Este é o terceiro post da sequência de posts sobre segurança da informação, resumo preparatório para a realização do Exame de Certificação da ISO 27002.
3 – Abordagem e Organização
3.1 – Ativo de Negócio
• Qualquer coisa que custa dinheiro ou tem certo valor para o negócio
• Exemplos: informação, computadores, mídias, pessoas e seus conhecimentos.
3.2 – Classificação de Informação
3.2.1 – Propósito
• Ativos do negócio, incluindo informações, precisam ser classificados para determinar os níveis de segurança para lês
• Pode ser necessário para contratar seguros, contabilidade financeira e requisitos regulatórios (legislação para proteção de dados pessoais).
3.2.2 – Classificações
• Níveis de sensibilidade colocados na marca ou etiqueta de um documento: secreto, confidencial ou público.
• As etiquetas de classificação podem ser colocadas fisicamente e de forma visível
3.2.3 – Proprietário
• O dono da informação/documento é responsável pela sua classificação
• Determina quem tem acesso a determinados ativos do negócio
3.3 – Incidente de Segurança
3.3.1 – Conceito
• Ocorre quando uma ameaça se torna real
3.3.2 – Relato de incidentes
• Os funcionários devem reportar os incidentes o mais rápido possível
• Normalmente reportados ao helpdesk
3.3.3 – Gerenciamento de Incidentes
• Processo para resolver os incidentes o mais rápido possível
3.3.4 – Tipos de Escalação
3.3.4.1 – Funcional (horizontal)
• Incidente é repassado para alguém que tem mais conhecimento técnico para resolver
• Exemplo: repassar para o administrador de redes uma falha no firewall
3.3.4.2 – Hierárquica (vertical)
• Incidente pode ser reportado para alguém que tem mais autoridade e pode precisar tomar alguma decisão
• Exemplo: notificar o gerente do funcionário sobre o seu comportamento suspeito
3.3.5 – Ciclo do Incidente
• Estágios: Ameaça - Incidente - Dano - Recuperação
3.3.5.1 – Medidas Para Cada Estágio
3.3.5.1.1 – Redutivas
• Reduz o impacto ou probabilidade de uma ameaça antes dela gerar um incidente
3.3.5.1.2 – Preventivas
• Aplicadas antes da ameaça levar a um incidente
3.3.5.1.3 – Detectivas
• Detectar a ocorrência de um incidente
3.3.5.1.4 – Repressiva
• Para responder a um incidente a fim de conter o estrago da ameaça (usar o extintor de incêndio, por exemplo).
3.3.5.1.5 – Corretiva
• Reparar o que foi danificado (restaurar o backup, por exemplo).
3.4 – Papéis na Organização
3.4.1 - Chief Information Security Officer (CISO)
• Desenvolve a estratégia geral de segurança para a empresa inteira
3.4.2 - Information Security Officer (ISO)
• Desenvolve uma política para uma unidade de negócio com base na política da empresa
3.4.3 - Information Security Manager (ISM)
• Desenvolve uma política de segurança da informação para a área de TI
quinta-feira, 20 de setembro de 2012
domingo, 2 de setembro de 2012
Resumo para Certificação ISO 27002 - 02 / 05
Continuando a sequência de posts sobre segurança da informação, resumo preparatório para a realização do Exame de Certificação da ISO 27002.
2 – Ameaças e Riscos
2.1 – Ameaça
Fatores / situações que podem levar a um dano ou perda de informação
2.2 – Risco
É a chance que uma ameaça irá de fato ocorrer e suas consequências
2.3 – Incidente de Segurança
2.3.1 - Conceito
• Quando uma ameaça se manifesta
2.3.2 – Alguns Exemplos
• Hacker conseguiu invadir a rede
• Informações confidenciais vazaram no mercado
• Um documento importante foi perdido
• Usuário esqueceu um documento na impressora
• A porta de acesso à sala de servidores foi esquecida aberta
• O monitor está apresentando mensagens estranhas
2.4 – Análise de Risco
2.4.1 - Conceito
• Metodologia empregada para ajudar a identificar riscos e medidas
• É uma etapa do Gerenciamento de riscos
2.4.2 – Meta Principal
• Assegurar que medidas de segurança são implementadas a um custo-efetivo e em tempo hábil e consequentemente fornecer respostas efetivas para as ameaças
2.4.3 - Objetivos
• Identificar os ativos de informação e seus valores
• Determinar vulnerabilidades e ameaças
• Determinar o risco de ameaças se tornarem uma realidade e impactar os processos operacionais da empresa
• Determinar um equilíbrio entre custos de um incidente os custos de uma medida de segurança
2.4.4 – Tipos
2.4.4.1 – Análise Quantitativa
• Calcula, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameaça pode se tornar um incidente
• Serve para determinar os custos de medidas de segurança e os custos do objeto a ser protegido
2.4.4.2 – Análise Qualitativa
• É baseada em cenários e situações
• As chances de uma ameaça se tornar real são examinadas com base em julgamentos subjetivos (experiência das pessoas)
2.5 – Gerenciamento de Riscos
2.5.1 - Conceito
• É o processo contínuo que identifica, examina e reduz os riscos a um nível aceitável.
2.5.2 – Responsáveis
• Information Security Officer (ISO)
• Chief Information Security Officer (CISO)
2.6 – Medidas para Reduzir o Risco
2.6.1 - Redutiva
• Reduz a ameaça antes dela se manifestar.
2.6.2 – Preventiva
• Torna a ameaça impossível antes dela se manifestar
• Exemplo: evitar acessar os sistemas internos via internet
2.6.3 - Detectiva
• Garante que cada incidente possa se detectado o mais rápido possível e que todo mundo seja informado do que está acontecendo.
• Exemplo: vigilância por vídeo
2.6.4 – Repressiva
• Para minimizar as consequências de um incidente após ele ocorrer
• Exemplo: usar extintor de incêndio
2.6.5 – Corretiva
• Recuperar algo após um incidente ter ocorrido
• Exemplo: restaurar o banco de dados usando o backup
2.7 – Tipos de Ameaças
2.7.1 –Humana Intencional
• Danos à informação causados por pessoas de forma proposital.
• Exemplos: hackers, empregados revoltados, engenharia social.
2.7.1.1 – Engenharia Social
• Quando alguém tenta ganhar confiança de um funcionário se passando por colega, cliente ou fornecedor, mas está tentando obter informação confidencial.
2.7.2 – Humana Não Intencional
• Danos causados por pessoas de forma involuntária
• Exemplos: pressionar botão delete sem querer, pendrive com vírus, uso inadequado de extintor de incêndio
2.7.3–Não humana
• São normalmente influências externas.
• Exemplos: raios, incêndio, inundação, tempestade.
2.8 – Tipos de Danos
2.8.1 – Conceito
• Dano resultante da manifestação de ameaças
2.8.2 – Tipos de Danos
2.8.2.1 – Dano Direto
• Danos diretos provocados pela manifestação de uma ameaça
• É a primeira perda provocada pelo incidente de segurança
2.8.2.1.1 – Exemplos
• Roubo de laptops
• Dados perdidos devido a ataques de hackers
• Servidor foi danificado após usar o extintor de incêndio
2.8.2.2 – Dano Indireto
• É o dano consequente que pode ocorrer após uma ameaça se manifestar
2.8.2.2.1 – Exemplo
• O incêndio destrói a infraestrutura de TI e com isto a empresa perde o contrato com um cliente importante.
• Perda de reputação no mercado devido a um incidente de segurança que deixou o site da empresa indisponível por horas.
• Perda de vendas no site devido a este ter ficado fora do arapós um ataque de hackers
2.8.2.3 – Expectativa de Perda Anual
• É a quantia da perda/prejuízo - expressa em valores monetários - que pode resultar de um incidente em um ano
• Exemplo: Se a empresa tem uma média de 10 laptops roubados a cada ano, a expectativa de perda anual é o valor dos 10 laptops, incluindo os dados e softwares instalados neles.
2.8.2.4 – Expectativa de Perda Única
• Prejuízo causado por um único incidente de segurança
• Diferente da Expectativa de Perda Anual que considera a perda durante um ano
2.9 - Tipos de Estratégias para Riscos
2.9.1 - Suportar / Aceitar (Riskbearing)
• Quando a empresa aceita os riscos e não adota medidas preventivas
• É usada quando os custos das medidas de segurança excedem o dano possível
• Neste tipo de estratégia, a organização pode adotar medidas repressivas somente quando a ameaça de fato se manifestar.
2.9.2 - Neutralizar / Reduzir (Risk neutral)
• Medidas de segurança são tomadas de forma que as ameaças não se manifestem mais, ou se manifestarem, o dano resultante será minimizado
• A maioria das medidas tomadas são uma combinação de medidas preventivas, detectivas e repressivas
2.9.3 - Evitar (Riskavoiding)
• Medidas são tomadas para que a ameaça seja eliminada de forma que a ameaça não conduza a um incidente (não se manifeste)
• Exemplo: para evitar a ferrugem em vez de usar material de ferro, usa-se material plástico.
• A maioria das medidas tomadas são preventivas
Bons estudos e até o próximo post!
2 – Ameaças e Riscos
2.1 – Ameaça
Fatores / situações que podem levar a um dano ou perda de informação
2.2 – Risco
É a chance que uma ameaça irá de fato ocorrer e suas consequências
2.3 – Incidente de Segurança
2.3.1 - Conceito
• Quando uma ameaça se manifesta
2.3.2 – Alguns Exemplos
• Hacker conseguiu invadir a rede
• Informações confidenciais vazaram no mercado
• Um documento importante foi perdido
• Usuário esqueceu um documento na impressora
• A porta de acesso à sala de servidores foi esquecida aberta
• O monitor está apresentando mensagens estranhas
2.4 – Análise de Risco
2.4.1 - Conceito
• Metodologia empregada para ajudar a identificar riscos e medidas
• É uma etapa do Gerenciamento de riscos
2.4.2 – Meta Principal
• Assegurar que medidas de segurança são implementadas a um custo-efetivo e em tempo hábil e consequentemente fornecer respostas efetivas para as ameaças
2.4.3 - Objetivos
• Identificar os ativos de informação e seus valores
• Determinar vulnerabilidades e ameaças
• Determinar o risco de ameaças se tornarem uma realidade e impactar os processos operacionais da empresa
• Determinar um equilíbrio entre custos de um incidente os custos de uma medida de segurança
2.4.4 – Tipos
2.4.4.1 – Análise Quantitativa
• Calcula, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameaça pode se tornar um incidente
• Serve para determinar os custos de medidas de segurança e os custos do objeto a ser protegido
2.4.4.2 – Análise Qualitativa
• É baseada em cenários e situações
• As chances de uma ameaça se tornar real são examinadas com base em julgamentos subjetivos (experiência das pessoas)
2.5 – Gerenciamento de Riscos
2.5.1 - Conceito
• É o processo contínuo que identifica, examina e reduz os riscos a um nível aceitável.
2.5.2 – Responsáveis
• Information Security Officer (ISO)
• Chief Information Security Officer (CISO)
2.6 – Medidas para Reduzir o Risco
2.6.1 - Redutiva
• Reduz a ameaça antes dela se manifestar.
2.6.2 – Preventiva
• Torna a ameaça impossível antes dela se manifestar
• Exemplo: evitar acessar os sistemas internos via internet
2.6.3 - Detectiva
• Garante que cada incidente possa se detectado o mais rápido possível e que todo mundo seja informado do que está acontecendo.
• Exemplo: vigilância por vídeo
2.6.4 – Repressiva
• Para minimizar as consequências de um incidente após ele ocorrer
• Exemplo: usar extintor de incêndio
2.6.5 – Corretiva
• Recuperar algo após um incidente ter ocorrido
• Exemplo: restaurar o banco de dados usando o backup
2.7 – Tipos de Ameaças
2.7.1 –Humana Intencional
• Danos à informação causados por pessoas de forma proposital.
• Exemplos: hackers, empregados revoltados, engenharia social.
2.7.1.1 – Engenharia Social
• Quando alguém tenta ganhar confiança de um funcionário se passando por colega, cliente ou fornecedor, mas está tentando obter informação confidencial.
2.7.2 – Humana Não Intencional
• Danos causados por pessoas de forma involuntária
• Exemplos: pressionar botão delete sem querer, pendrive com vírus, uso inadequado de extintor de incêndio
2.7.3–Não humana
• São normalmente influências externas.
• Exemplos: raios, incêndio, inundação, tempestade.
2.8 – Tipos de Danos
2.8.1 – Conceito
• Dano resultante da manifestação de ameaças
2.8.2 – Tipos de Danos
2.8.2.1 – Dano Direto
• Danos diretos provocados pela manifestação de uma ameaça
• É a primeira perda provocada pelo incidente de segurança
2.8.2.1.1 – Exemplos
• Roubo de laptops
• Dados perdidos devido a ataques de hackers
• Servidor foi danificado após usar o extintor de incêndio
2.8.2.2 – Dano Indireto
• É o dano consequente que pode ocorrer após uma ameaça se manifestar
2.8.2.2.1 – Exemplo
• O incêndio destrói a infraestrutura de TI e com isto a empresa perde o contrato com um cliente importante.
• Perda de reputação no mercado devido a um incidente de segurança que deixou o site da empresa indisponível por horas.
• Perda de vendas no site devido a este ter ficado fora do arapós um ataque de hackers
2.8.2.3 – Expectativa de Perda Anual
• É a quantia da perda/prejuízo - expressa em valores monetários - que pode resultar de um incidente em um ano
• Exemplo: Se a empresa tem uma média de 10 laptops roubados a cada ano, a expectativa de perda anual é o valor dos 10 laptops, incluindo os dados e softwares instalados neles.
2.8.2.4 – Expectativa de Perda Única
• Prejuízo causado por um único incidente de segurança
• Diferente da Expectativa de Perda Anual que considera a perda durante um ano
2.9 - Tipos de Estratégias para Riscos
2.9.1 - Suportar / Aceitar (Riskbearing)
• Quando a empresa aceita os riscos e não adota medidas preventivas
• É usada quando os custos das medidas de segurança excedem o dano possível
• Neste tipo de estratégia, a organização pode adotar medidas repressivas somente quando a ameaça de fato se manifestar.
2.9.2 - Neutralizar / Reduzir (Risk neutral)
• Medidas de segurança são tomadas de forma que as ameaças não se manifestem mais, ou se manifestarem, o dano resultante será minimizado
• A maioria das medidas tomadas são uma combinação de medidas preventivas, detectivas e repressivas
2.9.3 - Evitar (Riskavoiding)
• Medidas são tomadas para que a ameaça seja eliminada de forma que a ameaça não conduza a um incidente (não se manifeste)
• Exemplo: para evitar a ferrugem em vez de usar material de ferro, usa-se material plástico.
• A maioria das medidas tomadas são preventivas
Bons estudos e até o próximo post!
Assinar:
Postagens (Atom)
Postagens
