450 likes | 568 Views
Segurança, Controle e Auditoria de Dados. 10 – Análise de Impactos e Cálculo de Riscos. Análise de Impactos. Analisa-se impactos em dois aspectos: Curto prazo; Longo prazo. Em função do tempo que o impacto permanece afetando os negócios. De acordo com esta ótica, existem 6 classificações.
E N D
Segurança, Controle e Auditoria de Dados 10 – Análise de Impactos e Cálculo de Riscos
Análise de Impactos • Analisa-se impactos em dois aspectos: • Curto prazo; • Longo prazo. • Em função do tempo que o impacto permanece afetando os negócios. • De acordo com esta ótica, existem 6 classificações.
Análise de Impactos • 0 – Impacto irrelevante; • 1 – Efeito pouco significativo, sem afetar a maioria dos processos de negócio da instituição; • 2 – Sistemas não disponíveis por um determinado período de tempo, podendo causar perda de credibilidade junto aos clientes e fornecedores, além de pequenas perdas financeiras;
Análise de Impactos • 3 – Perdas financeiras de maior vulto e perda de clientes para a concorrência; • 4 – Efeitos desastrosos, porém sem comprometer a sobrevivência da organização; • 5 – Efeitos desastrosos que comprometem, de algum modo, a sobrevivência da organização;
Análise de Impactos • Além desses níveis, outros, intrinsecamente relacionados aos negócios da organização, podem ser definidos; • Estes níveis devem ser criados por aqueles que mais entendem dos negócios, e que trabalham com os processos diariamente; • Exemplos de níveis criados:
Análise de Impactos • 01 – Modificação de dados • 02 – Sistemas vitais não disponíveis • 03 – Divulgação de informações confidenciais • 04 – Fraude • 05 – Perda de credibilidade • 06 – Possibilidade de processo legal contra a instituição • 07 – Perda de clientes para a concorrência
Análise de Impactos • Além de impactos, também tem-se níveis de probabilidade; • Estes níveis, de modo padrão semelhante ao anterior de impacto, também vão de 0 a 5; • Os níveis são como mostrados a seguir:
Análise de Impactos • 0 – Ameaça completamente improvável de ocorrer; • 1 – Probabilidade da ameaça ocorrer menos de uma vez por ano; • 2 – Probabilidade da ameaça ocorrer pelo menos uma vez por ano;
Análise de Impactos • 3 – Probabilidade da ameaça ocorrer pelo menos uma vez por mês; • 4 – Probabilidade da ameaça ocorrer pelo menos uma vez por semana; • 5 – Probabilidade da ameaça ocorrer diariamente.
Matriz de Relacionamento • A maneira mais fácil de visualizar as ameaças, impactos e probabilidades é a matriz de relacionamento; • A matriz agrupará as ameaças em categorias; • As ameaças são associadas aos impactos; • Para cada par ameaça/impacto, associasse níveis de impacto e probabilidade;
Matriz de Relacionamento • O risco é calculado com base nessa matriz; • Risco = Probabilidade X Impacto • Valor mínimo = 0: nenhum risco • Valor máximo = 25: altíssimo risco • Quanto maior o risco, mais atenção devem ter as medidas de segurança para a ameaça em questão;
Matriz de Relacionamento • Economicamente, e tecnicamente, nem todos os riscos serão minimizados; • Recomenda-se estabelecer um nível aceitável de risco, e tratar as ameaças com risco maior que este; • Isso visa diminuir o tempo de implementação de segurança, e o custo total envolvido;
Análise de Risco • Para cada ameaça, define-se linhas de ação: • Eliminar risco; • Reduzir risco a nível aceitável; • Limitar o dano, reduzindo o impacto; • Compensar o dano, por meio de seguros. • Caso seja impossível eliminar o risco, tenta reduzi-lo a um nível aceitável, limitar o dano caso o mesmo ocorra, ou compensar os danificados, controlando o ambiente ameaçado.
Análise de Risco • Devido à complexidade dos ambientes computacionais, recomenda-se o controle em camadas; • Isso evita que, caso a proteção seja quebrada, todo o ambiente fique desprotegido; • Caso a proteção de uma camada seja quebrada, ainda existem a dos outros níveis;
Análise de Risco • Camadas: • Programas e aplicativos, • Serviços; • SO; • Hardware. • Levar em consideração controles de segurança física e outros controles administrativos;
Análise de Risco • Deste modo, mesmo que um invasor consiga quebrar uma das camadas, ainda existem outras barreiras a transpor; • Porém, isso somente funciona das camadas mais acima para as inferiores; • App -> SO • Hardware -/-> SO
Análise de Risco • Assim, quanto mais inferior a camada, mais criteriosa deverá ser a escolha das medidas de segurança aplicadas; • ISO 7498-2 define categorias de serviço de segurança: • Autenticação; • Controle de Acesso; • Confidencialidade de Dados; • Integridade de Dados; • Disponibilidade; • Não repudio.
Gerência de Segurança • Pessoa, ou grupo de pessoas, que desenvolve as políticas de segurança definidas; • Após definida a política, é o gerente de segurança que deve encabeçar sua implantação; • Deve estar diretamente ligado à alta gerência, para evitar que suas sugestões (ou ordens) sejam ignoradas;
Gerência de Segurança • Deve ter em mente três princípios básicos: • Prevenir o acesso de pessoas não autorizadas aos sistemas e informações; • Impedir que aqueles que conseguirem acesso, autorizado ou não, danifiquem ou adulterem qualquer coisa; e • Uma vez ocorrida a contingência, estar preparado para identificar suas causas, recuperar os sistemas e dados, e modificar os controles para que o problema não torne a acontecer.
Gerência de Segurança • Pode ser dividida em: • Gerência de segurança de sistemas; • Gerência dos serviços de segurança; • Gerência dos mecanismos de segurança; • Gerência de auditoria de segurança. • Outros responsáveis: • Proprietário ou dono do sistema; • Gerente do sistema; • Usuário.
Gerência de Segurança - Checklist • Elaborar, divulgar e manter atualizado o documento que descreva a política de segurança de informações; • A alta gerência deve estar comprometida com a política de segurança de informações, a qual deve ser implantada de acordo com o documento formal por ela aprovado;
Gerência de Segurança - Checklist • Definir uma estrutura organizacional responsável pela segurança, a qual deve aprovar e revisar as políticas de segurança, designar funções de segurança e coordenar a implantação da política; • Estabelecer procedimentos de segurança de pessoal, com o intuito de reduzir ou evitar erros humanos, mal uso de recursos computacionais, fraudes ou roubos, por meio de um processo rigoroso de recrutamento e de controle sobre acesso a dados confidenciais;
Gerência de Segurança - Checklist • Todos os funcionários devem ter conhecimento dos riscos de segurança de informações e de suas responsabilidades com relação a este assunto; • É recomendável que exista um treinamento de segurança para difusão de boas práticas e padrões de segurança, promovendo uma cultura de segurança na organização;
Gerência de Segurança - Checklist • Controlar e classificar os recursos computacionais de acordo com seu grau de confidencialidade, prioridade e importância para a organização; • Todos os recursos (hardware, software, dados, documentação etc.) devem ser administrados por um responsável designado seu proprietário; • Definir padrões adequados de segurança física para prevenir acesso não autorizado, danos ou interferência em atividades críticas;
Gerência de Segurança - Checklist • Devem ser estabelecidos limites de acesso ou áreas de segurança com dispositivos de controle de entrada; • Todos os equipamentos e cabeamentos de energia e de telecomunicação devem ser protegidos contra interceptação, dano, falha de energia, picos de carga e outros problemas elétricos; • Implantar controle de acesso lógico aos sistemas de forma a prevenir acessos não autorizados;
Gerência de Segurança - Checklist • O controle de acesso lógico pode ser feito via processo seguro de logon, senhas fortemente seguras, registro formal de usuários, monitoramento por trilhas de auditoria etc; • Administrar os recursos computacionais e as redes seguindo requisitos de segurança previamente definidos;
Gerência de Segurança - Checklist • Definir procedimentos de backup e de restauração dos sistemas computacionais para garantir a integridade e a disponibilidade de dados e software; • A freqüência de backup deve ser apropriada e pelo menos uma cópia do mesmo deve ser guardada em local seguro; • Os procedimentos de restauração devem ser periodicamente testados para garantir sua efetividade quando forem necessários;
Gerência de Segurança - Checklist • Antes da inclusão de qualquer programa nos sistemas computacionais da organização, tomar as medidas de segurança exigidas na política da organização; • Investigar qualquer incidente que comprometa a segurança dos sistemas e informações; • Os registros desses incidentes devem ser mantidos e periodicamente analisados para detectar vulnerabilidades na política de segurança adotada;
Controles de Acesso Lógico • Recursos utilizados para proteger, de modo lógico, os recursos informacionais; • Pode ser por: • Senhas; • Token; • Biometria. • Cada usuário deverá ter acesso somente aos recursos estritamente necessários, assim como o que pode fazer com estes também é controlado;
Controles de Acesso Lógico - Cheklist • Conceder acesso, aos usuários, somente aos recursos realmente necessários para execução de suas tarefas; • Restringir e monitorar o acesso a recursos críticos; • Utilizar softwares de controle de acesso lógico; • Utilizar criptografia segura;
Controles de Acesso Lógico - Cheklist • Revisar periodicamente as listas de controle de acesso; • Evitar dar orientações ao usuário durante o processo de logon; • Bloquear a conta do usuário após um determinado número de tentativas frustradas de logon; • Restringir acesso a determinados periféricos;
Controles de Acesso Lógico - Cheklist • Fornecer contas apena a pessoas autorizadas; • Não fornecer a mesma conta para mais de um usuário; • Ao conceder a conta ao usuário, informá-lo sobre as políticas de senha da organização; • Bloquear, se possível, a escolha de senhas frágeis;
Controles de Acesso Lógico - Cheklist • Orientar o usuário na escolha de senhas seguras; • Orientar o usuário a não armazenarem senhas em arquivos ou enviá-las por e-mail; • Armazenas as senhas no sistema sob a forma criptografada; • Prevenir o uso freqüente de senhas já utilizadas pelo mesmo usuário anteriormente;
Controles de Acesso Lógico - Cheklist • Estabelecer prazo máximo de utilização de uma mesma senha; • Informar os usuários quanto aos perigos de divulgação de senhas; • Impedir que o usuário seja capaz de ler arquivos e senha, identificar e trocar senhas de outros usuários;
Controles de Acesso Lógico - Cheklist • Desabilitar contas inativas, sem senhas, ou com senhas padronizadas; • Desabilitar a senha de ex-funcionários; • Não armazenas senhas em logs; • Manter e analisar trilhas de auditoria e logs;
Controles de Acesso Lógico - Cheklist • Limitar o número de sessões concorrentes e o horário de uso dos recursos; • Configurar time-out automático; • Revisar e incorporar as listas de verificações propostas na política de segurança e nos outros tópicos de caráter mais específico, de acordo com a área ou plataforma a ser auditada.
Controles de Acesso Físico • Recursos protegidos: • Servidores; • Estações de trabalho; • CPU, • Placas; • Monitores; etc • Controles Administrativos: • Crachás; • Câmeras; • Controle de entrada e saída de equipamentos; etc
Controles de Acesso Físico • Controles Específicos: • Cadeados; • Fechaduras eletrônicas; • Fechaduras biométricas; • Guardas; etc
Controles de Acesso Físico - Checklist • Instituir formas de identificação capazes de distinguir um funcionário de um visitante, e categorias diferentes de usuários, se for o caso; • Exigir a devolução de bens e propriedade da instituição quando o funcionário é desligado ou demitido; • Controlar a entrada e saída de equipamentos, registrando data, horários e responsável;
Controles de Acesso Físico - Checklist • Controlar a entrada e saída de visitantes, registrando data, horários e local de visita e, dependendo do grau de segurança necessário, acompanhá-los até o local de destino; • Instituir vigilância no prédio, 24/7; • Supervisionar a atuação da equipe de limpeza, manutenção e vigilância;
Controles de Acesso Físico - Checklist • Não instalar, em áreas de acesso público, equipamentos que possam acessar a rede interna; • Orientar os funcionários a não deixarem os computadores sem qualquer supervisão de pessoa autorizada, por exemplo, durante o horário de almoço ou quando se ausentarem de sua sala por tempo prolongado;
Controles de Acesso Físico - Checklist • Encorajar o bloqueio de teclado, a guarda de documentos confidenciais, disquetes, cd’s, backups e laptops em armários com chave; • Utilizar mecanismos de controle de acesso físico, tais como fechaduras, câmeras de vídeo e alarmes; • Proteger as linhas telefônicas e outros dispositivos de comunicação contra “grampo”; • Proteger fisicamente os backups;
Controles de Acesso Físico - Checklist • Restringir o acesso a computadores e impressoras que manipulem dados confidenciais; • Instituir política de descarte de equipamentos, dispositivos e documentos em papel que possam conter informações confidenciais; • Revisar e incorporar as listas de verificações propostas na política de segurança e nos outros tópicos de caráter mais específico, de acordo com a área ou plataforma a ser auditada.
Controles de Acesso Ambiental É com vocês!!