar forma de conquistar a aceitao o Identificar possveis aliados
Ferramentas para um Programa de Sensibilizao? E-Mail Site Cartazes Questionrios o Mail o Eletrnicos o Papel Sesso de presentao
Pgina 35 de 47 Programa de Sensibilizao Adaptado organizao o Ferramentas e linguagem Selecionar as ferramentas adequadas a cada grupo Encontrar reas no conformes o Trabalhar no sentido de reduzir exposio E resolver possveis atritos o Sem comprometer resultados da avaliao Envolver os utilizadores
Pontos-chave do FRAAP
Garantir o envolvimento dos participantes O processo da organizao, no do consultor/facilitador o No utilizar expresses como o meu projeto o o Vosso ou Nosso projeto
Conceitos chave funes
Owner Deve ser o mais alto responsvel da unidade onde o objeto do processo pertence responsvel por: o Estabelecer a classificao da informao o Identificar controlos razoveis e prudentes o Monitorizar a adequao de implementao de controlos o Autorizar o acesso a quem necessita ou inibio Custodian Nomeado pelo owner como responsvel do controlo Colaborador (user) Empregados autorizados para aceder informao
Pgina 36 de 47 Reunio de Pr-FRAAP
Reunio de 1 a 1,5 horas com o responsvel de negcio Deve incluir : o Gestor de Negcio/Processo e Gestor de Projeto o Facilitador o Escriba Resultados esperados 1. Pr-triagem 2. Definio do mbito 3. Diagrama com a descrio/detalhe do sistema ou processo a avaliar 4. Estabelecimento da equipa a incluir no processo 5. Requisitos para a reunio FRAAP 6. Acordar definies de princpio 7. Mini-Brainstorming
Resultados do Pr-FRAAP Pr-triagem Triagem das aplicaes, sistemas ou processos que o Dispensam uma anlise mais profunda o Requerem uma avaliao de risco formal Ou um Business Impact Analysys Definio do mbito Qual o mbito da avaliao a realizar Identificar categorias de ameaas o Tendo como base a C-I-A o Mas podendo incluir outros como a performance ou reliability o Consultar www.sabsa.org como checklist Diagrama com a descrio/detalhe do sistema ou processo a avaliar o Diagrama com a descrio do processo em anlise o Para documentao e informao da equipa FRAAP uma imagem vale por mil palavras o Estabelecimento da equipa a incluir no processo Pgina 37 de 47 Identificar entre 15 a 30 elementos Requisitos para a reunio FRAAP o Agendamento o Sala o Materiais Acordar definies de princpio o O que Ativo, Ameaa, Vulnerabilidades, Probabilidade, Impacto, Risco,
Mini-Brainstorming o No sentido de identificar algumas ameaas como introduo reunio FRAAP
Checklist para reunio Garantir abordagem de todos os pontos
Sesso FRAAP
Sesso de trabalho
No deve durar mais que quatro horas o suficiente, na maioria dos casos o Difcil arranjar mais disponibilidade Envolver todos os elementos da equipa o Identificados no Pr-FRAAP o E devidamente convocados
Pgina 38 de 47 Resultados esperados Identificao das Ameaas Identificao das Vulnerabilidades Identificao dos Controlos Existentes Caracterizao dos Riscos Residuais
Sesso de trabalho Requisitos da reunio Assegurar materiais necessrios o Projetor o Quadro o Canetas Disposio da Sala em U o Importante para assegurar a participao de todos o Todos esto na linha da frente, com o facilitador Desencorajar a utilizao de portteis ou PDAs Lembrar para desligar os telemveis o Ou colocar em silncio
Sesso de trabalho - Introduo Explicar os conceitos e processos do FRAP o Responsvel de negcio ir Abrir a sesso Introduzir o facilitador o Facilitador dever Apresentar a agenda Explicar o processo Rever o mbito do processo - Owner o importante identificar O que foi assumido Constrangimentos identificados o Deve ser entregue uma cpia do Scope Statment equipa
Pgina 39 de 47 Review Visual Diagram Technical support o Deve fazer a apresentao do diagrama, explicando o processo o Cerca de 5 min. Discuss definitions - Facilitator o Apresenta as definies acordadas o Se o processo j conhecido na organizao, estas definies j devem estar interiorizadas Review Objectives - Facilitator o So revistos os objetivos a atingir Identificar ameaas Estabelecer nveis de risco Identificar controlos o Serve como introduo segunda parte da sesso Identify roles and introduction - team o Os elementos da equipa identificam-se Nome Departamento Localizao Contacto Review session agreements o Todos os elementos devem participar o Devem cingir-se aos seus papis o Focar-se no ponto da agenda o Todas as ideias tm um valor igual o Escutar os outros pontos de vista o Todas as questes/contributos sero registados o Mesmo os que forem preteridos o Colocar e registar a ideia, antes de discuti-la o Assegurar que o escriba assenta todas as questes o Uma conversa de cada vez o Limite de tempo por questo (3 a 5 minutos)
Pgina 40 de 47 Conduo da reunio Idealmente deve ser respeitada a disposio em U O facilitador deve comear por colocar o primeiro atributo em discusso, colocando os resultados do mini-brainstorming Solicitar a participao de todos na identificao de ameaas o Dar 3 a 5 minutos para pensar em possveis ameaas o Comear numa ponta o Percorrer todos o Cada elemento s sugere 1 ameaa de cada vez o Dar vrias voltas at que se esgotem as sugestes o Ter em ateno Os manipuladores Centrar no tpico em discusso Passar ao segundo atributo o Comear na outra ponta o Utilizar cores diferentes o Ir colocando anotaes volta da sala
Utilizao de Checklists Para ameaas Para controlos Permite reduzir o tempo de identificao Complementa a identificao feita pelos elementos da equipa
Antes do prximo ponto, fazer pausa D oportunidade para o Verificar mensagens o Tomar um caf o Limpar
Pgina 41 de 47 Identificao de Controlos existentes Rever todas as ameaas identificando os controlos existentes Esta caracterizao permite equipa identificar melhor o risco atual Razo pela qual fundamental ter elementos da infraestrutura Conhecem os controlos atuais
Estabelecimento do nvel de risco Verificar se os elementos da equipa esto familiarizados com os termos e definies de Probabilidade e Impacto Resumir as ameaas e controlos existentes Caracterizar os nveis de avaliao para o Probabilidade o Impacto Explicar os nveis de avaliao o Quando existe risco, os elementos tendem a classificar com nvel mximo Definies e nveis de avaliao o Probabilidade o Impacto Definies e nveis de avaliao o Matriz de probabilidade x impacto o Caracterizar o risco residual Avaliao das ameaas e controlos identificados
Identificar novos controlos ou melhoria dos existentes Para os riscos que requerem essa necessidade
Estabelecimento do nvel de risco Caracterizar novos nveis de risco Priorizar implementao de controlos Planear essa implementao Devem ser consideradas as normas e legislao em vigor.
Pgina 42 de 47 Post-FRAAP Realizado pela equipa de consultores o Anlise dos resultados da reunio Pode ser necessrio contactar alguns elementos da equipa o Atravs do gestor de projeto o Para algum esclarecimento adicional o Ou informao complementar Relatrio final o com sumrio executivo o Resumo da reunio de equipa o Identificao de controlos complementares o Anlise do processo Apresentao das concluses ao Gestor de Negcio
Metodologias de Gesto de Risco Para suporte Gesto de Risco pode ser utilizados referenciais como: ISO/IEC 17799 - Information technology- Security techniques - code of practice for information security management ISO/IEC 27001 - Information security management systems Requirements ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk management
Pgina 43 de 47 Ferramentas de suporte Exemplos de ferramentas de suporte gesto de risco Modulo
RiskWatch
Proteus
Pgina 44 de 47 Nota: apenas coloquei a informao que no foi referida na aula anterior. Processo de anlise de Risco FRAAP
Estabelecimento do nvel de risco
Pgina 45 de 47 Post-FRAAP Realizado pela equipa de consultores o Anlise dos resultados da reunio Pode ser necessrio contactar alguns elementos da equipa o Atravs do gestor de projeto o Para algum esclarecimento adicional o Ou informao complementar Resumo da reunio de equipa o Identificao de controlos complementares o Anlise do processo o Deve ter:
Sumrio executivo Documentao das fases Pr-FRAAP FRAAP Anexos (toda a informao complementar ao processo) o Apresentao das concluses ao Gestor de Negcio
Sumrio executivo Composio Capa com caracterizao do processo ndice Lista de participantes no processo Resumo do mbito e princpios estabelecidos o 2 ou 3 pargrafos com um resumo de como decorreu o processo o Onde e quando decorreu o Resumo das principais concluses da avaliao o Maiores riscos e controlos Referenciao restante documentao Concluses o Viso sobre o processo todo o Controlos a considerar e um plano de ao /priorizao
Pgina 46 de 47 BusinessImpactAnalysis (BIA) Objetivo Um processo de Business Impact Analysis pretende determinar os efeitos que as falhas dos Sistemas de Informao Crticos tm na operao e na viabilidade dos processos core de negcio .
Implicaes (pr-requisitos) Determinar os processos core Determinar quais so os principais recursos utilizados por esses processos o Aplicaes o Sistemas o Processos o Funes o Pessoas Classificar esses recursos (em termos de importncia e prioridade) Como concluso do processo de pr-triagem pode ser requerida a realizao de um processo de Business Impact Analysis
Importncia dos resultados Os resultados do Business Impact Analysis so importantes no estabelecimento de: Planos de Continuidade de Negcio Disaster Recovery
Quando se aplica o BIA? O BIA aplica-se na fase de Recuperao preciso conhecer os processos crticos de negcio Quais devem ser recuperados primeiro
Pgina 47 de 47 Impactos podem causar Perdas Intangveis Perdas Tangveis
No final Comunicar resultados ao Responsvel por manter os planos de recuperao de negcio Atualizar os planos existentes o Se o tempo mximo de downtime for inferior ao definido anteriormente
GAP Analisys
Conceitos GAP Analysis consiste na comparao entre o estado presente e o estado desejado (futuro).
Para tal preciso resposta para: Qual o estado atual Qual o estado desejado O que precisa ser feito para passar ao estado desejado o Ou estado compliant, quando numa auditoria/certificao
Desdobrada em documentos auxiliares que apresentam princpios e orientaes mais especficas e dirigidas a grupos de funcionrios ou a funes determinadas Utilizar Best pratices (p.e. ISO 27002)