Este documento apresenta um trabalho de conclusão de curso sobre gestão de riscos e continuidade de negócios em tecnologia da informação. Ele discute fundamentos de segurança da informação, análise e gestão de riscos, e estratégias para garantir a continuidade dos negócios diante de incidentes ou desastres. O documento também aborda normas como ISO 27001 e 27002 e métodos para avaliação e tratamento de riscos que ameaçam a segurança da informação e dos negócios de uma organização.
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Gestão de Riscos e Continuidade de Negócios
1. UNIVERSIDADE CATÓLICA DE BRASÍLIA
PRÓ-REITORIA DE GRADUAÇÃO
TRABALHO DE CONCLUSÃO DE CURSO
TECNOLOGIA EM SEGURANÇA DA INFORMAÇÃO
Apresentação:
“GESTÃO DE RISCOS E CONTINUIDADE DE NEGÓCIOS”
Autor: Álvaro Gulliver Brandão de Lima
Orientador: MSc. Marco Antonio de Oliveira Araújo
BRASÍLIA / 2011
2. OBJETIVOS
PCN AIN
Análise e PAC
Gestão de
Fundamentos e Riscos
Estrutura de um
SGSI
Evolução da Segurança
da Informação (SI) Contingenciar e minimizar
paradas e danos aos
processos de negócio.
3. INTRODUÇÃO
Entender os fundamentos sobre os
impactos, ameaças e vulnerabilidades que
afetam a continuidade dos negócios;
Compreender a GR através de uma visão
executiva para minimizar paradas e
interrupção nos negócios e criar um plano de
continuidade de negócios;
4. CONTEXTO HISTÓRICO
Pré- Pós-
computação
Pós-Internet
computação
• Surgimento dos • Confiança em • Ampliação dos
hieróglifos egípcios. sistemas de mercados globais;
informação para
• Transporte oficial de realizar controles e • Potencialidade de
informações romano, transações problemas jurídicos e
Correio. eletrônicas criminais, pirataria e
financeiras através de até mesmo
protocolos de terrorismo.
• Cifra de César segurança e senhas
de acesso para
autenticação que
utilizam sistemas de
criptografia de
extrema segurança.
Fonte: Ramos et al. (2008)
5. FUNDAMENTOS DE SEGURANÇA
Integridade
• Uma informação íntegra é uma informação que se
mantêm original, que não sofra alteração indevida e não
autorizada.
Confidencialidade
• É o grau de sigilo atribuído ao seu conteúdo visando à
limitação de seu acesso e uso restrito às pessoas
autorizadas.
Disponibilidade
• Garantir a segurança na disponibilidade das informações é
permitir que a mesma esteja sempre ao alcance quando
necessária para seus usuários e destinatários.
6. DEFINIÇÕES
Ativo
Proteçã
Ameaça
o
Segurança
da
Informação
Incident
Riscos
e
Vulnerabil
idades
7. RISCO
É a probabilidade de ocorrência de um evento;
Avaliação;
Cenário;
Controle.
Conforme Ramos et al. (2008), existem quatro atividades
ligadas à forma como se entende o risco. Classificam-se
como:
Avaliação do risco;
Tratamento de risco;
Aceitação do risco;
Comunicação do risco.
8. DEFINIÇÕES RELACIONADAS À ISO 27K1 E 27K2
Norma Gestão Prioriza
Classificação da
Informação
Gestão de Ativos
Elaboração do
ISO/IEC 27001 e inventário de ativos
27002
Ex:
Segurança de Físico, ambiente, hu
Recursos mano, operações e
outros.
9. ESTRUTURA DO SGSI CONFORME ISO/IEC 27K1
• PLAN • ACT
Manutençã
Estabelecer oe
o SGSI melhoria do
SGSI
Monitora e
Implementa
faz análise
a operação
crítica
• DO • CHECK
10. PLANEJAMENTO E IMPLEMENTAÇÃO DO SGSI
De acordo com a cláusula 4.2.1 da ISO/IEC 27001:2005, planejar
é estabelecer a política, objetivos processos e procedimentos do
SGSI, que sejam relevantes para a gestão de riscos e melhoria
da segurança da informação que atendam as políticas globais de
uma determinada organização. Podem-se dividir os objetivos
desta cláusula em:
Definição do escopo;
Elaboração da política de segurança da informação;
Realização da análise/avaliação de riscos e elaboração do plano
de tratamento dos riscos.
11. DEFINIÇÃO DO ESCOPO
De acordo com Bastos e Caubit (2009), escopo é
“[...] o perímetro de abrangência que define os ativos
a serem contemplados no SGSI, sejam eles
sistemas, dispositivos físicos, processos ou ações do
pessoal envolvido [...]”;
A norma ISO/IEC 27001 orienta que o escopo deve
considerar características do negócio, sua
localização, ativos tangíveis e intangíveis. É
recomendável que o escopo seja relevante para a
organização, ou seja, compatível com os interesses e
objetivos.
12. ELABORAÇÃO DA POLÍTICA DE SI
A política de segurança da informação é um
documento que contem as premissas e
diretrizes orientando de forma clara a
implementação da SGSI;
A política de ser apoiada nos requisitos
legais, regulatórios e contratuais do negócio.
Servirá como base para estabelecer a
estratégia e o contexto para gestão de
riscos, bem como critérios de estruturação e
avaliação de riscos.
13. RISCOS NOS NEGÓCIOS
Conforme pesquisa realizada pelo Cert.br, o
número total de notificações de incidentes no
segundo trimestre de 2011 foi um pouco
superior a 127 mil, o que corresponde a um
aumento de 40% em relação ao trimestre
anterior e de 287% em relação ao mesmo
trimestre de 2010.
15. ABORDAGEM PARA ANÁLISE DE RISCOS
Escolher uma metodologia que será utilizada
e que melhor se adequar à organização;
A objetividade é um dos critérios
fundamentais para a escolha da metodologia
de forma que proporcione a imparcialidade
das análises e avaliações realizadas;
16. SEGURANÇA COMO INVESTIMENTO
O ROI é uma medida de desempenho
utilizado para avaliar a eficiência de um
investimento (WIKIPEDIA);
É vista como um centro de custo e o melhor
a ser feito é tentar habilitar a empresa a
assumir os riscos do negócio.
17. FOCO DA ANÁLISE DE RISCOS
Tecnológico
Humano
Físico Processual
18. FASES DA ANÁLISE DE RISCOS
Identificar os Relevância Definição da
processos dos equipe
de negócio processos envolvida
Análise
Entrevista a
técnica de
usuários
segurança
19. ANÁLISE TÉCNICA DE SEGURANÇA
Segundo Ramos et al. (2009) dentre os mais
conhecidos dos ativos tecnológicos
analisados tecnicamente, podem-se listar os
seguintes:
Análise de estações de trabalho;
Análise de servidores;
Análise de equipamentos e conectividade;
Análise de links;
Análise de banco de dados.
20. PERFIL DO RISCO
Listar os ativos mais críticos da organização é
primordial;
Conforme Wheeler (2011), ao traçar o perfil de
risco, o foco é medir a sua sensibilidade;
A melhor maneira de criar o perfil é realizando
um simples questionário que utiliza uma série
de questões orientadas para medir o impacto
potencial.
22. AVALIAÇÃO DE RISCOS
Danos e Quanto maior
prejuízos a
financeiros tolerabilidade
Porém haverá
maior Mais riscos
suscetibilidade serão aceitos
a riscos
Menos
recursos para
tratamento
serão
necessários
23. TRATAMENTO DOS RISCOS
Tentativa de evitar o risco;
Compartilhar o risco;
Reter o risco.
24. PLANO DE TRATAMENTO DE RISCOS
Plano de Tratamento conterá uma descrição
prática, uma seqüencia de prioridade,
recursos necessários, atribuições, prazos e
informações importantes para medir o
desempenho dos tratamento de riscos;
Risco residual.
25. MONITORAÇÃO E REVISÃO
A monitoração deve ser contínua;
A mudança nos ativos e sua relevância ao
processo de negócio devem sempre
ocasionar uma Análise de Risco.
26. PLANEJAMENTO DA CONTINUIDADE DO NEGÓCIO
Envolve avaliar uma variedade de riscos aos
processos organizacionais;
Criação de políticas, planos e procedimentos
para minimizar o impacto desses riscos
sobre a organização.
27. PROCESO DO PCN
Aprovação e
implementação
Planejamento de
continuidade
Avaliação do
impacto nos
negócios
Escopo do
projeto e
planejamento
28. ESTRATÉGIAS DE CONTINUIDADE DE NEGÓCIOS
Segundo Ramos et al. (2008, p. 158),
existem três modelos a serem abordados:
Ativo / Backup;
Ativo / Ativo;
Localidade alternativa.
29. AVALIAÇÃO DO IMPACTO NOS NEGÓCIOS (AIN)
Identificar as prioridades;
Desenvolver e implementar um plano de
resposta (PAC).
30. PLANOS PARA GCN
Segundo a norma ISO/IEC 27002:2006, são planos de de
contitnuidade de negócios:
Plano de Administração de crise;
Plano de Respostas a Incidentes;
Plano de Continuidade Operacional;
Plano de Recuperação de Desastres;
Plano de Retorno à Normalidade.
31. ESTRATÉGIAS DE RECUPERAÇÃO
Segundo Ramos et al. (2008, p. 165) ao
realizar uma Análise de Impacto no Negócio
(AIN) identifica-se o Temo Máximo de
Parada (TMP) dos diversos processos
inerentes as atividades da organização.
33. PROCESSO DE OCORRÊNCIA DE CRISE
Caso um incidente aconteça e a sensibilidade
ao risco for alta, ou seja, de grande magnitude,
devemos imediatamente recorrer ao PAC.
A principal atividade é definir procedimentos de
emergência e avaliar os danos causados. O
tempo estimado de parada será primordial para
saber se o PCN deve ser acionado e caso este
tempo seja maior que o TMP, deve-se preceder
com os planos.
34. CONCLUSÃO
Uma das preocupações atuais da sociedade,
dentro do cenário empresarial é
desempenhar suas operações com
segurança evitando que desastres
interrompam suas atividades e
conseqüentemente sua competitividade, e
até mesmo sua existência no mercado.
35. REFERÊNCIAS
Sites
Core business. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em:
< http://pt.wikipedia.org/w/index.php?title=Core_business&oldid=21866238>. Acesso em: 29 set. 2011
Caesar cipher. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em: <http://en.wikipedia.org/w/index.php?title=Caesar_cipher&oldid=451372028>. Acesso em: 8 set. 2011
Segurança da Informação. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. disponível em:
<http://pt.wikipedia.org/w/index.php?title=Seguran%C3%A7a_da_informa%C3%A7%C3%A3o&oldid=26560462>. Acesso em: 30 ago. 2011
Retorno sobre Investimento. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em
<http://pt.wikipedia.org/w/index.php?title=Retorno_sobre_investimento&oldid=26567227>. Acesso em: 22 set. 2011
LAGO, Davi Guimarães; GUIMARÃES, Ênio Benfica. Segurança da Informação e sua história. Disponível em
<http://www.viajus.com.br/viajus.php?pagina=artigos&id=2202&idAreaSel=20&seeArt=yes>. Acesso em: 22 set. 2011
Ciclo PDCA. In: WIKIPÉDIA: a enciclopédia livre. Wikimedia, 2006. Disponível em <http://pt.wikipedia.org/w/index.php?title=Ciclo_PDCA&oldid=26122983>. Acesso em: 27 out. 2011.
Livros
BASTOS, Alberto; CAUBIT, Rosângela. Gestão da Segurança da Informação - uma visão prática. Porto Alegre: Zouk, 2009
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva. Rio de Janeiro: Elsevier, 2003.
WHEELER, Evan. Security Risk Management - Building and Information Security Risk Management Program from the Ground up. Massachusetts: Elsevier, 2011.
Normas
ABNT NBR ISO/IEC 27001:2006. Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação – Requisitos. Rio de Janeiro: ABNT, 2006
ABNT NBR ISO/IEC 27002:2007. Tecnologia da Informação – Técnicas de Segurança – Códigos para a Gestão da Segurança da Informação. Rio de Janeiro: ABNT, 2007