Material Sobre FRAP

Pgina 2 de 47

............................................................................................................................................ 3 AULA 1 28 SET. 2012

SEGURANA DA INFORMAO ...................................................................................................................... 3

ABORDAGEM INTEGRADA SEGURANA...................................................................................................... 5

NORMAS E LEGISLAO APLICVEL ............................................................................................................... 6

INTRODUO ISO 27001 ............................................................................................................................. 6

INTRODUO GESTO DE RISCO ................................................................................................................ 8

INTRODUO GESTO DE CONTINUIDADE DE NEGCIO .......................................................................... 10

........................................................................................................................................ 11 AULA 2 19 OUT. 2012

A ANLISE E GESTO DE RISCOS .................................................................................................................. 11

MITIGAO TCNICA E/OU ADMINISTRATIVA ............................................................................................. 13

MODELO DE SEGURANA INTEGRADO ........................................................................................................ 15

CONTROLOS DE SEGURANA (TECNOLGICOS, OPERACIONAIS E DE GESTO) ............................................ 17

.......................................................................................................................................... 20 AULA 3 2 NOV. 2012

NOES DE CRIPTOGRAFIA .......................................................................................................................... 20

GESTO DE CHAVES ..................................................................................................................................... 24

INTRODUO AO PROCESSO DE ANLISE DE RISCO FRAAP ......................................................................... 26

........................................................................................................................................ 30 AULA 4 16 NOV. 2012

PROCESSO DE ANLISE DE RISCO FRAAP ..................................................................................................... 30

SESSO FRAAP ............................................................................................................................................. 37

METODOLOGIAS DE GESTO DE RISCO ........................................................................................................ 42

........................................................................................................................................ 44 AULA 5 30 NOV. 2012

PROCESSO DE ANLISE DE RISCO FRAAP ..................................................................................................... 44

........................................................................................................................................... 46 AULA 6 7 DEZ. 2012

BUSINESSIMPACTANALYSIS (BIA)................................................................................................................. 46

GAP ANALISYS ............................................................................................................................................. 47

Pgina 3 de 47

Segurana da Informao

Dados vs Informao

Os dados so representaes de factos, conceitos ou instrues de uma maneira normalizada

que se adapte comunicao, interpretao e processamento pelo ser humano ou atravs de

sistemas automatizados.

Os dados so representados por smbolos como por exemplo as letras ou nmeros: a, b, 1, 2

etc., mas no constituem por si informao til.

Informao todo o conjunto de dados devidamente ordenados e organizados de forma a

terem significado.

A informao atualmente considerada o ativo mais importante nas Organizaes

Controlo de acesso Informao

mbito da informao

Interna

Parceiros

Clientes

Pblica

Classificao

No classificada

Reservada

Confidencial

Ateno: Tanto o mbito como a classificao podem variar ao longo do tempo processo de gesto

Pgina 4 de 47

Segurana da Informao "A preservao da confidencialidade, integridade e disponibilidade da informao, alm disso, outras

propriedades, tais como autenticidade, no-repdio, responsabilidade e confiabilidade tambm podem

ser envolvidas"

Caractersticas da Seg. Informao

C Confidencialidade a informao no pode estar disponvel ou revelada a indivduos no

autorizados, entidades ou processos.

I Integridade propriedade de salvaguarda da preciso e integridade de ativos.

D Disponibilidade propriedade da informao estar acessvel e utilizvel sob demanda por

uma entidade autorizada.

Gesto da Segurana de Informao na Organizao Garantir a preservao da confidencialidade, integridade e disponibilidade da informao;

Reduzir os riscos para o negcio prevenindo e minimizando os impactos dos incidentes de

segurana;

Assegurar a Continuidade do Negcio da Organizao.

um processo de gesto;

No se resume componente tecnolgica, mas esta faz parte do processo de gesto da

segurana

Conceitos

Ameaa (Threat) Uma ameaa qualquer coisa (ato humano intencional ou no, ou

causada pela natureza), que tem o potencial de causar danos

Vulnerabilidades (vulnerability) A vulnerabilidade uma fragilidade que pode ser

usada para colocar em perigo ou causar danos a um ativo de informao

Riscos (Risk) Risco a probabilidade de algo mau vir a acontecer e causar danos a um ativo

de informao

Pgina 5 de 47

A probabilidade de uma ameaa vir a usar uma vulnerabilidade, para causar dano, resulta num risco

para a organizao.

NOTA:A Segurana da informao deve ser um processo integrado, que abrange toda a organizao

Abordagem Integrada Segurana

A Segurana de um Sistema de Informao s se consegue atingir considerando de forma integrada:

Normas e Procedimentos

Sistemas e Aplicaes

Infraestrutura

Acesso Fsico

Requisitos da Poltica de Segurana A poltica de segurana deve ser caracterizada pela preservao da:

o Confidencialidade da informao;

o Integridade da informao;

o Disponibilidade da informao;

Requisitos contratuais, regulamentares, estatutrios e legais

A Poltica deve focar Segurana Organizacional

Conformidade com requisitos regulamentares, legais, etc.;

Controlo de acessos, comunicaes e dados;

Procedimentos para a classificao da informao;

Procedimentos e responsabilidades operacionais;

Requisitos de segurana para manutenes e novos desenvolvimentos;

Planos de continuidade de negcio

Pgina 6 de 47

Importante garantir o alinhamento da Poltica de Segurana

Auditorias internas/externas

Anlise dos relatrios de incidentes

Alteraes dos requisitos de negcio

Normas e legislao aplicvel

ISO/IEC 27001:2005 (BS7799-2) Requisitos para implementar o Sistema de gesto de

Segurana da Informao ( a norma que permite certificar)

ISO/IEC 27002 ex. ISO/IEC 17799- Cdigo de boas prticas e controlos para a

implementao do SGSI

ISO/IEC 27003:2010 - Guia para a implementao do SGSI

ISO/IEC 27004:2009 Avaliao (medidas) do SGSI

ISO/IEC 27005:2008 (BS7799-3) Norma sobre a Gesto de Risco

BS25999 Norma que deve ser seguida para a Gesto de Continuidade de Negcio.

NOTA: Tanto a Qualidade como a Segurana devem estar presentes ao longo de todo o ciclo de vida

de um Sistema de Informao.

Introduo ISO 27001

ISO/IEC 27001:2005 Especificao de requisitos para Sistemas de Gesto de Segurana da Informao

Especifica os requisitos para o estabelecimento, implementao e documentao de um Sistema

de Gesto de Segurana da Informao (ISMS - Information Security Management System)

Especifica os requisitos para os controlos de segurana a serem implementados de acordo com

as necessidades individuais das organizaes

Pgina 7 de 47

ISO/IEC 27002:2005 (ex. ISO17799) Cdigo de boas prticas para a gesto da segurana da informao

Para utilizao como documento de referncia

Possui um conjunto compreensivo de controlos de segurana

As melhores prticas de segurana atuais, em utilizao

Possui 11 seces de controlos, detalhando a sua implementao

No pode ser utilizado para anlise (auditoria) e/ou certificao

Resumo do Modelo PDCA aplicado ao ISMS

Plan (estabelecer o SGSI) Estabelecer polticas do SGSI, objetivos, processos e

procedimentos relevantes para a gesto de risco e melhorar a segurana da informao para

fornecer resultados de acordo com as polticas globais de uma organizao e objetivos.

Do (implementar e operar o SGSI) Implementar e operar as polticas do SGSI,

controlos, processos e procedimentos.

Check (monitorizar e rever o SGSI) Avaliar e, se for o caso, o medir o

desempenho do processo contra as polticas do SGSI, objetivos e experincia prtica e relatar os

resultados da gesto para serem revistos.

Act (Manter e Melhorar o SGSI) Tomar aes corretivas e preventivas, com base

nos resultados da auditoria interna do SGSI e reviso da gesto ou outras informaes

relevantes, para alcanar a melhoria contnua do SGSI.

Pgina 8 de 47

Introduo Gesto de Risco

Norma a ter em conta ISO/IEC 27005:2008 (BS7799-3) - Information security risk management

Alguns conceitos

Riscos (Risk) probabilidade de algo mau vir a acontecer e causar danos a um ativo de

informao.

Anlise de Risco (Risk Analysis) uso sistemtico de informaes para identificar fontes e

estimar o risco.

Clculo do Risco (Risk Evaluation) processo de comparao do risco estimado com

critrios de risco dados para determinar a importncia do mesmo.

Avaliao do Risco (Risk Assessment) todo o processo global que envolve a anlise de

risco e clculo (classificao).

Tratamento do Risco (Risk Treatment) processo de seleo e implementao de

medidas (controlos) para mitigar o risco.

Gesto de Risco (Risk Management) atividades para dirigir e controlar uma organizao

no que diz respeito ao risco.

O risco avaliado de acordo com parmetros, cujo peso pode variar de acordo com o mtodo utilizado

Ameaa

Vulnerabilidade

Probabilidade

Valor do bem

Impacto

Controlos existentes

Pgina 9 de 47

Exemplos de Ameaas [ISO 27005] Terrorismo

Espionagem industrial

Uso no autorizado de equipamento

Fogo

Inundaes

Terramotos

Falha de energia

Falha de comunicaes

Falha de hardware ou software

Acesso no autorizado

Roubo de informao

Corrupo de dados

Bugs de software

Social engeneering

Ataques de vrus

Hacking

...

Exemplos de Vulnerabilidades [ISO 27005] Inexistncia de sistemas de deteo e extino de incndios

Inexistncia de sistemas de deteo de Inundaes

Inexistncia de um programa BCM

Inexistncia de redundncia de power e comunicaes

Testes de software fracos

Inexistncia de sistemas de proteo contra intruses (ex. FW, IPS, etc.)

Inexistncia de sistemas de controlo de acessos fsicos (barreiras, seguranas, vdeo, ID cards,

etc.)

Inexistncia de sistemas de controlo de acessos lgicos (login/passwd, id manag, tokens, etc.)

...

Avaliao de risco Existem vrias formas de calcular o risco:

Em funo da metodologia adotada

No entanto, tem que ser sistemtica e repetvel

Preferencialmente, devem ser utilizados valores quantitativos (1,2, 3, 4, 5) em vez de qualitativos (alto,

mdio, baixo)

Pgina 10 de 47

Tratamento do risco

Aceitar os riscos (ex. abaixo de um determinado valor);

Evitar os riscos (ex. fechar um servio ou substitui-lo deve ser feita nova avaliao);

Transferir os riscos (seguradoras).

Mitigao dos riscos

o Implementar os respetivos controlos (alguns identificados no Annex A da

o ISO27001);

o Deve ser realizada nova avaliao tendo em conta os novos controlos

Introduo Gesto de Continuidade de Negcio

O processo de Gesto Continuidade de Negcio conduz produo de planos e procedimentos

que permitem, a uma organizao, responder a incidentes mantendo ou reativando em tempo

til os seus servios crticos ou essenciais para o negcio

A dependncia das organizaes face aos Sistemas de Informao e os riscos a que se expem

torna necessrio conceber e operacionalizar uma eficaz e eficiente Gesto Continuidade de

Negcios.

Atualmente, o standard a seguir nesta rea a BS25999 do BSI, British Standards Institution.

Uma Gesto de Continuidade de Negcio eficiente permite Organizao

Identificar os processos/informao/sistemas crticos para o negcio

Identificar os impactos de uma eventual descontinuao dos servios;

Preparar a resposta a incidentes, que permitam minimizar esses impactos para o negcio;

Definir processos e organizao da equipa na sua implementao, testes e ativao;

Oferece organizao uma vantagem competitiva Em caso de incidentes, oferecendo uma maior preparao e rpida resposta

Explorado em termos de marketing

Pgina 11 de 47

A anlise e gesto de riscos

Anlise de Risco Vs Gesto de Risco

mais abrangente e inclui:

Avaliao de Risco

Mitigao de Risco

Implementao de controlos

Reavaliao/monitorizao

Gesto de Riscos objetivos Manter em segurana os sistemas de informao que guardam, processam ou transmitem

informao da organizao

Permitir gesto a tomada de decises devidamente fundamentadas que justifiquem os

investimentos e custos das Tis

Assistir a gesto na acreditao dos sistemas de IT com base na documentao resultante das

atividades desenvolvidas na Gesto de Risco

um processo, no um projeto

Formas de quantificar o Risco?

Avaliao quantitativa, recorrendo a valores numricos

No seu clculo inclui pode incluir o impacto no negcio

Que pode ser considerado na anlise custo-benefcio dos controlos a implementar

Avaliao qualitativa, atravs de nveis de valores

Utilizando categorias e nveis de risco

Atravs deste mtodo observa-se facilmente a priorizao dos Riscos

Pgina 12 de 47

Avaliao quantitativa Atravs da aplicao deste mtodo, os fatores do risco (probabilidade e impacto) so

classificados atravs da atribuio de um valor (numrico ou verbal) que est integrado numa

escala de valores relativos.

Cada valor da escala associado a uma descrio explicativa.

Exemplo de uma escala qualitativa para classificar a probabilidade

Considerados nveis de avaliao de 1 a 5, no caso do exemplo

abaixo, o nvel de Risco de 45, considerando: o valor de 5 para o ativo

3 para a probabilidade da ameaa se concretiza e 3 para o impacto da

vulnerabilidade.

Formas de estimar a probabilidade

Estimar a probabilidade atravs de dados e input interno

Utilizar histrico dos incidentes para determinar os riscos atuais

Recorrer ao conhecimento e experincia dos colaboradores e

especialistas internos em segurana

Atravs de metodologias estruturadas de recolha de dados: Com questionrios e discusses de

grupo.

Estimar a probabilidade atravs de dados externos

Dados partilhados por outras organizaes

Pgina 13 de 47

Mitigao tcnica e/ou administrativa

Opes de Tratamento de Risco (ISO)

Assumir o Risco

o Aceitar o Risco continuando com o sistema em operao

o Podendo/devendo ir implementando controlos tendentes reduo do risco

Evitar o Risco

o Eliminando a causa do risco ou as consequncias (desativar certas funcionalidades, ou

mesmo desligar o sistema)

Transferncia de Risco

o Utilizando opes que permitam compensao em caso de perdas (p.e. seguros)

Aplicao de Controlos

o Controlos de segurana apropriados s ameaas e vulnerabilidades encontradas no

sentido de reduzir o risco final

Opes de Mitigao de Risco (NIST)

Assumir o Risco

o Aceitar o Risco continuando com o sistema em operao

o Podendo/devendo ir implementando controlos tendentes reduo do risco

Evitar o Risco

o Eliminando a causa do risco ou as consequncias (desativar certas funcionalidades ou,

mesmo, desligar o sistema)

Transferncia de Risco

o Utilizando opes que permitam compensao em caso de perdas (p.e. seguros)

Planeamento de Risco

o Gerir o risco, desenvolvendo um plano de mitigao que prioriza, implementa e mantem

os controlos

Limitar o Risco

o Implementar os controlos capazes de minimizar o impacto de certas ameaas sobre

alguma vulnerabilidade

Pgina 14 de 47

o Necessrio implementar medidas de deteo, preveno e suporte

(se for verificado um determinado incidente, desligar sistema, ou repor sistema)

Reconhecimento e Desenvolvimento de controlos

o De forma a baixar o risco, medida que as vulnerabilidades so reconhecidas,

implementado um plano de desenvolvimento e implementao de controlos que

permitam corrigir ou minimizar a vulnerabilidade.

Risk Mitigation Checklist (extrado do NIST) Cada opo de mitigao de risco projetada deve ser examinada a partir das seguintes perspetivas:

Eficcia Ser que vai reduzir ou eliminar os riscos identificados? At que ponto as

alternativas iro mitigar os riscos?

Custo/benefcio Os benefcios entendidos da opo superam os custos? Ser que os

ganhos potenciais so proporcionais ao impacto da mudana necessria?

Praticidade vivel e adequado em termos de tecnologia disponvel, viabilidade

financeira, viabilidade administrativa, legislao e regulamentos, disponibilidade poltica, etc.?

Desafio Pode a medida de mitigao de risco resistir mudana de todas as partes

interessadas (empregados, gerentes, acionistas / Estado administraes, etc.)?

Aceitao das partes interessadas Quanta resistncia das partes interessadas se

pode esperar? (As discusses com as partes interessadas durante a fase de avaliao de risco

podem indicar a sua opo preferida mitigao de risco.)

Exequibilidade Se as novas regras (POPs, regulamentos, etc.) so implementadas, so

exequveis?

Durabilidade Ser que a medida ir resistir ao longo do tempo? Ser que vai ser um

benefcio temporrio ou ser que vai ser til a longo prazo?

Riscos residuais Aps a medida de mitigao de risco ser implementada, quais sero os riscos residuais em relao ameaa original? Haver capacidade de mitigar quaisquer riscos

residuais?

Problemas novos Que novos problemas ou novos (talvez pior) riscos surgiro com o

controlo introduzido?

Pgina 15 de 47

Modelo de segurana integrado A definio de estratgia e metodologias deve estar suportada numa Poltica de Segurana

Integrada, ou no, num SGSI Sistema de Gesto de Segurana da Informao

Inserido, ou no num processo de certificao

Roadmap para Poltica de Segurana

Norma utilizada Utilizao da ISO 27002 (ou 17799) como suporte gesto da segurana da informao.

Pgina 16 de 47

Poltica de segurana Definio de Segurana da Informao aprovada pela Gesto de Topo, seus objetivos,

abrangncia e importncia

o Breve explicao dos princpios, normas e conformidades de relevo

o Referncias a documentos ou processos externos

Comunicao a toda a organizao

Uma poltica de segurana dever ser aprovada pela direo da organizao, publicada e

comunicada apropriadamente a todos os funcionrios

Para possuir a direo dos gestores de topo e o seu indiscutvel suporte segurana da

informao;

Para fornecer elementos comuns de abordagem Segurana da Informao;

Para responsabilizao de todos os elementos da organizao.

A poltica de segurana de alto nvel (topo) no pode deixar dvidas quanto necessidade de

TODOS os funcionrios a respeitarem na ntegra.

Simples e direta;

Os pontos principais devero ocupar uma simples folha de papel A4;

O contedo completo da poltica dever estar acessvel a todos dentro da organizao.

Esta dever responsabilizar e sancionar aqueles que a no respeitem.

Poder conter

A descrio da necessidade de aes de formao especficas;

A indicao da existncia de um frum de segurana;

A identificao de outras polticas especficas;

A viso do processo de gesto do risco.

Os requisitos para o plano de contingncia da organizao;

As necessidades de backup/restore;

A forma de seleo e gesto de ferramentas de eliminao de vrus;

As especificaes de mecanismos para controlo de acessos a sistemas e dados;

Para comunicao de incidentes de segurana;

A descrio de aes disciplinares para atividades maliciosas ou de acesso/utilizao

inapropriado de recursos.

Etc.

Pgina 17 de 47

Concluso Utilizao da ISO 27002 (ou 17799), define as melhores prticas para a gesto de segurana da

informao

Sem uma gesto formal da segurana da informao, a segurana ser quebrada algures no

tempo.

A segurana da informao um processo de gesto, no um processo tecnolgico.

Controlos de segurana (Tecnolgicos, Operacionais e de Gesto) A implementao de controlos ou medidas de segurana:

Deve resultar de um processo de avaliao de riscos

Opo de Mitigao Tcnica ou Administrativa

Compromisso entre ambas Carece de uma cuidada anlise de custo-benefcio

Na ISO/IEC 27001 os controlos de segurana esto agrupados em 11 pontos, do Anexo A

Agrupar controlos Os controlos a implementar podem ser agrupados em (NIST Special Publication 800-30) em:

Tecnolgicos

o Suporte

o Preventivos

o Para deteo e recuperao

No tecnolgicos

o Gesto

o Operacionais

o Organizacionais

Pgina 18 de 47

Controlos Tecnolgicos

Suporte

So a base e esto interligados com outros controlos de segurana.

Identificao

Gesto de Chaves Criptogrficas

Administrao da Segurana

Proteo de Sistemas

Preventivos

Autenticao (ex.: User/Pass; PIN; Autenticao forte; Biometria) No repudio (Ao assegurar a correta accountability das transaes relevantes previne-se o no

repdio)

Proteo das comunicaes (ex: Estabelecimento de VPNs) Autorizao

Para deteo e recuperao

Controlos que permitem a deteo de violao ou tentativa de violao das regras de polticas

Funcionam como complemento segurana das medidas de suporte e preventivas

Exemplos de Controlos:

Audit.

Intrusion Detection and Containment.

Proof of Wholeness.

Restore Secure State.

Virus Detection and Eradication.

Pgina 19 de 47

Controlos no tecnolgicos Devem ser implementados em conjunto com os controlos tecnolgicos e contribuem para gerir e

minimizar o risco.

Controlos de Gesto e Organizacionais

Focados na definio de polticas e normas de proteo da informao, realizadas atravs de

procedimentos operacionais.

Processos e procedimentos que definem como os elementos da organizao devem atuar no

sentido de colaborar na segurana.

Exemplos:

Atribuir responsabilidades relativas segurana dos sistemas crticos

Estabelea programas de formao e sensibilizao dos utilizadores

Estabelecimento de procedimentos para acesso de terceiros

Credenciao de pessoal o analisando as competncias e o passado (p.e. Registo Criminal e

Referncias)

Providenciar o estabelecimento e gesto de um plano operacional de continuidade de

negcio

Controlos Operacionais

Conjunto de controlos e linhas orientadoras que assegurem procedimentos seguros de

governao do IT, no sentido de cumprir os objetivos da organizao

Deve considerar as polticas e normas definidas na gesto

Exemplos:

Manter em segurana os sistemas de rede e cablagem

Estabelecer e controlar os procedimentos de segurana de armazenamento de dados fora

da organizao

Controlo ambiental do Data Center (Ar condicionado)

Assegurar a segurana ambiental (detetores de incndios, sensores de temperatura e

humidade, e alarmes).

Pgina 20 de 47

Noes de criptografia

O que ? Escrita secreta por meio de abreviaturas ou de sinais convencionados de modo a preservar a

confidencialidade da informao

Em que consiste? Transformao de textos originais, chamada texto original (plaintext) ou texto claro (cleartext), em

informao transformada, chamada texto cifrado (ciphertext), texto cdigo (codetext) ou simplesmente

cifra (cipher), que tm a aparncia de um texto random ilegvel.

Proteo da Informao O truque da segurana da informao :

Proteg-la de algum mal (roubo, alterao, acesso no autorizado)

Ao mesmo tempo que mantm a informao disponvel para quem precisa

As ameaas que a informao enfrenta Perda ou Roubo de Media - Tapes ou discos de backup armazenados ou em trnsito

Roubo de Informao por utilizadores com acesso

Distribuio no intencional (envio para um destinatrio diferente)

Hacking (aplicacional), alterando aplicaes ou configuraes com impacto nos dados

Roubo de dispositivos mveis

Proteo da informao em vrios pontos Segurana de dados armazenados

Segurana nos Servidores (emails, etc.)

Segurana dos Terminais de utilizador (PC, PDA, Pens, etc.)

Pgina 21 de 47

Processos bsicos de criptografia

Encryption processo de transformao (encriptao) de informao em claro (plaintext) em

texto cifrado (ciphertext).

Decryption processo de converso de texto cifrado na mensagem original utilizando a chave

criptogrfica apropriada.

Sistemas criptogrficos simtricos Usam a mesma chave para encriptar e desencriptar mensagens; ou pelo menos, chaves que

possam ser determinadas de forma simples e direta uma a partir da outra.

Necessitam de um canal seguro para a divulgao das chaves.

S os utilizadores do grupo podem ter acesso s chaves.

Com a sada de um utilizador do grupo, o sistema fica comprometido

Exemplos:

Cdigo Playfair

Substituio de Hill

Data Encryption Standard (DES)

International Data Encryption Algorithm (IDEA)

One Time Pad (One time key, ou Chave nica)

Advanced Encryption Standard (AES)

Sistemas criptogrficos assimtricos (chave pblica) Tipo de encriptao que usa duas chaves distintas, uma para a encriptao e outra para a

desencriptao de mensagens (chave pblica e chave privada, respetivamente).

Evita o problema da divulgao das chaves, dos sistemas simtricos.

Cerca de 1000 vezes mais lento que os algoritmos simtricos

Utilizaes mais comuns...

o Distribuio de chaves sem segredos pr-acordados

o Assinaturas digitais e no repdio

o Identificao utilizando protocolos de desafio-resposta com chaves pblicas

o Encriptao (mas muito mais lento)

Pgina 22 de 47

Exemplos

Diffie - Hellman (# 1 sistema de chave pblica inventado)

HM (Merkle e Hellman)

RSA (Ron Rivest, Adi Shamir e Leonard Adleman)

PGP (Pretty Good Privacy)

PKI Public Key Infrastructure

Infraestrutura necessria para a gesto do ciclo de vida das chaves criptogrficas de sistemas

assimtricos

Gerao

Distribuio

Renovao

Revogao

Etc.

Certificado Digital (Digital Certificate) um documento eletrnico que liga a identidade fsica de uma entidade (pessoa, organizao

ou computador) sua chave pblica

Em sistemas seguros (particularmente em PKIs) um certificado digital emitido para

o autenticar a(s) parte(s) envolvidas numa transao,

o assinar eletronicamente documentos assegurando a integridade do seu contedo e/ou

no repdio de transaes eletrnicas

Pgina 23 de 47

Combinao dos dois mtodos Codificando-se a mensagem com o mtodo da chave simtrica e trocando a chave simtrica com o

mtodo de chave pblica.

Chave de sesso simtrica

o processamento mais rpido

Partilhada recorrendo a criptografia assimtrica

o mais lenta

o mas mais segura

Assinatura Digital Proporcionado pela criptografia assimtrica que permite garantir a autenticidade de quem envia a

mensagem, associada integridade do seu contedo.

No caso de se pretender enviar uma mensagem garantindo a integridade:

Mensagem cifrada na origem com a chave privada

Destinatrio utiliza a chave pblica do emissor, para decifrar a mensagem

Fica garantida assim a

o autenticidade,

o integridade e

o no-repudiao da mensagem recebida

Pgina 24 de 47

Gesto de chaves

Algumas notas A Cifra requer:

os dados a proteger

algoritmos de cifra

chaves de cifra

O processo de cifrar uma comodidade disponibilizada por um conjunto variado de ferramentas

Ter em ateno que nenhum algoritmo inquebrvel

o A questo quanto tempo leva a quebrar

O foco deve ser dado ao nvel da Gesto de chaves

o Uma gesto de chaves fraca pode comprometer processos e algoritmos de cifra

robustos

A segurana depende em grande parte da gesto de chave

o no sentido de apenas dar acesso a pessoas autorizadas e de acordo com polticas de

aprovao e atribuio

As chaves tm que ser

o geradas de forma segura e realmente aleatrias

o armazenadas de forma cuidada

o transportadas de forma segura

o ter (ou no) forma de recuperao

Para uma gesto eficaz, necessrio perceber que as chaves tm um ciclo de vida.

Pgina 25 de 47

O que a Gesto de chaves? o conjunto de tcnicas e procedimentos relacionados com o ciclo de vida das chaves

criptogrficas

Mas tambm das relaes entre as entidades emissoras

Mantendo as chaves e essas relaes em segurana

Public Key Infrastructure (PKI)

Certificate Authority (CA)

CA uma organizao que emite certificados utilizando uma assinatura digital, que vincula um

certificado digital identidade de uma entidade.

Registration Authority (RA):

RA autentica a identidade das entidades e requer CA a emisso do certificado para cada uma

dessas entidades.

Hierarquicamente, a RA opera na dependncia da CA e atua como interface da CA para com o

utilizador ou entidade requerente.

Validation Authority (VA):

VA pode fazer parte do servio fornecido pela CA ou por um terceiro.

Valida os certificados digitais, emite comprovativos digitais e servios confiveis de

reconhecimento como prova de que uma transao eletrnica ocorreu.

Relaes de confiana entre CAs Existe um modelo hierrquico que estabelece as relaes de confiana entre CAs diferentes,

dentro da hierarquia de confiana mesmo.

No entanto, se os seus CAs no partilham uma raiz comum CA, deve ser realizada uma

certificao cruzada.

As CAs raiz devem desenvolver relaes de confiana bilateral.

o Constituindo um modelo hbrido de relaes de confiana.

Pgina 26 de 47

Introduo ao processo de anlise de risco FRAAP

Definio e conceitos

FRAAP Facilitated Risk Analysis and Assessment Process

uma metodologia de anlise e avaliao de risco desenvolvido por Thomas R. Peltier

Tem por base as normas existentes (nomeadamente a 17799/27002)

o Que transmitem as boas prticas, no a metodologia

Resulta da experincia da equipa em projetos

Tem sido utilizada, e melhorada, nos ltimos 15 anos

Prima por:

o Ser dirigido pelo responsvel de negcio

o Levar dias, em vez de semanas

o Boa relao custo-benefcio

o Utilizar especialistas/experincia interna

Este processo envolve a anlise de 1 sistema processo, plataforma, processo de negcio

definido de cada vez

um mtodo qualitativo de anlise de risco

o Baseado no nvel de impacto do risco

o Em vez do valor monetrio do impacto

Durante o processo a equipa envolvida conduzida a participar na discusso e identificao de

o potenciais ameaas

o nveis de risco

o possveis controlos a aplicar

Pgina 27 de 47

Constituio do FRAAP

Pr-FRAAP

Reunio de 1 a 1,5 horas como responsvel de negcio

Vo definir as bases de trabalho para as fases seguintes

FRAAP

Dura aproximadamente 4 horas e deve incluir uma equipa mais abrangente que inclua os

responsveis de negcio e da infraestrutura

Identificar: Ameaas, Vulnerabilidades, Impactos e Controlos

Post-FRAAP

Normalmente 1 a 2 semanas

Anlise dos resultados e produo do relatrio final

Antes do processo FRAAP

Antes de iniciar deve existir um Programa de Sensibilizao.

Dar a conhecer o processo

Envolver os participantes

Este Programa deve ser conduzido de forma a:

o Avaliar o conhecimento relativo a avaliao de risco

o Determinar o que os gestores e outros funcionrios pretendem aprender

o Verificar o nvel de aceitao do programa de segurana

o Traar forma de conquistar a aceitao

o Identificar possveis aliados

Pr-FRAAP Reunio de 1 a 1,5 horas como responsvel de negcio

o Neste caso, o gestor de negcio ou processo

Deve incluir o Gestor de Projeto, Facilitador e Secretrio(a)

o O Gestor de projeto deveria ser nomeado pelo gestor de negcio

O seu papel acompanhar o desenrolar do projeto e garantir as condies

necessrias requeridas pela equipa (sala, agendar reunio)

Pode ser o Gestor de negcio

Pgina 28 de 47

o Facilitador - consultor que ajude a conduzir o grupo no sentido de obter os resultados

esperados

o Secretrio(a) responsvel por documentar as reunies

Resultados esperados

Pr-triagem dos resultados esperados

Definio do mbito

Diagrama com a descrio/detalhe do sistema ou processo a avaliar

Estabelecimento da equipa a incluir no processo

Requisitos para a reunio FRAAP

o Agendamento, sala, materiais ..

Acordar definies de princpio

o O que Ativo, Ameaa, Vulnerabilidades, Probabilidade, Impacto, Risco,

Mini-Brainstorming

o No sentido de identificar algumas ameaas como introduo reunio FRAAP

FRAAP No deve durar mais que quatro horas

Envolver os elementos da equipa que

o estejam envolvidos com o processo ou sistema a avaliar

o conheam a soluo/infraestrutura tcnica

Deve ter a seguinte agenda

o Introduo, preparada no Pr-FRAAP

o Identificao de Ameaas e Vulnerabilidades

o Identificao Controlos Existentes

o Estabelecer nveis de risco

Identificando probabilidade e impacto

o Identificar Riscos Residuais

o Apresentao do Sumrio da Reunio

Pgina 29 de 47


Identificao das Ameaas

Identificao das Vulnerabilidades

Identificao dos Controlos Existentes

Caracterizao dos Riscos Residuais

Post-FRAAP Realizado pela equipa de consultores

o Anlise dos resultados da reunio

Pode ser necessrio contactar alguns elementos da equipa

o Atravs do gestor de projeto

o Para algum esclarecimento adicional

o Ou informao complementar


Relatrio final

o com sumrio executivo

o Resumo da reunio de equipa

o Identificao de controlos complementares

o Anlise do processo

Apresentao das concluses ao Gestor de Negcio

Pgina 30 de 47

Processo de anlise de Risco FRAAP

FRAAP Facilitated Risk Analysis and Assessment Process

uma metodologia de anlise e avaliao de risco desenvolvido por Thomas R. Peltier

o Tem por base as normas existentes (nomeadamente a 17799/27002)

Que transmitem as boas prticas, no a metodologia

Resulta da experincia da equipa em projetos

Tem sido utilizada, e melhorada, nos ltimos 15 anos

Prima por:

o Ser dirigido pelo responsvel de negcio

o Levar dias, em vez de semanas

o Boa relao custo-benefcio

o Utilizar especialistas/experiencia interna

Este processo envolve a anlise de 1 sistema processo, plataforma, processo de negcio

definido de cada vez

A afinao do processo, baseada na experincia prtica

o Rpido

o Fcil de implementar

Durante o processo a equipa envolvida conduzida a participar na discusso e identificao de

o potenciais ameaas

o nveis de risco

o possveis controlos a aplicar

Mtodo de avaliao a utilizar? O Autor defende a utilizao de um mtodo qualitativo:

Em detrimento de mtodos quantitativos

A utilizao de valores no clculo resulta num valor final difcil de interpretar

Podem ser definidos nveis para medio, mas a interpretao ser qualitativa

Pgina 31 de 47

Mtodo Qualitativo vs Quantitativo

Vantagens

Mtodo Quantitativo Mtodo Qualitativo

Os resultados so baseados em processos objetivos substancialmente independentes e em mtricas.

Clculos mais simples.

dado um grande foco na definio de valor de ativos e mitigao de riscos.

No necessrio determinar o valor monetrio do ativo.

O esforo do custo-benefcio de avaliao essencial.

No h necessidade de quantificar a frequncia de ameaas.

Permite flexibilidade no processo e elaborao de relatrios.

Desvantagens

Mtodo Quantitativo Mtodo Qualitativo

Clculos podem tornar-se complexos. Pode apresentar uma natureza subjetiva.

Historicamente, apenas funciona corretamente com uma ferramenta automatizada com a associao de um conhecimento tcnico.

exigido um esforo necessrio para desenvolvimento com valor monetrio para os ativos.

Existe um trabalho preliminar extenso. No h bases para a anlise de custo-benefcio de reduo do risco.

Os participantes no podem ser auxiliados facilmente durante o processo.

dificultada a mudana de direes.

difcil calcular quando existem questes fora do mbito.

Pgina 32 de 47

Vantagens do FRAAP realizado em alguns dias, em vez de semanas/meses.

Envolve o responsvel de negcio

o Participa no processo

o Compreende as necessidades de implementao

o Envolvido na seleo de controlos eficientes (custo-benefcio)

Envolve as reas de negcio

o Reconhecimento da participao e controlo do processo

Permite equipa participar na seleo de controlos apropriados

Facilita a Gesto da Mudana

Equipa envolvida Responsvel de negcio do processo, sistema ou ativo

Gestor de Projeto - nomeado pelo gestor de negcio

o O seu papel acompanhar o desenrolar do projeto e garantir as condies necessrias

requeridas pela equipa (sala, agendar reunio)

Facilitador consultor com conhecimento do FRAAP

Escriba ou secretrio(a) responsvel por documentar as reunies

Especialistas relacionados com o objeto

o Negcio

o IT

o Colaboradores

Facilitador

Consultor que ajude a conduzir o grupo no sentido de obter os resultados esperados

o Ameaas, probabilidades, impacto, nvel de risco

Guiar a equipa pelas vrias reas de interesse

o Identificando o maior nmero de ameaas

Manter o grupo focado no tema

Atuar como regulador e rbitro da sesso

Controlar o tempo

Pgina 33 de 47

Deve observar as seguintes regras:

o Encorajar a participao de todos

o Aceitar todas as sugestes

o Envolver os participantes, escutando opinies

o Estar atento s movimentaes, gestos, silncios

o Atuar como regulador e rbitro da sesso

o Deve ser imparcial, sem tomar posies particulares, mas guiando a equipa quando est

perdida ou preciso consenso

o Ser objetivo

Escriba ou secretrio(a)

Responsvel por documentar as reunies

Assegura que todas as ameaas, controlos e aes so registadas

Libertando o facilitador desta funo, permite-lhe desempenhar melhor a sua funo principal

Especialistas relacionados com o objeto em anlise

So elementos da prpria organizao que conhecem o sistema ou processo em anlise

Deve ser uma equipa equilibrada, entre as vrias reas de competncia

o Conhecimento do negcio, familiarizados com a misso do objeto em anlise

o Utilizadores que conheam as vulnerabilidades e ameaas

o Tcnicos IT com conhecimento da infraestrutura e sistemas em causa

Elementos devem conseguir funcionar em equipa

Constituio do FRAAP Este processo envolve a anlise de 1 sistema processo, plataforma, processo de negcio definido de

cada vez.

Pr-FRAAP

Reunio de 1 a 1,5 horas como responsvel de negcio

Vo definir as bases de trabalho para as fases seguintes

Pgina 34 de 47

FRAAP

Dura aproximadamente 4 horas e deve incluir uma equipa mais abrangente que inclua os

responsveis de negcio e da infraestrutura

Identificar: Ameaas, Vulnerabilidades, Impactos e Controlos

Post-FRAAP

Normalmente 1 a 2 semanas

Anlise dos resultados e produo do relatrio final

Antes de inicializar um processo FRAAP Antes de iniciar deve existir um Programa de Sensibilizao:

Dar a conhecer o processo

Envolver os participantes

Este Programa deve ser conduzido de forma a:

o Avaliar o conhecimento relativo a avaliao de risco

o Determinar o que os gestores e outros funcionrios pretendem aprender

o Verificar o nvel de aceitao do programa de segurana

o Traar forma de conquistar a aceitao

o Identificar possveis aliados

Ferramentas para um Programa de Sensibilizao?

E-Mail

Site

Cartazes

Questionrios

o Mail

o Eletrnicos

o Papel

Sesso de presentao

Pgina 35 de 47

Programa de Sensibilizao

Adaptado organizao

o Ferramentas e linguagem

Selecionar as ferramentas adequadas a cada grupo

Encontrar reas no conformes

o Trabalhar no sentido de reduzir exposio

E resolver possveis atritos

o Sem comprometer resultados da avaliao

Envolver os utilizadores

Pontos-chave do FRAAP

Garantir o envolvimento dos participantes

O processo da organizao, no do consultor/facilitador

o No utilizar expresses como o meu projeto

o o Vosso ou Nosso projeto

Conceitos chave funes

Owner

Deve ser o mais alto responsvel da unidade onde o objeto do processo pertence

responsvel por:

o Estabelecer a classificao da informao

o Identificar controlos razoveis e prudentes

o Monitorizar a adequao de implementao de controlos

o Autorizar o acesso a quem necessita ou inibio

Custodian

Nomeado pelo owner como responsvel do controlo

Colaborador (user)

Empregados autorizados para aceder informao

Pgina 36 de 47

Reunio de Pr-FRAAP

Reunio de 1 a 1,5 horas com o responsvel de negcio

Deve incluir :

o Gestor de Negcio/Processo e Gestor de Projeto

o Facilitador

o Escriba


1. Pr-triagem

2. Definio do mbito

3. Diagrama com a descrio/detalhe do sistema ou processo a avaliar

4. Estabelecimento da equipa a incluir no processo

5. Requisitos para a reunio FRAAP

6. Acordar definies de princpio

7. Mini-Brainstorming

Resultados do Pr-FRAAP

Pr-triagem

Triagem das aplicaes, sistemas ou processos que

o Dispensam uma anlise mais profunda

o Requerem uma avaliao de risco formal

Ou um Business Impact Analysys

Definio do mbito

Qual o mbito da avaliao a realizar

Identificar categorias de ameaas

o Tendo como base a C-I-A

o Mas podendo incluir outros como a performance ou reliability

o Consultar www.sabsa.org como checklist

Diagrama com a descrio/detalhe do sistema ou processo a avaliar

o Diagrama com a descrio do processo em anlise

o Para documentao e informao da equipa FRAAP

uma imagem vale por mil palavras

o Estabelecimento da equipa a incluir no processo

Pgina 37 de 47

Identificar entre 15 a 30 elementos

Requisitos para a reunio FRAAP

o Agendamento

o Sala

o Materiais

Acordar definies de princpio

o O que Ativo, Ameaa, Vulnerabilidades, Probabilidade, Impacto, Risco,

Mini-Brainstorming

o No sentido de identificar algumas ameaas como introduo reunio FRAAP

Checklist para reunio

Garantir abordagem de todos os pontos

Sesso FRAAP Sesso de trabalho

No deve durar mais que quatro horas

o suficiente, na maioria dos casos

o Difcil arranjar mais disponibilidade

Envolver todos os elementos da equipa

o Identificados no Pr-FRAAP

o E devidamente convocados

Pgina 38 de 47


Identificao das Ameaas

Identificao das Vulnerabilidades

Identificao dos Controlos Existentes

Caracterizao dos Riscos Residuais

Sesso de trabalho

Requisitos da reunio

Assegurar materiais necessrios

o Projetor

o Quadro

o Canetas

Disposio da Sala em U

o Importante para assegurar a participao de todos

o Todos esto na linha da frente, com o facilitador

Desencorajar a utilizao de portteis ou PDAs

Lembrar para desligar os telemveis

o Ou colocar em silncio

Sesso de trabalho - Introduo

Explicar os conceitos e processos do FRAP

o Responsvel de negcio ir

Abrir a sesso

Introduzir o facilitador

o Facilitador dever

Apresentar a agenda

Explicar o processo

Rever o mbito do processo - Owner

o importante identificar

O que foi assumido

Constrangimentos identificados

o Deve ser entregue uma cpia do Scope Statment equipa

Pgina 39 de 47

Review Visual Diagram Technical support

o Deve fazer a apresentao do diagrama, explicando o processo

o Cerca de 5 min.

Discuss definitions - Facilitator

o Apresenta as definies acordadas

o Se o processo j conhecido na organizao, estas definies j devem estar

interiorizadas

Review Objectives - Facilitator

o So revistos os objetivos a atingir

Identificar ameaas

Estabelecer nveis de risco

Identificar controlos

o Serve como introduo segunda parte da sesso

Identify roles and introduction - team

o Os elementos da equipa identificam-se

Nome

Departamento

Localizao

Contacto

Review session agreements

o Todos os elementos devem participar

o Devem cingir-se aos seus papis

o Focar-se no ponto da agenda

o Todas as ideias tm um valor igual

o Escutar os outros pontos de vista

o Todas as questes/contributos sero registados

o Mesmo os que forem preteridos

o Colocar e registar a ideia, antes de discuti-la

o Assegurar que o escriba assenta todas as questes

o Uma conversa de cada vez

o Limite de tempo por questo (3 a 5 minutos)

Pgina 40 de 47

Conduo da reunio

Idealmente deve ser respeitada a disposio em U

O facilitador deve comear por colocar o primeiro atributo em discusso, colocando os

resultados do mini-brainstorming

Solicitar a participao de todos na identificao de ameaas

o Dar 3 a 5 minutos para pensar em possveis ameaas

o Comear numa ponta

o Percorrer todos

o Cada elemento s sugere 1 ameaa de cada vez

o Dar vrias voltas at que se esgotem as sugestes

o Ter em ateno

Os manipuladores

Centrar no tpico em discusso

Passar ao segundo atributo

o Comear na outra ponta

o Utilizar cores diferentes

o Ir colocando anotaes volta da sala

Utilizao de Checklists Para ameaas

Para controlos

Permite reduzir o tempo de identificao

Complementa a identificao feita pelos elementos da equipa

Antes do prximo ponto, fazer pausa

D oportunidade para

o Verificar mensagens

o Tomar um caf

o Limpar

Pgina 41 de 47

Identificao de Controlos existentes

Rever todas as ameaas identificando os controlos existentes

Esta caracterizao permite equipa identificar melhor o risco atual

Razo pela qual fundamental ter elementos da infraestrutura

Conhecem os controlos atuais

Estabelecimento do nvel de risco

Verificar se os elementos da equipa esto familiarizados com os termos e definies de

Probabilidade e Impacto

Resumir as ameaas e controlos existentes

Caracterizar os nveis de avaliao para

o Probabilidade

o Impacto

Explicar os nveis de avaliao

o Quando existe risco, os elementos tendem a classificar com nvel mximo

Definies e nveis de avaliao

o Probabilidade

o Impacto

Definies e nveis de avaliao

o Matriz de probabilidade x impacto

o Caracterizar o risco residual

Avaliao das ameaas e controlos identificados

Identificar novos controlos ou melhoria dos existentes

Para os riscos que requerem essa necessidade


Caracterizar novos nveis de risco

Priorizar implementao de controlos

Planear essa implementao

Devem ser consideradas as normas e legislao em vigor.

Pgina 42 de 47







Relatrio final

o com sumrio executivo

o Resumo da reunio de equipa



Apresentao das concluses ao Gestor de Negcio

Metodologias de Gesto de Risco Para suporte Gesto de Risco pode ser utilizados referenciais como:

ISO/IEC 17799 - Information technology- Security techniques - code of practice for information

security management

ISO/IEC 27001 - Information security management systems Requirements

ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk

management

Pgina 43 de 47

Ferramentas de suporte Exemplos de ferramentas de suporte gesto de risco

Modulo

RiskWatch

Proteus

Pgina 44 de 47

Nota: apenas coloquei a informao que no foi referida na aula anterior.

Processo de anlise de Risco FRAAP


Pgina 45 de 47







Resumo da reunio de equipa



o Deve ter:

Sumrio executivo

Documentao das fases

Pr-FRAAP

FRAAP

Anexos (toda a informao complementar ao processo)

o Apresentao das concluses ao Gestor de Negcio

Sumrio executivo

Composio

Capa com caracterizao do processo

ndice

Lista de participantes no processo

Resumo do mbito e princpios estabelecidos

o 2 ou 3 pargrafos com um resumo de como decorreu o processo

o Onde e quando decorreu

o

Resumo das principais concluses da avaliao

o Maiores riscos e controlos

Referenciao restante documentao

Concluses

o Viso sobre o processo todo

o Controlos a considerar e um plano de ao /priorizao

Pgina 46 de 47

BusinessImpactAnalysis (BIA)

Objetivo Um processo de Business Impact Analysis pretende determinar os efeitos que as falhas dos Sistemas de

Informao Crticos tm na operao e na viabilidade dos processos core de negcio .

Implicaes (pr-requisitos) Determinar os processos core

Determinar quais so os principais recursos utilizados por esses processos

o Aplicaes

o Sistemas

o Processos

o Funes

o Pessoas

Classificar esses recursos (em termos de importncia e prioridade)

Como concluso do processo de pr-triagem pode ser requerida a realizao de um processo de

Business Impact Analysis

Importncia dos resultados Os resultados do Business Impact Analysis so importantes no estabelecimento de:

Planos de Continuidade de Negcio

Disaster Recovery

Quando se aplica o BIA? O BIA aplica-se na fase de Recuperao

preciso conhecer os processos crticos de negcio

Quais devem ser recuperados primeiro

Pgina 47 de 47

Impactos podem causar Perdas Intangveis

Perdas Tangveis

No final Comunicar resultados ao Responsvel por manter os planos de recuperao de negcio

Atualizar os planos existentes

o Se o tempo mximo de downtime for inferior ao definido anteriormente

GAP Analisys

Conceitos GAP Analysis consiste na comparao entre o estado presente e o estado desejado (futuro).

Para tal preciso resposta para:

Qual o estado atual

Qual o estado desejado

O que precisa ser feito para passar ao estado desejado

o Ou estado compliant, quando numa auditoria/certificao

Desdobrada em documentos auxiliares que apresentam princpios e orientaes mais especficas e

dirigidas a grupos de funcionrios ou a funes determinadas

Utilizar Best pratices (p.e. ISO 27002)

Material Sobre FRAP

Documents

Transcript of Material Sobre FRAP