Beruflich Dokumente
Kultur Dokumente
BRASÍLIA/DF
2011
CARLOS EDUARDO BONTEMPO
ENIO OLIVEIRA
JOSE LUIZ GUERRA
MANUELLE RODRIGUES BACELLAR
SHEISTON DA SILVA QUIRINO
VALÉRIA DE SOUSA BEZERRA
GESTÃO DE RISCOS
BRASÍLIA/DF
2011
2
Sumário
APRESENTAÇÃO ......................................................................................................... 4
INTRODUÇÃO ............................................................................................................... 5
ESCOPO ......................................................................................................................... 5
REFERÊNCIAS NORMATIVAS .................................................................................. 6
TERMOS E DEFINIÇÕES ............................................................................................ 7
CONTEXTUALIZAÇÃO ................................................................................................ 7
VISÃO GERAL DO PROCESSO DE GRSI ............................................................... 8
DEFINIÇÃO DO CONTEXTO ...................................................................................... 8
ANÁLISE E AVALIAÇÃO DE RISCO ......................................................................... 9
INVENTÁRIO:............................................................................................................. 9
AMEAÇAS: ................................................................................................................. 9
TIPO ............................................................................................................................. 9
AMEAÇAS................................................................................................................... 9
ORIGEM ...................................................................................................................... 9
CONTROLES: .......................................................................................................... 10
VULNERABILIDADES: ........................................................................................... 12
CONSEQUENCIAS (IMPACTOS) ........................................................................ 13
ESTIMATIVA DE RISCOS ..................................................................................... 13
ANÁLISE QUALITATIVA .................................................................................... 13
PLANO DE TRATAMENTO DE RISCOS ................................................................ 14
CRITÉRIO DE ACEITAÇÃO DE RISCO .............................................................. 15
PLANO DE AÇÃO PARA TRATAMENTO DOS RISCOS................................. 15
PLANO DE ESTRUTURAÇÃO E CONSCIENTIZAÇÃO DA UNIDADE
BARATA HUMANA .................................................................................................. 15
TRATAMENTO DOS RISCOS .............................................................................. 16
CONCLUSÃO .............................................................................................................. 17
REFERENCIAS ........................................................................................................... 17
Norma ABNT NBR ISO/IEC 27000:2005 ....................................................... 17
Relatório de Gestão de Risco da Empresa Barata Humana ................. 17
3
APRESENTAÇÃO
4
INTRODUÇÃO
ESCOPO
5
qualquer software que esteja dentro de servidores ou computadores,
Sistema Gerenciador de Banco de Dados, Servidores de WEB, sistemas
operacionais e aplicativos específicos.
REFERÊNCIAS NORMATIVAS
6
ABNT NBR ISO/IEC 27002:2005 – Gestão de Risco de Segurança da Informação
TERMOS E DEFINIÇÕES
CONTEXTUALIZAÇÃO
7
processo contínuo, onde será definido o contexto, avaliados e tratados os riscos com a
utilização de um plano de tratamento com a finalidade de implementar as
recomendações e decisões.
Sendo pertinente também a avaliação dos possíveis acontecimentos e suas
consequências, para que sejam definidas as ações a serem tomadas e quando tomá-
las.
O processo de gestão de riscos de segurança da informação será aplicado à
empresa de uma forma geral, em todos seus departamentos e divisões.
DEFINIÇÃO DO CONTEXTO
Dentro do modelo PDCA, será feito a análise, avaliação e tratamento dos riscos
encontrados nos seguintes departamentos da empresa:
a. Departamento de Documentação;
b. Departamento de Administração;
c. Departamento de Informática.
Os riscos serão avaliados com probabilidade e impacto baixo, médio e alto todos
os riscos encontrados serão tratados e não haverá aceitação de nenhum desses
conforme orientação do diretor da empresa.
8
ANÁLISE E AVALIAÇÃO DE RISCO
INVENTÁRIO:
TIPO DESCRIÇÃO
Usuários
Gerente do Departamento de Arquivo - A
Pessoa
Gerente do Departamento de Administração - B
Gerente do Departamento de Informática - C
Desktop
Servidor WWW
Tecnologia
Servidor DNS
Servidor SMTP
Datacenter
Ambiente
Escritório
Processos Arquivo
AMEAÇAS:
9
CONTROLES:
10
A.9.1.2 Controles de entrada física - As áreas seguras devem ser protegidas por
controles apropriados de entrada para assegurar que somente pessoas autorizadas
tenham acesso.
A.9.1.3 Segurança em escritórios salas e instalações - Deve ser projetada e aplicada
segurança física para escritórios, salas e instalações.
A.9.1.4 Proteção contra ameaças externas e do meio ambiente - Deve ser projetada e
aplicada proteção física contra incêndios, enchentes, terremotos, explosões,
perturbações da ordem pública e outras formas de desastres naturais ou causados
pelo homem.
A.9.1.6 Acesso do público, áreas de entrega e de carregamento - Pontos de acesso,
tais como áreas de entrega e de carregamento e outros pontos em que pessoas não
autorizadas possam entrar nas instalações, devem ser controlados e, se possível,
isolados dos recursos de processamento da informação, para evitar o acesso não
autorizado.
A.9.2.1 Instalação e proteção do equipamento - Os equipamentos devem ser
colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio
ambiente, bem como as oportunidades de acesso não autorizado.
A.9.2.5 Segurança de equipamentos fora das dependências da organização - Devem
ser tomadas medidas de segurança para equipamentos que operem fora do local,
levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das
dependências da organização.
A.10.1.1 Documentação dos procedimentos de operação - Os procedimentos de
operação devem ser documentados, mantidos atualizados e disponíveis a todos os
usuários que deles necessitem.
A.10.4.1 Controle contra códigos maliciosos - Devem ser implantados controles de
detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim
como procedimentos para a devida conscientização dos usuários.
A.10.6.1 Controles de redes - Redes devem ser adequadamente gerenciadas e
controladas, de forma a protegê-las contra ameaças e manter a segurança de
sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito.
A.10.7.1 Gerenciamento de mídias removíveis - Devem existir procedimentos
implementados para o gerenciamento de mídias removíveis.
A.10.7.2 Descarte de mídias - As mídias devem ser descartadas de forma segura e
protegida quando não forem mais necessárias, por meio de procedimentos formais.
A.10.7.3 Procedimentos para tratamento de informação - Devem ser estabelecidos
procedimentos para o tratamento e o armazenamento de informações, para proteger
tais informações contra a divulgação não autorizada ou uso indevido.
A.10.7.4 Segurança da documentação dos sistemas - A documentação dos sistemas
deve ser protegida contra acessos não autorizados.
A.10.8.4 Mensagens eletrônicas - As informações que trafegam em mensagens
eletrônicas devem ser adequadamente protegidas.
A.10.10.1 Registros de auditoria - Registros (log) de auditoria contendo atividades dos
usuários, exceções e outros eventos de segurança da informação devem ser
produzidos e mantidos por um período de tempo acordado para auxiliar em futuras
investigações e monitoramento de controle de acesso.
A.11.1.1 Política de controle de acesso - A política de controle de acesso deve ser
estabelecida, documentada e analisada criticamente, tomando-se como base os
requisitos de acesso dos negócios e da segurança da informação.
11
A.11.2.1 Registro de usuário - Deve existir um procedimento formal de registro e
cancelamento de usuário para garantir e revogar acessos em todos os sistemas de
informação e serviços.
A.11.2.2 Gerenciamento de privilégios - A concessão e o uso de privilégios devem ser
restritos e controlados.
A.11.2.3 Gerenciamento de senha do usuário - A concessão de senhas deve ser
controlada por meio de um processo de gerenciamento formal.
A.11.5.2 Identificação e autenticação de usuário - Todos os usuários devem ter um
identificador único (ID de usuário), para uso pessoal e exclusivo, e uma técnica
adequada de autenticação deve ser escolhida para validar a identidade alegada por
um usuário.
A.12.3.1 Política para o uso de controles criptográficos - Deve ser desenvolvida e
implementada uma política para o uso de controles criptográficos para a proteção da
informação.
A.14.1.2 Continuidade de negócios e análise/avaliação de risco - Devem ser
identificados os eventos que podem causar interrupções aos processos de negócio,
junto à probabilidade e impacto de tais interrupções e as consequências para a
segurança de informação.
VULNERABILIDADES:
ATIVO VULNERABILIDADES
Inexistência de mecanismos de monitoramento;
Falta de conscientização em segurança (ausência de
Pessoa
procedimento de recebimento de estações na chegada
do servidor).
Falha de mecanismo de segurança no webservice;
Utilizar uma diversidade de sistemas operacionais,
Tecnologia sem levar em consideração a disponibilidade de
atualizações dos mesmos.
12
CONSEQUENCIAS (IMPACTOS)
ESTIMATIVA DE RISCOS
ANÁLISE QUALITATIVA
IMPACTO
Alto Médio Baixo
PROBABILIDADE
Alto Médio Baixo
RISCO
Alto Médio Baixo
PRIORIDADE
1 2 3
13
Ativo Ameaça Impacto Probabilidade Risco Prioridade
Usuários Indisponibilidad Alto Alto Alto 1
Gerente A e de recursos
Pessoa
Gerente B humanos
Gerente C Erro durante o Médio Médio Médio 2
uso
Desktop Acidente grave Alto Médio Alto 1
Servidor Defeito de Alto Baixo Médio 2
WWW equipamento
Servidor Defeito de Alto Baixo Médio 2
DNS software
Tecnologia
O plano de tratamento de risco tem como proposta apresentar os critérios que foram
utilizados para nortear as ações de segurança da informação que serão executadas na
empresa Batata Humana, objetivando alcançar condições necessárias para minimizar
as vulnerabilidades encontradas.
14
CRITÉRIO DE ACEITAÇÃO DE RISCO
De forma a atender as decisões da Alta Direção, o tratamento dos riscos foi dividido
em três momentos: o primeiro momento, efetuar o tratamento dos riscos com o valor
Altos , o segundo, efetuar a implementação dos Médios e o terceiro Baixos.
15
Atribuir função de salvaguarda dos backups onde uma equipe será responsável
pelos documentos, assim como as disponibilizações quando estas forem
requeridas;
Criar ações de conscientização dos processos de solicitação de documentos a
esta Unidade Barata Humana.
16
removíveis.
A.10.7.2 Alto 1 Criar procedimentos de descarte Gerente C 6 meses
de mídias.
A.10.7.3 Alto 1 Criar procedimentos para Gerente A 6 meses
tratamento de informação.
A.10.8.4 Médio 2 Criar registros de auditoria. Gerente C 9 meses
A.11.1.1 Médio 2 Elaborar política de controle de Gerente C 9 meses
acesso lógico.
A.11.2.1 Baixo 3 Criar procedimento formal de Gerente C 12 meses
registro e cancelamento de
usuário.
A.11.2.2 Médio 2 Criar procedimento de Gerente C 9 meses
gerenciamento de privilégios.
A.11.2.3 Médio 2 Criar procedimento de senha do Gerente C 9 meses
usuário.
A.11.5.2 Baixo 3 Criar procedimento de Gerente C 12 meses
identificação e autenticação de
usuário.
A.12.3.1 Alto 1 Elaborar política para o uso de Gerente C 6 meses
controles criptográficos.
A.14.1.2 Alto 1 Estabelecer plano de Gerente A,B,C 6 meses
continuidade de negócios e
análise/avaliação de risco.
Gerente Departamento de Arquivos (A)
Gerente Departamento de Administração (B)
Gerente Departamento de informática (C)
COMUNICAÇÃO E MONITORAÇÃO
CONCLUSÃO
REFERENCIAS
17