quinta-feira, 20 de setembro de 2012

Resumo para Certificação ISO 27002 - 03 / 05

Este é o terceiro post da sequência de posts sobre segurança da informação, resumo preparatório para a realização do Exame de Certificação da ISO 27002.


3 – Abordagem e Organização
3.1 – Ativo de Negócio
Qualquer coisa que custa dinheiro ou tem certo valor para o negócio
Exemplos: informação, computadores, mídias, pessoas e seus conhecimentos.

3.2 – Classificação de Informação
3.2.1 – Propósito
Ativos do negócio, incluindo informações, precisam ser classificados para determinar os níveis de segurança para lês
Pode ser necessário para contratar seguros, contabilidade financeira e requisitos regulatórios (legislação para proteção de dados pessoais).
3.2.2 – Classificações
Níveis de sensibilidade colocados na marca ou etiqueta de um documento: secreto, confidencial ou público.
As etiquetas de classificação podem ser colocadas fisicamente e de forma visível
3.2.3 – Proprietário 
O dono da informação/documento é responsável pela sua classificação
Determina quem tem acesso a determinados ativos do negócio

3.3 – Incidente de Segurança
3.3.1 – Conceito
Ocorre quando uma ameaça se torna real
3.3.2 – Relato de incidentes
Os funcionários devem reportar os incidentes o mais rápido possível
Normalmente reportados ao helpdesk
3.3.3 – Gerenciamento de Incidentes
Processo para resolver os incidentes o mais rápido possível
3.3.4 – Tipos de Escalação
3.3.4.1 – Funcional (horizontal)
Incidente é repassado para alguém que tem mais conhecimento técnico para resolver
Exemplo: repassar para o administrador de redes uma falha no firewall
3.3.4.2 – Hierárquica (vertical) 
Incidente pode ser reportado para alguém que tem mais autoridade e pode precisar tomar alguma decisão
Exemplo: notificar o gerente do funcionário sobre o seu comportamento suspeito
3.3.5 – Ciclo do Incidente
Estágios: Ameaça - Incidente - Dano - Recuperação
3.3.5.1 – Medidas Para Cada Estágio
3.3.5.1.1 – Redutivas
Reduz o impacto ou probabilidade de uma ameaça antes dela gerar um incidente
3.3.5.1.2 – Preventivas
Aplicadas antes da ameaça levar a um incidente
3.3.5.1.3 – Detectivas
Detectar a ocorrência de um incidente
3.3.5.1.4 – Repressiva
Para responder a um incidente a fim de conter o estrago da ameaça (usar o extintor de incêndio, por exemplo).
3.3.5.1.5 – Corretiva
Reparar o que foi danificado (restaurar o backup, por exemplo).

3.4 – Papéis na Organização
3.4.1 - Chief Information Security Officer (CISO)
Desenvolve a estratégia geral de segurança para a empresa inteira
3.4.2 - Information Security Officer (ISO)
Desenvolve uma política para uma unidade de negócio com base na política da empresa
3.4.3 - Information Security Manager (ISM)
Desenvolve uma política de segurança da informação para a área de TI

domingo, 2 de setembro de 2012

Resumo para Certificação ISO 27002 - 02 / 05

Continuando a sequência de posts sobre segurança da informação, resumo preparatório para a realização do Exame de Certificação da ISO 27002.


2 – Ameaças e Riscos
2.1 – Ameaça
Fatores / situações que podem levar a um dano ou perda de informação
2.2 – Risco
É a chance que uma ameaça irá de fato ocorrer e suas consequências
2.3 – Incidente de Segurança
2.3.1 - Conceito
Quando uma ameaça se manifesta
2.3.2 – Alguns Exemplos
Hacker conseguiu invadir a rede
Informações confidenciais vazaram no mercado
Um documento importante foi perdido
Usuário esqueceu um documento na impressora
A porta de acesso à sala de servidores foi esquecida aberta
O monitor está apresentando mensagens estranhas

2.4 – Análise de Risco
2.4.1 - Conceito
Metodologia empregada para ajudar a identificar riscos e medidas
É uma etapa do Gerenciamento de riscos
2.4.2 – Meta Principal
Assegurar que medidas de segurança são implementadas a um custo-efetivo e em tempo hábil e consequentemente fornecer respostas efetivas para as ameaças
2.4.3 - Objetivos
Identificar os ativos de informação e seus valores
Determinar vulnerabilidades e ameaças
Determinar o risco de ameaças se tornarem uma realidade e impactar os processos operacionais da empresa
Determinar um equilíbrio entre custos de um incidente os custos de uma medida de segurança
2.4.4 – Tipos
2.4.4.1 – Análise Quantitativa
Calcula, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameaça pode se tornar um incidente
Serve para determinar os custos de medidas de segurança e os custos do objeto a ser protegido
2.4.4.2 – Análise Qualitativa
É baseada em cenários e situações
As chances de uma ameaça se tornar real são examinadas com base em julgamentos subjetivos (experiência das pessoas)

2.5 – Gerenciamento de Riscos
2.5.1 - Conceito
É o processo contínuo que identifica, examina e reduz os riscos a um nível aceitável.
2.5.2 – Responsáveis
Information Security Officer (ISO)
Chief Information Security Officer (CISO)

2.6 – Medidas para Reduzir o Risco
2.6.1 - Redutiva
Reduz a ameaça antes dela se manifestar.
2.6.2 – Preventiva
Torna a ameaça impossível antes dela se manifestar
Exemplo: evitar acessar os sistemas internos via internet
2.6.3 - Detectiva
Garante que cada incidente possa se detectado o mais rápido possível e que todo mundo seja informado do que está acontecendo.
Exemplo: vigilância por vídeo
2.6.4 – Repressiva
Para minimizar as consequências de um incidente após ele ocorrer
Exemplo: usar extintor de incêndio
2.6.5 – Corretiva
Recuperar algo após um incidente ter ocorrido
Exemplo: restaurar o banco de dados usando o backup

2.7 – Tipos de Ameaças
2.7.1 –Humana Intencional
Danos à informação causados por pessoas de forma proposital.
Exemplos: hackers, empregados revoltados, engenharia social.
2.7.1.1 – Engenharia Social
Quando alguém tenta ganhar confiança de um funcionário se passando por colega, cliente ou fornecedor, mas está tentando obter informação confidencial.
2.7.2 – Humana Não Intencional
Danos causados por pessoas de forma involuntária
Exemplos: pressionar botão delete sem querer, pendrive com vírus, uso inadequado de extintor de incêndio
2.7.3–Não humana
São normalmente influências externas.
Exemplos: raios, incêndio, inundação, tempestade.

2.8 – Tipos de Danos
2.8.1 – Conceito
Dano resultante da manifestação de ameaças
2.8.2 – Tipos de Danos
2.8.2.1 – Dano Direto
Danos diretos provocados pela manifestação de uma ameaça
É a primeira perda provocada pelo incidente de segurança
2.8.2.1.1 – Exemplos
Roubo de laptops
Dados perdidos devido a ataques de hackers
Servidor foi danificado após usar o extintor de incêndio
2.8.2.2 – Dano Indireto
É o dano consequente que pode ocorrer após uma ameaça se manifestar
2.8.2.2.1 – Exemplo
O incêndio destrói a infraestrutura de TI e com isto a empresa perde o contrato com um cliente importante.
Perda de reputação no mercado devido a um incidente de segurança que deixou o site da empresa indisponível por horas.
Perda de vendas no site devido a este ter ficado fora do arapós um ataque de hackers
2.8.2.3 – Expectativa de Perda Anual
É a quantia da perda/prejuízo - expressa em valores monetários - que pode resultar de um incidente em um ano
Exemplo: Se a empresa tem uma média de 10 laptops roubados a cada ano, a expectativa de perda anual é o valor dos 10 laptops, incluindo os dados e softwares instalados neles.
2.8.2.4 – Expectativa de Perda Única
Prejuízo causado por um único incidente de segurança
Diferente da Expectativa de Perda Anual que considera a perda durante um ano

2.9 - Tipos de Estratégias para Riscos
2.9.1 - Suportar / Aceitar (Riskbearing)
Quando a empresa aceita os riscos e não adota medidas preventivas
É usada quando os custos das medidas de segurança excedem o dano possível
Neste tipo de estratégia, a organização pode adotar medidas repressivas somente quando a ameaça de fato se manifestar.
2.9.2 - Neutralizar / Reduzir (Risk neutral)
Medidas de segurança são tomadas de forma que as ameaças não se manifestem mais, ou se manifestarem, o dano resultante será minimizado
A maioria das medidas tomadas são uma combinação de medidas preventivas, detectivas e repressivas
2.9.3 - Evitar (Riskavoiding)
Medidas são tomadas para que a ameaça seja eliminada de forma que a ameaça não conduza a um incidente (não se manifeste)
Exemplo: para evitar a ferrugem em vez de usar material de ferro, usa-se material plástico.
A maioria das medidas tomadas são preventivas

Bons estudos e até o próximo post!


BlogBlogs.Com.Br