quinta-feira, 22 de outubro de 2015

GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO

Gestão de Riscos

Gestão de Riscos em Segurança da Informação: como fazer uma avaliação?

 
Publicado em 22 de Outubro de 2015 às 12h59

Gestão de Riscos de Segurança da Informação é um assunto amplo. Para realizar uma efetiva avaliação de riscos é necessário que o profissional tenha conhecimento teórico, experiência de sucesso e seriedade profissional.

Gestão de Riscos de Segurança da Informação é um assunto amplo. Para realizar uma efetiva avaliação de riscos é necessário que o profissional tenha conhecimento teórico, experiência de sucesso e seriedade profissional. Aqui não vale “Conhecimento Facebook”, isto é, aquele sujeito que vive postando nas redes sociais frases de impacto (copiadas), nas reuniões só fala o óbvio ou compartilha qualquer artigo em inglês que cite Risk Management.

Você conhece alguém assim?

Bem, Gestão de Riscos se aplica a qualquer escopo: financeiro, de imagem ou similar. Para o tema específico Gestão de Riscos de Segurança da Informação existe uma excelente fonte de referência que é a Norma ABNT NBR ISO/IEC 27005:2008 – Tecnologia de segurança – Técnicas de segurança – Gestão de riscos em segurança da informação. Não deixe de ler. Nela você encontra formalizados os conceitos e as estruturas necessárias para aprimorar seu conhecimento.

A Gestão de Riscos de Segurança da Informação é uma Dimensão do Processo Corporativo de Segurança da Informação e tem por objetivo minimizar a ocorrência de ameaças que podem interferir (negativamente) no recurso informação utilizado pela organização para atingir os seus objetivos corporativos e possibilitar realizar ações respaldado teoricamente.

Para a existência da Gestão de Riscos de Segurança da Informação na Organização, você precisa de dois blocos de ações:

- Você deve escrever um documento sobre os conceitos adotados pela organização e como será estruturada a Dimensão de Gestão de Riscos. Este documento, uma vez elaborado, será estático e necessitará ser pouco atualizado.

- Você deve realizar avaliações periódicas dos riscos que afetam a informação e os recursos de informação. Mas, o que se deve considerar para fazer uma análise destas? Vamos detalhar este aspecto.

Cada avaliação realizada é uma fotografia do momento organizacional. Ela tem valor próprio, porém o maior aprendizado da organização é a sequência de avaliações ao longo do tempo. Para tanto, estas avaliações precisam ser estruturadas. Para realizar uma Avaliação da Dimensão Gestão de Riscos de Segurança da Informação devemos considerar os seguintes elementos ou etapas.

1. Definição do Contexto.
Para a realização de uma Avaliação de Riscos de Segurança da Informação é necessário que sejam definidos os padrões adotados para esta avaliação. Devemos explicitar:

1.1. Identificação do ativo ou dos ativos
Qualquer avaliação de riscos precisa delimitar e explicitar quais ativos de informação está considerando. Precisamos ter limites. Um ativo pode ser um servidor, pode ser o ambiente de tecnologia ou pode ser o conjunto das políticas e normas de segurança da informação. Vamos seguir tomando por exemplo este último: Dimensão Política de Segurança da Informação.

1.2. Escopo
Precisamos identificar, considerando o ativo escolhido, qual o escopo que será analisado. No nosso exemplo podemos declarar que o escopo considera o conjunto de controles definidos nas políticas e normas publicadas.

1.3. Ameaça
A Norma 27005:2008 define que “uma ameaça tem o potencial de comprometer os ativos e, por isso, também as organizações”. Para que uma organização tenha uma boa proteção em função de uma boa Gestão de Riscos de Segurança da Informação é importante que um grande número de ameaças seja considerado. Porém esta abrangência de ameaças deve ser adquirida ao longo dos anos. Para uma Análise de Riscos é importante um número restrito de ameaças. Para este nosso exemplo vamos considerar a seguinte ameaça: o controle de segurança da informação definidos nas políticas e normas não está funcionando de maneira adequada.

1.4. Tratamento do Risco
Neste item é definido como os riscos serão considerados. O que iremos considerar: minimizar, aceitar, evitar ou repassar para terceiros.  Para o nosso exemplo podemos considerar que o tratamento do risco será implantar ou aprimorar o controle até que o mesmo esteja no patamar adequado.

1.5. Critérios Básicos
Precisamos definir os critérios que serão utilizados na nossa avaliação. No nosso exemplo podemos definir:
            - Efetividade dos controles.
            - Impacto se uma vulnerabilidade for explorada.
- Priorização. Como vamos considerar o cruzamento da efetividade dos controles e o impacto, de maneira a gerar um padrão de prioridade.


2. Realização da avaliação
Precisamos realizar a avaliação considerando os padrões definidos no Contexto.


3. Apresentação dos Resultados.
A apresentação dos resultados é a parte mais visível da Gestão de Riscos. Não existe uma etapa mais importante, porém é por ela que a organização vai tomar conhecimento da Gestão de Riscos. O Corpo Diretivo vai validar ou definir prioridades baseado nestes resultados. Portanto esta etapa tem um valor estratégico.

Imagine você apresentando os resultados de uma avaliação de riscos de segurança da informação para o presidente e para a diretoria da organização. Sugiro poucos slides e um slide com visual gráfico apresentado blocos de priorização. É importante que o profissional de segurança da informação se posicione e proponha uma priorização. A presidência e a diretoria devem validar ou alterar a priorização proposta.

Após esta etapa de apresentação para o Corpo Diretivo devemos, considerando as características de cada organização, fazer a divulgação desta avaliação para todos os usuários. Evidentemente considerando o grau de sigilo da informação.

É importantíssimo realizar a Gestão de Riscos de Segurança da Informação, porém precisamos estar atento que ela é uma Dimensão do Processo Corporativo da Segurança da Informação. A proteção da organização vai ser efetiva pelo seu conjunto de ações.

Faça a Gestão de Riscos de Segurança da Informação. Não dê sorte ao azar, ao erro, à negligência, ao esquecimento ou aos criminosos.

Grande abraço,

Edison Fontes.
Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Consultor em Segurança da Informação, Gestão de Risco, Continuidade de Negócio.
Autor de livros sobre segurança da informação.
edison@pobox.com
www.nucleoconsult.com.br

segunda-feira, 19 de outubro de 2015

CONSULTORIA


BRADO ASSOCIADOS DIGITAL.


SEGURANÇA DA INFORMAÇÃO

Por Rodrigo Fragola*


Apesar de toda a resistência interna nos diversos departamentos empresariais, a segurança da informação está cada vez mais deixando de ser um assunto exclusivo do CIO, ou do profissional especialista da área, para ser também um típico problema de gestão de pessoas que tem impacto sobre a organização inteira.
A propósito dessa tendência, a literatura especializada oferece uma gama de frameworks e referências para tentar auxiliar os gestores. Merece atenção, em especial, a série de normas NBR ISO/IEC 27000, que não deixa dúvidas sobre a necessidade de controle do RH como aspecto imprescindível para minimizar o risco de vazamento de informação, bem como sobre a importância de se atentar para a questão do ambiente cibernético. 
A ISO 27002 contempla de forma detalhada uma lista de recomendações que abrangem desde os cuidados na contratação de funcionários até a descrição de alguns processos disciplinares que se tornam imprescindíveis para a segurança da informação no ambiente corporativo.
Daí que, de um jeito ou de outro, os responsáveis pela TI e demais envolvidos diretos em políticas de segurança terão que, cedo ou tarde, acionar seus colegas - gerentes, diretores, presidentes, coordenadores de equipe - para tratar da conscientização para a segurança da informação e da importância das normas de conduta no uso da informação e dos recursos eletrônicos na empresa.
Assunto para muitos "cansativo" e de ROI nem sempre muito considerado, a conscientização (ou, como alguns preferem, a imposição de regras rigorosas) para a segurança da informação costuma ser também considerada uma "chateação" para o ambiente de concordância que sempre se busca nas empresas. Além de também "tomar o tempo de pessoas que poderiam estar vendendo e fazendo a roda girar". Daí a sua difícil aceitação em certo âmbito nas empresas.
Mas, como eu dizia mais acima, a consciência desse fato - de que a gestão de pessoas é crucial para a segurança - começa a assumir novos contornos para cúpula empresarial à medida em que alguns fatos conjugados vão se tornando mais nítidos aos olhos do dono do negócio:
  1. As normas para garantir conformidade estão cada vez mais endereçando as vulnerabilidades decorrentes da ação de usuários, internos ou externos, e cuja ocorrência certamente acarretará prejuízo.
  2. Com a enorme abundância de meios de acesso à rede, praticamente todos os funcionários, clientes remotos e usuários externos acessam bases de informação que podem conter informações críticas de negócio. E certamente tais conexões facilitam a ação de um agente mal-intencionado.
  3. Esta mesma abundância de acesso, com excelentes taxas de velocidade de navegação, e toda uma infraestrutura tecnológica para negócio tende a transformar, na cabeça do colaborador, a estrutura digital da empresa em um "jeito melhor" de acessar o Facebook ou o WhatsApp. Então, a linha que separa o lazer e o trabalho pode às vezes ficar muito tênue, um fato que faz acender aquele brilhante cifrão interrogatório nos olhos do empresário.
  4. Não bastasse a banalização do acesso, através dos computadores da empresa, há ainda o fenômeno dos smartphones e tablets pessoais consumindo de forma considerável o canal Wi-Fi empresarial e potencializando a situação de descontrole e exposição ao risco.
  5. Sem querer completar a lista de problemas - que seria realmente muito grande - vale lembrar que a superexposição dos funcionários em seus perfis de redes sociais acrescenta um nível de vulnerabilidade até recentemente impensável para a segurança dos negócios. E isto, especialmente nesses tempos em que o cibercrime já detém domínios que vão da engenharia social a sofisticadas técnicas de espionagem.
Portanto, a necessidade de solução para o fator "gente" como um dos elos mais vulneráveis e mais críticos da política de segurança já não é exatamente uma novidade.
Em fóruns de discussão, seminários e encontros do setor, já é comum encontrarmos especialistas em segurança (e em direito digital) que recomendam a criação de "manuais de segurança" que são, em grande medida, documentos de prévia e explícita advertência para que o funcionário tenha - e ateste ter - ciência sobre seus limites de uso dos recursos de rede e de TI da empresa e sobre suas responsabilidades - incluindo ônus judiciais - para os casos de uso inadequado.
Para a advogada Patrícia Peck, especialista na área do direito digital, toda segurança jurídica da empresa está em risco se ela não tiver documentos de "ciência", assinados pelos funcionários, que as ajude em futuras querelas sobre o monitoramento defensivo do e-mail corporativo e outras informações sobre navegação na Internet utilizando os recursos da empresa.
Acontece também que, embora ainda haja muitos embates sobre este tipo de monitoramento, a prática de mercado já pacificou que eles são legítimos nos canais estritamente institucionais do negócio e que as empresas necessitam fazê-lo em defesa de seus dados e até de dados de terceiros que estejam sob sua custódia.
Mas, uma vez definida esta prática como um padrão atinente aos costumes e aos marcos regulatórios (sejam eles do direito ou da indústria) retornamos a questão novamente ao CIO, ou ao homem da segurança, ao qual caberá não só o papel de coordenar esta mudança comportamental no ambiente das corporações, mas também promovê-la.
É que, para que tais mudanças se efetivem, será preciso que os sistemas de controle também estejam adequados, por exemplo, para avisar o funcionário (e também alertar o controlador) que ele deixe de acessar aquela rede social em que está navegando, e na qual nada existe de pertinente ao seu trabalho.
Sem uma central de controle unificado (normalmente sintetizada através de um Firewall UTM), é inviável a uma empresa estabelecer o monitoramento necessário para a implementação de políticas de tráfego, acesso à informação e uso de recursos de rede.
Da mesma forma, a análise posterior dos logs e da ação de cada usuário, para o caso de elucidação de incidentes envolvendo a segurança ou privacidade do negócio, irá depender de rastreamentos somente viáveis a partir de recursos disponíveis em uma central de monitoramento deste tipo.
A grande maioria das empresas, entretanto - e aí se incluem algumas de porte até razoável - ainda credita a segurança à ação de providências bem mais simples, como a instalação de "poderosos antivírus", o bloqueio de sites recreativos e o envio de e-mails genéricos de advertência para que as equipes não se dispersem no Instagram ou no Facebook.
Pois este é outro assunto "chato" a ser levado aos colegas pelo homem de segurança. Ativos estratégicos do negócio continuarão em alto risco enquanto as empresas não entenderem que o investimento em segurança é mais do que um gasto indesejável, mas uma proteção de todo o negócio em si. É preciso investir no melhor do controle de proteção até para se ter mais produtividade e sustentabilidade a longo prazo.
De preferência, não baixe ferramentas gratuitas da Internet para uso na segurança e controle do seu negócio. Também procure saber se o Firewall UTM que pretende instalar atende as exigências da norma ISO 27002 e, se possível, busque encontrar material referencial em universidades, órgãos governamentais de segurança e defesa ou empresas de pesquisa como o Gartner.
A moral da história, se é que existe uma, poderia ser a seguinte: investir em segurança é mesmo bem pouco excitante. Mas sem sombra de dúvida muito melhor é apostar em redução de riscos do que em contenção de danos. 


*Rodrigo Fragola é Diretor Adjunto de Defesa da ASSESPRO-DF e Presidente da Aker.

Matéria completa: http://corporate.canaltech.com.br/noticia/seguranca/aspectos-aborrecidos-da-seguranca-da-informacao-49215/#ixzz3p0pnZTMH
O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

ROBÓTICA


PREVENÇÃO DE CRIMES - OLHO VIVO !


SMART HOME


AUTOMAÇÃO RESIDENCIAL


INTERNET


ROBO SECURITY GUARD


ROBO SUPER HERÓI PODE AJUDAR NA PREVENÇÃO DE CRIMES


ROBO SUPER HERÓI PODE AJUDAR NA PREVENÇÃO DE CRIMES


ISO


MALWARE


A INTERNET DAS COISAS


DISPOSITIVOS AMIGÁVEIS


INTERCONECTIVIDADE


TENDÊNCIAS EM 2015 - AUMENTO DE PAGAMENTOS PELA INTERNET


DESAFIO DA SEMANA


domingo, 18 de outubro de 2015

CONSULTORIA


ROBÓTICA


AUTOMAÇÃO


ISO 27001


AUTOMAÇÃO - PRODUTOS E SISTEMAS


ESPAÇOS INTELIGENTES


CLICANDO COM SEGURANÇA


DOMÓTICA


SEGURANÇA DA INFORMAÇÃO


ALARMES


sexta-feira, 16 de outubro de 2015

TREINAMENTOS ESPECÍFICOS EM SEGURANÇA DA INFORMAÇÃO / BRADO ASSOCIADOS


GESTÃO DE RISCOS


GLASS


PAINEL QR CODE


SECURITY LEADERS 2015


NOVOS RECURSOS - GOOGLE GLASS


INTEGRAÇÃO DE SISTEMAS DE SEGURANÇA


CIO COMPETENCIES


INTERNET