Beruflich Dokumente
Kultur Dokumente
Este guia no se baseia em uma tecnologia especfica, e faz referncia a diversos padres da indstria aceitos para o gerenciamento de riscos de segurana. Ele um importante exemplo do compromisso da Microsoft em fornecer uma orientao eficaz para auxiliar os seus clientes a garantir a segurana de suas infra-estruturas de tecnologia da informao. Este Guia incorpora experincias reais da equipe de TI da Microsoft, bem como inclui sugestes de clientes e parceiros da Microsoft. Este Guia foi desenvolvido, revisado e aprovado por equipes de especialistas em segurana reconhecidos. Este Guia e outros tpicos de orientao de segurana esto disponveis no Centro de Orientaes de Segurana em http://www.microsoft.com/brasil/security/guidance/default.mspx . Comentrios ou dvidas sobre este guia podem ser enviados (em ingls) a secwish@microsoft.com. Este guia dividido em seis captulos e quatro apndices. Nesta pgina Captulo 1: Introduo ao Guia de Gerenciamento de Riscos de Segurana
Apndices
equipes identificam os controles, estimam os custos, ava liam o grau de reduo do risco e, em seguida, determinam que controles devem ser implementados. O resultado da fase de suporte s decises um plano de ao claro e contestvel para controlar ou aceitar cada um dos principais riscos identificados na fase de avaliao de riscos. Incio da pgina
Apndices
Os Apndices incluem:
Apndice A: Avaliaes de risco ad hoc Apndice B: Ativos comuns de sistemas de informaes Apndice C: Ameaas comuns Apndice D: Vulnerabilidades Incio da pgina
Fundamentos do sucesso
Convenes de estilo
Mais informaes
Resumo executivo
Desafios ambientais
A maioria das organizaes reconhece o papel importante que a tecnologia da informao (TI) desempenha para o cumprimento de seus objetivos de negcios. Contudo, as infra -estruturas de TI atuais com alto nvel de conexo existem em um ambiente cada vez mais hostil: ataques so realizados com uma freqncia cada vez maior e exigem uma resposta cada vez mais rpida. Em geral, as organizaes no so capazes de reagir a novas ameaas segurana a tempo de impedir que seus negcios sejam prejudicados. Gerenciar a segurana de suas infra-estruturas, bem como o valor comercial que geram, tem se mostrado o principal desafio dos departamentos de TI. Alm disso, novas leis de proteo de privacidade, obrigaes financeiras e a governana corporativa tm forado organizaes a gerenciar suas infra-estruturas de TI com mais cautela e eficincia do que nunca. Diversos rgos governamentais e as organizaes com as quais conduzem negcios so obrigados por lei a m anter um nvel mnimo de gerenciamento de segurana. Caso no sejam capazes de gerenciar a segurana de forma eficiente, essas organizaes colocam em risco si prprias e os seus executivos devido ao no cumprimento
possveis riscos.
organizar a segurana com relao ao valor dos negcios. Em seguida, uma definio clara das funes e responsabilidades fundamental para um processo bem-sucedido. Os proprietrios de empresa tm a responsabilidade de identificar o impacto de um risco. Alm disso, eles so capazes de estabelecer o valor dos ativos comerciais necessrios para a operao de suas funes. O Grupo de segurana de informaes responsvel por identificar a probabilidade de ocorrncia do risco ao levar em conta controles atuais e os aqui propostos. O grupo de tecnologia da informao responsvel por implementar os controles selecionados pelo comit de orientao de segurana quando a probabilidade de uma explorao apresenta um risco inaceitvel.
Prximas etapas
Investir em um programa de gerenciamento de riscos baseado em um processo slido e realizvel e em funes e responsabilidades bem definidas prepara uma organizao para que possa determinar suas prioridades, planejar a atenuao das ameaas e criar uma estratgia de resposta a ameaas e vulnerabilidades srias. Use este guia para avaliar se est preparado e para obter orientaes quanto ao uso de recursos de gerenciamento de riscos de segurana. Se necessitar ou se desejar obter mais assistncia, entre em conta to com uma equipe de conta da Microsoft ou um parceiro de servios da Microsoft. Incio da pgina
bem-sucedido de gerenciamento de riscos de segurana em organizaes de todos os portes e ramos de negcios. O seu contedo explica como conduzir cada fase de um projeto de gerenciamento de riscos e como torn-lo um processo contnuo que fornea organizao os controles mais teis e eficazes em termos de custo para a atenuao dos riscos de segurana.
gerenciamento de riscos de segurana da Microsoft, bem como apresenta alguns dos conceitos fundamentais e as chaves para seu sucesso. Alm disso, ele oferece sugestes sobre como preparar-se para o processo atravs de um planejamento eficaz e da criao de uma Equipe de gerenciamento de riscos de segurana slida com funes e responsabilidades bem definidas.
Apndice D: Vulnerabilidades
Esse apndice relaciona as vulnerabilidades capazes de afetar diversos tipos de organizaes. Essa lista no exaustiva e, por ser esttica, poder ficar desatualizada. Sendo assim, essencial remover as vulnerabilidades que no sejam relevantes sua organizao e adicionar as novas vulnerabilidades identificadas durante a fase de avaliao do projeto. Ela fornecida apenas como referncia e serve como ponto de partida para a organizao iniciar o processo.
Ferramentas e modelos
Um conjunto de ferramentas e modelos acompanha este guia para facilitar a implementao do processo de gerenciamento de riscos de segurana da Microsoft em sua organizao. Essas ferramentas e modelos esto includos em um arquivo compactado de auto-extrao do WinZip disponvel no Centro de Download. Observe que o download contm tambm uma cpia deste guia. Quando voc extrai os arquivos do arquivo compactado baixado, a seguinte estrutura de pastas criada no local especificado: \Guia de Gerenciamento de Riscos de Segurana Contm a verso em PDF (Portable Document Format) do arquivo deste guia. \Guia de Gerenciamento de Riscos de Segurana \Ferramentas e modelos Contm os seguintes arquivos: Modelos de coleta de dados (FerramentaGGRS1-Ferramenta de coleta de dados.doc). Esse modelo pode ser usado na fase de avaliao de riscos durante os workshops descritos no Captulo 4, "Avaliando riscos". Planilha de anlise de risco de nvel resumido (FerramentaGGRS2-Nvel de risco resumido.xls). Essa planilha do Microsoft Excel ajudar sua organizao a conduzir a primeira fase de anlise de riscos: a anlise resumida. Planilha de anlise de risco de nvel detalhado (FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls). Essa planilha do Microsoft Excel ajudar sua organizao a
conduzir uma anlise exaustiva dos principais riscos identificados durante a anlise resumida. Exemplo de agendamento (FerramentaGGRS4-Exemplo de agenda de projeto.xls). Essa planilha do Excel mostra um agendamento resumido do projeto de gerenciamento de riscos de segurana da Microsoft. Ele inclui as fases, etapas e tarefas discutidas neste guia. Incio da pgina
Fundamentos do sucesso
Sempre que uma organizao se engaja em uma nova iniciativa, diversos elementos fundamentais devem estar presentes para garantir o sucesso desse esforo. A Microsoft identificou os componentes que devem estar presentes ao iniciar a implementao de um processo bem-sucedido de gerenciamento de riscos de segurana, e que devem permanecer presentes durante esse processo. So eles: O patrocnio executivo. Um lista bem definida dos interessados no gerenciamento de riscos. Maturidade corporativa em rela o ao gerenciamento de riscos. Uma atmosfera de comunicaes abertas. O esprito de equipe. Uma viso holstica da organizao. Autoridade da Equipe de gerenciamento de riscos de segurana.
As sees seguintes abordam os elementos necessrios durante o processo inteiro de gerenciamento de riscos de segurana. Itens adicionais relevantes a fases especficas sero descritos nos captulos referentes a cada fase respectiva.
Patrocnio executivo
Os administradores seniores devem oferecer um suporte inequvoco e entusiasta ao processo de gerenciamento de riscos de segurana. Sem esse suporte, os interessados nessa iniciativa podem vir a resistir ou a se opor aos esforos de implementao do gerenciamento de riscos para tornar mais segura a organizao. Alm disso, sem um patrocnio executivo inequvoco, funcionrios individuais podero ignorar as diretivas sobre como realizar o trabalho ou ajudar a proteger os ativos da organizao. H diversas razes pelas quais os funcionrios talvez se recusem a cooperar. Entre elas est uma resistncia geral a mudanas; a falta de conscincia da importncia do gerenciamento eficaz de riscos de segurana; a crena equvoca de que eles como indivduos detm uma compreenso slida de como proteger os ativos comerciais, mesmo que seu ponto de vista no seja amplo e abrangente como o da Equipe de gerenciamento de riscos de segurana; ou a crena de que o seu departamento na empresa nunca seria alvo de possveis ataques.
Delegao de autoridade e responsabilidade Equipe de gerenciamento de riscos de segurana sobre um projeto cujo escopo tenha sido claramente definido Apoio participao de todos os funcionrios, conforme necessrio Alocao de recursos suficientes, como recursos humanos e fundos Apoio inequvoco e entusiasta ao processo de gerenciamento de riscos de segurana Participao na reviso dos resultados e recomendaes do processo de gerenciamento de riscos de segurana
maturidade de gerenciamento de riscos de segurana e como calcular o nvel de maturidade da sua organizao.
O esprito de equipe
A fora e a vitalidade dos relacionamen tos entre os indivduos envolvidos no processo de gerenciamento de riscos de segurana da Microsoft afetaro imensamente o resultado dos esforos. Independentemente do apoio demonstrado pelos administradores seniores, os relacionamentos desenvolvidos entre a equipe, os gerentes de segurana e o resto da organizao so cruciais para o sucesso geral do projeto. extremamente importante que a Equipe de gerenciamento de riscos de segurana fomente um esprito de colaborao em equipe com cada um dos representantes das diversas unidades de negcios com as quais trabalham durante a realizao do projeto. A equipe pode simplificar isso demonstrando de modo eficaz aos gerentes das unidades de negcios o valor comercial do gerenciamento de riscos de segurana, bem como expor aos funcionrios de que forma o projeto poder, a longo prazo, facilitar o seu trabalho.
Controle Um mtodo organizacional, procedimental ou tecnolgico de gerenciamento de riscos; um sinnimo de salvaguarda ou contramedida. Anlise de custo/benefcio A estimativa e a comparao do valor relativo e do custo associado a cada controle proposto, de forma que os controles mais eficazes nesses termos sejam implementados. Suporte a decises Priorizao do risco de acordo com uma anlise de custo/benefcio. O custo da soluo de segurana para atenuar um risco ponderado em relao ao benefcio obtido pela atenuao do risco. Defesa em profundidade Uma abordagem que utiliza diversas camadas de segurana para oferecer proteo contra a falha de qualquer um dos componentes de segurana. Explorao Um modo de utilizar uma vulnerabilidade a fim de comprometer as atividades de negcios ou a segurana das informaes. Exposio Uma ao causada por uma ameaa que faz com que dados confidenciais sejam divulgados a uma entidade no autorizada (RFC 2828). O processo de gerenciamento de riscos de segurana da Microsoft refina essa definio de forma que se refira especialmente aos danos causados a um ativo comercial. Impacto A perda geral nos negcios prevista quando uma ameaa explora uma vul nerabilidade e prejudica um ativo. Integridade A propriedade dos dados que assegura que eles no sejam alterados nem destrudos de modo no autorizado (ISO 74982). Atenuao Ao de tomar medidas contra um risco projetadas para impedir a ameaa subjacente. Soluo de atenuao A implementao de um controle organizacional, procedimental ou tecnolgico que visa gerenciar um risco de segurana. Probabilidade O grau de segurana com que se pode esperar a realizao de um evento. Gerenciamento de risco qualitativo Um mtodo de gerenciamento de riscos no qual os participantes atribuem valores relativos aos ativos, aos riscos, aos controles e ao impacto. Gerenciamento de risco quantitativo Um mtodo de gerenciamento de riscos no qual os participantes tentam atribuir valores numricos objetivos (por exemplo, valores monetrios) aos ativos, aos riscos, aos controles e ao impacto. Reputao O conceito que uma organizao goza no mercado. A reputao da maioria das empresas apresenta um valor real, mesmo sendo intangvel e difcil de ser calculado.
Retorno do investimento em segurana O valor monetrio total que se prev que uma organizao economize anualmente ao implementar um controle de segurana. Risco A combinao da probabilidade de um evento ocorrer e as suas conseqncias. (Guia ISO 73). Avaliao do risco O processo pelo qual os riscos so identificados e o seu impacto, determinado. Gerenciamento de riscos O processo de determinao de um nvel de risco aceitvel que envolve avaliar o nvel de risco atual, tomar medidas para reduzir o risco a um nvel aceitvel e manter aquele nvel de risco. Expectativa de perda nica (EPU) O valor da receita total perdida devido a uma nica ocorrncia de um risco. Ameaa Uma causa potencial de um impacto indesejado em um sistema ou organizao. (ISO 13335 -1). Vulnerabilidade Quaisquer falhas, processo administrativo, ato ou exposio fsica que permita que um ativo de informaes seja explorado por uma ameaa. Incio da pgina
Convenes de estilo
Este guia utiliza as seguintes convenes de estilo e terminologia. Tabela 1: Convenes de estilo Elemento Observao Significado Chama a a teno do leitor para informaes complementares. Exemplo Woodgrove Avisa ao leitor que o contedo est associado organizao fictcia usada como exemplo, "Woodgrove Bank".
Incio da pgina
Mais informaes
As fontes de informaes a seguir eram as mais recentes disponveis sobre tpicos estritamente relacionados ao gerenciamento de riscos de segurana no momento em que este guia foi publicado. O MOF (Microsoft Operations Framework) fornece orientaes que
permitem que as organizaes proporcionem aos seus sistemas cruciais confiabilidade e disponibilidade e a facilidade de suporte e de gerenciamento de produtos e tecnologias da Microsoft. O MOF proporciona orientaes sobre operaes na forma de documentos oficiais, guias de operao, ferramentas de avaliao, prticas recomendadas, estudos de caso, modelos, ferramentas de suporte e servios. Essa orientao aborda questes relacionadas a pessoas, processos, tecnologia e gerenciamento associadas a ambientes de TI complexos, distribudos e heterogneos. Para obter mais informaes sobre o MOF consulte www.microsoft.com/mof (site em ingls). O MSF (Microsoft Solutions Framework) pode ajud -lo a executar com xito os planos de ao criados como parte do processo de gerenciamento de riscos de segurana da Microsoft. Projetado para auxiliar organizaes a fornecer solues de alta tecnologia de forma pontual e dentro do oramento proposto, o MSF uma abordagem focada e disciplinada voltada a projetos de tecnologia, alm de ser baseada em um conjunto definido de princpios, modelos, disciplinas, conceitos, diretrizes e prticas comprovadas da Microsoft. Para obter mais informaes sobre o MSF, consulte www.microsoft.com/msf (site em ingls). O Centro de Orientaes de Segurana Microsoft oferece um conjunto bem-organizado e completo de documentos que abordam diversos tpicos relacionados segurana. O Centro de Orientaes de Segurana pode ser acessado em www.microsoft.com/security/guidance/ default.mspx. O Microsoft Windows 2000 Server Solution for Security uma soluo de orientao que pretende ajudar a reduzir as vulnerabilidades de segurana e diminuir o custo do gerenciamento de segurana e exposio em ambientes do Microsoft Windows 2000. Os captulos 2, 3 e 4 do guia Microsoft Windows 2000 Server Solution for Security compem as primeiras orientaes sobre o gerenciamento de riscos de segurana publicado pela Microsoft, que foi chamado de Disciplina de gerenciamento de riscos de segurana. O guia que voc est lendo substitui o contedo de gerenciamento de riscos de segurana no guia Microsoft Windows 2000 Server Solution for Security . Esse guia est disponvel em http://go.microsoft.com/ fwlink/?LinkId=14837. O NIST (National Institute for Standards and Technology) oferece um guia excelente sobre o gerenciamento de riscos chamado Risk Management Guide for Information Technology Systems (janeiro de 2002). Ele est disponvel em http://csrc.nist.gov/publications/nistpubs/800 -30/ sp800-30.pdf . O NIST oferece tambm um guia chamado The Security SelfAssessment Guide for Information Technology Systems (novembro de
2001) sobre como realizar uma avaliao de segurana em sua prpria organizao. Ele est disponvel em http://csrc.nist.gov/publications/nistpubs/800 -26/ sp800-26.pdf . O ISO oferece um cdigo de prticas detalhado conhecido como Information technology Code of practice for information security management, tambm chamado de ISO 17799. Ele pode ser comprado em www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail? CSNUMBER=33441&ICS1=35&ICS2=40&ICS3=. O ISO j publicou vrios outros documentos sobre padres, alguns dos quais mencionados neste guia. Eles podem ser comprados em www.iso.org. O CERT (Computer Emergency Response Team), localizado no Instituto de Engenharia de Software da Universidade Carnegie -Mellon, criou o OCTAVE (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM ), um mtodo de planejamento e auto-avaliao de riscos. Para obter mais informaes sobre o OCTAVE, consulte www.cert.org/octave (site em ingls). O CobiT (Control Objectives for Information and Related Technology) oferece padres amplamente aceitos e aplicveis para garantir prticas recomendadas de controle e segurana de TI, as quais forneam uma estrutura de referncia para gerentes, usurios e responsveis pela auditoria, controle e segurana de sistemas de informaes. Ele pode ser comprado online no site do IT Governance Institute em www.itgi.org/cobit. O IETF publicou o RFC (Request for Comments) 2828, um documento disponvel ao pblico que fornece definies padro de diversos termos relacionados segurana de sistemas de informaes. Ele est disponvel em www.faqs.org/rfcs/rfc2828.html. Incio da pgina
2 de 12
A abordagem reativa
Atualmente, diversos profissionais de informtica sentem -se pressionados a realizar suas tarefas da maneira mais rpida possvel e sem causar inconvenincias aos usurios. Quando um incidente de segurana acontece, muitos profissionais de informtica sentem que a nica coisa que tm tempo de fazer conter a situao, descobrir as causas e reparar os sistemas afetados no menor tempo possvel. Alguns deles tentam at mesmo identificar a raiz do problema, porm isso soa como um luxo para aqueles que no contam com recursos suficientes. Embora uma abordagem reativa possa ser uma ttica eficaz de resposta a riscos de segurana que tenham sido explorados e que tenham desencadeado incidentes de segurana, impor um certo grau de rigor abordagem reativa poderia ajudar diversas organizaes a aproveitar melhor seus recursos. Incidentes de segurana recentes podem auxiliar uma organizao a se prevenir contra problemas futuros. Isso significa que uma organizao que se preocupe em responder ocorrncia de incidentes de segurana de maneira calma e racional, ao mesmo tempo que determina as razes do incidente, ser capaz de se proteger melhor contra problemas similares no futuro e de responder mais rapidamente a outros incidentes que possam ocorrer. Um exame detalhado da reao a um incidente est alm do escopo deste guia, contudo, seguir as seis etapas descritas abaixo pode ajudlo a responder a incidentes de segurana e gerenci -los com mais rapidez e eficincia: 1. Proteger a vida e garantir a segurana das pessoas . Essa dever ser sempre a sua principal prioridade. Por exemplo, se entre os computadores afetados estiverem sistemas de suporte vida, deslig-los no ser uma opo. Talvez voc possa isolar logicamente esses sistemas na rede, reconfigurando roteadores e comutadores, sem prejudicar sua capacidade de ajudar os pacientes. 2. Conter os danos. A conteno dos estragos causados pelo ataque pode ajudar a limitar danos adicionais. Proteger dados, software e hardware importantes. Reduzir o impacto sobre recursos de computao uma medida importante, porm manter os sistemas em execuo durante um ataque pode, a longo prazo, resultar em problemas maiores e mais graves. Por exemplo, se um worm penetrar em seu ambiente, voc poder tentar limitar os danos desconectando os servidores da rede. Contudo, desconectar servidores pode, s vezes, se mostrar mais um problema do que uma soluo. Use o seu bom senso e conhecimento que tem sobre a rede e os sistemas antes de
tomar essa deciso. Se voc determinar que no haver efeitos adversos, ou que eles seriam reduzidos se comparados aos benefcios dessa deciso, a conteno dever ser iniciada assim que possvel durante o incidente de segurana, a comear pela desconexo dos sistemas afetados da rede. Se voc no puder conter os danos isolando os servidores, assegure -se de que possa monitorar as aes do agressor a fim de reparar os estragos assim que possvel. Em qualquer circunstncia, garanta que todos os arquivos de log tenham sido salvos antes de desligar um servidor, para que possa preservar as informaes registradas como provas caso voc (ou seus advogados) necessitem delas posteriormente. 3. Avaliar os danos . Assim que puder, faa uma cpia dos discos rgidos nos servidores que tenham sido atacados, e guarde-os para a percia posterior. Em seguida, avalie os danos. Voc deve comear a determinar a extenso dos danos causados pelo ataque assim que possvel, imediatamente aps conter a situao e duplicar os discos rgidos. Essa uma etapa importante para que voc possa restaurar as operaes da organizao o mais rpido possvel, bem como preservar uma cpia dos discos rgidos para fins de investigao. Caso no seja possvel avaliar os danos naquele momento, voc dever implementar um plano de contingncia para que possa dar continuidade s operaes comerciais normais e produtividade. nesse momento que as organizaes deveriam informar as autoridades legais sobre o incidente. Entretanto, voc dever estabelecer e manter relacionamentos de trabalho com os rgos legais responsveis pela regulamentao dos seus negcios antes da ocorrncia de um incidente, de forma que saiba quem contatar e como agir aps a ocorrncia de um problema srio. Alm disso, o departamento legal da empresa dever ser notificado imediatamente, para que ele possa determinar se aes legais podero resultar do incidente. 4. Determinar a causa dos danos. A fim de determinar a origem do ataque, necessrio saber que recursos foram alvos do ataque e que vulnerabilidades foram exploradas para obter acesso ou interromper os servios. Analise a configurao do sistema, nvel de patches, logs de auditoria e trilhas de auditoria nos sistemas que foram afetados diretamente e nos dispositivos da rede que encaminham o trfego at eles. Em geral, essas anlises ajudam a descobrir a origem do ataque no sistema e que recursos adicionais foram afetados. Essa atividade deve ser conduzida nos sistemas de computadores afetados, e no nas cpias de unidades feitas na etapa 3. Essas
unidades devem ser preservadas intactas para a percia, de modo que as autoridades legais ou seus advogados possam utiliz-las para encontrar e indiciar os responsveis pelo ataque. Se voc precisar criar uma cpia de backup para testar e tentar determinar a causa do dano, crie um segundo backup a partir do sistema original, e deixe intactas as unidades criadas na etapa 3. 5. Corrigir os danos . Na maioria dos casos, muito importante que os danos sejam corrigidos o mais rpido possvel a fim de restaurar as operaes de negcios normais e os dados que tenham sido perdidos durante o ataque. Os planos e procedimentos de continuidade dos negcios da organizao devem abranger a estratgia de restaurao. A equipe de resposta a incidentes tambm deve estar disponvel para lidar com o processo de restaurao e recuperao ou para fornecer orientaes sobre o processo equipe responsvel. Durante a recuperao, os procedimentos de contingncia so realizados para isolar e limitar a disseminao dos danos. Antes de colocar novamente em servio os sistemas corrigidos, garanta que eles no sejam reinfectados imediatamente, verificando se todas as vulnerabilidades foram exploradas durante o incidente. 6. Analisar a resposta e atualizar as diretivas. Uma vez concludas as fases de documentao e recuperao, voc deve revisar o processo inteiro. Determine com a equipe que etapas foram bem -sucedidas e quais foram os erros cometidos. Em quase todos os casos, voc descobrir que alguns processos precisam ser modificados de forma a lidar melhor com incidentes futuros. mais do que provvel que encontrar falhas em seu plano de resposta a incidentes. O objetivo desse exerccio aps o ocorrido encontrar oportunidades de aprimorar o processo. Quaisquer falhas encontradas devem suscitar uma reviso completa do processo de resposta a incidentes, de modo que voc possa lidar mais facilmente com incidentes futuros. Esse mtodo ilustrado no diagrama a seguir:
A abordagem proativa
O gerenciamento de riscos de segurana proativo apresenta diversas vantagens em relao abordagem reativ a. Em vez de esperar que eventos prejudiciais aconteam para ento agir, reduza a possibilidade de ocorrncia de tais eventos. Isso envolve fazer planos para proteger os ativos importantes da sua organizao, implementando controles capazes de reduzir o risco de explorao de vulnerabilidades por cdigo malicioso, agressores ou uso acidental. Uma analogia pode ajudar a ilustrar esse conceito. A gripe "influenza" uma doena respiratria fatal que infecta milhes de pessoas nos Estados Unidos todos os anos. Dentre elas, mais de 100 mil tm de ser tratadas em hospitais, e cerca de 36 mil morrem. Voc pode optar por lidar com a ameaa da doena esperando que ela o infecte para ento recorrer aos medicamentos e tratar os sintomas caso fique doente. Ou ento, vo c pode optar por ser vacinado antes que o inverno chegue e a gripe se espalhe. Obviamente, as organizaes no podem abandonar o plano de
resposta a incidentes. Uma abordagem proativa eficaz pode ajudar as organizaes a reduzir significativamente o nmero de incidentes de segurana futuros, contudo, improvvel que tais incidentes nunca mais ocorram. Sendo assim, essas organizaes devem continuar a aprimorar seus processos de resposta a incidentes, ao mesmo tempo que desenvolvem abordagens proativas de longo prazo. Sees mais adiantes neste captulo, e os captulos subseqentes deste guia, examinaro em detalhes o gerenciamento de riscos de segurana proativo. Todos os mtodos de gerenciamento de riscos de segurana compartilham alguns procedimentos gerais comuns: 1. 2. 3. 4. Identificar os ativos da empresa. Determinar os danos causados organizao resultantes de um ataque contra um ativo. Identificar as vulnerabilidades de segurana que poderiam ser exploradas em um ataque. Determinar como minim izar o risco de ataque ao implementar controles apropriados. Incio da pgina
produtividade, do custo representado pela reputao da marca e outros valores comerciais diretos ou indiretos. Voc dever usar a mesma objetividade ao calcular o custo de exposio do ativo, o custo dos controles e todos os outros valores identificados durante o processo de gere nciamento de riscos. Observao : Esta seo destina-se a apresentar uma viso geral de algumas das etapas associadas s avaliaes de risco quantitativas; ela no pretende ser um guia prescritivo para o uso dessa abordagem em projetos de gerenciamento de riscos de segurana. H alguns pontos fracos inerentes a essa abordagem que podem ser difceis de corrigir. Em primeiro lugar, no h um mtodo formal e rigoroso de calcular efetivamente o valor de ativos e controles. Em outras palavras, embora aparentemente ele fornea mais detalhes, os valores financeiros encobrem o fato de que os nmeros so baseados em estimativas. De que forma possvel calcular com preciso o impacto que um incidente de segurana amplamente divulgado pode causar em sua marca comercia l? Nesse caso, possvel examinar dados histricos, porm esses nem sempre esto disponveis. Em segundo lugar, as organizaes que tentaram empregar formalmente todos os aspectos do gerenciamento de riscos quantitativo descobriram que o processo pode ser extremamente caro. Em geral, tais projetos levam um perodo demasiadamente longo para concluir o primeiro ciclo e, com freqncia, envolvem diversos funcionrios discutindo sobre detalhes do clculo de valores fiscais especficos. Em terceiro lugar, o custo de exposio para organizaes com ativos valiosos pode se mostrar to alto que seria necessrio gastar uma fortuna para atenuar quaisquer riscos aos quais elas possam estar expostas. Essa situao no realstica, j que uma organizao no gastaria seu oramento inteiro para proteger um nico ativo, nem mesmo os seus cinco principais ativos.
Determinar o valor monetrio de um ativo uma parte importante do gerenciamento de riscos de segurana. Com freqncia, os gerente s de negcios levam em conta o valor de um ativo para ajud -los a determinar quanto dinheiro e tempo devem gastar para proteg-lo. Diversas organizaes mantm uma lista de valores de ativos como parte de seus planos de continuidade dos negcios. Observe o modo como os nmeros calculados so, na verdade, estimativas subjetivas: no h ferramentas nem mtodos objetivos para determinar o valor de um ativo. Para atribuir um valor a um ativo, calcule estes trs valores principais: O valor geral do ativo para a organizao . Calcule ou estime o valor do ativo em termos financeiros diretos. Leve em conta um exemplo simplificado do impacto de um perodo temporrio de inatividade de um site de comrcio eletrnico que, em geral, funcione 24 horas por dia, sete dias por semana, e gere uma receita mdia de US$ 2.000 por hora em pedidos de clientes. possvel afirmar que o valor anual do site em termos de receita de vendas US$ 17.520.000. O impacto financeiro imediato da perda do ativo . Se simplificarmos o exemplo deliberadamente e presumirmos que o site gere uma taxa constante por hora, e esse mesmo site fique indisponvel durante seis horas, a exposio calculada ser de 0,000685 por ano. Se multiplicarmos essa porcentagem de exposio pelo valor anual do ativo, possvel prever que as perdas diretamente relacionadas neste caso seriam de US$ 12.000. Na realidade, na maioria dos sites de comrcio eletrnico, a gerao de receita amplamente varivel, dependendo da hora do dia, dia da semana, estao do ano, campanhas de marketing e outros fatores. Alm disso, alguns clientes podem encontrar um site alternativo que prefiram ao site original, portanto o site pode perder clientes permanentemente. O clculo da perda de receita se mostrar extremamente complexo se voc desejar faz-lo com preciso e levar em conta todos os tipos de perda possveis. O impacto indireto nos negcios causado pela perda do ativo. Neste exemplo, a empresa estima que gastaria US$ 10.000 em publicidade para contrabalanar a publicidade negativa de tal incidente. Alm disso, a empresa estima tambm a perda de 0,01 de 1 por cento das vendas anuais, ou US$ 17.520. Ao combinar as despesas extras de publicidade e a perda anual da receita de vendas, possvel prever um total de US$ 27.520 em perdas indiretas. Determinando a EPU Expectativa de perda nica (EPU) a quantidade total de receita perdida em uma nica ocorrncia do risco. A EPU um valor atribudo a um nico evento que representa o possvel valor de perda da
empresa caso uma ameaa especfica explore uma vulnerabilidade. (A EPU semelhante ao impacto de uma anlise de riscos qualitativa). Determine a EPU multiplicando o valor do ativo pelo fator de exposio. O fator de exposio representa a porcentagem de perda que uma ameaa concretizada pode ter em um determinado ativo. Se uma Web farm tiver um valor patrimonial igual a US$ 150.000, e um incndio resultar em danos estimados em 25% do valor, a EPU ser de US$ 37.500. Este exemplo , contudo, uma simplificao; possvel que existam outras despesas relacionadas. Determinando a TOA A taxa de ocorrncia anual (TOA) o nmero de vezes que voc espera que o risco ocorra durante o ano. O clculo dessa estimativa extremamente difcil; h poucos dados estatsticos disponveis. Os dados coletados at o momento so, aparentemente, informaes privadas mantidas por poucas empresas de seguro imobilirio. Para estimar a TOA, baseie-se em sua experincia e consulte especialistas em gerenciamento de riscos de segurana, assim como consultores de segurana e de negcios. A TOA similar probabilidade de uma anlise de risco qualitativa, e varia de 0 por cento (nunca) a 100 por cento (sempre). Determinando a EPA A expectativa de perda anual (EPA) a quantidade total de dinheiro que a organizao perder em um ano se nada for feito para atenuar o risco. Calcule esse valor multiplicando a EPU pela TOA. A EPA semelhante classificao relativa de uma anlise de riscos qualitativa. Por exemplo, se um incndio na Web farm dessa mesma empresa resultar em danos de US$ 37.500, e a probabilidade, ou TOA, da ocorrncia de um incndio for 0,1 (indicando uma vez a cada dez anos), o valor da EPA ser de US$ 3.750 (US$ 37.500 x 0,1 = US$ 3.750). A EPA fornece um valor com o qual a organizao pode trabalhar para orar o custo do estabelecimento de controles ou salvaguardas para impedir esse tipo de dano neste caso, US$ 3.750 ou menos por ano e fornecer um nvel adequado de proteo. importante quantificar a possibilidade real de um risco e quantos danos, em termos monetrios, a ameaa poder causar para saber quanto pode ser gasto para proteger contra as possveis conseqncias da ameaa. Determinando o custo dos controles A determinao do custo dos controles requer a estimativa precisa dos custos associados aquisio, teste, implementao, operao e manuteno de cada controle. Tais custos incluem a compra ou o desenvolvimento da soluo de controle; a implementao e configurao da soluo de controle; a manuteno dessa soluo; a comunicao aos usurios de novas diretivas ou procedimentos relacionados aos novos controles; o treinamento de usurios e equipe
de TI quanto ao uso e suporte do controle; a monitorao do controle; e as medidas adotadas para lidar com a inconvenincia e a perda de produtividade causadas pelo controle. Por exemplo, a fim de reduzir o risco de incndio, essa organizao fictcia pode considerar a implementao de um sistema automtico de combate a incndios. Ela precisaria contratar um especialista para projetar e instalar o sistema e, em seguida, deveria monitorar esse sistema de modo contnuo. Alm disso, seria necessrio verificar o sistema periodicamente e, ocasionalmente, recarreg-lo com as substncias qumicas que utilize. Retorno do investimento em segurana Estime o custo dos controles usando a seguinte equao: EPA antes do controle) (EPA aps o controle) (custo anual do controle) = Retorno do investimento em segurana Por exemplo, a EPA associada ao risco de um agressor tirar do ar um servidor da Web de US$ 12.000. Aps a salvaguarda sugerida ter sido implementada, a EPA avaliada em US$ 3.000. O custo anual de manuteno e operao da salvaguarda de US$ 650; portanto, o retorno do investimento em segurana de US$ 8.350 por ano, conforme expresso pela seguinte equao: US$ 12.000 - US$ 3.000 US$ 650 = US$ 8.350. Resultados da anlise de risco quantitativa As informaes da anlise de risco quantitativa fornecem objetivos e resultados claramente definidos. Os itens a seguir definem o que geralmente obtido dos resultados das etapas anteriores: Valores monetrios atribudos aos ativos Uma lista abrangente de ameaas significativas A probabilidade de ocorrncia de cada ameaa A possvel perda para a empresa com base em cada ameaa ao longo de doze meses Salvaguardas, controles e aes recomendados
Voc pde perceber de que modo esses clculos so baseados em estimativas subjetivas. Os principais valores que servem de base para os resultados no resultam de equaes objetivas ou conjuntos de dados estatsticos bem definidos, e sim de opinies dos responsveis pela avaliao. O valor do ativo, a EPU, a TOA e o custo dos controles so valores inseridos pelos prprios participantes (geralmente aps muita discusso e concesso).
diversos grupos na organizao, como especialistas em segurana da informao, equipes e gerentes de tecnologia da informao, proprietrios e usurios de ativos de negcios e gerentes seniores. Se utilizados, os questionrios devem ser distribudos alguns dias ou semanas antes do primeiro workshop. Os questionrios so projetados para descobrir que ativos e controles j esto implementados, e a informao coletada poder ser til durante o workshop subseqente. Nos workshops, os participantes identificam os ativos e estimam seus valores relativos. Em seguida, tentam reconhecer as ameaas enfrentadas por cada ativo, e tentam imaginar quais tipos de vulnerabilidades poderiam ser explorados por tais ameaas no futuro. Em geral, os especialistas em segurana da informao e os administradores de sistema sugerem controles para atenuar os riscos a serem considerados pelo grupo, bem como o custo de cada controle. Por fim, os resultados so apresentados gerncia para serem levados em conta durante a anlise de custo/benefcio. Como voc pode perceber, os processos bsicos da avaliao qualitativa semelhante aos empregados na abordagem quantitativa. A diferena entre os dois est nos detalhes. As comparaes entre o valor de um ativo e outro so relativas, e os participantes no dedicam muito tempo tentando calcular valores financeiros precisos para avaliao do ativo. O mesmo se aplica ao clculo do possvel impacto de um risco sendo constatado e ao custo de implementao de controles. Os benefcios de uma abordagem qualitativa residem no fato de que ela no depende do clculo de nmeros precisos quanto ao valor do ativo, custo do controle e assim por diante, e o processo envolvido exige menos dos funcionrios. Os projetos de gerenciamento de risco qualitativo podem comear a mostrar resultados significativos em poucas semanas, enquanto que as orga nizaes que escolhem uma abordagem quantitativa esperam meses, at mesmo anos, para usufruir dos benefcios de seu esforo. A desvantagem da abordagem qualitativa que os nmeros resultantes so vagos; alguns dos responsveis pela tomada de decises de negcios, especialmente aqueles envolvidos em finanas ou contabilidade, podem no confiar nos valores relativos determinados durante um projeto de avaliao de risco qualitativa.
de cada abordagem: Tabela 2.1: Benefcios e desvantagens de cada abordagem de gerenciamento de riscos Quantitativa Benefcios Os riscos so priorizados de acordo com o impacto financeiro; os ativos so priorizados de acordo com valores financeiros. Os resultados facilitam o gerenciamento de riscos graas ao retorno do investimento em segurana. Os resultados podem ser expressos usando uma terminologia de gerenciamento (por exemplo, valores monetrios e probabilidade expressos como uma porcentagem especfica). A preciso tende a aumentar com o passar do tempo medida que a organizao coleta registros histricos dos dados e ganha experincia. Desvantagens Os valores do impacto atribudo ao risco so baseados na opinio subjetiva dos participantes. Riscos graves podem no ser diferenciados o suficiente. Dificuldade de justificar o investimento na Qualitativa Permite a visibilidade e a compreenso da classificao de riscos. Maior facilidade de chegar a um consenso. No necessrio quantificar a freqncia da ameaa. No necessrio determinar os valores financeiros dos ativos. Maior facilidade de envolver pesso as que no sejam especialistas em segurana ou computadores.
O processo para atingir resultados confiveis e um consenso demorado. Os clculos podem ser complexos e demorados. Os resultados so apresentados em termos monetrios e podem ser difceis de serem interpretados por pessoas sem conhecimento tcnico. O processo exige experincia e conhecimento, portanto pode ser difcil explic-lo aos participantes.
implementao de controles, pois no h valores bsicos para realizar a anlise de custo/benefcio. Os resultados dependem da qualidade da Equipe de gerenciamento de riscos formada.
No passado, a abordagem quantitativa parecia dominar o gerenciamento de riscos de segurana; contudo, isso est mudando, uma vez que um nmero crescente de profissionais tem admitido que utilizar somente processos de gerenciamento de riscos quantitativo geralmente resulta em projetos difceis e demorados com poucos benefcios tangveis. Como voc ver nos captulos seguintes, o processo de gerenciamento de riscos de segurana da Microsoft combina o melhor de ambas as abordagens em um mtodo hbrido exclusivo. Incio da pgina
rigor da abordagem quantitativa, este guia oferece um processo exclusivo de gerenciamento de riscos de segurana que eficaz e prtico. O objetivo do processo que os interessados sejam capazes de compreender todas as etapas da avaliao. Essa abordagem, muito mais simples do que o gerenciamento de riscos quantitativo tradicional, reduz a resistncia aos resultados das fases de anlise de riscos e de suporte a decises, permitindo chegar mais rapidamente a um consenso capaz de ser mantido durante o processo. O processo de gerenciamento de riscos de segurana da Microsoft dividido em quatro fases. A primeira fase, Avaliando os riscos, combina aspectos dos mtodos de avaliao de risco quantitativa e qualitativa. Uma abordagem quali tativa usada para filtrar rapidamente a lista completa de riscos de segurana. Os riscos mais graves so identificados durante essa filtragem e, em seguida, so examinados em detalhes usando uma abordagem quantitativa. O resultado uma lista relativamente curta contendo os riscos mais importantes que foram examinados em detalhes. Essa lista curta usada durante a fase seguinte, Oferecendo suporte a decises, em que possveis solues de controle so propostas e examinadas, e as melhores delas so aprese ntadas ao Comit de orientao de segurana da organizao como recomendaes para a atenuao dos principais riscos. Durante a terceira fase, Implementando controles, os Proprietrios da atenuao implantam as solues de controle escolhidas. A quarta fase, Analisando a eficiccia do programa, serve para verificar se os controles oferecem de fato o grau de proteo esperado e para monitorar as alteraes no ambiente, como a instalao de novos aplicativos de negcios ou ferramentas de ataque que possam alt erar o perfil de risco da organizao. Como o processo de gerenciamento de riscos de segurana da Microsoft um processo contnuo, o ciclo reiniciado com cada nova avaliao de risco. A freqncia com que o ciclo reiniciado varia de acordo com a organizao: diversas empresas acreditam que uma recorrncia anual suficiente, desde que a organizao esteja monitorando de forma proativa as novas vulnerabilidades, ameaas e ativos.
Figura 2.2 Fases do processo de gerenciamento de riscos de segurana da Microsoft A Figura 2.2 acima ilustra as quatro fases do processo de gerenciamento de riscos de segurana da Microsoft. O captulo seguinte, Captulo 3, "Viso geral do gerenciamento de riscos de segurana", apresenta uma descrio mais completa desse processo. O captulo subseqente a ele explica em detalhes as etapas e tarefas associadas a cada uma das quatro fases. Incio da pgina
3 de 12
importante notar que o gerenciamento de riscos apenas uma parte de um programa de governana maior projetado para que os lderes corporativos monitorem os negcios e tomem decises informadas. Embora programas de governana variem imensamente, todos eles exigem um componente estruturado de gerenciamento de riscos de segurana a fim de priorizar e atenuar os riscos de segurana. Os conceitos do processo de gerenciamento de riscos de segurana da Microsoft podem ser aplicados a qualquer programa de governana para ajudar a definir e gerenciar os riscos e reduzi-los a um nvel aceitvel. Nesta pgina As quatro fases do processo de gerenciamento de riscos de segurana da Microsoft
Resumo
Apndice B: At de sistemas de
Apndice C: Am comuns
Apndice D: Vulnerabilidade
Agradecimento
Planejar a coleta de dados Discuta os fundamentos do sucesso e a orientao da preparao. Coletar dados sobre riscos Estruture o processo de c oleta e anlise de dados. Priorizar os riscos Estruture as etapas necessrias para qualificar e quantificar os riscos.
Definir os requisitos funcionais Defina os requisitos funcionais para atenuar os riscos. Selecionar solues de controle possveis Estruture a abordagem para identificar as solues de atenuao. Rever a soluo Avalie os controles propostos em relao aos requisitos. Estimar a reduo de riscos Tente compreender a reduo na exposio ou probabilidade de riscos. Estimar o custo da soluo Avalie os custos diretos e indiretos associados s solues de atenuao. Selecionar a estratgia de atenuao Faa a anlise de custo/benefcio para identificar a soluo de atenuao mais econmica. Buscar uma abordagem holstica Incorpore pessoas, processos e tecnologia na soluo de atenuao. Organizar por defesa em profundidade Organize solues de atenuao para a empresa toda. Desenvolver o carto de pontuao de riscos Entenda a postura e o progresso do gerenciamento de riscos. Analisar a eficcia do programa Avalie o programa de gerenciamento de riscos para determinar oportunidades de melhoria.
Figura 3.1O processo de gerenciamento de riscos de segurana da Microsoft Ver imagem em tamanho normal Os captulos seguintes neste guia descrevem, em seqncia, cada fase do processo de gerenciamento de riscos de segurana da Microsoft. Contudo, h diversos aspectos preliminares a serem levados em conta antes de executar o processo.
Nvel de esforo
Se o gerenciamento de riscos for um conceito relativamente novo em sua organizao, poder ser til determinar que etapas do processo de gerenciamento de riscos de segurana da Microsoft exigiro um esforo maior da Equipe de gerenciamento de riscos de segurana. A figura a seguir mostra graus relativos de esforo durante o processo, com base nas ativida des de gerenciamento de riscos conduzidas pela equipe de TI da Microsoft. Essa perspectiva pode ser til ao descrever o processo geral e os requisitos de tempo a organizaes iniciantes no gerenciamento de riscos. Os nveis relativos de esforo tambm podem servir como um guia para evitar de perder muito tempo em um ponto do processo geral. A fim de resumir o nvel de esforo durante o processo, a figura mostra um nvel moderado de esforo na coleta de dados e um nvel reduzido de esforo para realizar a an lise resumida, seguido de nveis mais altos de esforo para criar listas detalhadas de riscos e realizar o processo de suporte a decises. Para obter uma viso adicional das tarefas e esforos a elas associado, consulte o exemplo de agendamento de projeto na pasta Ferramentas: FerramentaGGRS4 -Exemplo de Agendamento de Projeto.xls. Os captulos remanescentes deste guia descrevem em detalhes as etapas mostradas abaixo.
Figura 3.2 Nvel de esforo relativo no processo de gerenciamento de riscos de segurana da Microsoft Ver imagem em tamanho normal
sinnimos. O processo de gerenciamento de riscos de segurana da Microsoft define o gerenciamento de riscos como o esforo geral que visa gerenciar os riscos para reduzi-los a um nvel aceitvel pela empresa. A avaliao de riscos definida como o processo de identificao e priorizao de riscos aos negcios. Conforme ilustrado no diagrama anterior, o gerenciamento de riscos divide-se em quatro fases principais: Avaliando os riscos, Oferecendo suporte s decises, Implementando controles e Analisando a eficcia do programa. No contexto do processo de gerenciamento de riscos de segurana da Microsoft, a avaliao de riscos est associada somente fase Avaliando os riscos do ciclo geral de gerenciamento. Outra distino entre o gerenciamento de riscos e a avaliao de riscos a freqncia com que cada processo iniciado. O gerenciamento de riscos definido como um ciclo contnuo, porm geralmente reiniciado em intervalos regulares, a fim de atualizar os dados em cada etapa do processo de gerenciamento. O processo de gerenciamento de riscos geralmente sincronizado com o ciclo de contabilidade fiscal da organizao, a fim de alinhar as solicitaes de fundos para adquirir controles aos processos de negcios normais. Em geral, um intervalo anual adotado no processo de gerenciamento de riscos para alinhar novas solues de controle ao ciclo do oramento anual. Embora a avaliao de riscos seja uma etapa essencial do processo de gerenciamento de riscos, o Grupo de segurana de informaes pode conduzir diversas avaliaes de riscos, independentemente da fase do gerenciamento de riscos atual ou do ciclo do oramento. O Grupo de segurana de informaes pode efetuar uma avaliao sempre que uma possvel alterao relacionada segurana ocorra na empresa, como a introduo de novas prticas de negcios, a descoberta de vulnerabilidades ou alteraes infra-estrutura. Essas avaliaes de riscos freqentes so geralmente chamadas de avaliaes de risco ad hoc, ou avaliaes de risco de escopo limitado, e devem ser vistas como etapas complementares ao processo de gerenciamento de riscos formal. Em geral, as avaliaes ad hoc levam em conta uma nica rea de risco aos negcios, e no exigem a mesma quantidade de recursos usada pelo processo completo de gerenciamento de riscos. O Apndice A, "Avaliaes ad hoc", descreve e proporciona um modelo de exemplo de uma avaliao ad hoc. Tabela 3.1: Gerenciamento de riscos versus avaliao de riscos Gerenciamento de riscos Objetivo Gerenciar os riscos aos negcios para reduzi-los a um nvel aceitvel Ciclo Todas as quatro fases do programa Agendamento Sincronizao Contnuo Sincronizado com os ciclos do oramento Fase nica do programa de gerenciamento de riscos Conforme necessrio N/D Avaliao de riscos Identificar e priorizar os riscos
definido no Captulo 1, "Introduo ao Guia de Gerenciamento de Riscos de Segurana", risco a probabilidade de ocorrncia de um evento que afete os negcios. Essa definio requer a incluso de uma declarao de impacto e a previso de quando ele pode ocorrer ou, em outras palavras, a probabilidade do impacto. Quando ambos os elementos do risco (probabilidade e impacto) tiverem sido includos em uma declarao de risco, o processo chamar isso de declarao de risco bem estruturada. Use o termo para ajudar a assegurar uma compreenso consistente da natureza dupla do risco. O diagrama a seguir demonstra o nvel mais bsico do risco.
Figura 3.3 Declarao de risco bem estruturada Ver imagem em tamanho normal importante que todos os participantes do processo de gerenciamento de riscos compreendam a complexidade de cada elemento da def inio de risco. A empresa depender de uma compreenso profunda do risco a fim de poder tomar medidas especficas ao gerenci-lo. Por exemplo, a definio do impacto nos negcios requer informaes sobre que ativos seriam afetados, que tipos de danos ocorreriam e qual seria a extenso dos danos ao ativo. Em seguida, para determinar a probabilidade de ocorrncia de um impacto, seria necessrio compreender de que modo o impacto ocorreria e com que eficincia o ambiente de controle atual poderia reduzir a probabilidade do risco. Usando os termos definidos no Captulo 1, "Introduo ao Guia de Gerenciamento de Riscos de Segurana", a declarao de risco a seguir oferece uma orientao ao demonstrar tanto o impacto como a probabilidade do impacto: Risco a probabilidade de uma vulnerabilidade ser explorada no ambiente atual, resultando em um determinado grau de perda de confidencialidade, integridade ou disponibilidade de um ativo. O processo de gerenciamento de riscos de segurana da Microsoft fornece as ferramentas necessrias para comunicar e analisar de modo consistente a probabilidade e o grau de perda associados a cada risco. Os captulos neste guia orientam sobre cada etapa do processo a fim de estabelecer os componentes da declarao de risco bem estruturada e priorizar os riscos que podem afetar os negcios. O diagrama a seguir foi criado a partir da declarao de risco bsica abordada anteriormente com o objetivo de mostrar o relacionamento entre cada elemento do risco.
Figura 3.4 Componentes da declarao de risco bem estruturada Ver imagem em tamanho normal Para auxiliar na comunicao da extenso do impacto e a sua probabilidade atravs da declarao de risco, o processo de gerenciamento de riscos de segurana da Microsoft comea por priorizar os riscos usando termos rela tivos, como alto, moderado e baixo. Embora essa terminologia bsica simplifique a seleo de nveis de risco, ela no fornece detalhes suficientes ao conduzir uma anlise de custo/benefcio voltada seleo da opo de atenuao mais econmica. Para sanar esse problema da abordagem qualitativa bsica, o processo fornece ferramentas para gerar uma comparao detalhada dos riscos. O processo incorpora tambm atributos quantitativos para auxiliar ainda mais na anlise de custo/benefcio da seleo de controles. Um problema comum dos mtodos de gerenciamento de riscos que, em geral, eles deixam de fora as definies de alto, moderado e baixo associadas aos riscos aos negcios. Diversos riscos sero identificados em seu programa de gerenciamento de riscos de segurana. Embora o processo de gerenciamento de riscos de segurana da Microsoft fornea orientaes sobre como utilizar consistentemente as estimativas de risco qualitativas e quantitativas, a Equipe de gerenciamento de riscos de segurana responsvel por determinar em termos especficos aos negcios o significado de cada valor. Por exemplo, uma vulnerabilidade capaz de ocorrer no perodo de um ano, resultando na perda de integridade da propriedade intelectual mais importante da sua organizao, pode se r classificada como um alto risco aos seus negcios. A Equipe de gerenciamento de riscos de segurana deve atribuir definies a cada elemento da declarao de risco bem estruturada. O prximo captulo ir orient-lo sobre a definio de nveis de risco. Ele poder ser til ao definir os nveis de risco especficos sua empresa. O processo facilita a realizao dessa etapa e pode ajud -lo a alcanar consistncia e a obter melhor visibilidade durante o processo.
Microsoft, importante que ela examine seu nvel de maturidade em relao ao gerenciamento de riscos de segurana. Uma organizao sem diretivas nem processos formais relacionados ao gerenciamento de riscos de segurana encontrar diversas dificuldades ao tentar implementar de uma s vez todos os aspectos do processo. Mesmo as organizaes com algumas diretivas e diretrizes formais j adotadas pela maioria dos funcionrios podem julgar esse processo desafiador. Por essa razo, importante fazer uma estimativa do nvel de maturidade de sua organizao. Se concluir que a sua organizao relativamente imatura, convm introduzir o processo em etapas incrementais durante vrios meses, implementando um programa piloto em uma nica unidade de negcios at que o ciclo tenha sido realizado diversas vezes. Aps demonstrar a eficcia do processo de gerenciamento de riscos de segurana da Microsoft atravs do programa piloto, a Equipe de gerenciamento de riscos de segurana poderia implement -lo lentamente em outras unidades de negcios at que a organizao inteira passasse a utiliz -lo. Como determinar o nvel de maturidade de uma organizao? O ITGI (IT Governance Institute) inclui um Modelo de maturidade de governana de TI como parte do CobiT (Control Objectives for Information and Related Technology). recomendvel que voc adquira e analise o CobiT para obter um mtodo detalhado de determinao do nvel de maturidade da sua organizao. O processo de gerenciamento de riscos de segurana da Microsoft resume os elementos usados no CobiT e apresenta uma abordagem simplificada com base em modelos desenvolvidos pelos Servios da Microsoft. As definies de nvel de maturidade aqui apresentadas so baseadas no ISO 17799, conhecido como Information technology Code of practice for information security management. Voc pode estimar o nvel de maturidade da sua organizao comparando-o s definies descritas na tabela a seguir. Tabela 3.2: Nveis de maturidade do gerenciamento de riscos Nvel 0 Estado No existente Definio Diretivas (ou processos) no foram documentadas e, at este momento, a organizao no tinha conscincia do risco aos negcios associado a esse gerenciamento de riscos. Sendo assim, essa questo ainda no foi abordada na organizao. 1 Ad hoc aparente que alguns membros da organizao j esto convencidos do valor do gerenciamento de riscos. Contudo, os esforos de gerenciamento de riscos tm sido realizados de maneira inconsistente. No h processos nem diretivas documentados, e o processo no pode ser completamente reproduzido. Em geral, os projetos de gerenciamento de riscos parecem caticos e isolados, e os resultados no so medidos nem analisados. 2 Reproduzvel A organizao inteira tm conscincia do gerenciamento de riscos. O processo de gerenciamento de riscos reproduzvel, porm imaturo. O processo no est totalmente documentado; contudo, atividades relacionadas ocorrem regularmente, e a organizao tem trabalhado para estabelecer um processo de gerenciamento de riscos abrangente que conte com o apoio da gerncia snior. No h treinamento nem comunicao formal sobre o gerenciamento de riscos; a responsabilidade da implementao recai sobre funcionrios individuais.
Processo definido
A organizao tomou uma deciso formal de adotar inteiramente o gerenciamento de riscos a fim de direcionar o seu programa de segurana de informaes. Um processo bsico foi desenvolvido, com metas claramente definidas e processos documentados a fim de alcanar e medir o seu xito. Alm disso, um treinamento geral em gerenciamento de riscos est disponvel aos funcionrios. Por fim, a organizao est implementando de forma proativa seus processos de gerenciamento de riscos documentados.
Gerenciado
H uma compreenso profunda do gerenciamento de riscos em todos os nveis da organizao. Procedimentos de gerenciamento de riscos foram implementados, o processo est bem definido, a conscientizao geral, um treinamento rigoroso est disponvel e alguns mtodos iniciais de avaliao so usados para determinar a eficcia. Recursos suficientes foram designados ao programa de gerenciamento de riscos, diversas partes da organizao esto usufruindo dos benefcios do programa e a Equipe de gerenciamento de riscos de segurana capaz de melhorar continuamente os processos e as ferramentas. Ferramentas tecnolgicas esto sendo usadas para auxiliar no gerenciamento de riscos, porm vrios, se no todos, os procedimentos de avaliao de riscos, identificao de controles e anlise de custo/benefcio so manuais.
Otimizado
A organizao dedicou recursos significativos ao gerenciamento de riscos de segurana, e os funcionrios se esforam para prever possveis problemas futuros e suas solues. O processo de gerenciamento de riscos bem compreendido e amplamente automatizado atravs do uso de ferramentas (desenvolvidas na organizao ou adquiridas de fornecedores de software independente s). A principal causa de todos os problemas de segurana foi identificada e medidas adequadas foram tomadas para reduzir o risco de recorrncia. O treinamento para todos os nveis de conhecimento est disponvel aos funcionrios.
negcios esto bem documentados. Por exemplo, fornecedores remotos que realizam o desenvolvimento de aplicativos para uma ferramenta comercial interna tm acesso suficiente aos recursos da rede para colaborar efetivamente e conduzir o seu trabalho, porm contam com o mnimo de acesso necessrio. 4. 5. 6. 7. 8. H um inventrio minucioso e atualizado dos ativos de informtica (TI), como hardware, software e repositrios de dados. Controles apropriados foram implementados para proteger os dados de negcios contra o acesso no autorizado externo ou interno. Foram criados programas eficazes de conscientizao do usurio, como treinamentos e boletins informativos sobre diretivas e prticas de segurana. O acesso fsico rede de computadores e outros ativos de informtica restrito atravs do uso de controles eficazes. Novos sistemas de computador so configurados de acordo com padres de segurana corporativa, de forma consistente e usando ferramentas automticas, como a criao de imagem de disco ou scripts de implementao. 9. H um sistema eficaz de gerenciamento de patches capaz de distribuir automaticamente as atualizaes de software da maioria dos fornecedores a quase todos os computadores na organizao. 10. Uma equipe de resposta a incidentes foi criada e j desenvolveu e documentou processos eficazes para lidar e registrar incidente s de segurana. Todos os incidentes so investigados at que a sua principal causa seja identificada e todos os problemas sejam resolvidos. 11. A organizao apresenta um programa antivrus avanado que inclui diversas camadas de defesa, treinamento de co nscientizao do usurio e processos eficientes de resposta a uma epidemia de vrus. 12. Os processos de configurao do usurio so bem documentados e ao menos parcialmente automatizados, de modo que novos funcionrios, fornecedores e parceiros possam re ceber o nvel apropriado de acesso aos sistemas de informao da organizao de forma conveniente. Esses processos devem ser capazes tambm de desabilitar e excluir contas de usurios assim que elas no forem mais necessrias. 13. O acesso ao computador e rede controlado atravs da autenticao e autorizao de usurio, das listas de controle de acesso restrito aos dados e do monitoramento proativo quanto a violaes de diretivas. 14. 15. Os desenvolvedores de aplicativos so treinados e tm conscincia dos padres de segurana voltados criao de software e aos testes de qualidade do cdigo. Programas de continuidade dos negcios e a prpria continuidade dos negcios esto claramente definidos e bem documentados, sendo periodicamente testados atrav s de simulaes e treinamento. 16. 17. Os programas j esto em uso e se mostram eficazes ao assegurar que todos os funcionrios realizem seu trabalho em conformidade com as regulamentaes legais. Revises e auditorias so conduzidas por terceiros regularmente para verificar a conformidade com as prticas padro de segurana de ativos de negcios. Calcule a pontuao da sua organizao somando os pontos de todos os itens anteriores. Teoricamente, a pontuao varia de 0 a 85; contudo, poucas organizaes alcanaro esses valores extremos. Uma pontuao de 51 ou acima sugere que a organizao est bem preparada para a introduo e uso do processo completo de gerenciamento de riscos de segurana da Microsoft. Uma pontuao de 34 a
50 indica que a organizao j tomou medidas significativas para controlar os riscos de segurana e est pronta para a introduo gradual do processo. Organizaes nesse nvel devem considerar a implementao do processo em algumas unidades de negcios durante poucos meses antes de apresent-lo organizao inteira. Organizaes com pontuao inferior a 34 deveriam iniciar lentamente a implementao do processo de gerenciamento de riscos de segurana da Microsoft ao criar uma Equipe de gerenciamento de riscos de segurana e introduzir o processo em uma nica unidade de negcios durante os primeiros meses. Aps demonstrarem o valor do processo ao utiliz-lo com xito para reduzir os riscos naquela unidade de negcios, elas deveriam expandi-lo a duas ou trs unidades de negcios assim que possvel. essencial continuar essa implementao de forma lenta, uma vez que as mudanas introduzidas pelo processo podem ser dramticas. No convm causar mudanas na organizao de tal forma que interfiram em sua capacidade de conduzir suas ativ idades de negcios. Nesse cenrio, use o bom senso e o seu conhecimento prprio dos sistemas e lembre-se de que cada sistema que deixar desprotegido representar um risco de segurana potencial. Se concluir que essa uma necessidade urgente, no leve em conta a sugesto de implementar lentamente e aja rapidamente. Voc dever determinar cuidadosamente que unidade de negcios utilizar nos programas pilotos. Leve em conta questes como a importncia da segurana naquela unidade de negcios, definindo a segurana em termos de disponibilidade, integridade e confidencialidade de informaes e servios. Alguns exemplos seriam: O nvel de maturidade do gerenciamento de riscos de segurana daquela unidade de negcios est acima da mdia dentro da organizao? O proprietrio da empresa oferecer o seu apoio ao programa? A unidade comercial apresenta um alto nvel de visibilidade na organizao? Os benefcios do processo de gerenciamento de riscos de segurana da Microsoft sero comunicados ao resto da organizao caso esse processo obtenha xito?
Voc dever considerar essas mesmas questes ao selecionar unidades comerciais para a expanso do programa. Observao: O NIST (National Institute for Standards and Technology) norte-americano fornece outro exemplo (em ingls) de uma auto -avaliao de TI que poder ser til ao determinar o nvel de maturidade da organizao; consulte http://csrc.nist.gov/, publicao especial 800-26.
segurana ou o diretor de informtica. Ela representa tambm a autoridade mxima em determinar se um risco aceitvel aos negcios. Proprietrio da empresa responsvel pelos ativos tangveis e intangveis da empresa. Os proprietrios de empresa so responsveis tambm por priorizar os ativos de negcios e por definir os nveis de impacto a que esses ativos esto sujeitos. Em geral, eles devem definir os nveis de risco aceitveis; contudo, o Patrocinador executivo toma a deciso final, levando em conta as sugestes do Grupo de segurana de informaes. Grupo de segurana de informaes o responsvel geral pelo processo de gerenciamento de riscos, incluindo as fases de avaliao de riscos e da anlise de eficcia do programa . Alm disso, ele define os requisitos de segurana funcionais e avalia os controles de TI e a eficcia geral do programa de gerenciamento de riscos de segurana. Grupo de tecnologia da informao Ele inclui a arquitetura, engenharia e operaes de tecnologia da informao. Equipe de gerenciamento de riscos de segurana responsvel por conduzir todo o programa de gerenciamento de riscos. Alm disso, responsabiliza-se pelas fases de avaliao de riscos e de priorizao de riscos aos negcios. A equipe formada por, no mnimo, um facilitador e um secretrio. Facilitador de avaliao de riscos Funo lder na Equipe de gerenciamento de riscos de segurana, o facilitador conduz as discusses de coleta de dados. Essa funo pode representar tambm o princi pal lder do processo de gerenciamento de riscos. Secretrio de avaliao de riscos Registra em detalhes as informaes sobre riscos durante as discusses de coleta de dados. Proprietrios da atenuao responsvel pela implementao e manuteno das solues de controle para a reduo de riscos a um nvel aceitvel. Inclui o Grupo de TI e, em alguns casos, os Proprietrios de empresa. Comit de orientao de segurana Esse comit inclui a Equipe de gerenciamento de riscos de segurana, representantes do Grupo de TI e Proprietrios de empresa especficos. Em geral, ele liderado pelo Patrocinador executivo. responsvel pela seleo das estratgias de atenuao e definio do nvel de risco aceitvel aos negcios.
Interessado
Termo geral usado para de finir participantes diretos e indiretos em um determinado processo ou programa; amplamente usado no processo de gerenciamento de riscos de segurana da Microsoft. Entre os interessados podem estar grupos no relacionados tecnologia da informao, como financeiro, de relaes pblicas ou de recursos humanos.
A Equipe de gerenciamento de riscos de segurana encontrar participantes inexperientes quanto ao processo de gerenciamento de riscos que talvez no compreendam inteiramente suas funes. Aproveite a oportunidade para apresentar uma viso geral do processo e seus participantes. O objetivo atingir um consenso e destacar o fato de que todos os participantes so responsveis pelo gerenciamento de riscos. O diagrama a seguir mostra resumidamente os princ ipais interessados e o relacionamento que tm entre si, e pode ser til para apresentar as funes e responsabilidade descritas anteriormente e oferecer uma viso geral do programa de gerenciamento de riscos. Em suma, o Patrocinador executivo o principal responsvel pela definio de riscos aceitveis e deve orientar a Equipe de gerenciamento de riscos de segurana na classificao dos riscos aos negcios. A Equipe de gerenciamento de riscos de segurana responsvel pela avaliao de riscos e a definio de requisitos funcionais para atenuar os riscos e reduzi-los a um nvel aceitvel. Em seguida, a Equipe de gerenciamento de riscos de segurana colabora com os grupos de TI responsveis pela seleo, implementao e operaes de controles de atenuao. O relacionamento final definido abaixo envolve a funo de superviso da Equipe de gerenciamento de riscos de segurana da anlise de eficcia do controle. Geralmente, isso feito atravs de relatrios de auditoria, os quais so encaminhados ao Patrocinador executivo.
Figura 3.5 Viso geral das funes e responsabilidades no processo de gerenciamento de riscos de segurana da Microsoft Ver imagem em tamanho normal
Resumo
Os captulos 1 a 3 fornecem uma viso geral do gerenciamento de riscos e definem os objetivos e a
abordagem para a criao dos fundamentos de uma implementao bem-sucedida do processo de gerenciamento de riscos de segurana da Microsoft. O captulo subseqente aborda em detalhes a primeira fase, Avaliando os riscos. Os captulos seguintes descrevem as fases restantes do processo de gerenciamento de riscos: Oferecendo suporte s decises, Implementando controles e Analisando a eficcia do programa. Incio da pgina
4 de 12
Neste ar
Viso g Planejamento
Priorizao de risco
Resumo
Viso geral
O processo de gerenciamento de riscos compreende no total quatro fases principais: Avaliando os riscos, Oferecendo suporte s decises, Implementando controles e Analisando a eficcia do programa. O processo de gerenciamento de riscos de segurana mostra como um programa formal oferece uma trajetria consistente para a organizao de recursos limitados com o objetivo de reduzir os riscos dentro de uma organizao. Seus benefcios oferecem um ambiente de controle econmico capaz de conduzir e nivelar o risco at um nvel aceitvel. A fase de avaliao de riscos representa um processo formal de identificao e priorizao de riscos dentro da organizao. O processo de gerenciamento de riscos de segurana da Microsoft oferece um direcionamento detalhado sobre a realizao de avaliaes de risco e divide o processo da fase de avaliao de riscos nas trs etapas a seguir: 1. 2. 3. Planejamento construindo a base para uma avaliao de riscos bem sucedida. Coleta de dados facilitada coletando as informaes de risco atravs de discusses facilitadas sobre riscos. Priorizao de risco s classificao de riscos identificados atravs de um processo consistente e reproduzvel. O resultado da fase de avaliao de riscos uma lista priorizada de riscos que fornece os dados iniciais para a fase de suporte s decises, abordada em detalhes no captulo 5, "Oferecendo suporte s decises". O diagrama a seg uir apresenta uma reviso geral do processo de gerenciamento de riscos e mostra a funo da avaliao de riscos no programa como um todo. As trs etapas da fase de avaliao de riscos tambm esto destacadas.
Captulo riscos
Captulo suporte
Apndic riscos a
Apndic de siste
Apndic comuns
Apndic Vulnera
Agradec
Figura 4.1 O processo de gerenciamento de riscos de segurana da Microsoft Ver imagem em tamanho normal Esta seo oferece uma breve viso geral das trs etapas da fase de avaliao de riscos: planejamento, coleta de dados facilitada e priorizao de risco. As sees subseqentes contm tarefas especficas para oferecer uma avaliao de riscos real no seu ambiente.
Planejamento
Um planejamento adequado de avaliao de riscos fundamental para o sucesso de todo o programa de gerenciamento de riscos. A falha no alinhamento, na definio de escopo ou na obteno de aceita o da fase de avaliao de riscos reduz a eficcia das outras fases do programa completo. A realizao da avaliao de riscos pode ser um processo complicado que exige um investimento significativo para ser concludo. As tarefas e orientaes essenciais par a a etapa de planejamento so abordadas na prxima seo deste captulo.
A etapa de coleta de dados facilitada representa a maior parte da colaborao e interao entre os grupos durante a fase de avaliao de riscos. A terceira seo deste captulo trata das tarefas de coleta de dados e orientao em detalhes.
Priorizao de risco
Durante a etapa de coleta de dados facilitada, a Equipe de gerenciamento de riscos de segurana comea a organizar a quantidade enorme de informaes coletadas para priorizar riscos. A etapa de priorizao de risco a primeir a desta fase que envolve um elemento subjetivo. A priorizao tem natureza subjetiva, pois afinal envolve uma previso do futuro. Como o resultado da avaliao de riscos orienta os investimentos em TI, muito importante estabelecer um processo transparente com funes e responsabilidades bem definidas para obter a aceitao dos resultados e motivar a ao para a atenuao de riscos. O processo de gerenciamento de riscos de segurana da Microsoft oferece orientao para identificar e priorizar riscos de modo consistente e reproduzvel. Uma abordagem aberta e reproduzvel ajuda a Equipe de gerenciamento de riscos de segurana a alcanar um consenso rapidamente, minimizando os possveis atrasos devido natureza subjetiva da priorizao de risco. A quarta se o deste captulo trata das tarefas e orientaes de priorizao em detalhe.
etapas de planejamento, coleta de dados facilitada e priorizao de riscos da fase de avaliao de riscos.
Planejamento
A etapa de planejamento possivelmente a mais importante para garantir a aceitao e o suporte por parte dos interessados durante o processo de avaliao de riscos. A aceitao por parte dos interessados muito importante, pois a Equipe de gerenciamento de riscos de segurana exige a participao ativa de outros interessados. O suporte tambm muito importante, pois os resultados da avaliao podem influenciar as atividades oramentrias dos interessados se forem necessrios outros controles para reduo de risco. As principais tarefas na etapa de planejamento so alinhar de modo adequado a fase de avaliao de riscos aos processos comerciais, definir cuidadosamente o escopo da avaliao e obter a aceitao dos interessados. A prxima seo examina essas trs tarefas em mais detalhes e trata dos fatores de sucesso relacionados a essas tarefas.
Alinhamento
O melhor comear a fase de avaliao de riscos antes do processo oramentrio da sua organizao. O alinhamento facilita o suporte executivo e aumenta a visibilidade dentro da organizao e dos grupos de TI, ao mesmo tempo em que desenvolvem oramentos para o prximo ano fiscal. Um cronograma adequado tambm ajuda a obter um consenso durante a avaliao, pois permite que os interessados desempenhem funes ativas no processo de planejamento. O Grupo de segurana das informaes geralmente visto como uma equipe reativa que atrapalha as atividades da organizao e surpreende as unidades comerciais com novidades sobre falhas nos controles ou paralisaes no trabalho. Um cronograma sensato da avaliao importantssimo para obter suporte e ajudar a organizao a entender que a segurana responsabilidade de todos e parte integrante da organizao. Outro benefcio de realizar uma avaliao de riscos demonstrar que o Grupo de segurana das informaes pode ser visto como um parceiro proativo, em vez de um simples aplicador de diretivas durante as emergncias. Este guia oferece um exemplo de cronograma de projeto para ajudar no alinhamento do processo de avaliao de riscos da sua organizao. Obviamente, a Equipe de gerenciamento
de riscos de segurana no deve reter informaes de risco enquanto aguarda o ciclo oramentrio. O alinhamento do cronograma de avaliao simplesmente a melhor prtica descoberta durante as avaliaes da equipe de TI da Microsoft. Observao: o alinhamento adequado do processo de gerenciamento de riscos de segurana ao ciclo de planejamento oramentrio pode beneficiar tambm as atividades de auditoria internas e externas. Entretanto, a coordenao e a definio do escopo das atividades de auditoria esto fora do escopo deste guia.
Escopo
Durante as atividades de planejamento, articule com clareza o escopo da avaliao de riscos. Para gerenciar riscos de modo eficaz em toda a organizao, o escopo da avaliao de riscos deve documentar todas as funes da organizao includas na avaliao de riscos. Se o tamanho da sua organizao no permitir uma avaliao de riscos global, articule claramente que parte da organizao constar do escopo e defina quem sero os interessados associados. Conforme discutido no captulo 2, se a sua organizao nova no programa de gerenciamento de riscos, talvez seja uma boa idia iniciar a prtica do processo de avaliao de riscos por unidades comerciais bem definidas. Por exemplo, a seleo de um aplicativo de recursos humanos especfico ou servio de TI, como acesso remoto, pode ajudar a demonstrar a importncia do processo e ajudar a criar a motivao adequada para uma avaliao de riscos em toda a organizao. Observao: as organizaes geralmente no conseguem definir o escopo da avaliao de riscos com preciso. Defina com clareza as reas da organizao a serem avaliadas e obtenha aprovao executiva antes de prosseguir. O escopo deve ser discutido com freqncia e compreendido em todas as reunies de interessados durante o processo. Na etapa de planejamento tambm necessrio definir o escopo da avaliao de riscos. O setor de segurana das informaes usa o termo avaliao de vrias maneiras, o que pode confundir os interessados no tcnicos. Por exemplo, as avaliaes de vulnerabilidade so realizadas para identificar configuraes especificamente tecnolgicas ou falhas operacionais. O termo avalia o de conformidade pode ser usado para comunicar uma auditoria ou medidas de controles atuais contra uma diretiva formal. O processo de gerenciamento de riscos de segurana da Microsoft define a avaliao de riscos como o processo para identificar e priorizar os riscos de segurana de TI empresariais organizao. Voc pode ajustar esta definio conforme for apropriado para a sua organizao. Por exemplo, algumas equipes de gerenciamento de riscos de segurana podem incluir tambm funcionrios de segurana no escopo de sua avaliao de riscos.
Aceitao do interessado
A avaliao de riscos exige participao ativa do interessado. Como melhor prtica, trabalhe com os interessados de modo informal e desde o incio do processo, de forma a assegurar que entendam a importncia da avaliao, suas funes e o comprometimento de tempo necessrio. Qualquer Facilitador de avaliao de riscos experiente pode confirmar que existe uma diferena entre a aprovao do projeto pelo interessado e a aceitao do cronograma e da prioridade do projeto pelo interessado. A melhor prtica para obter o suporte do interessado vender antecipadamente o conceito e as atividades da avaliao de riscos. Vender antecipadamente pode significar uma reunio informal com os interessados antes que um comprometimento formal seja solicitado. Enfatize os motivos pelos quais uma avaliao proativa ajuda o interessado a longo prazo identificando os controles que podem evitar interrupes de eventos de segurana no futuro. Uma maneira eficaz de recordar aos interessados os possveis impactos que podem afetar a organizao consiste em mencionar os incidentes de segurana passados como exemplos na discusso. Observao: para ajudar os interessados a entender o processo, prepare um breve resumo comunicando a justificao e a importncia da avaliao. Compartilhe o resumo o mximo possvel. Voc saber se foi eficaz
quando ouvir os interessados descrevendo a avaliao um ao outro. O sumrio executivo deste guia oferece um bom incio para comunicar a importncia do processo de avaliao de riscos.
Adotando a subjetividade
Os Proprietrios da empresa algumas vezes ficam nervosos quando um grupo externo (neste caso, o Grupo de segurana das informaes) prev uma possibilidade de riscos de segurana que podem afetar as prioridades financeiras. Voc pode reduzir essa tenso natural estabelecendo expectativas sobre os objetivos do processo de avaliao de riscos e garantindo aos interessados que as funes e responsabilidades sero respeitadas durante todo o processo. Especificamente, o Grupo de segurana das informaes deve reconhecer que a definio do valor dos ativos comerciais cabe aos Proprietrios da empresa. Isso tambm significa que os interessados devem contar com a experincia do Grupo de segurana das informaes para estimar a probabilidade das ameaas afetarem a organizao. Prever o futuro naturalmente subjetivo. Os Proprietrios da empresa devem aceitar e apoiar o fato que o Grupo de segurana das informaes usar a sua experincia para estimar probabilidades de riscos. Esclarea esses relacionamentos logo no incio, apresentando as credenciais, experincia e objetivos em comum do Grupo de segurana das informaes e dos Proprietrios da empresa. Aps concluir a etapa de planejamento, articular as funes e responsabilidade s e definir as expectativas de modo adequado, voc est pronto para iniciar as etapas de trabalho de campo do processo de avaliao de riscos: a coleta de dados facilitada e a priorizao de risco. As prximas duas sees analisam em detalhes essas etapas antes de discutir a fase de suporte s decises no captulo 5. Incio da pgina
Obtendo suporte
Os Proprietrios da empresa possuem funes explcitas no processo de avaliao de riscos. So responsveis por identificar seus ativos organizacionais e estimar os custos dos possveis impactos a esses ativos. Formalizando essa responsabilidade, o Grupo de segurana das informaes e os Proprietrios da empresa compartilham igualmente o sucesso do gerenciamento de risco. A maioria dos profissionais de segurana das informaes e os interessados tcnicos e no tcnicos no percebem essa conexo automaticam ente. Assim como os especialistas em gerenciamento de risco, os profissionais de segurana das informaes precisam tomar a iniciativa para preencher as brechas de conhecimento durante as discusses sobre riscos. Conforme mencionado do captulo anterior, o envolvimento de um patrocinador executivo que compreenda a organizao facilita muito a criao deste relacionamento.
avaliao e aplicao cuidadosa dos padres permite que voc use o trabalho de outros profissionais e oferea uma maior credibilidade em relao aos interessados da organizao. Pode ser til mencionar diretamente os padres durante a discusso sobre riscos para garantir que a avaliao trate de todas as reas aplicveis de segurana das informaes.
Ativos
Os ativos comerciais podem ser tangveis ou intangveis. necessrio definir o tipo de ativo com a maior preciso possvel para que os Proprietrios da empresa possam articular o valor do ativo para a organizao. Ambas as categorias de ativos exigem que o interessado fornea estimativas em forma de perda monetria direta e impacto financeiro indireto. Os ativos tangveis incluem a infra -estrutura fsica, como centros de dados, servidores e propriedade. Os ativos intangveis incluem dados ou outras informaes digitais de valor para a organizao como, por exemplo, transaes bancrias, clculos de juros, alm de planos e especificaes de desenvolvimento de produto. Conforme apropriado para a sua organizao, uma terceira definio de ativo de servio de TI pode ser til. O servio de TI uma combinao de ativos tangveis e intangveis. Por exemplo, um servio de TI de email corporativo contm servidores fsicos e utiliza a rede fsica. Entretanto, o servio pode conter dados digitais confidenciais. Voc tambm deve incluir o servio de TI como um ativo, pois geralmente possui proprietrios diferentes para ativos de dados e fsicos. Por exemplo, o proprietrio do servio de email responsvel pela disponibilidade do acesso e do envio de emails. Entretanto, o servio de email pode no ser responsvel pela confidencialidade dos dados financeiros contidos em um email ou pelos controles fsicos que envolvem os
servidores de email. Outros exemplos de servios de TI incluem compartilhamento de arquivos, armazenamento, rede, acesso remoto e telefonia.
Classes de ativo
Os ativos dentro do escopo da avaliao devem ser atribudos a um grupo ou classe qualitativa. As classes facilitam a definio do impacto geral de riscos de segurana. Tambm ajudam a organizao a concentrar -se nos ativos mais importantes primeiro. Existem diferentes modelos de avaliao de riscos para definir as vrias classes de ativo. O processo de gerenciamento de riscos de segurana da Microsoft usa trs classes de ativo para ajudar a medir o valor do ativo para uma organizao. Por que apenas trs classes? Esses trs grupos permitem um distino adequada e reduzem o tempo gasto em debates para selecionar uma classe adequada. O processo de gerenciamento de riscos de segurana da Microsoft utiliza as trs classes de ativo qualitativas a seguir: impacto comercial alto (ICA), impacto comercial moderado (ICM) e impacto comercial baixo (ICB). Durante a etapa de priorizao de risco, o processo tambm oferece orientao para quantificar os ativos. Conforme apropriado para a sua organizao, voc pode escolher quantificar os ativos durante a discusso facilitada sobre riscos. Nesse caso, tome cuidado com o tempo necessrio para alcanar um consenso sobre a quantificao de valores monetrios durante a discusso sobre riscos. O processo recomenda aguardar at que todos os riscos tenham sido identificados e priorizados para reduzir o nmero de riscos que precisam de anlise mais detalhada. Observao: para obter informaes adicionais sobre a definio e a categorizao de informaes e sistemas de informaes, consulte os workshops 800-60 de publicao especial do National Institute of Standards and Technology (NIST), "Mapping Types of Information and Information Systems to Security Categories" e a publicao 199 do Federal Information Processing Standards (FIPS), "Security Categorization of Federal Information and Information Systems". Impacto comercial alto O impacto na confidencialidade, integridade ou disponibilidade desses ativos causa perdas graves ou catastrficas para a organizao. O impacto pode ser expresso em termos financeiros bsicos ou podem refletir a perda indireta ou o roubo de instrumentos financeiros, produtividade da organizao, danos reputao ou responsabilidades legais ou normativas significativas. A lista a seguir oferece alguns exem plos dentro da classe ICA: Credenciais de autenticao como senhas, chaves criptogrficas privadas e tokens de hardware. Material comercial altamente confidencial como dados financeiros e propriedade intelectual. Ativos sujeitos a exigncias no rmativas especficas como GLBA, HIPAA, CA SB1386 e a diretiva europia de proteo a dados. Informaes de identificao pessoal (IIP) qualquer informao que poderia permitir que um invasor identificasse seus clientes ou funcionrios ou tomasse conhecimento de suas caractersticas pessoais. Dados de autorizao de transao financeira como nmeros de carto de crdito e datas de validade. Perfis financeiros como relatrios de crdito do consumidor ou declaraes de imposto de renda pessoais. Perfis mdicos como nmeros de registro mdico ou identificadores biomtricos.
Para proteger a confidencialidade dos ativos dessa classe, seu acesso restringe -se ao uso estritamente organizacional conforme necessidade de uso. O nmero de pessoas com acesso a esses dados deve ser explicitamente gerenciado pelo proprietrio do ativo. Igual tratamento deve ser dado integridade e disponibilidade dos ativos dessa classe.
Impacto comercial moderado O impacto na confidencialidade, integridade ou disponibilidade desses ativos causa perdas moderadas organizao. A perda moderada no constitui um impacto grave ou catastrfico, mas interrompe as funes organizacionais normais de uma forma que so necessrios controles proativos para minimizar o impacto aos ativos dessa classe. O impacto moderado pode ser expresso em termos financeiros bsicos ou podem incluir perda indireta ou o roubo de instrumentos financeiros, produtividade comercial, danos reputao ou responsabilidades legais ou normativas significativas. Esses ativos so destinados ao uso de grupos especficos de funcionrios ou pessoal externo aprovado com uma necessidade comercial legtima. A seguir encontram -se exemplos da classe ICM: Informaes comerciais internas diretrios de funcionrios, dados de ordens de compra, projetos de infra-estrutura de rede, informaes em sites internos e dados em compartilhamento de arquivos internos para uso comercial estritamente interno. Impacto comercial baixo Os ativos que no se enquadram nas classes ICA ou ICM, so classificados como ICB e no possuem requisitos formais de proteo ou controles adicionais alm das melhores prticas padro para segurana de infraestrutura. Esses ativos geralmente so destinados a informaes de publicao ampla, cuja divulgao no autorizada no resultaria em grandes perdas financeiras, problemas legais ou normativos, interrupes operacionais ou desvantagens comerciais com a concorrncia. Alguns exemplos de ativos ICB incluem, sem limitao: Estrutura organizacional de alto nvel. Informaes bsicas sobre a plataforma operacional de TI. Acesso de leitura a pginas de acesso pblico. Chaves criptogrficas pblicas. Comunicados imprensa publicados, folhetos de produtos, white papers e documentos includos com produtos lanados. Informaes comerciais obsoletas ou ativos tangveis.
Para o profissional de segurana das informaes, essas perguntas so traduzidas em terminologia especfica de avaliao de riscos e categorias usadas para priorizar riscos. Entretanto, o interessado pode no estar familiarizado com esses termos e no responsvel pela priorizao de risco. A experincia mostra que evitando a terminologia especfica de segurana das informaes, como ameaas, vulnerabilidades e contramedidas, melhora a qualidade da discusso e ajuda a no intimidar os participantes no tcnicos. Outro benefcio de usar termos funcionais na discusso sobre riscos reduzir a possibilidade de outros tecnlogos debaterem as sutilezas de determinados termos. Nesse estgio do processo, muito mais importante entender as maiores reas de risco do que debater definies concorrentes de ameaa e vulnerabilidade. O Facilitador de avaliao de riscos deve esperar at o final da discusso para solucionar questes sobre definies e terminologia de risco.
Figura 4.2 Modelo de defesa em profundidade Outra ferramenta impo rtante para complementar o modelo de defesa em profundidade a referncia ao padro ISO 17799 para organizar as perguntas e respostas relacionadas a risco. Mencionar um padro abrangente como o ISO 17799 tambm ajuda a facilitar a discusso sobre riscos que envolvem outras reas como, por exemplo, jurdica, de diretivas, de processos, de pessoal e de desenvolvimento de aplicativos.
ajudar a iniciar a discusso. Esta uma rea em que a pesquisa anterior muito vlida para ajudar os Proprietrios da empresa a descobrir e entender os riscos em seus prprios ambientes. Como referncia, o ISO 17799 define as ameaas como a causa de possvel impacto organizao. O NIST define ameaa como um evento ou entidade com potencial para prejudicar o sistema. O impacto resultante de uma ameaa geralmente definido atravs de conceitos como confidencialidade, integridade e disponibilidade. Usar os padres do setor como referncia especialmente til na pesquisa sobre ameaas e vulnerabilidades. Para facilitar a discusso sobre riscos, pode ser til traduzir as ameaas e vulnerabilidades em termos familiares aos interessados no tcnicos. Por exemplo, o que voc est tentando evitar, ou o que voc teme que acontea ao ativo? A maior parte dos impactos aos negcios pode ser categorizada em termos de confidencialidade do ativo, integridade ou disponibilidade do ativo na realizao de negcios. Tente usar essa abordagem caso os interessados apresentem dificuldades em entender o significado das ameaas aos ativos organizacionais. Um exemplo comum de ameaa organizao uma violao de integridade de dados financeiros. Aps articular o que est tentando evitar, a prxima tarefa determinar como as ameaas podem ocorrer na sua organizao. A vulnerabilidade a fraqueza de um ativo ou grupo de ativos que uma ameaa pode explorar. Simplificando, as vulnerabilidades oferecem o mecanismo ou o modo como as ameaas podem ocorrer. Como referncia adicional, o NIST define vulnerabilidade como uma condio ou fraqueza (ou ausncia de) de procedimentos de segurana, controles tcnicos, controles fsicos ou outros controles que podem ser explorados por uma ameaa. Como exemplo, uma vulnerabilidade comum para hosts a ausncia de atualizaes de segurana. A incorporao de exemplos de ameaas e vulnerabilidades apresentadas produzem a seguinte declarao: "Hosts sem patches podem levar violao da integridade das informaes financeiras existentes nesses hosts". Uma armadilha comum na realizao da avaliao de riscos concentrar -se nas vulnerabilidades tecnolgicas. A experincia mostra que as vulnerabilidades mais significativas ocorrem geralmente devido falta de um processo de finido ou responsabilidade inadequada pelas informaes de segurana. No menospreze os aspectos organizacionais e de liderana da segurana durante o processo de coleta de dados. Por exemplo, aumentando a vulnerabilidade de atualizao de segurana acima, a incapacidade de aplicar atualizaes em sistemas gerenciados pode levar a uma violao da integridade das informaes financeiras contidas nesses sistemas. A clareza na responsabilidade e na aplicao das diretivas de segurana das informaes geralmente uma questo organizacional em muitas empresas. Observao: durante todo o processo de coleta de dados, voc deve reconhecer os grupos comuns de ameaas e vulnerabilidades. Acompanhe esses grupos para determinar se os controles semelhantes podem reduzir a probabilidade de mltiplos riscos.
Para cada categoria, auxilie os interessados nas estimativas para os trs grupos a seguir: Exposio alta perda grave ou total do ativo Exposio moderada perda limitada ou moderada Exposio baixa perda mnima ou inexistente
A seo de priorizao deste captulo oferece orientao sobre como detalhar as categorias de exposio acima. Assim como na tarefa de quantificao dos ativos, o processo de gerenciamento de riscos de segurana da Microsoft recomenda aguardar a etapa de priorizao de risco para definir mais a fundo os nveis de exposio. Observao: se os interessados apresentarem dificuldades em selecionar os nveis de exposio durante as discusses facilitadas, estenda-se um pouco mais nos detalhes sobre ameaa e vulnerabilidade para ajudar a comunicar de maneira mais clara o nvel de dano ou perda em potencial ao ativo. Outr a ferramenta til so os exemplos pblicos de violaes de segurana. Caso precise de uma ajuda extra, apresente os nveis mais detalhados de exposio, conforme descrito na seo de priorizao mais adiante neste captulo.
Isso geralmente inclui a reviso de incidentes que ocorreram recentemente. Conforme apropriado, discuta -os a fim de ajudar os interessados a compreender a importncia da segurana e do processo geral de gerenciamento de riscos. O processo de gerenciamento de riscos de segurana da Microsoft associa o perodo de um ano categoria de alta probabilidade, pois os controles de segurana das informaes geralmente precisam de um longo perodo para serem implantados. A seleo de uma probabilidade dentro de um ano chama a ateno para o risco e encoraja a tomada de uma deciso de atenuao dentro do prximo ciclo oramentrio. Uma probabilidade alta, em combinao com um impacto alto, fora uma discusso sobre riscos entre os interessados e a Equipe de gerenciamento de riscos de segurana. O Grupo de segurana das informaes deve estar ciente desta respon sabilidade quando estimar a probabilidade de impactos. A prxima tarefa coletar as opinies dos interessados sobre os possveis controles que possam reduzir a probabilidade dos impactos identificados. Trate essa discusso como um debate informal e no critique ou
descarte nenhuma idia. Mais uma vez, o objetivo principal da discusso apresentar todos os componentes do risco para facilitar a compreenso. A seleo da atenuao de fato ocorre na fase de suporte s decises. Para cada controle possvel identificado, consulte novamente a discusso sobre probabilidade para estimar o nvel de reduo de ocorrncia usando as mesmas categorias qualitativas descritas anteriormente. Enfatize aos interessados o fato de que o conceito de reduo de probabilidade de risco a principal varivel para o gerenciamento do risco at um nvel aceitvel.
Facilitando discusses
A discusso facilitada deve ter um tom informal. Entretanto, o Facilitador de avaliao de riscos deve manter a discusso em andamento para abordar todos os pontos relevantes. A experincia mostra que a discusso geralmente desvia -se da pauta. As armadilhas mais comuns so quando os interessados iniciam discusses tcnicas sobre novas vulnerabilidades ou possuem solues de controle preconcebidas. O Facilitador de avaliao de riscos deve usar a pesquisa pr-reunio e sua prpria experincia para criar um resumo da
discusso tcnica e manter o ritmo da reunio. Com a d evida preparao, uma reunio com quatro a seis interessados deve durar cerca de 60 minutos. Dedique alguns minutos iniciais para apresentar a pauta e destacar as funes e responsabilidades dentro do programa de gerenciamento de riscos. Os interessados devem entender com clareza suas funes e as contribuies esperadas. Outra melhor prtica consiste em fornecer a todos os interessados uma planilha de exemplo de discusso sobre riscos para anotaes pessoais. Isso tambm oferece uma referncia a ser usada enquanto o Facilitador de avaliao de riscos conduz a discusso sobre riscos. Outra melhor prtica consiste em chegar mais cedo e traar um esboo de modelo de risco no quadro de apresentao para anotar os dados durante a reunio. Para uma reunio de 60 minutos, o cronograma da reunio deve ser semelhante ao apresentado abaixo: Apresentaes e viso geral de gerenciamento de riscos 5 minutos Funes e responsabilidades 5 minutos Discusso sobre riscos 50 minutos
A discusso sobre riscos d ividida na seguintes sees: Determinando os ativos e cenrios organizacionais Identificando as ameaas Identificando as vulnerabilidades Estimando a exposio de ativos Estimando a probabilidade de ameaas Discusses sobre os control es propostos Resumo da reunio e prximas etapas
O fluxo real da reunio varia conforme o grupo de participantes, o nmero de riscos discutidos e a experincia do Facilitador de avaliao de riscos. Use esse exemplo como orientao em termos de tempo relativo necessrio para cada tarefa de avaliao. Alm disso, considere enviar o modelo de coleta de dados aos interessados antes da reunio se esses possurem experincia anterior com o processo de avaliao de riscos. Observao: as demais sees deste captulo incluem informaes de exemplo para ajudar a demonstrar o uso das ferramentas mencionadas na fase de avaliao de riscos. A empresa do exemplo fictcia e o contedo de risco mencionado representa apenas uma frao dos dados necessrios para uma avaliao de riscos completa. O objetivo do exemplo simplesmente demonstrar como as informaes podem ser coletadas e analisadas atravs das ferramentas fornecidas com este guia. Uma demonstrao completa de todos os aspectos do processo de gerenciament o de riscos de segurana da Microsoft produz uma quantidade significativa de dados e est fora do escopo deste guia. A empresa fictcia um banco de varejo chamado Woodgrove Bank. Os contedos relacionados ao exemplo podem ser identificados pela ttulo "Exemplo do Woodgrove" que precede cada tpico de exemplo.
aguarde as discusses sobre ameaas e vulnerabilidades. A experincia mostra que os interessados classificam os ativos com maior facilidade se entendem as ameaas potenciais ao ativo e ao negcio como um todo. A discusso sobre ativos organizacionais pode ser limitada a algumas perguntas simples. Por exemplo, o ativo importante para o sucesso da empresa? o ativo pode causar um grande impacto linha de base da organizao? Se a resposta for sim, o ativo possui potencial para causar um alto impacto organizao.
Figura 4.3 Instantneo do modelo de coleta de dados (FerramentaGGRS1) Ver imagem em tamanho normal Exemplo do Woodgrove: o Woodgrove Bank possui muitos ativos de alto valor, entre sistemas de clculo de juros e IIP de clientes a dados financeiros de clientes e a sua prpria reputao como instituio confivel. Este exemplo concentra-se em um desses ativos os dados financeiros de clientes a fim de demonstrar o uso das ferramentas que acompanham este guia. Aps discutir a propriedade do ativo na reunio para discusso sobre riscos, a Equipe de gerenciamento de riscos de segurana identificou o Vice-presidente de assistncia ao consumidor como proprietrio do ativo. Se for identificado um risco controverso ou uma estratgia de atenuao dispendiosa, esse Proprietrio da empresa ser o principal interessado na deciso sobre o risco aceitvel para o Woodgrove Bank. Ao conversar com representantes do departamento de Assistncia ao consumidor, a Equipe de gerenciamento de riscos de segurana confirmou que os dados financeiros de clientes constituem um ativo de alto valor comercial.
segurana. Exemplo do Woodgrove: considerando a ameaa de perda de integridade dos dados financeiros de clientes, a Equipe de gerenciamento de riscos de segurana concentrou as informaes coletadas durante a discusso sobre riscos nas trs vulnerabilidades a seguir: 1. 2. 3. Roubo de credenciais de supervisor financeiro por abuso de funcionrio confivel atravs de ataques no tcnicos, como engenharia social ou bisbilhotagem. Roubo de credenciais de supervisor financeiro de hosts de rede local (LAN) atravs de configuraes de segurana desatualizadas. Roubo de credenciais de supervisor financeiro de hosts remotos ou mveis como re sultado de uma configurao de segurana desatualizada. Observe que podem existir vrias outras vulnerabilidades neste cenrio. O objetivo demonstrar como as vulnerabilidades so designadas a determinadas ameaas. Observe tambm que os interessados podem no articular as vulnerabilidades em termos tcnicos. A Equipe de gerenciamento de riscos de segurana deve aprimorar as declaraes de ameaa e vulnerabilidade conforme necessrio.
sobre a probabilidade de um host ser comprometido em vez de outro. Entretanto, eles concordam que seus hosts remotos ou mveis no recebem o mesmo nvel de gerenciamento que os na LAN. realizada uma discusso para solicitar aos supervisores financeiros que revejam periodicamente seus relatrios de atividade em busca de comportamento no autorizado. Esse feedback coletado e ser considerado pela Equipe de gerenciamento de riscos de segurana durante a fase de suporte s decises.
Figura 4.4 Planilha de nvel de risco resumido: colunas Ativo e Exposio (FerramentaGGRS2) Ver imagem em tamanho normal
Exemplo do Woodgrove: o exemplo de informaes coletadas durante a discusso sobre riscos pode ser organizado desenvolvendo-se declaraes de impacto. A Equipe de gerenciamento de riscos de segurana pode documentar as declaraes de impacto em formato de frases como, por exemplo, "A integridade dos dados confidenciais de clientes pode ser comprometida atravs de roubo de credenciais de hosts gerenciados remotamente". Embora essa abordagem seja precisa, a composio de frases no se aplica a uma grande quantidade de riscos em razo das inconsistncias na escrita, entendimento e dados mal organizados (classificao ou consulta de riscos). Uma abordagem mais eficiente preencher os dados de impacto na tabela Nvel resumido, conforme mostrado abaixo.
Figura 4.5 Exemplo do Woodgrove: Informaes coletadas durante o processo de coleta de dados (FerramentaGGRS2) Ver imagem em tamanho normal Observao: a prxima seo, intitulada "Priorizao de risco", oferece orientao adicional sobre como selecionar e documentar a classificao de impacto usada no processo de risco de nvel resumido.
gerenciamento de riscos de segurana combina as declaraes de impacto com as suas estimativas de probabilidade de ocorrncia. O resultado uma lista abrangente de riscos priorizados, concluindo assim a fase de avaliao de riscos. Ao analisar riscos, identifique os riscos que dependem de outro para ocorrer. Por exemplo, se um ativo de impacto comercial baixo receber um aumento de privilgios, um ativo de impacto comercial alto pode ser exposto como conseqncia. Esse um exerccio vlido, entretanto, as dependncias de risco podem ser dados extremamente complexos de coletar, acompanhar e gerenciar. O processo de gerenciamento de riscos de segurana da Microsoft recomenda destacar as dependncias conforme seja vivel, mas geralmente gerenciar todas as dependncias de risco no muito eficaz em termos econmicos. O objetivo geral identificar e gerenciar os riscos de maior prioridade para a empresa. Incio da pgina
Priorizao de risco
Conforme discutido na seo anterior, a etapa de coleta de dados facilitada define as tarefas para produzir uma lista de declaraes de impacto para identificar ativos organizacionais e seus possveis impactos. Esta se o aborda a prxima etapa na fase de avaliao de riscos: priorizao de risco. O processo de priorizao adiciona o elemento de probabilidade declarao de impacto. Lembre -se de que uma declarao de riscos bem estruturada precisa tanto do impacto organizao como da probabilidade desse impacto ocorrer. O processo de priorizao pode ser caracterizado como a ltima etapa na "definio de quais so os riscos mais importantes para a organizao". Seu resultado final uma lista priorizada de riscos que ser usada como dado inicial no processo de suporte s decises discutido no captulo 5, "Oferecendo suporte s decises". O Grupo de segurana das informaes o nico proprietrio do processo de priorizao. A equipe pode consultar os interessados tcnicos e no tcnicos, mas sua responsabilidade determinar a probabilidade de impacto potencial organizao. Ao aplicar o processo de gerenciamento de riscos de segurana da Microsoft, o nvel de probabilidade tem capacidade de aumentar a conscincia sobre riscos nos mais altos escales da organizao, ou pode reduzir tanto essa conscincia que o risco pode ser aceito sem maiores discusses. Para estimar a probabilidade de risco, a Equipe de gerenciamento de riscos de segurana precisa investir tempo para avaliar completamente cada prioridade de combinao de ameaa e vulnerabilidade. Cada combinao avaliada em relao aos controles atuais para considerar a eficcia desses controles que influenciam na probabilidade de impacto organizao. Esse processo pode ser avassalador para organizaes de grande porte e pode contestar a deciso inicial de investir em um programa formal de gerenciamento de riscos. Para reduzir a quantidade de tempo investida na priorizao de riscos, voc pode considerar dividir o processo em duas tarefas: um processo de nvel resumido e um processo de nvel detalhado. O processo de nvel resumido produz rapidamente uma lista de riscos priorizados, similar aos procedimentos de triagem realizados nas salas de emergncia dos hospitais para garantir atendimento prioritrio aos pacientes com maior necessidade. Entretanto, a desvantagem que produz uma lista contendo apenas comparaes de alto nvel entre os riscos. Uma longa lista de riscos de nvel resumido na qual cada risco categorizado como alto no fornece orientao suficiente Equipe de gerenciamento de riscos de segurana nem permite que a equipe priorize estratgias de atenuao. No entanto, permite que as equipes selecionem rapidamente os riscos para separ-los entre altos e moderados. Desta forma, a Equipe de gerenciamento de riscos de segurana pode concentrar seus esforos apenas nos riscos considerados mais importantes. O processo de nvel detalhado produz uma lista mais detalhada, distinguindo com maior facilidade um risc o do outro. A viso de risco detalhado permite a classificao de riscos em pilhas, alm de incluir uma viso mais detalhada do impacto financeiro potencial do risco. Esse elemento quantitativo facilita as discusses sobre o custo dos controles no processo de suporte s decises, abordado em mais detalhes no prximo captulo.
Algumas organizaes podem simplesmente decidir por no produzir uma lista de risco de nvel resumido. primeira vista pode parecer que essa estratgia economizaria tempo, mas na verdade esse no o caso. A minimizao do nmero de riscos na lista de nvel detalhado no final das contas torna o processo de avaliao de riscos mais eficiente. O objetivo principal do processo de gerenciamento de riscos de segurana da Microsoft simplificar o processo de avaliao de riscos, estabelecendo um equilbrio entre a granularidade adicionada para anlise de risco e a quantidade de esforo necessria para calcular o risco. Ao mesmo tempo, esfora -se em promover e preservar a clareza em relao lgica envolvida, de forma que os interessados entendam claramente os riscos organizao. Alguns riscos podem possuir a mesma classificao tanto na lista resumida como na lista detalhada, entretanto, as classificaes ainda fornecem detalhes suficien tes para determinar se o risco importante para a organizao e se deve ser encaminhado ao processo de suporte s decises. Observao: o objetivo final da fase de avaliao de riscos definir quais so os riscos mais importantes para a organizao. O objetivo da fase de suporte s decises determinar de que modo eles devem ser abordados. As equipes geralmente ficam presas nesse estgio enquanto os interessados debatem a importncia de vrios riscos. Para minimizar possveis atrasos, aplique as seguintes tarefas, conforme apropriado para a sua organizao: 1. 2. 3. Defina, em termos no tcnicos, os nveis de risco alto e mdio para a sua organizao antes de iniciar o processo de priorizao. Concentre sua ateno nos riscos que esto na fronteira entre mdio e alto. Evite discutir como abordar os riscos antes de decidir se o risco importante. Tome cuidado com os interessados que possam ter em mente solues preconcebidas e esto buscando nas descobertas sobre riscos justificativas para o seu projeto. O restante desta seo discute os fatores de sucesso e as tarefas para a criao de classificaes de risco de nvel resumido e detalhado. As tarefas a seguir e a figura 4.6 abaixo fornecem uma viso geral da seo e os produtos principais do processo de priorizao de risco.
Tarefa 1 crie a lista de nvel resumido usando categorias amplas para estimar a probabilidade de impacto organizao. Resultado lista de nvel resumido para identificar rapidamente os riscos de prioridade para a organizao.
Tarefa 2 reveja a lista de nvel resumido com os interessados para iniciar a criar um consenso sobre os riscos de prioridade e para selecionar os riscos para a lista de nvel detalhado. Tarefa 3 crie a lista de nvel detalhado examinando os atributos detalhados do risco no atual ambiente comercial. Isso inclui orientao para determinar uma estimativa quantitativa para cada risco. Resultado lista de nvel detalhado oferecendo uma viso de perto dos principais riscos organizao.
Figura 4.6 Tarefas de priorizao de risco Ver imagem em tamanho normal Observao: o resultado do risco de nvel detalhado ser revisado com os interessados no processo de suporte s decises discutido no captulo 5.
Comunique o risco em termos comerciais. Evite a tendncia de usar linguagem relacionada a medo ou jargo tcnico na anlise de prioriza o. A Equipe de gerenciamento de riscos de segurana deve comunicar o risco de forma que a organizao compreenda, ao mesmo tempo em que deve resistir a qualquer tentao de exagerar no grau de perigo. Reconcilie os riscos novos com os antigos. Ao cria r a lista de nvel resumido, inclua os riscos das avaliaes anteriores. Isso permite que a Equipe de gerenciamento de riscos de segurana acompanhe os riscos em vrias avaliaes e oferece a oportunidade de atualizar os elementos de risco anteriores, conforme necessrio. Por exemplo, se um risco anterior no foi atenuado em razo dos altos custos de atenuao, reavalie a probabilidade de ocorrncia do risco e reveja e reconsidere quaisquer alteraes em relao aos custos ou soluo de atenuao.
Tarefa 1: determine o nvel do impacto As informaes de classe de ativo e exposio de ativo coletadas no processo de coleta de dados deve ser resumida em um nico valor para determinar o impacto. Lembre-se de que impacto a combinao da classe do ativo com a extenso de exposio ao ativo. Use a figura a seguir para selecionar o nvel de impacto para cada declarao de impacto.
Figura 4.7 Planilha de anlise de risco: Classe de ativo e Nvel de exposio (FerramentaGGRS2) Ver imagem em tamanho normal Exemplo do Woodgrove: lembre-se de que o exemplo do Woodgrove possui trs declaraes de impacto. A lista a seguir resume essas declaraes combinando a classe de ativo com o nvel de exposio: 1. Impacto de roubo por funcionrio confivel: classe de ativo ICA e Exposio baixa. Usando a figura acima, obtemos um impacto moderado.
2. 3.
Impacto de comprometimento de host de LAN: classe de ativo ICA e exposio alta levam a um impacto alto. Impacto de comprometimento de host remoto: classe de ativo ICA e exposio alta levam a um impacto alto.
Tarefa 2: estimar a probabilidade de nvel resumido Use as mesmas categorias de probabilidade discutidas no processo de coleta de dados. As categorias de probabilidade esto includas abaixo para referncia: Alta muito provvel, um ou mais impactos previstos em um ano Mdia provvel, impacto previsto ao menos uma vez em dois ou trs anos Baixa improvvel, impacto no previsto em trs anos
Exemplo do Woodgrove: a priorizao de risco de nvel resumido a primeira documentao formal da estimativa da Equipe de gerenciamento de riscos de segurana sobre a probabilidade de risco. A Equipe de gerenciamento de riscos de segurana deve estar preparada para fornecer evidncias ou relatos justificando estimativas como, por exemplo, narrando incidentes passados ou mencionando a eficcia do controle atual. A lista a seguir resume os nveis de probabilidade para o exemplo do Woodgrove: 1. Probabilidade de roubo por funcionrio confivel: Baixa. O Woodgrove National Bank orgulha-se de contratar funcionrios confiveis. A gerncia garante essa confiana atravs de anlises de histrico profissional e pessoal e realiza auditorias aleatrias sobre as atividades dos supervisores financeiros. No houve nenhum caso de abuso por parte de funcionrios at o momento. 2. Probabilidade de comprometimento de host de LAN: Mdia. O departamento de TI formalizou seu processo de patch e configurao na LAN em conseqncia das inconsistncias nos anos anteriores. Devido natureza descentralizada do banco, os sistemas foram identificados nessa ocasio como sem conformidade; entretanto, no foram relatados incidentes nos ltimos meses. 3. Probabilidade de comprometimento de host remoto: Alta. Os hosts remotos geralmente permanecem sem conformidade por um longo perodo de tempo. Os incide ntes recentes relacionados a infeces por vrus e worms nos hosts remotos foram identificados. Tarefa 3: complete a lista de risco de nvel resumido Aps a Equipe de gerenciamento de riscos de segurana estimar a probabilidade, use a figura a seguir para selecionar a classificao de risco de nvel resumido.
Figura 4.8 Planilha de anlise de risco: Impacto e Probabilidade (FerramentaGGRS2) Ver imagem em tamanho normal Observao: conforme apropriado para a sua organizao, o nvel de risco de um impacto mdio combinado com uma probabilidade mdia pode ser definido como um risco alto. A definio dos nveis de risco independentemente do processo de avaliao de riscos oferece a orientao necessria para tomar essa deciso. Lembre-se de que o GGRS uma ferramenta para facilitar o desenvolvimento de um programa de gerenciamento de riscos abrangente e consistente. Cada organizao deve definir o significado de risco para a sua prpria empresa. Exemplo do Woodgrove: combinando os resultados das classificaes de impacto e de proba bilidade nas
seguintes classificaes de risco: 1. 2. 3. Risco de roubo por funcionrio confivel: baixo (impacto mdio, probabilidade baixa) Risco de comprometimento de host de LAN: alto (impacto alto, probabilidade mdia) Comprometimento de host remoto : alto (impacto alto, probabilidade alta)
Para revisar, a figura a seguir representa todas as colunas na lista de nvel resumido, que tambm est includa em FerramentaGGRS2-Nvel de risco resumido.xls
Figura 4.9 Planilha de anlise de risco: Lista de nvel resumido (FerramentaGGRS2) Ver imagem em tamanho normal Conforme apropriado para a sua organizao, adicione colunas extras para incluir informaes adicionais como, por exemplo, uma coluna "Data da identificao" para distinguir os riscos identificados nas avaliaes anteriores. Voc tambm pode adicionar colunas para atualizar as descries de risco ou destacar quaisquer alteraes ao risco desde a ltima avaliao. Voc deve personalizar o processo de gerenciamento de riscos de segurana da Microsoft, incluindo as ferrame ntas, para atender s suas necessidades individuais. Exemplo do Woodgrove: a figura a seguir completa o exemplo da lista de risco de nvel resumido do Woodgrove Bank. Observe que as colunas de "Probabilidade" e "Nvel de risco resumido" foram adicionadas s informaes da declarao de impacto para completar os elementos de uma declarao de riscos bem estruturada.
Figura 4.10 Exemplo de lista de risco de nvel resumido do Woodgrove Bank (FerramentaGGRS2) Ver imagem em tamanho normal Analisando com os interessados A prxima tarefa no processo de priorizao analisar os resultados resumidos com os interessados. Os objetivos so atualizar os interessados sobre o processo de avaliao de riscos e solicitar seus dados para ajudar a selecionar os riscos que devem ser analisados em um nvel mais detalhado. Use os critrios a seguir ao selecionar os riscos a serem includos no processo de priorizao de nvel detalhado: Riscos de nvel alto cada risco classificado como alto deve ser includo na lista detalhada. Cada risco alto deve ter uma resoluo aps o processo de suporte s decises como, por exemplo, aceitar o risco ou desenvolver uma soluo de atenuao. Riscos na linha divisria crie uma anlise de priorizao detalhada para os riscos moderados que exigem uma resoluo. Em algumas organizaes, possvel que todos os riscos moderados sejam includos na lista detalhada. Riscos controversos se um risco for novo, no compreendido ou visto de modo diverso pelos interessados, crie uma anlise detalhada para ajudar os interessados a compreend-lo melhor.
Exemplo do Woodgrove: observe que o risco de "roubo por funcionrio confivel" est classificado como Baixo na lista de risco de nvel resumido. Nesse estgio do processo de priorizao, esse risco j bem compreendido pelos interessados. No exemplo do Woodgrove, esse risco serve como exemplo de um risco que no precisa ser qualificado para a etapa de priorizao de risco de nvel detalhado. Para o restante do exemplo do Woodgrove, apenas os riscos de comprometimento de host de LAN e remoto sero priorizados.
vezes basta somente comunicar um risco bem documentado aos interessados para desencadear uma ao. Para organizaes sem um programa formal de gerenciamento de riscos, o processo de gerenciamento de riscos de segurana da Microsoft pode ser uma experincia reveladora. Observao: se um risco for bem compreendido por todos os interessados, o detalhame nto de nvel resumido pode ser suficiente para determinar a soluo de atenuao apropriada. A lista de risco detalhado refora muitos dos dados iniciais usados na lista de nvel resumido; entretanto, a viso detalhada exige que a Equipe de gerenciamento de riscos de segurana seja mais especfica nas suas descries de impacto e probabilidade. Para cada risco de nvel resumido, verifique se cada combinao de ameaa e vulnerabilidade nica para todos os riscos. Muitas vezes os riscos de nvel resumido podem no ser descritos com detalhes o suficiente para serem associados com controles especficos no ambiente. Se isso acontecer, pode no ser possvel estimar com preciso a probabilidade de ocorrncia. Por exemplo, voc pode aprimorar a descrio da ameaa na declarao de risco de nvel resumido a seguir para descrever dois riscos distintos: Declarao de risco de nvel resumido: Dentro de um ano, os servidores de grande importncia podem sofrer impacto moderado a partir de um worm em conseqncia de configuraes sem patches. Declarao de nvel detalhado 1: Dentro de um ano, os servidores de grande importncia podem ficar indisponveis por trs dias em conseqncia da propagao de worms causada por configuraes sem patches. Declarao de nvel detalhado 2: Dentro de um ano, os servidores de grande importncia podem ser comprometidos, afetando a integridade de dados em conseqncia da propagao de worms causada por configuraes sem patches. Observao: como melhor prtica, familiarize-se com a anlise de risco detalhado antes do processo de coleta de dados. Isso ajuda a Equipe de gerenciamento de riscos de segurana a fazer perguntas especficas durante as discusses iniciais para coleta de dados com os interessados e minimiza a necessidade de reunies de acompanhamento. A lista de risco de nvel detalhado tambm exige declaraes especficas sobre a eficcia do ambiente de controle atual. Aps a Equipe de gerenciamento de riscos de segurana ter compreendido detalhadamente as ameaas e vulnerabilidades que afetam a organizao, o momento de compreender os detalhes dos controles atuais. O ambiente de controle atual determina a probabilidade dos riscos potenciais organizao. Se o ambiente de controle for suficiente, ento a probabilidade de um risco organizao baixa. Se o ambiente de controle no for suficiente, ser necessrio definir uma estratgia de risco por exemplo, aceitar o risco ou desenvolver uma soluo de atenuao. Como uma melhor prtica, os riscos devem ser acompanhados independentemente do nvel de risco final. Por exemplo, se o risco for considerado aceitvel, guarde essa informao para as avaliaes futuras. O ltimo elemento da lista de risco de nvel detalhado uma estimativa de cada risco em termos quantificveis, monetrios. A seleo de um valor monetrio para o risco no ser necessria at que seja iniciado o trabalho na lista de nvel detalhado, em virtude do tempo necessrio para criar um consenso entre os interessados. A Equipe de gerenciamento de riscos de segurana pode precisar encontrar -se novamente com os interessados para coletar dados adicionais. As quatro tarefas a seguir descrevem em linhas gerais o processo para criar uma lista de nvel detalhado de riscos. uma boa idia imprimir o modelo na seo de ferramentas intitulada "FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls". O resultado uma lista detalhada de riscos que afetam a organizao. A estimativa quantitativa determinada aps o valor do risco detalhado e descrita na prxima seo.
Tarefa 1 determine o impacto e a exposio. Tarefa 2 identifique os controles atuais. Tarefa 3 determine a probabilidade de impacto. Tarefa 4 determine o nvel de risco detalhado.
Tarefa 1: determine o impacto e a exposio Primeiro, insira a classe de ativo no modelo detalhado, a partir da tabela resumida. Em seguida, selecione a exposio do ativo. Note que a classificao de exposio no modelo detalhado contm granularidade adicional em comparao com o nvel resumido. A classificao de exposio no modelo detalhado consiste em um valor de 1 a 5. Lembre -se de que a classificao de exposio define a extenso de dano ao ativo. Use os modelos abaixo como guia para determinar a classificao de exposio apropriada sua organizao. Como cada valor nos nmeros atribudos exposio pode afetar o nvel de impacto ao ativo, insira o valor mais alto de todos aps preencher com os nmeros. O primeiro nmero de exposio ajuda a medir a extenso de impacto a partir de comprometimento de confidencialidade ou integridade dos ativos comerciais. O segundo nmero ajuda a medir o impacto na disponibilidade dos ativos.
Figura 4.11 Planilha de anlise de risco: Classificaes de exposio de confidencialidade ou integridade (FerramentaGGRS3) Ver imagem em tamanho normal Aps considerar a extenso de dano de impactos potenciais confidencialidade e integridade, use a figura a seguir para determinar o nvel de impacto de ausncia de disponibilidade ao ativo. Selecione os valores mais altos como nvel de exposio de ambas as tabelas.
Figura 4.12 Planilha de anlise de risco: Classificaes de exposio de disponibilidade (FerramentaGGRS3) Ver imagem em tamanho normal Use a figura como orientao para coletar as classificaes de exposio para cada impacto potencial. Se as discusses para cole ta de dados no forneceram detalhes suficientes sobre os nveis de exposio possveis, pode ser necessrio revis -los com o proprietrio do ativo especfico. Conforme mencionado na seo de coleta de dados, mencione as descries de exposio acima durant e a discusso sobre riscos, conforme necessrio. Exemplo do Woodgrove: a lista a seguir resume as classificaes de exposio para os dois riscos restantes:
1.
Classificao de exposio de comprometimento de host de LAN: 4. O impacto comercial pode ser srio e visvel externamente, mas no deve danificar completamente todos os dados financeiros de clientes. Assim, selecionada a classificao 4.
2.
Aps identificar a classificao de exposio, voc est pronto para determinar o valor de impacto preenchendo as colunas apropriadas em FerramentaGGRS3 -Priorizao de nvel de risco detalhado.xls e calculando o valor. No processo de risco de nvel detalhado, o impacto o produto do valor de classe do impacto e o fator de exposio. Cada classificao de exposio recebe um valor percentual que reflete a extenso de dano ao ativo. Esse percentual chama -se fator de exposio. O processo de gerenciamento de riscos de segurana da Microsoft recomenda uma escala linear de exposio de 100% a 20%. Ajuste-o de acordo com a sua organizao. Cada valor de impacto tambm est associado ao valor qualitativo de alto, mdio ou baixo. Essa classificao til para comunicar o nvel de impacto e acompanhar os elementos de risco durante os clculos de risco detalhado. Como auxlio, a figura a seguir tambm mostra os valores de impacto possveis para cada classe de impacto.
Figura 4.13 Planilha de anlise de risco: Determinando os valores de impacto (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: a figura a seguir mostra como os valores de classe do impacto, a classificao de exposio e a classificao geral de impacto so determinados usando o exemplo do Woodgrove.
Figura 4.14 Exemplo do Woodgrove mostrando os valores detalhados de classe de impacto, classificao
de exposio e valor de impacto (FerramentaGGRS3) Ver imagem em tamanho normal Tarefa 2: identifique os controles atuais A planilha FerramentaGGRS3 -Priorizao de nvel de risco detalhado.xls descreve os controles atuais na organizao que reduzem atualmente a probabilidade de ameaa e vulnerabilidade definida na declarao de impacto. Os clculos detalhados de probabilidade tambm oferecem uma avaliao da classificao de eficcia do controle, entretanto, documentar os controles aplicveis tambm ajuda na comunicao dos elementos de risco. Pode ser til organizar as descries de controle de acordo com as bem conhecidas categorias de grupos de controle gerenciais, operacionais ou tcnicos. Essas informaes tambm so teis no processo de suporte s decises descrito no captulo 5. Exemplo do Woodgrove: a seguir encontra -se um exemplo de lista de controles primrios para o "risco de comprometimento de host de LAN". Consulte a planilha FerramentaGGRS 3-Priorizao de nvel de risco detalhado.xls para obter descries adicionais de controle. Observe que as descries de controle tambm podem ser usadas para ajudar a justificar as classificaes de exposio: Os supervisores financeiros s podem acessar as suas prprias contas, portanto, a exposio inferior a 100%. So enviados informativos via email sobre patches e atualizaes a todos os usurios como preveno. O status do antivrus e das atualizaes de segurana so calculados e aplicados LAN em intervalos de poucas horas. Esse controle reduz a janela de tempo em que os hosts de LAN esto vulnerveis a uma ataque. Tarefa 3: determine a probabilidade de impacto A classificao de probabilidade consiste de dois valores. O primeiro valor determina a probabilidade da vulnerabilidade existir dentro do ambiente com base nos atributos de vulnerabilidade e possibilidade de explorao. O segundo valor determina a probabilidade da vulnerabilidade existir com base na eficcia dos controles atuais. Cada valor representado por um intervalo de 1 a 5. Use as figuras a seguir como guias para determinar a probabilidade de cada impacto organizao. A classificao de probabilidade ser ento multiplicada pela classificao de impacto para determinar a classificao de risco relativa. Observao: as figuras 4.15 e 4.17 foram usadas para ajudar a equipe de TI da Microsoft a compreender as probabilidades dos riscos ocorrerem em seus ambientes. Ajuste o contedo conforme apropriado para a sua organizao. O Grupo de segurana das informaes proprietrio do processo de priorizao e deve personalizar os atributos de priorizao conforme necessrio. Por exemplo, voc poderia modificar os nmeros para concentrar-se nas vulnerabilidades especficas do aplicativo em oposio s vulnerabilidades de infra -estrutura da empresa, caso o escopo da avaliao estivesse centrado no desenvolvimento do aplicativo. O objetivo obter um conjunto consistente de critrios para avaliar os riscos no seu ambiente. A figura a seguir inclui esses atributos de vulnerabilidade: Populao de invasores a probabilidade de explorao normalmente aumenta conforme a populao aumenta em tamanho e nvel de habilidade. Acesso remoto versus Acesso local a probabilidade normalmente aumenta se a vulnerabilidade pode ser explorada remotamente. Visibilidade da explorao a probabilidade normalmente aumenta se uma explorao bastante conhecida e disponvel publicamente. Automao da explorao a probabilidade normalmente aumenta se uma explorao pode ser programada para buscar vulnerabilidades automaticamente em ambientes de grande porte.
Lembre-se de que a estimativa da probabilidade de uma explorao possui natureza subjetiva. Use os atributos
acima como um guia para determinar e justificar as estimativas de probabilidade. A Equipe de gerenciamento de riscos de segurana deve confiar e promover sua experincia na seleo e justificao de previses.
Figura 4.15 Planilha de anlise de risco: Avaliando a vulnerabilidade (FerramentaGGRS3) Ver imagem em tamanho normal Selecione a classificao apropriada na figura a seguir.
Figura 4.16 Planilha de anlise de risco: Avaliando o valor de probabilidade (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: para os hosts de LAN e remotos, possvel que todos os atributos de vulnerabilidade na categoria Alta sejam vistos tanto dentro como fora do ambiente de LAN do Woodgrove em um futuro prximo. Assim, o valor de vulnerabilidade 5 para ambos os riscos. A prxima figura avalia a eficcia dos controles atuais. Esse valor de natureza subjetiva e depende da experincia da Equipe de gerenciamento de riscos de segurana em compreender o seu ambiente de controle. Responda a cada pergunta e calcule o valor final para determinar a classificao de controle final. Um valor mais baixo significa que os controles so eficazes e podem reduzir a probabilidade de ocorrncia de uma exposio.
Figura 4.17 Planilha de anlise de risco: Avaliando a eficcia do controle atual (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: para mostrar como os valores de eficcia do controle podem ser usados, a tabela a seguir resume os valores apenas para o risco de comprometimento de host de LAN. Consulte a planilha FerramentaGGRS3-Priorizao de nvel de risco detalhado.xls para ver o exemp lo completo: Tabela 4.2. Exemplo do Woodgrove Valores de eficcia do controle Pergunta sobre a eficcia do controle As responsabilidades foram definidas e aplicadas de forma eficaz? A conscientizao foi comunicada e seguida de forma eficaz? 0 (sim) Valor 0 (sim) Description A criao de diretiva e a responsabilidade pe la conformidade do host foram bem definidas. So enviadas notificaes regulares aos usurios e realizadas campanhas de conscientizao geral. Os processos foram definidos e praticados de forma eficaz? A tecnologia ou os controles existentes reduzem a ameaa de forma eficaz? 1 (no) 0 (sim) As avaliaes e aplicaes de conformidade so documentadas e seguidas. Os controles existentes ainda permitem um intervalo de tempo entre a vulnerabilidade e a aplicao de patches. As prticas de auditoria atuais so suficientes para detectar abuso ou deficincias do controle? Soma de todos os atributos do controle: 1 0 (sim) As auditorias de avaliaes e aplicaes de conformidade so eficazes considerando as atuais ferramentas.
Em seguida, adicione o valor da figura de Vulnerabilidade (Figura 4.16) ao valor da figura de Controle atual (Figura 4.17) e insira-o no modelo de nvel detalhado. O modelo mostrado na figura a seguir para referncia.
Figura 4.18 Planilha de anlise de risco: Classificao de probabilidade com controle (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: a classificao total de probabilidade para o exemplo de host de LAN 6 (valor de 5 para a vulnerabilidade, mais valor de 1 para a eficcia do controle). Tarefa 4: determine o nvel de risco detalhado A figura a seguir mostra o resumo de nvel detalhado para identificar o nvel de risco de cada risco identificado. Embora a avaliao de risco em nvel detalhado possa parecer complicada, a lgica por trs de cada tarefa na classificao de risco pode ser consultada usando as figuras anteriores. Essa capacidade de acompanhar cada tarefa na declarao de risco muito til para ajudar os interessados a compreender os detalhes bsicos do
Figura 4.19 Planilha de anlise de risco: Estabelecendo o nvel de risco detalhado (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: a figura a seguir mostra a Lista de risco detalhado de exemplo para o Woodgrove Bank. Esses dados encontram-se tambm em FerramentaGGRS3.
Figura 4.20 Exemplo do Woodgrove Bank de Lista de risco detalhado (FerramentaGGRS3) Ver imagem em tamanho normal A figura anterior mostra o contedo da classificao de risco e os elementos de seus dados. Conforme mencionado acima, a classificao de risco o produto da classificao de impacto (com valores entre 1 e 10) e a classificao de probabilidade (com valores entre 0 e 10). Isso produz um intervalo de valores de 0 a 100. Aplicando a mesma lgica usada na lista de risco de nvel resumido, o nvel de risco detalhado tambm pode ser comunicada nos temos qualitativos de alto, mdio ou baixo. Por exemplo, um impacto mdio e uma probabilidade alta produzem uma classificao de risco alta. Entretanto, a lista de nvel detalhado oferece especificao adicional para cada nvel de risco, conforme mostra a figura a seguir.
Figura 4.21 Planilha de anlise de risco: Estabelecendo a classificao qualitativa resumida (FerramentaGGRS3) Ver imagem em tamanho normal Use os nveis de risco detalhados apenas como um guia. Conforme discutido no captulo 3, a Equipe de gerenciamento de riscos de segurana deve ser capaz de comunicar organizao, por escrito, o significado de riscos altos, mdios e baixos. O processo de gerenciamento de riscos de segur ana da Microsoft apenas uma ferramenta para identificar e gerenciar riscos em toda a organizao de um modo consistente e reproduzvel.
Quantificando riscos
Conforme discutido no captulo 2, o processo de gerenciamento de riscos de segurana da Microsoft aplica primeiro a abordagem qualitativa para identificar e priorizar riscos de modo rpido e eficaz. Entretanto, quando voc seleciona a estratgia de atenuao de risco mais adequada, a sua estimativa sobre o custo monetrio potencial de um risco tambm deve ser levado em considerao. Assim, para riscos de alta prioridade ou controversos, o processo tambm oferece orientao para determinar estimativas quantitativas. As tarefas para quantificar riscos ocorre aps o processo de risco de nvel detalhado, devido ao longo perodo de tempo e esforos necessrios para obter um consenso sobre as estimativas monetrias. Voc pode gastar uma quantidade considervel de tempo para quantificar os riscos baixos se comear a quantificar riscos logo no incio do processo. Obviamente, uma estimativa monetria pode ser til para comparar os vrios custos das estratgias de atenuao de risco. Entretanto, devido natureza subjetiva da avaliao de ativos intangveis, no existe um algoritmo exato para quantificar riscos. O exerccio de estimar uma perda monetria exata pode na verdade atrasar a avaliao de riscos devido aos desentendimentos entre os interessados. A Equipe de gerenciamento de riscos de segurana deve deixar claro que a estimativa quantitativa apenas um dentre vrios valores para determinar a prioridade ou o custo potencial de um risco. Um benefcio de usar o modelo qualitativo para priorizar riscos primeiro a capacidade de reforar as descries qualitativas para ajudar a aplicar um algoritmo quantitativo de modo consistente. Por exemplo, a abordagem quantitativa descrita abaixo usa a classe de ativo e as classificaes de exposio identificadas na discusso facilitada sobre riscos documentada com os interessados na seo de coleta de dados facilitada deste
captulo. Semelhante abordagem qualitativa, a primeira tarefa do mtodo quantitativo determinar o valor total do ativo. A segunda tarefa determinar a extenso de dano ao ativo, seguida pela estimativa da probabilidade de ocorrncia. Para ajuda r a reduzir o grau de subjetividade na estimativa quantitativa, o processo de gerenciamento de riscos de segurana da Microsoft recomenda usar as classes de ativo para determinar o valor total de ativo e o fator de exposio para determinar o percentual de dano ao ativo. Essa abordagem limita o resultado quantitativo a trs classes de ativo e cinco fatores de exposio, ou 15 possveis valores quantitativos de ativo. Entretanto, o valor para a estimativa de probabilidade no restringido. Conforme apropria do para a sua organizao, voc pode decidir comunicar a probabilidade em termos de um intervalo de tempo, ou pode tentar estimar o custo do risco anualmente. O objetivo encontrar um equilbrio entre a facilidade de selecionar uma classificao relativa na abordagem qualitativa e a dificuldade de uma avaliao monetria e de uma estimativa de probabilidade na abordagem quantitativa. Use as cinco tarefas a seguir para determinar o valor quantitativo: Tarefa 1 atribua um valor monetrio a cada classe de ativo da sua organizao. Tarefa 2 insira o valor de ativo para cada risco. Tarefa 3 calcule o valor de expectativa de perda nica. Tarefa 4 determine a taxa de ocorrncia anual (TOA). Tarefa 5 determine a expectativa de perda anual (EPA).
Observao: as tarefas associadas quantificao de riscos de segurana so semelhantes s etapas usadas no setor de seguros para estimar o valor de ativo, o risco e a cobertura apropriada. No momento da redao deste guia, as aplices de seguros para riscos de segurana das informaes esto comeando a surgir. Conforme o setor de seguros adquire experincia na avaliao de riscos de segurana das informaes, ferramentas como as tabelas de aturia para a segurana das informaes sero referncia s importantes na quantificao de riscos.
planilha para ajudar nesse processo. Aps obter as estimativas monetrias para cada categoria, some os valores para determinar a estimativa para o ativo. Repita esse processo para todos os ativos representados na classe de impacto comercial alto. O resultado deve ser uma lista de prioridade de ativos e uma estimativa bsica da importncia monetria associada para a organizao. Repita esse processo para os ativos que se enquadram nas classes de impacto comercial moderado e baixo. Em cada classe de ativo, selecione um valor monetrio para representar a importncia da classe de ativo. Uma abordagem conservadora consiste em selecionar o valor de ativo mais baixo em cada classe. Esse valor ser usado para representar a importncia de um ativo com base na classe de ativo selecionada pelos interessados durante as discusses para coleta de dados facilitada. Essa abordagem simplifica a tarefa de atribuio de valores monetrios a cada ativo reforando as classes de ativo selecionadas nas discusses para coleta de dados. Observao: outra abordagem para atribuir valor aos ativos consiste em trabalhar com a equipe de gerenciamento de riscos financeiros que pode ter os dados de avaliao e cobertura de seguros para ativos especficos.
na sua organizao. Voc tambm pode decidir mencionar seus custos atuais com controles especficos de segurana para aplicar a cada classe de ativo. Como exemplo, para ativos da classe de impacto moderado, voc pode comparar o valor aos gastos monetrios atuais com controles de infra-estrutura de rede bsica. Por exemplo, qual o custo total estimado para software, hardware e recursos operacionais para oferecer servios de antivrus para a organizao? Isso oferece uma referncia para comparar ativos com uma quantia monetria conhecida pela sua organizao. Como outro exemplo, um valor de classe de impacto moderado pode ser to ou mais importante quanto os gastos atuais com firewalls de proteo aos ativos. Exemplo do Woodgrove: a Equipe de gerenciamento de riscos de segurana do Woodgrove trabalhou em conjunto com os principais interessados para atribuir valores monetrios a classes de ativo. Como o gerenciamento de riscos uma novidade no Woodgrove, a empresa decidiu usar as orientaes de relevncia para formar uma linha de base para avaliar ativos. Seu plano revisar as estimativas conforme adquire experincia. O Woodgrove gera uma receita lquida anual aproximada de US$ 200 milhes. Ao aplicar a orientao de relevncia de 5%, atribui -se um valor de US$ 10 milhes classe de ativo ICA. Com base nos gastos anteriores com TI no Woodgrove, os interessados selecionaram um valor de US$ 5 milhes para os ativos ICM e US$ 1 milho para os ativos ICB. Esses valores foram selecionados pois os grandes projetos de TI usados para oferecer suporte e segurana aos ativos digitais no Woodgrove no passado estavam dentro desse intervalo de valores. Esses valores tambm sero reavaliados durante o prximo ciclo anual de gerenciamento de riscos.
avaliao de riscos.
Figura 4.22 Planilha de anlise de risco: Quantificando a expectativa de perda nica (FerramentaGGRS3) Ver imagem em tamanho normal Exemplo do Woodgrove: a figura a seguir representa os valores para determinar a EPU para os dois riscos de exemplo.
Figura 4.23 Exemplo de EPU do Woodgrove Bank; Observao: valores em milhes de dlares Ver imagem em tamanho normal
Figura 4.24 Quantificando a taxa de ocorrncia anual (FerramentaGGRS3) Ver imagem em tamanho normal Use a figura anterior apenas como orientao. O Grupo de segurana das informaes deve selecionar um valor para representar a TOA. Exemplo do Woodgrove: a Equipe de gerenciamento de riscos de segurana determina as seguintes TOAs para os riscos de exemplo: 1. TOA do host de LAN: reforando a avaliao qualitativa de probabilidade mdia, a Equipe de gerenciamento de riscos de segurana estima que o risco ocorra ao menos uma vez a cada dois anos, portanto, a estimativa de TOA 0,5.
2.
TOA do host remoto: mais uma vez, reforando a avaliao qualitativa de probabilidade alta, a Equipe de gerenciamento de riscos de segurana estima que o risco ocorra ao menos uma vez por ano, portanto, a estimativa de TOA 1.
Figura 4.25 Exemplo de EPA do Woodgrove Bank; Observao: valores em milhes de dlares (FerramentaGGRS3) Ver imagem em tamanho normal Incio da pgina
Resumo
A fase de avaliao de riscos do ciclo de gerenciamento de riscos necessria para gerenciar riscos em toda a organizao. Ao realizar as etapas de planejamento, coleta de dados facilitada e priorizao, lembre-se de que a inteno da fase de avaliao de riscos no apenas identificar e priorizar riscos, mas fazer isso de um modo rpido e eficaz. O processo de gerenciamento de riscos de segurana da Microsoft usa uma abordagem hbrida de anlise qualitativa para identificar e selecionar riscos, usando em seguida os atributos financeiros da anlise quantitativa para oferecer um a definio mais aprofundada dos riscos.
5 de 12
Resumo
Viso geral
A sua organizao j deve ter concludo a fase de avaliao de riscos e desenvolvido uma lista priorizada de riscos com seus ativos mais valiosos. Agora voc deve abordar os riscos mais significativos determinando as aes apropriadas para sua atenuao. Esta fase conhecida como Oferecendo suporte s decises. Durante a fase anterior, a Equipe de gerenciamento de riscos de segurana identificou os ativos, suas respectivas ameaas, as vulnerabilidades que essas ameaas poderiam explorar para afetar os ativos, bem como os controles j estabelecidos para ajudar a proteger os ativos. A partir desses dados, a Equipe de gerenciamento de riscos de segurana criou uma lista priorizada de riscos. O processo de suporte s decises inclui uma anlise formal de relao de custo/benefcio com funes e responsabilidades bem definidas em todos os setores da organizao. A anlise de relao de custo/benefcio oferece uma estrutura consistente e abrangente que ajuda a identificar, planejar e selecionar a soluo de atenuao mais eficaz e econmica para reduzir o risco a um nvel aceitvel. Assim como o processo de avaliao de riscos, a anlise de relao de custo/benefcio exige definies bastante precisas das funes para garantir a sua eficcia. Alm disso, antes de realizar a anlise de relao de custo/benefcio, a Equipe de gerenciamento de riscos de segurana deve garantir que todos os interessados, incluindo o Patrocinador executivo, estejam cientes e concordem com o processo. Durante a fase de suporte s decises, a Equipe de gerenciamento de riscos de segurana deve determinar como abordar os principais riscos do modo mais eficaz e econmico. O resultado final ser um rgido planejamento para controlar, aceitar, transferir ou evitar cada um dos principais riscos identificados na fase de avalia o de riscos. As seis etapas da fase de suporte s decises so: 1. 2. 3. 4. 5. 6. Definir os requisitos funcionais. Selecionar as solues de controle. Comparar solues com exigncias. Estimar o grau de reduo de risco oferecido por cada controle. Estimar os custos de cada soluo. Selecionar a estratgia de atenuao de riscos.
Apndice C: Am comuns
Apndice D: Vulnerabilidade
Agradecimentos
A figura 5.1 abaixo mostra essas seis etapas e como a fase de suporte s decises est relacionada ao processo geral de gerenciamento de riscos de segurana da Microsoft.
Figura 5.1 O processo de gerenciamento de riscos de segurana da Microsoft: Fase de suporte s decises Ver imagem em tamanho normal No existem frmulas simplificadas para se comparar o valor de um determinado controle em relao a um outro. Este um processo bastante desaf iador por inmeras razes. Por exemplo, alguns controles afetam vrios ativos. A Equipe de gerenciamento de riscos de segurana deve chegar a um acordo sobre como comparar os valores de controles que afetam combinaes diferentes de ativos. Alm disso, existem custos adicionais associados aos controles que vo alm da sua implementao. Algumas questes relacionadas a serem consideradas so: Por quanto tempo o controle ser eficaz? Quantas horas/homem por ano sero necessrias para monitorar e manter o controle? Quantas inconvenincias sero impostas pelo controle aos usurios? Quanto treinamento ser necessrio para os responsveis pela implementao, monitorao e manuteno do controle? O custo do controle razovel em relao ao valor do a tivo?
O restante deste captulo discutir as respostas a essas perguntas. Para obter xito durante o processo de suporte s decises, necessrio seguir uma trajetria precisa, alm do total entendimento por parte dos interessados sobre as suas respectiv as funes em cada etapa. O diagrama a seguir ilustra como a Equipe de gerenciamento de riscos de segurana executa o processo de suporte s decises. Os Proprietrios da atenuao so responsveis por propor controles que reduzam o risco e determinar o seu custo. A Equipe de gerenciamento de riscos de segurana estima o grau de reduo de risco esperado de cada controle proposto. Com essas informaes, a equipe pode realizar uma anlise eficiente de relao de custo/benefcio do controle, de forma a determ inar se esse deve ser recomendado para implementao. Em seguida, o Comit de orientao de
Figura 5.2 Viso geral da fase de suporte s decises Ver imagem em tamanho normal De certa forma, a definio precisa das funes reduz os possveis atrasos, pois a deciso cabe a apenas um grupo. Entretanto, a experincia mostra que a eficcia geral do programa de gerenciamento de riscos aumenta se cada proprietrio colaborar com os outros interessados. Observao: o gerenciamento de riscos um ciclo contnuo, portanto, o esprito de equipe aumenta a motivao do interessado e pode inclusive reduzir o risco aos negcios, permitindo que os interessados reconheam os benefcios de suas contribuies e atuem rapidamente pa ra reduzir os riscos. Evidentemente, voc deve esforar-se por manter essa atitude durante os processos de gerenciamento de riscos e de suporte s decises.
A tabela a seguir resume as funes e as principais responsabilidades de cada grupo no processo de suporte s decises. Tabela 5.1: Funes e responsabilidades no programa de gerenciamento de riscos Funo Operaes comerciais Responsabilidade Identifica os controles de procedimento disponveis para gerenciamento de riscos Proprietrio da empresa o proprietrio da anlise de relao de custo/benefcio dos ativos Financeiro Auxilia na anlise de relao de custo/benefcio e pode oferecer ajuda no desenvolvimento e ontrole do oramento Recursos humanos Identifica as exigncias de treinamento de pessoal e os controles, conforme necessrio Tecnologia da informao (TI) Arquitetura Identifica e avalia as solues de controle potenciais Tecnologia da informao Engenharia Determina o custo das solues de controle e como implement -las Tecnologia da informao Operaes Auditoria interna Implementa as solues de controle tcnicas Identifica as exigncias de conformidade e analisa a eficcia do controle Jurdico Identifica os controles jurdicos, polticos e contratuais e valida estimativas de valores criadas para impacto de marca, responsabilidade corporativa e outras questes comerciais Relaes pblicas Valida as estimativas de valores criadas para impacto de marca, responsabilidade corporativa e outras questes comerciais Comit de orientao de segurana Seleciona as solues de controle com base nas recomendaes da equipe do projeto de gerenciamento de riscos de segurana Equipe de gerenciamento de riscos de segurana Define os requisitos funcionais dos controles para cada risco e comunica a situao do projeto aos interessados e aos usurios afetados, conforme necessrio A Equipe de gerenciamento de riscos de segurana deve atribuir um tecnlogo de segurana para cada risco identificado. Um ponto nico de contato reduz o risco da Equipe de gerenciamento de riscos de segurana produzir mensagens inconsistentes, padronizando a interao entre os participantes durante
voc decide ev itar um risco, decide encerrar qualquer atividade associada ao risco. Com relao ao gerenciamento de riscos de segurana, as organizaes devem encerrar o uso do sistema de informaes que inclui o risco a fim de evit-lo. Por exemplo, se o risco for que "dentro de um ano os servidores sem patch podem ser comprometidos atravs de um malware, o que comprometeria a integridade dos dados financeiros", a nica maneira de evitar o risco seria encerrar o uso desses servidores, o que provavelmente no uma opo realstica. O processo de gerenciamento de riscos de segurana da Microsoft pressupe que essas organizaes esto interessadas em avaliar apenas os ativos que possuem valor comercial e que permanecero em atividade. Portanto, este guia no discute a op o de evitar o risco.
avaliam o grau de reduo de risco possvel de cada controle. Todas essas informaes permitem que a equipe realize uma anlise eficiente de relao de custo/benefcio de cada controle proposto. Os controles que reduzem o risco aos principais ativos de modo mais eficaz e a um custo razovel para a organizao so aqueles que a equipe altamente recomenda para a implementao.
Criando um consenso
importante que toda a Equipe de gerenciamento de riscos de segurana tome decises atravs de consenso. Caso contrrio, os comentrios dos membros discordantes podem prejudicar as recomendaes da equipe aps a sua apresentao ao Comit de orientao de segurana. Mesmo que o comit aprove os controles recomendados, as divergncias podem comprometer o sucesso dos projetos de acompanhamento da implementao do controle. Para que todo o processo de gerenciamento de riscos seja bem-sucedido, todos os membros da equipe devem concordar e oferecer suporte aos controles recomendados.
Evitando obstrues
Como um dos objetivos desta fase criar atravs de consenso uma lista de controles, qualquer interessado envolvido pode atrasar ou impedir o progresso impondo obstrues. Isto , qualquer participante na fase de suporte s decises poderia decidir que se recusa a concordar ou a recomendar um determinado controle. Da mesma forma, algum poderia tentar impor sua viso minoritria sobre a maioria se a recomendao de um determinado controle estivesse sendo ameaada. muito importante que o Facilitador de avaliao de riscos resolva situaes de obstruo quando estas surgirem. Est alm do escopo deste guia oferecer aconselhamento detalhado sobre como gerenciar esse tipo de desafio, mas algumas tticas eficazes incluem determinar os motivos principais do ponto de vista de uma pessoa e ento trabalhar com a equipe para tentar encontrar alternativas ou acordos eficazes aceitveis por toda a equipe. Incio da pgina
relao de custo/benefcio. Cada uma das colunas descrita nas etapas a seguir.
Figura 5.3 Seo de suporte s decises da planilha Risco detalhado (FerramentaGGRS3) Ver imagem em tamanho normal Observao: a planilha tem como objetivo reduzir a probabilidade de impacto ao determinar o nvel de reduo de riscos. Pressupe que o valor do ativo no alterado durante o perodo da avaliao de risco. Normalmente, o nvel de exposio (grau de dano ao ativo) constante. A experincia mostra que os nveis de exposio geralmente permanecem inalterados se as descries de ameaa e vulnerabilidade so suficientemente detalhadas.
mesmo tempo em que permite ao Proprietrio da atenuao, responsvel pela implementao da soluo de atenuao, a propriedade das decises relacionadas operao e ao suporte aos negcios. As respostas a cada risco so documentadas na coluna "Requisitos funcionais de segurana" em GGRS3-Priorizao de risco de nvel detalhado.xls. Os requisitos funcionais devem ser revisados ao menos uma vez ao ano para determinar se ainda so necessrios ou devem ser alterados.
Figura 5.4 Etapa 1 da fase de suporte s decises Ver imagem em tamanho normal O trabalho concludo na fase anterior permite que as organizaes entendam suas posies de risco e determinem racionalmente quais controles devem ser implementados para reduzir os riscos mais importantes. O Patrocinador executivo e os proprietrios da empresa querem saber a opinio do Grupo de segurana das informaes sobre como a organizao deve agir em relao a cada risco. Para responder a essa pergunta, o Grupo de segurana das informaes cria os requisitos funcionais de segurana. Para cada risco, o Grupo de segurana das informaes compe uma declarao precisa sobre os tipos de funcionalidade ou necessrio introduzir processos a fim de atenuar o risco. Exemplo do Woodgrove: baseando-se no exemplo do Woodgrove Bank usado no captulo anterior, segue abaixo um exemplo de requisito funcional til para o risco de roubo de credenciais de cliente de rede local (LAN) gerenciada resultante configurao desatualizada de assinaturas de antivrus, configuraes de host ou atualizaes de segurana desatualizadas: DEVE existir a capacidade de autenticar a identidade de usurios atravs de dois ou mais fatores quando efetuam logon na rede local. Um exemplo de requisito no funcional seria: A soluo DEVE utilizar cartes inteligentes para autenticar usurios. A segunda declarao no funcional, pois descreve o uso de uma tecnologia especfica. Cabe aos Proprietrios da atenuao fornecer uma lista de solues de controle especficos que atenda aos requisitos funcionais. sua responsabilidade traduzir os requisitos funcionais em solues de controle tcnicas ou em controles administrativos (diretivas, padres, orientaes, etc). O requisito funcional para o segundo risco examinado durante a etapa de priorizao de risco de nvel detalhado, o risco de roubo de credenciais de hosts mveis remotos resultantes de configuraes de
segurana desatualizadas seria: DEVE existir a capacidade de autenticar a identidade de usurios atravs de dois ou mais fatores quando efetuam logon na rede remotamente. Anote os requisitos funcionais para cada risco na coluna Requisitos funcionais de segurana na planilha FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls. A RFC (Solicitao de comentrios) 2119 do IETF (Internet Engineering Task Force), disponvel em www.ietf.org/rfc/rfc2119.txt, oferece orientao sobre as frases e palavras-chave a serem usadas nas declaraes de requisito s. Esses termos, geralmente em maisculas, so "DEVE" (MUST), "NO DEVE" (MUST NOT), "OBRIGATRIO" (REQUIRED), "DEVER" (SHALL), "NO DEVER" (SHALL NOT) "DEVERIA" (SHOULD), "NO DEVERIA" (SHOULD NOT), "RECOMENDADO" (RECOMMENDED), "PODE" (MAY) e "OPCIONAL" (OPTIONAL). A Microsoft recomenda que voc use essas palavras-chave nas suas declaraes de requisito funcional seguindo as definies descritas na RFC 2119: DEVE Esta palavra, ou os termos "OBRIGATRIO" ou "DEVER", significa que a definio uma exigncia absoluta da especificao. Por exemplo, se a avaliao de risco identificar um cenrio de alto risco, a palavra "DEVE" provavelmente a melhor palavra-chave para descrever o requisito que se aplica ao cenrio. NO DEVE Esta frase, ou a frase "NO DEVER", significa que a definio uma proibio absoluta da especificao. DEVERIA Esta palavra, ou o adjetivo "RECOMENDADO", significa que podem existir motivos vlidos para ignorar um item em particular em determinadas circunstncias, mas as implicaes devem ser entendidas na sua totalidade e cuidadosamente avaliadas antes de se decidir por um novo trajeto. Por exemplo, se a avaliao de risco identificar um cenrio de risco baixo, a palavra "DEVERIA" provavelmente a melhor palavra-chave para descrever o requisito que se aplica ao cenrio. NO DEVERIA Esta frase, ou a frase "NO RECOMENDADO", significa que podem existir motivos vlidos quando o determinado comportamento for aceitvel ou at mesmo til, mas as implicaes devem ser ente ndidas na sua totalidade e o caso deve ser cuidadosamente avaliado antes de implementar qualquer comportamento descrito com esta palavra. PODE Esta palavra, ou o adjetivo "OPCIONAL", significa que um item realmente opcional. Um fornecedor pode decidir incluir o item devido exigncia de um mercado em particular ou por achar que esse aprimora o produto, enquanto outro fornecedor pode omitir o mesmo item. Uma implementao que no inclui uma determinada opo DEVE estar preparada para interoperar com outra implementao que inclui a opo, embora possivelmente com funcionalidade reduzida. Do mesmo modo, uma implementao que inclui uma determinada opo DEVE estar preparada para interoperar com outra implementao que no inclui a opo (com exceo, claro, do recurso que a opo oferece). Aps a definio e a documentao dos requisitos funcionais de cada risco, voc est pronto para passar para a prxima etapa da fase de suporte s decises.
auxiliar nessa tarefa podem considerar a opo de oferecer consultores aos Proprietrios da atenuao.
Figura 5.5 Etapa 2 da fase de suporte s decises Ver imagem em tamanho normal O processo de identificao de controles potenciais pode parecer desanimador, especialmente se poucos ou nenhum dos Proprietrios da atenuao possuem experincia anterior. Existem duas abordagens que podem dar novas idias s equipes e muitas organizaes acreditam que seja mais eficiente usar ambas. A primeira consiste em um debate informal, enquanto a segunda mais organizada e baseada em como os controles podem ser classificados e organizados. A Equipe de gerenciamento de riscos de segurana deve usar uma combinao dessas duas abordagens. Na abordagem atravs de debate informal, o Facilitador de avaliao de riscos apresenta equipe as perguntas a seguir em relao a cada risco: O Secretrio de avaliao de riscos documenta todas as respostas na coluna "Controle proposto" na planilha Risco detalhado em FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls. Esse processo continua at que todos os principais riscos tenham sido examinados e a equipe ento prossegue para determinar os custos associados a cada controle. Que medidas a organizao poderia tomar para resistir ou prevenir a ocorrncia do risco? Por exemplo, implementar autenticao de vrios fatores para reduzir o risco de comprometimento de senha ou implantar um infra-estrutura de gerenciamento automatizado de patches para reduzir o risco de comprometimento dos sistemas atravs de cdigo mvel mal-intencionado. O que a organizao poderia fazer para recuperar-se do risco aps sua ocorrncia? Por exemplo, estabelecer, fundar e treinar uma equipe robusta de resposta a incidentes ou implementar e testar processos de backup e de restaurao para todos os computadores executando um sistema operacional de classe de servidor. Indo mais alm, uma organizao pode estabelecer recursos de computao redundantes em locais remotos que podem ser colocados em servio caso ocorra um desastre no local principal. Que medidas a organizao pode tomar para detectar a ocorrncia de risco? Por exemplo, instalar um sistema de deteco de intruso baseado em rede dentro do permetro de rede e em locais-chave na rede interna, ou instalar um sistema de deteco de intruso distribudo baseado em host em
Como o controle pode ser auditado e monitorado para garantir que continua em funcionamento? Por exemplo, instalar e observar de modo diligente as ferramentas de gerenciamento apropriadas do fornecedor do produto. Como a organizao pode avaliar a eficcia do controle? Por exemplo, usar um funcionrio especialista que esteja familiarizado com a vulnerabilidade para tentar superar o controle. Existem outras aes que podem ser tomadas para gerenciar o risco? Por exemplo: transferir o risco adquirindo uma aplice de seguros que indenize contra perdas relacionadas ao risco.
O segundo mtodo para identificar novos controle potenciais organiza os controles em trs amplas categorias: organizaci onal, operacional e tecnolgica. Essas so subdivididas em controles que oferecem preveno, deteco/recuperao e gerenciamento. Os controles preventivos so implementados para impedir que o risco ocorra, por exemplo, interrompendo as violaes antes que se alastrem. Os controles de deteco e de recuperao ajudam a organizao a determinar quando ocorreu um evento de segurana e a retomar as atividades normais em seguida. Os controles de gerenciamento no fornecem necessariamente proteo, mas so necessrios para a implementao de outros controles. Essas categorias so discutidas em mais detalhes abaixo.
Controles organizacionais
Os controles organizacionais so procedimentos e processos que definem como os funcionrios da organizao devem executar suas tarefas. Os controles preventivos nesta categoria incluem: Funes e responsabilidades precisas. Precisam ser definidas e documentadas de forma precisa para que tanto a administrao como os funcionrios entendam claramente de quem a responsabilidade por garantir a implementao de um nvel de segurana adequado para os ativos de TI mais importantes. Separao de tarefas e restries de privilgios. Quando devidamente implementados, esses controles garantem que os funcionrios possuem acesso aos sistemas de TI apenas no grau necessrio para a realizao de suas tarefas e nada alm disso. Planos e procedimentos de segurana documentados. So desenvolvidos para explicar como os controles foram implementados e como deve ser sua manuteno. Treinamento de segurana e campanhas constantes de conscientizao. Necessrio para todos os membros da organizao, permitindo que os usurios e os membros da equipe de TI entendam suas responsabilidades e saibam como utilizar de modo adequado os recursos co mputacionais, protegendo assim os dados da organizao. Sistemas e processos para fornecimento e cancelamento de usurios. Esses controles so necessrios para que os novos membros da organizao possam iniciar suas atividades rapidamente, enquanto que o pessoal que est deixando a organizao perde acesso imediatamente na sua sada. Os processos para o fornecimento devem incluir tambm transferncias de funcionrios entre grupos da empresa com privilgios e nveis de acesso diferentes. Por exemplo, considere funcionrios de um rgo governamental mudando de funes e classificaes de segurana de Confidencial para Super confidencial ou vice-versa. Processos preestabelecidos para conceder acesso a contratados, fornecedores, parceiros e clientes. Geralmente uma variao do uso do fornecimento de acesso a usurios mencionado acima, mas com divergncias em alguns casos. O compartilhamento de diferentes conjuntos de dados com grupos de
usurios diversificados, sejam esses internos ou externos, pode ser um grande desafio. Essas escolhas podem ser afetadas por requisitos legais e regulatrios como, por exemplo, quando envolvem dados de sade ou financeiros. Os controles de deteco nesta categoria incluem: Aplicao contnua de programas de gerenciamento de riscos para avaliar e controlar os riscos aos principais ativos comerciais. Anlises contnuas dos controles para verificar sua eficcia. Auditorias peridicas nos sistemas para garantir que no foram comprometidos ou configurados incorretamente. Investigao sobre o histrico pessoal e profissional dos futuros funcionrios. Recomenda-se que sejam implementadas investigaes adicionais sobre o histrico pessoal e profissional dos funcionrios quando estiverem sendo considerados para uma promoo a posies com nvel de acesso mais alto aos ativos de TI da organizao. Estabelecimento de rodzio de tarefas, um modo bastante eficiente de descobrir atividades mal intencionadas por parte de membros da equipe de TI ou usurios com acesso a informaes confidenciais. Os controles de gerenciamento nesta categoria incluem: Planejamento de resposta a incidentes, oferecendo organizao a capacidade de reagir rapidamente e recuperar -se de violaes de segurana, minimizando o impacto e impedindo o alastramento a outros sistemas. Planejamento de continuidade dos negcios, permitindo que a organizao se recupere de eventos catastrficos que afetam uma grande parte da infra-estrutura de TI.
Controles operacionais
Os controles operacionais definem como os funcionrios da organizao devem tratar dados, software e hardware. Tambm incluem protees ambientais e fsicas, conforme descrito abaixo. Os controles preventivos nesta categoria incluem: Proteo das instalaes computacionais atravs de meios fsicos, como porteiros, crachs e trancas eletrnicas, trancas biomtricas e grades. Proteo fsica aos sistemas de usurios finais, incluindo dispositivos como trancas e alarmes para computadores portteis e criptografia de arquivos armazenados em dispositivos portteis. Alimentao de backup de emergncia, o que pode proteger sistemas eltricos sensveis contra danos durante quedas de energia e blackouts. Tambm ajudam a garantir que os aplicativos e os sistemas operacionais sejam desligados de modo adequado a fim de preservar dados e transaes. Sistemas de proteo contra incndio, como sistemas automticos de deteco de incndio e extintores de incndio, ferramentas essenciais para proteger os ativos comerciais. Sistemas de controle de temperatura e umidade que prolongam o tempo de vida til de equipamentos eltricos sensveis e ajudam a proteger os dados neles armazenados. Controle de acesso mdia e procedimentos de descarte para garantir que apenas pessoal autorizado tenha acesso a informaes confidenciais e que as mdias usadas para armazenar tais dados sero inutilizadas atravs de desmagnetizao ou outros mtodos antes do descarte. Sistemas de backup e possibilidade de armazenamento de backup externo para facilitar a restaurao de dados perdidos ou corrompidos. No caso de um incidente catastrfico, a mdia de backup armazenada externamente permite armazenar dados comerciais confidenciais em sistemas
de substituio. Os controles de deteco e de recuperao nesta categoria incluem: Segurana fsica, defendendo a organizao contra invasores que tentam acessar suas instalaes. Como exemplo, podemos citar sensores, alarmes, cmeras e detectores de movimento. Segurana ambiental, protegendo a organizao contra ameaas ambientais como inundaes e incndios. Como exemplo, podemos citar detectores de fumaa e fogo, alarmes, sensores e detectores de inundao.
Controles tecnolgicos
Os controles tecnolgicos variam muito em termos de complexidade. Incluem planejamento arquitetnico, engenharia, hardware, software e firmware. So todos os componentes tecnolgicos usados para construir os sistemas de informao da organizao. Os controles preventivos nesta categoria incluem: Autenticao. O processo de validao de credenciais de uma pessoa, um processo computacional ou um dispositivo. A autenticao requer que a pessoa, o processo ou o dispositivo que fez a solicitao fornea uma credencial comprovando sua identidade. As formas mais comuns de credenciais so assinaturas digitais, cartes inteligentes, dados biomtricos e uma combinao de nomes de usurio e senhas. Autorizao. O processo de conceder acesso a uma pessoa, processo computacional ou dispositivo a determinadas informaes, servios ou funcionalidades. A autorizao derivada da identidade da pessoa, processo computacional ou dispositivo que solicitou o acesso, sendo verificada atravs de autenticao. No-repdio. uma tcnica usada para garantir que algum que esteja executando uma ao em um computador no possa negar falsamente que realizou tal ao. O no -repdio oferece uma prova inegvel de que o usurio efetuou uma determinada ao, como transferncia de dinheiro, autorizao de compra ou envio de uma mensagem. Controle de acesso. O mecanis mo para limitar o acesso a determinadas informaes com base na identidade do usurio e na participao em vrios grupos predefinidos. O controle de acesso pode ser obrigatrio, condicional ou baseado na funo. Comunicaes protegidas. Esses controles usam criptografia para proteger a integridade e a confidencialidade das informaes transmitidas atravs de redes. Sistemas de auditoria. Permitem monitorar e acompanhar o comportamento inesperado do sistema. So uma ferramenta essencial para a deteco, o entendimento e a recuperao de violaes de segurana. Programas antivrus. Planejados para detectar e responder a softwares mal intencionados, como vrus e worms. As respostas podem incluir o bloqueamento do acesso do usurio aos sistemas ou arquivos infectados ou informar ao usurio que sobre a deteco de um programa infectado. Ferramentas de verificao de integridade do sistema. Permitem que a equipe de TI determine se foram feitas alteraes no autorizadas ao sistema. Por exemplo, algumas ferramentas de verificao de integridade do sistema calculam a soma de todos os arquivos presentes nos volumes de armazenamento do sistema e guardam as informaes no banco de dados de um outro computador. Essa ferramenta permite realizar comparaes confiveis e automatizadas entre o estado atual do sistema e sua correta configurao anterior. Os controles de gerenciamento nesta categoria incluem:
As ferramentas de administrao de segurana que acompanham vrios sistemas operacionais e aplicativos comerciais, assim como produtos de hardware e software voltados para a segurana. Essas ferramentas so necessrias para realizar eficientemente a manuteno, o suporte e a soluo de problemas dos recursos de segurana desses produtos. Criptografia, a base de vrios outros controles de segurana. A criao, o armazenamento e a distribuio segura de chaves de criptografia possibilita tecnologias como redes virtuais privadas (VPNs), autenticao de usurio segura e criptografia de dados em vrios tipos de mdia de armazenamento. Identificao, possibilitando identificar usurios e processos exclusivos. Com essa capacidade, os sistemas podem incluir recursos como responsabilidade e contro le de acesso condicional, baseado na funo e obrigatrio. Protees inerentes ao sistema, que so os recursos desenvolvidos dentro do sistema para proteger as informaes nele processadas ou armazenadas. Os recursos de proteo do sistema podem ser demonstrados atravs de reutilizao segura de objetos, suporte a memria no-execute (NX) e separao de processo.
Ao considerar as solues de controle, revise a seo "Organizando as solues de controle" no captulo 6, "Implementando controles e analisando a eficcia do programa". Esta seo inclui links para vrias orientaes prescritivas escritas para ajudar a aumentar a segurana dos sistemas de informao das organizaes. Exemplo do Woodgrove: o primeiro risco, o risco de roubo das credenciais do sup ervisor financeiro durante conexo LAN, deve ser tratado solicitando que os usurios sejam autenticados atravs de cartes inteligentes quando estiverem conectados localmente na rede corporativa. O segundo risco, o risco de roubo das credenciais do supervisor financeiro durante conexo rede remota, deve ser tratado solicitando que todos os usurios sejam autenticados atravs de cartes inteligentes quando estiverem conectados remotamente na rede corporativa. Anote cada um dos controles propostos para cada risco na coluna "Controle proposto" em FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls.
Figura 5.6 Etapa 3 da fase de suporte s decises Ver imagem em tamanho normal Exemplo do Woodgrove: a Equipe de gerenciamento de riscos de segurana comparou o uso de cartes inteligentes na autenticao de usurio para determinar se a sua implementao atenderia aos requisitos funcionais. Neste caso, os cartes inteligentes atenderiam aos requisitos funcionais tanto do primeiro como do segundo risco usado nesse exemplo. Marque cada um dos controles propostos rejeitados usando uma formatao diferente na planilha FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls.
Figura 5.7 Etapa 4 da fase de suporte s decises Ver imagem em tamanho normal O aumento da estimativa de ocorrncia do impacto de um ano para mais de trs anos fornece um valor significativo para a Equipe de gerenciamento de riscos de segurana e para o Comit de orientao de segurana. Embora seja possvel que a estimativa de prejuzo financeiro no d iminua, menos provvel que o prejuzo ocorra em um futuro prximo. importante lembrar que o objetivo no reduzir o impacto a zero, mas definir um nvel de risco aceitvel para os negcios. Outro benefcio da reduo de risco a curto prazo est relacionado tendncia comum de reduo gradual dos custos de controle tcnico e seu respectivo aumento em eficcia. Por exemplo, uma melhoria na estratgia de gerenciamento de patches atual pode significar uma reduo significativa da probabilidade de comprometimento do host hoje. Entretanto, o custo de implantao de patches e atualizaes de segurana pode diminuir conforme novas orientaes e ferramentas tornam-se disponveis para gerenciar essas operaes de modo eficiente. Um outro exemplo dessa tendncia a reduo de custos atravs de autenticao de dois fatores. Ao determinar o grau de reduo de risco relativo a um determinado controle, considere todos os modos nos quais o controle pode afetar o risco. Algumas das questes a considerar incluem: O controle impede um ataque em especfico ou um conjunto de ataques? Ele minimiza o risco de uma determinada classe de ataques? O controle reconhece uma explorao quando essa ocorre? Se ele reconhece uma explorao, consegue resistir ou monitorar o ataque? O controle ajuda a recuperar os ativos que sofreram um ataque? Que outros benefcios oferece? Qual o custo total do controle em relao ao valor do ativo?
Essas perguntas podem se tornar complexas quando um controle em particular afeta vrias vulnerabilidades e ativos. Fundamentalmente, o objetivo desta etapa criar estimativas sobre o grau de reduo de nvel de risco de cada controle. Anote os novos valores para Classificao da exposio,
Classificao de probabilidade e Classif icao de risco nas colunas "Classificao de exposio com o novo controle", "Classificao de probabilidade com o novo controle" e "Nova classificao de risco" em FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls para cada risco. Exemplo do Wo odgrove: com relao ao primeiro risco, o risco de supervisores financeiros terem suas senhas comprometidas atravs do uso de clientes de LAN, a Equipe de gerenciamento de riscos de segurana poderia concluir que a classificao da exposio aps a implementao de cartes inteligentes para autenticaes locais seria 8, a classificao de probabilidade cairia para 1 e, portanto, a nova classificao de risco seria 9. Para o segundo risco, o risco de supervisores financeiros terem suas senhas comprometidas atravs do acesso rede remotamente, a Equipe de gerenciamento de riscos de segurana encontraria valores semelhantes. Anote as novas classificaes de exposio, probabilidade e risco para cada controle proposto nas colunas "Classificao de exposio com o novo controle", "Classificao de probabilidade com o novo controle" e "Nova classificao de risco" na planilha Risco detalhado em FerramentaGGRS3-Priorizao de risco de nvel detalhado.xls.
Custos de aquisio
Esses custos envolvem software, hardware ou servios relacionados a um novo controle proposto. Alguns controles podem no possuir custo de aquisio por exemplo, a implementao de um novo controle pode simplesmente envolver a habilita o de um recurso no usado anteriormente em uma determinada parte do hardware de rede j em uso pela organizao. Outros controles podem exigir a compra de novas tecnologias, como um software de firewall distribudo ou hardware de firewall dedicado com funes de filtragem de camada de aplicativo. Alguns controles podem no exigir nenhuma compra, mas sim a contratao de uma organizao externa. Por exemplo, uma organizao pode contratar uma outra para fornecer uma lista de bloqueio de remetentes de spam conhecidos atualizada diariamente para que possa anex -la aos filtros de spam j instalados nos servidores de email da organizao. Podem existir outros controles que a prpria organizao decida desenvolver. Todos os custos relacionados ao planejamento, desenvolvimento e teste dos controles faro parte dos custos de aquisio da organizao.
Custos de implementao
Esses gastos esto relacionados equipe ou aos consultores que executaro a instalao e a configurao do novo controle. Alguns controles podem exigir uma equipe grande para especificar, planejar, testar e implantar adequadamente. Como alternativa, um administrador de sistemas experiente poderia, em poucos minutos, desativar alguns servios de sistema no usados em todos os computadores desktop e mveis, caso a organizao j possua ferramentas de gerenciamento corporativo implantadas.
Custos contnuos
Esto relacionados s atividades contnuas associadas ao novo controle, como gerenciamento, monitoramento e manuteno. Como sua estimativa um pouco difcil, tente pensar em termos de quantas pessoas precisam estar envolvidas e quanto tempo por semana, ms ou ano ser gasto nessas tarefas. Considere um sistema de deteco de intruso robusto baseado em rede distribuda para uma grande empresa com escritrios em quatro continentes. Um sistema desse tipo exigiria pessoal para monitorar o sistema 24 horas por dia, todos os dias, e esses funcionrios deveriam ser capazes de interpretar e responder aos alertas com eficcia. Pode ser necessrio oito, dez ou mais funcionrios em tempo integral para que a organizao possa concretizar integralmente o potencial desse complexo controle.
Custos de comunicao
Esses gastos esto relacionados comunicao de novas diretivas ou procedimentos aos usurios. Para uma organizao que tem algumas centenas de funcionrios e esteja instalando travas eletrnicas na sala do servidor, alguns emails enviados equipe de TI e aos gerentes seniores pode ser suficiente. Entretanto, qualquer organizao implantando cartes inteligentes, por exemplo, exigir muita comunicao antes, durante e depois da distribuio dos cartes inteligentes e leitores, pois os usurios precisaro familiarizar -se com um modo totalmente diferente de fazer logon em seus computadores e certamente encontraro vrias situaes novas e inesperadas.
Eles tentaro executar amostras de cdigo mal intencionado contra o ativo que o controle deve proteger? Aps a validao da eficcia do controle, como a organizao verificar se o controle continua em funcionamento e de forma constante?
A organizao deve ser capaz de provar que ningum pode modificar ou desativar o controle, seja acidentalmente ou intencionalmente, e deve determinar quem ser encarregado dessa verificao. Pode ser necessrio usar mais de uma pessoa para validar esses resultados no caso de ativos altamente confidenciais. Exemplo do Woodgrove: nas tabelas 5.3 e 5.4 abaixo, os Proprietrios da atenuao determinaram os custos dos riscos. Anote as estimativas de cada controle proposto na coluna "Custo da descrio do controle" em FerramentaGGRS3_Priorizao de risco de nvel detalhado.xls. Tabela 5.3: Custos com a implementao de cartes inteligentes para acesso VPN e administrativo Categoria Custos de aquisio Observaes O custo por cart o inteligente de US$ 15,00 e o custo por leitor tambm de US$ 15,00. Apenas 10.000 funcionrios do banco precisam de acesso VPN (virtual private networking) ou administrativo, portanto, o custo total com cartes e leitores seria de US$ 300.000,00. Custos de implementao O banco precisaria contratar uma firma de consultoria para ajudar na implementao da soluo a um custo de US$ 750.000,00. Alm disso, existiram outros custos significativos com o tempo empregado pelos funcionrios do banco: US$ 150.000,00. Custos de comunicao O banco j possui vrios mtodos estabelecidos de transmitir notcias aos funcionrios, como newsletters impressas, sites da Web internos e listas de endereamento por email, portanto, os custos com a comunicao sobre a implantao do carto inteligente no sero grandes. Custos de treinamento da equipe de TI O banco usaria a mesma organizao de consultoria usada na implementao para treinar a equipe de TI. O custo seria de US$ 10.000,00. A maioria dos membros da equipe de TI perderia de 4 a 8 horas de trabalho, um custo total estimado de US$ 80.000,00. Custos de treinamento dos usurios O banco usaria um treinamento baseado na Web do prprio fornecedor de carto inteligente para ensinar aos funcionrios como us-los. O custo est includo no preo do hardware. Cada funcionrio do banco gastaria cerca de uma hora com o treinamento, gerando uma perda total de produtividade de cerca de US$ 300.000,00. US$ 300.000,00 US$ 90.000,00 US$ 50.000,00 US$ 900.000,00 Estimativas US$ 300.000,00
O banco supe que o usurio mdio perder cerca de uma hora de produtividade e que um em cada quatro entrar em contato com o suporte para pedir ajuda com o carto inteligente. O custo da perda de produtividade seria de US$ 300.000,00 e os gastos com as chamadas ao suporte seriam de US$ 100.000,00.
US$ 400.000,00
A Equipe de gerenciamento de riscos de segurana acredita que possa realizar auditorias e verificaes de eficcia peridicas do novo controle a um custo de US$ 50.000,00 no primeiro ano.
US$ 50.000,00
Total
US$ 2.090.000,00
Tabela 5.4: Custos com a implementao de cartes inteligentes para acesso local Categoria Custos de aquisio Observaes O custo por carto inteligente de US$ 15,00 e o custo por leitor tambm de US$ 15,00. Como todos os 15.000 funcionrios do banco precisam de acesso local, o custo total dos cartes e leitores seria de US$ 450.000,00. O banco tambm precisaria atualizar ou substituir vrios aplicativos comerciais a um custo significativo: US$ 1.500.000,00. Custos de implementao O banco precisaria contratar uma firma de consultoria para ajudar na implementao da soluo a um custo de US$ 750.000,00. Alm disso, existiram outros custos significativos com o tempo empregado pelos funcionrios do banco: US$ 150.000,00. Custos de comunicao O banco j possui vrios mtodos estabelecidos de transmitir notcias aos funcionrios, como newsletters impressas, sites da Web internos e listas de endereamento por email, portanto, os custos com a comunicao sobre a implantao do carto inteligente no sero grandes. Custos de treinamento da equipe de TI O banco usaria a mesma organizao de consultoria usada na implementao para treinar a equipe de TI. O custo seria de US$ 10.000,00. A maioria dos membros da equipe de TI perderia de 4 a 8 horas de trabalho, um custo total estimado de US$ 80.000,00. Custos de treinamento dos usurios O banco usaria um treinamento baseado na Web do prprio fornecedor de carto inteligente para ensinar aos funcionrios como us-los. O custo est includo no preo do hardware. Cada funcionrio do banco gastaria cerca de uma hora com o US$ 450.000,00 US$ 90.000,00 US$ 50.000,00 US$ 900.000,00 Estimativas US$ 1.950.000,00
treinamento, gerando uma perda total de produtividade de cerca de US$ 450.000,00. Custos de produtividade e convenincia O banco supe que o usurio mdio perder cerca de uma hora de produtividade e que um em cada quatro entrar em contato com o suporte para pedir ajuda com o carto inteligente. O custo da perda de produtividade seria de US$ 450.000,00 e os gastos com as chamadas ao suporte seriam de US$ 150.000,00. Custos de auditoria e verificao de eficcia A Equipe de gerenciamento de riscos de segurana acredita que possa realizar auditorias e verificaes de eficcia peridicas do novo controle a um custo de US$ 150.000,00 no primeiro ano. Total US$ 4.190.000,00 US$ 150.000,00 US$ 600.000,00
Figura 5.9 Etapa 6 da fase de suporte s decises Ver imagem em tamanho normal
Uma armadilha comum da anlise de relao de custo/benefcio concentrar-se no valor de reduo de risco em comparao com o valor de risco aps a soluo de atenuao. Isso normalmente conhecido como risco residual. Como exemplo simples em termos quantitativos, se o risco for representado como US$ 1.000,00 hoje e o controle proposto reduzir o risco em US$ 400,00, o proprietrio da empresa deve aceitar os US$ 600,00 remanescentes de risco aps a soluo de atenuao. Mesmo que a soluo de atenuao seja infe rior a US$ 400,00, ainda existir um risco residual de US$ 600,00. Exemplo do Woodgrove: provvel que o banco decida implementar cartes inteligentes apenas para acesso remoto, pois os custos de uso na autenticao de todos os usurios so bastante altos. Anote quais solues de segurana recomendadas foram selecionadas para implementao antes de ir para a prxima fase do processo de gerenciamento de riscos de segurana da Microsoft. Incio da pgina
Resumo
Durante a fase de suporte s decises, a Equipe de gerenciamento de riscos de segurana coleta vrias informaes adicionais sobre cada um dos principais riscos identificados durante a fase de avaliao de riscos. Determina se a organizao deve controlar, aceitar, transferir ou evitar cada um dos riscos. Ento a equipe define os requisitos funcionais para cada risco. Em seguida, os Proprietrios da atenuao, em conjunto com a Equipe de gerenciamento de riscos de segurana, cria uma lista de solues de controle potenciais. A equipe ento cria uma estimativa do grau de reduo de risco oferecido por cada soluo de controle e os custos associados. Finalmente, o Comit de orientao de segurana seleciona quais solues de controle os Proprietrios da atenuao devem implementar na prxima fase, Implementando controles, descrita no prximo captulo. Incio da pgina 6 de 12
Resumo
Concluso do guia
Viso geral
O Captulo 6 explica as duas ltimas fases do processo de gerenciamento de riscos de segurana da Microsoft: Implementando controles e Analisando a eficcia do programa. A fase de implementao de controles auto-explicativa: os Proprietrios da atenuao de riscos criam e executam planos de acordo com a lista de solues de controle resultante da fase de suporte s decises a fim de atenuar os riscos identificados na fase de avaliao dos riscos. Este captulo fornece links orientao prescritiva que pode ser til aos Proprietrios da atenuao de riscos da sua organizao ao lidarem com diversos riscos. A fase de anlise da eficcia do programa uma etapa contnua usada pela Equipe de gerenciamento de riscos de segurana para verificar periodicamente se os controles implementados na fase precedente esto apresentando o grau de proteo esperado. A segunda etapa dessa fase a estimativa do progresso geral obtido pela organizao em relao ao gerenciamento de riscos de segurana como um todo. O captulo apresenta o conceito de um "Carto de pontuao de riscos" que pode ser usado para controlar o desempenho de sua organizao. Finalmente, o captulo explica a importncia de monitorar alteraes no ambiente de computao, como a adio ou remoo de sistemas e aplicativos ou a ocorrncia de novas ameaas e vulnerabilidades. Esses tipos de alteraes podem exigir uma resposta rpida por parte da organizao a fim de proteger -se contra riscos novos e em evoluo. Incio da pgina
Captulo 6: Implementan controles e analisando a eficcia do programa Apndice A: Avaliaes riscos ad hoc
Apndice B: Ativos comu de sistemas de informa Apndice C: Ameaas comuns Apndice D: Vulnerabilidades Agradecimentos
Implementando controles
Durante esta fase, os Proprietrios da atenuao usam os controles especificados durante a fase anterior. Um fator de sucesso fundamental para esta fase do processo de gerenciamento de riscos de segurana da Microsoft que os proprietrios da atenuao busquem uma abordagem holstica quando implementarem as so lues de controle. Eles devem considerar que todo o sistema de Tecnologia da Informao (TI), a unidade comercial inteira ou mesmo toda a empresa quando criarem seus planos de aquisio e implantao de solues de atenuao. A seo "Organizando controle s" deste captulo oferece uma orientao prescritiva muito til para a organizao durante a criao de planos para implementao de solues de
controle. Esta seo organizada em um modelo de defesa em profundidade para ajud-lo a encontrar orientao s obre como abordar certos tipos de problema.
Figura 6.1 O processo de gerenciamento de riscos de segurana da Microsoft: fase de implementao de controles Ver imagem em tamanho normal
Engenharia de TI Determina como implementar as solues de controle Arquitetura de TI Especifica como as solu es de controle sero implementadas de uma forma compatvel co m os sistemas de computao existentes Operaes de TI Implementa as solues de controle tcnicas Segurana da Informao Ajuda a solucionar problemas durante o teste e a implantao Finanas Garante que os nveis de gastos sejam mant idos dentro dos oramentos
Como melhor prtica, a Equipe de gerenciamento de riscos de segurana deve designar um tcnico de segurana para cada risco identificado. Um ponto nico de contato reduz o risco da Equipe de gerenciamento de riscos de segurana produzir mensagens inconsistentes, padronizando a interao entre os participantes durante todo o processo de implantao.
pessoa ou equipe apropriada para a execuo. Use prticas eficazes de gerenciamento de projeto para acompanhar o progresso e garantir a concluso dos objetivos do projeto dentro do prazo. Observao: o MSF (Microsoft Solutions Framework) pode ajud-lo a obter xito nos planos de ao criados durante esta fase. Projetado para auxiliar organizaes a fornecer solues de alta tecnologia de forma pontual e dentro do oramento proposto, o MSF uma abordagem concentrada e disciplinada voltada a projetos de tecnologia, alm de ser baseada em um conjunto definido de princpios, modelos, disciplinas, conceitos, diretrizes e prticas comprovadas da Microsoft. Para obter mais informaes, consulte www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx (site em ingls) H diversos pontos importantes que podem determinar o xito desta fase do projeto: Os executivos que patrocinam o projeto de gerenciamento de riscos devem comunicar claramente o fato de que os membros da equipe so autorizados a implementar os controles. Sem essa declarao explcita, alguns funcionrios podem discordar ou mesmo resistir aos esforos de implementao dos novos con troles. A equipe responsvel por ajudar a implementar os novos controles deve rever a prioridade das tarefas existentes. Deve ficar claro para os funcionrios e gerentes que trabalham nos controles que esta tarefa uma iniciativa de alta prioridade. Caso o oramento no inclua recursos e tempo adequados, possvel que os controles no sejam implementados de forma eficiente. Alm disso, a alocao inadequada de recursos pode levar a problemas injustamente atribudos tecnologia ou ao controle. A equipe responsvel por implementar os controles devem receber suporte financeiro, treinamento, equipamento e outros recursos adequados necessrios para implementao eficiente de todos os controles. A equipe que implementar os controles dever registrar seu progresso em um relatrio ou srie de relatrios que ser posteriormente enviado Equipe de gerenciamento de riscos de segurana e ao Comit de orientao de segurana. O Centro de Orientaes de Segurana (SGC) da Microsoft, em www.microsoft.com/security/guidance/default.mspx, oferece um conjunto organizado e completo de documentos que abordam diversos tpicos relacionados segurana. As orientaes desse site podem ajud-lo a implementar os controles selecionados de sua lista priorizada. Observao: grande parte desta seo foi retirada do site de viso geral de contedo de segurana da Microsoft: http://go.microsoft.com/fwlink/?LinkId=20263. Consulte esse site para obter as mais recentes orientaes prescritivas de segurana da Microsoft. O restante dessa seo organizado com base no modelo de defesa em profundidade da Microsoft (ilustrado abaixo). Da mesma forma que os modelos publicamente disponveis so usados por outras organizaes, o modelo multicamadas da Microsoft organiza os controles em diversas categorias abrangentes. As informaes em cada seo consistem em recomendaes e links de orientao prescritiva e documentos oficiais que descrevem os controles para proteo de todas as camadas de uma rede. A orientao prescritiva oferece uma ajuda passo a passo para o planejamento e a implantao de uma soluo de ponta a ponta. Essa orientao foi testada e validada de forma abrangente em ambientes de clientes. Os documentos oficiais e artigos geralmente oferecem boas referncias tcnicas para os recursos dos produtos ou peas de uma soluo geral; eles talvez no ofeream a amplitude das
informaes encontradas na orientao prescritiva. Observao: o item "Segurana fsica" do grfico a seguir no tem uma seo correspondente neste captulo que recomende os recursos sobre o tpico; a Microsoft ainda no publicou orientaes detalhadas sobre o assunto.
Defesas da rede
Uma arquitetura de rede bem feita e propriamente implementada fornece servios altamente disponveis, seguros, escalonveis, gerenciveis e confiveis. Voc pode ter diversas redes em sua organizao, mas deve avali -las individualmente para garantir que so seguras ou que as redes de valor elevado fiquem protegidas contra redes que no so seguras. Implementar defesas internas da rede envolve prestar ateno aos detalhes do design da rede, segurana da rede sem fio e, possivelmente, usar a segurana do protocolo da Internet (IPSec) para garantir que somente computadores confiveis tenham acesso aos recursos essenciais da rede. Orientao prescritiva Para obter uma orientao prescritiva sobre segurana de rede com firewalls, consulte o Windows Server System Reference Architecture Enterprise Design for Firewalls , parte do Windows Server System Ref erence Architecture, em www.microsoft.com/technet/ itsolutions/techguide/wssra/raguide/Firewall_Services_SB_1.mspx (site em ingls). Para obter orientao prescritiva adicional, consulte o Captulo 15, "Protegendo sua rede" em Aprimorando a segurana dos aplicativos da Web: Ameaas e contramedidas, em http://msdn.microsoft.com/library/default.asp?url=/library/en -us /dnnetsec/html/threatcounter.asp . Para obter orientao prescritiva sobre como implementar LANs sem fio seguras (WLANs) usando EAP e certificados digitais, consulte Protegendo LANs sem fio: Servios de Certificados do Windows Server 2003 em http://go.microsoft.com/fwlink/?LinkId=14843. Para obter orientao prescritiva sobre como implementar LANs sem fio seguras (WLA Ns) usando PEAP e senhas, consulte Protegendo LANs sem fio com PEAP e senhas em http://go.microsoft.com/fwlink/?LinkId=23459. Para obter orientao prescritiva sobre como usar segmentao de redes para aprimorar o desempenho e a segurana, consulte Windows Server System Reference Architecture:
Enterprise Design , parte do Windows Server System Reference Architecture, em www.microsoft.com/technet/itsolutions/techguide /wssra/raguide/Network_Architecture_1.mspx (site em ingls) Documentos oficiais e artigos Informaes sobre a implantao do IPSec esto disponveis no Captulo 6, "Overview of IPSec Deployment", do "Deploying Network Services", um dos volumes includos no Microsoft Windows Server 2003 Deployment Kit, em www.microsoft.com/technet/prodtechnol /windowsserver2003/proddocs/deployguide/dnsbj_ips_agqq.asp (site em ingls). Informaes adicionais sobre o IPSec esto disponveis no documento oficial "Using Microsoft Windows IPSec to Help Secure an Internal Corporate Network Server", em www.microsoft.com/downloads/details.aspx?FamilyID=a774012a-ac25-4a1d-8851b7a09e3f1dc9&DisplayLang=en (site em ingls). Para obter uma abordagem mais ampla da segmentao de redes e os problemas que podem ser eliminados por um projeto de rede slido, consulte "Enterprise Design for Switches and Routers", parte do Windows Server System Reference Architecture, em www.microsoft.com/technet/itsolutions/techguide /wssra/raguide/Network_Devices_SB_1.mspx (site em ingls) Para obter uma viso geral dos diferente s tipos de firewalls disponveis e como so normalmente usados, consulte "Firewalls", em www.microsoft.com/technet/security/topics/network/firewall.mspx. Mais informaes sobre o controle de quarentena de acesso rede podem ser encontradas nos seguintes documentos oficiais: Documento oficial "Network Access Quarantine Control in Windows Server 2003", em www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx (site em ingls). Documento oficial "Virtual Private Networking with Windows Server 2003: Overview" em www.microsoft.com/windowsserver2003/techinfo/overview/vpnover.mspx (site em ingls).
Defesas do host
H dois tipos de hosts: clientes e servidores. Garantir a segurana de ambos os hosts com eficincia requer um equilbrio entre o grau de proteo e o nvel de uso. Embora haja excees, geralmente a segurana do computador aumenta na mesma proporo em que seu uso diminui. As defesas do host incluem desabilitar os servios, remover direitos de usurio especficos, mante r o sistema operacional atualizado, bem como usar produtos antivrus e de firewall distribudo. Orientao prescritiva O site Microsoft Patch Management apresenta ferramentas e guias para ajudar as organizaes a testar, implantar e obter suporte a atualizaes. Consulte: www.microsoft.com/technet/security/topics/patch/default.mspx (site em ingls) Step-by- Step Guide to Securing Windows XP Professional with Service Pack 2 in Small and Medium Businesses em http://go.microsoft.com/fwlink/?linkid=19453 (site em ingls). Para orientao prescritiva sobre como proteger o Microsoft Windows XP, consulte o Guia de Segurana do Windows XP, em http://go.microsoft.com/fwlink/?LinkId=14839. Para obter orientaes prescritivas sobre o Microsoft Windows Server 2003, consulte o Guia de Segurana do Windows Server 2003 , em http://go.microsoft.com/fwlink/?LinkId=14845.
Ameaas e Contramedidas no Windows Server 2003 e no Windows XP um guia de referncia para as principais configuraes e recursos de segurana que acompanha o Windows Server 2003 e o Windows XP. Ele fornece informaes detalhadas sobre o Guia de Segurana do Windows Server 2003e est disponvel em http://go.microsoft.com/fwlink/?LinkId=15159 . Para obter orientaes prescritivas sobre segurana dos servidores com Windows 2000, consulte o Windows 2000 Security Hardening Guide , em www.microsoft.com/downloads/details.aspx FamilyID=15E83186-A2C8-4C8F-A9D0-A0201F639A56&DisplayLang=en (site em ingls) Documentos oficiais e artigos Os aplicativos e sistemas operacionais de servidor da Microsoft usam uma variedade de protocolos de rede para se comunicarem entre si e com os computadores cliente que os acessam, inclusive diversas portas TCP e UDP. Muitos desses protocolos esto documentados no artigo 832017, "Port Requirements for Microsoft Windows Server System" do Microsoft Knowledge Base em http://support.microsoft.com/?kbid=832017 (site em ingls). O "Frequently Asked Questions About Antivirus Software" um artigo objetivo que oferece uma viso geral de alto nve l dos softwares antivrus e sugestes sobre como adquirir, instalar e manter esses tipos de produtos. Ele est disponvel em www.microsoft.com/security/protect/antivirus.asp (site em ingls). O "Frequently Asked Questions About Internet Firewalls" descreve a importncia de usar firewalls, se apropriado instalar software de firewall em computadores de usurios finais e como solucionar alguns dos problemas mais comuns relacionados a esse tipo de software. Ele est disponvel em www.microsoft.com/security/protect/firewall.asp (site em ingls).
Defesas de aplicativos
As defesas de aplicativos so essenciais para o modelo de segurana. Os aplicativos existem dentro do contexto geral do sistema, portanto voc deve considerar a segurana do ambiente todo ao avaliar a segurana dos aplicativos. Todos os aplicativos devem ser completamente testados com relao conformidade de segurana antes de serem executados em um ambiente de produo. A implementao das defesas de aplicativos incluem uma arquitetura de aplicativos adequada, alm de garantir que o aplicativo esteja sendo executado com a menor quantidade de privilgio com o mnimo de exposio a ataques. Orientao prescritiva O Exchange 2003 Hardening Guide fornece informaes sobre segurana no Microsoft Exchange 2003 Server. Ele est disponvel em www.microsoft.com/downloads/details.aspx? FamilyID=6a80711f-e5c9 -4aef-9a44-504db09b9065&displaylang=en (site em ingls) O Security Operations Guide for Exchange 2000fornece orientaes sobre a segurana do Microsoft Exchange 2000 Server. Ele est disponvel em www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.mspx (site em ingls) O Captulo 18, "Protegendo seu Servidor de Banco de Dados", do guia de solues Aprimorando a Segurana dos Aplicativos da Web: Ameaas e Contramedidas inclui informaes prescritivas sobre segurana do Microsoft SQL Server. Ele est disponvel em http://msdn.microsoft.com/ library/default.asp?url=/library/en -us/dnnetsec/html/THCMCh18.asp. O guia de solues Aprimorando a Segurana dos Aplicativos da Web: Ameaas e
Contramedidas fornece os fundamentos para projetar, desenvolver e configurar aplicativos da Web ASP.NET. Ele est disponvel em http://msdn.microsoft.com/library/default.asp?url=/ library/en-us/dnnetsec/html/ThreatCounter.asp. O guia Criando aplicativos ASP.NET seguros apresenta um cenrio prtico, dedicado ao design e criao de aplicativos ASP.NET seguros para o Windows 2000 e a verso 1.0 do Microsoft .NET Framework. Ele aborda os elementos-chave de autenticao, autorizao e comunicao segura entre todas as camadas de aplicativos .NET Web distribudos. Ele est disponvel em http://msdn.microsoft.com/library/ en-us/dnnetsec/html/secnetlpMSDN.asp?frame=true. Documentos oficiais e artigos O documento oficial "Building and Configuring More Secure Web Sites" possui informaes detalhadas sobre as lies que a Equipe de segurana da Microsoft aprendeu durante o concurso de segurana online OpenHack 4 de 2002 patrocinado pela eWeek. A soluo implantada para o concurso incluiu .NET Framework, Microsoft Windows 2000 Advanced Server, IIS (Internet Information Services) verso 5.0 e SQL Server 2000. Esse aplicativo resistiu a mais de 82.500 tentativas de ataque saindo ileso da competio. O documento est disponvel em http://msdn.microsoft.com/library/en-us/dnnetsec/html/ openhack.asp (site em ingls)
Defesas de dados
Os dados so os recursos mais importantes das organizaes. Na estao de trabalho cliente, os dados so geralmente armazenados localmente e ficam sujeitos a ataques. Os dados podem ser protegidos de diversas maneiras, inclusive com o uso do servio de criptografia EFS (Encrypting File Service) e com backups seguros freqentes. Orientao prescritiva Para obter informaes sobre o backup de dados em redes Windows 2000, consulte o guia Backup and Restore Solution for Windows 2000based Data Centers em www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/backuprest default.mspx (site em ingls) Para obter instrues passo a passo sobre como implementar o servio EFS, consulte o artigo Step-by- Step Guide to Encrypting File System (EFS), disponvel em www.microsoft.com/windows2000/techinfo/planning/security/efssteps.asp (site em ingls) Incio da pgina
Figura 6.3 O processo de gerenciamento de riscos de segurana da Microsoft: fase de anlise da eficcia do programa Ver imagem em tamanho normal
pontuao de riscos de segurana (explicado abaixo), verificar se os controles foram implementados e esto atenuando os riscos conforme o esperado e monitorar o ambiente de sistemas de informao a fim de detectar alteraes que possam adulterar o perfil de riscos da organizao. O Grupo de segurana de informaes fornece relatrios contnuos ao Comit de orientao de segurana. Alm disso, os Proprietrios da atenuao auxiliam a Equipe atravs da comunicao das alteraes importantes infra-estrutura de computao e dos detalhes sobre os eventos de segurana. Para reiterar, o processo de anlise da eficcia do programa inclui as seguintes funes, definidas no Captulo 3, "Viso geral do gerenciamento de riscos de segurana": Equipe de gerenciamento de riscos de segurana (o Grupo de segurana de informaes, o Facilitador de avaliao de riscos e o Secretrio de avaliao de riscos) Proprietrios da atenuao (Arquitetura de TI, Engenharia de TI e Operaes de TI) Comit de orientao de segurana (Patrocinador executivo, Proprietrios de empresas, Arquitetura e Engenharia de TI) Segurana de informaes Cria relatrios resumidos para o Comit de orientao de segurana com relao a eficcia das solues de controle que foram implantadas e com relao s alteraes no perfil de riscos da organizao. Alm disso, cria e mantm o Carto de pontuao de riscos de segurana da organizao. Auditoria interna Valida a eficcia da solu o de controle. Engenharia de TI Comunica as alteraes prestes a serem realizadas Equipe de gerenciamento de riscos de segurana. Arquitetura de TI Comunica as alteraes planejadas Equipe de gerenciamento de riscos de segurana. Operaes de TI Comunica os detalhes de eventos de segurana Equipe de gerenciamento de riscos de segurana.
Alteraes aprovadas
Relatrios explicando alteraes prestes a serem iniciadas que sero feitas ao ambiente de sistemas de informao
Eventos de segurana
Relatrios que detalham eventos de segurana no planejados que afetaram o ambiente de sistemas de informao
Relatrio que mostra como as ameaas anteriormente identificadas foram alteradas devido a novas ameaas, novas vulnerabilidades ou alteraes ao ambien te de sistemas de informao da organizao.
exemplo, algumas organizaes podem organizar o risco por unidades comerciais ou ambientes exclusivos de TI. (Um ambiente de TI um conjunto de ativos de TI que compartilham um proprietrio e uma finalidade de negcios comum.) No caso de uma empresa bastante descentralizada, possvel ter diversos Cartes de pontuao de riscos de segurana.
Figura 6.4 Exemplo do Carto de pontuao de riscos de segurana Ver imagem em tamanho normal O Carto de pontuao de riscos de segurana tambm pode ser parte de um "painel de controle" de TI mais abrangente, que mostre as principais estatsticas das Operaes de TI. A prtica de medir e comunicar as estatsticas de TI em um painel de controle tambm uma prtica recomendada da Microsoft. Para obter mais informaes, consulte "Measuring IT Health with the IT Scorecard" em www.microsoft.com/technet/itsolutions/msit/busint/scoretcs.mspx (site em ingls)
de outras configuraes de segurana importantes. Mais informaes sobre o MBSA esto disponveis em www.microsoft.com/technet/security/tools/mbsahome.mspx (site em ingls) Embora o MBSA seja gratuito e muito til, existem outras ferramentas de avaliao automatizadas de diversos fornecedores. A outra abordagem mencionada anteriormente foi o teste de invaso. Em um teste de invaso, uma ou mais pessoas so autorizadas a realizar testes automticos e manuais para determinar se conseguem invadir na rede da organizao, de diversas formas. Algumas organizaes realizam testes de invaso usando seus prprios especialistas internos em segurana, enquanto outros contratam especialistas. Independente de quem realize os testes de invaso, o Grupo de segurana de informaes deve ser responsvel por gerenciar o processo e acompanhar os resultados. Enquanto o teste de invaso uma abordagem eficiente, nem sempre ele revela uma grande variedade de vulnerabilidades, pois ele no to completo quando uma avaliao de vulnerabilidades propriamente implementada. Portanto, recomendvel que voc complemente os testes de invaso com outras metodologias. Observao: para obter mais informaes sobre o teste de invaso, consulte o livro Assessing Network Security , escrito por membros da Equipe de segurana da Microsoft Ben Smith, David LeBlanc e Kevin Lam (Microsoft Press, 2004). Voc tambm pode verificar a conformidade por outros meios. O Grupo de segurana de informaes deve incentivar todos da organizao a fornecer um feedback. Ou (opcionalmente), a equipe pode instituir um processo mais formal em que cada unidade comercial deva enviar relatrios peridicos de conformidade. Como parte do processo de resposta a incidentes de segurana, o Grupo de segurana de informaes cria seus prprios relatrios que documentam os sintomas que originaram ou causaram o problema, quais os dados expostos, quais sistemas foram comprometidos e como o ataque aconteceu. Muitas coisas podem causar um incidente de segurana, incluindo cdigos maliciosos como worms ou vrus; usurios internos que acidentalmente violam as polticas; usurios internos que expem informaes confidenciais deliberadamente; invasores externos que trabalham para organizaes concorrentes ou governos estrangeiros e desastres naturais. As etapas realizadas pelo Grupo de segurana de informaes tambm devem ser documentadas. A eficcia do Grupo de segurana de informaes tambm pode ser acompanhada de diversas outras formas, como: O nmero de incidentes de segurana abrangentes que afetaram organizaes similares mas foram atenuados pelos controles recomendados pela Equipe de segurana. O tempo necessrio para restaurar completamente os servios de computao aps incidentes de segurana. A quantidade e a qualidade de contatos dos usurios. O nmero de comunicaes apresentadas internamente. O nmero de aulas de tre inamento oferecidas internamente. O nmero de avaliaes realizadas. O nmero de conferncias de segurana de computadores assistidas. O nmero e a qualidade de discursos pblicos assistidos. As certificaes profissionais conseguidas e mantidas.
Para ser eficiente, o gerenciamento de riscos de segurana precisa ser um processo contnuo em vez de um projeto temporrio. A reavaliao peridica do ambiente atravs dos processos descritos no Captulo 4, "Avaliando os riscos", o primeiro passo para se comear um ciclo novo. A Equipe de gerenciamento de riscos de segurana deve reutilizar e atualizar as listas de ativos, vulnerabilidades, controles e outras propriedades intelectuais desenvolvidas durante o projeto inicial de gerenciamento de riscos. A Equipe pode usar seus recursos de forma mais eficiente, concentrando-se nas alteraes ao ambiente operacional da organizao. Caso nenhum ativo tenha sido alterado desde a ltima reviso, no necessrio revis-lo nos mnimos detalhes desta vez. A equipe pode determinar onde se concentrar, reunindo informaes atuais, precisas e relevantes sobre as alteraes que afetam os sistemas de informaes da organizao. Os eventos internos que exigem uma apurao mais cuidadosa incluem a instalao de novos hardwares e softwares nos computadores; novos aplicativos desenvolvidos internamente; reorganizaes corporativas; aquisies e fuses corporativas; bem como liquidaes de partes da organizao . Tambm recomendvel revisar a lista de riscos existente para determinar se houve alteraes. Alm disso, examinar os registros de auditoria de segurana pode trazer idias sobre outras reas a investigar. A equipe tambm deve alertar sobre alteraes feitas fora da organizao que podem afetar a segurana de informaes. Veja alguns exemplos: Revisar os sites e lista de distribuio de fornecedores para obter informaes sobre novas atualizaes e nova documentao de segurana. Monitorar sites e lista de distribuio de terceiros para obter informaes sobre novas pesquisas de segurana e anncios sobre vulnerabilidades de segurana. Assistir a conferncias e simpsios que abordam os tpicos de segurana de informaes. Participar de treinamentos sobre segurana de informaes. Atualizar-se atravs de leitura de livros sobre segurana de computadores e de rede. Ficar atento aos anncios de novos mtodos e ferramentas de ataque. Incio da pgina
Resumo
Durante a fase de implementao de controles, os Proprietrios de atenuao implantaram as solues de controle que o Comit de orientao de segurana escolheu durante a fase de suporte s decises. Os Proprietrios de atenuao tambm forneceram relatrios sobre seu progresso com relao s solues de controle Equipe de gerenciamento de riscos de segurana. A quarta fase do processo de gerenciamento de riscos de segurana da Microsoft dominada por atividades contnuas que sero realizadas at que a Equipe de gerenciamento de riscos de segurana inicie o ciclo seguinte com uma nova avaliao de segurana. Essas atividades contnuas incluem relatrios detalhados explicando as alteraes ao ambiente de sistemas de informaes em planejamento; documentao das alteraes ao ambiente de sistemas de informaes prestes a iniciar; e explicao de eventos de segurana no planejados que afetaram o ambiente de sistemas de informaes. Essa fase tambm incluiu relatrios da Equipe de gerenciamento de riscos de segurana que resumem a que grau as solues de controle atenuaram os riscos, e um relatrio mostrando ameaas identificadas alteradas devido a novas ameaas, novas vulnerabilidades ou alteraes ao ambiente de sistemas de informaes da organizao. Finalmente, essa fase inclui criao e manuteno do Carto de pontuao de riscos de segurana que demonstra o perfil atual de
riscos da organizao.
Concluso do guia
Este guia apresentou a abordagem da Microsoft ao gerenciamento de riscos de segurana. Ele uma abordagem proativa que pode ajudar organizaes pequenas, mdias e grandes a reagir aos riscos de segurana que ameaam o seu sucesso. Um processo formal de gerenciamento de riscos de segurana permite que as empresas operem de maneira mais eficiente com um nvel conhecido e aceitvel de riscos de negcios, alm de oferecer um caminho claro e consistente para que organizem e priori zem seus limitados recursos a fim de gerenciar riscos. Voc descobrir os benefcios do uso do gerenciamento de riscos quando implementar controles eficientes em termos de custo que reduzam os riscos a um nvel aceitvel. A definio de risco aceitvel e a abordagem de gerenciamento de riscos variam de acordo com a organizao. No h uma resposta correta nem incorreta; h diversos modelos de gerenciamento de riscos sendo usados atualmente. Cada modelo equilibra de modo diferente a sua preciso, recursos, tempo, complexidade e subjetividade. Investir em um processo de gerenciamento de riscos baseado em um mtodo de trabalho slido e funes e responsabilidades bem definidas prepara a organizao para que possa determinar suas prioridades, planejar a ate nuar ameaas e criar uma estratgia de resposta a ameaas e vulnerabilidades futuras que comprometam os negcios. O processo de gerenciamento de riscos de segurana da Microsoft usa padres da indstria para apresentar diversos modelos reconhecidos de gerenciamento de riscos em um processo de quatro fases iterativo que busca equilibrar custo e eficcia. Durante um processo de avaliao de riscos, etapas de qualificao identificam rapidamente os riscos mais graves. Deve ser seguido por um processo quantitativo baseado em funes e responsabilidades definidas. Essa abordagem oferece mnimos detalhes e leva a uma compreenso completa dos riscos mais importantes. Juntas, as etapas de qualificao e quantificao do processo de avaliao de riscos fornecem a base necessria para que decises importantes sejam tomadas quanto aos riscos e como atenu-los de acordo com um processo de negcios inteligente. Agora que voc j leu o guia todo, est pronto a iniciar o processo; volte ao Captulo 4, "Avaliando os riscos" para comear. Incio da pgina
Incio da pgina
7 de 12
fio a parceiros de negcios convidados"? ou "Quais so os riscos incorridos ao permitir que dispositivos mveis se conectem aos recursos da empresa"?. A avaliao de riscos ad hoc utiliza a metodologia discutida no processo; contudo, a priorizao do risco e da sua soluo em relao a outros riscos da empresa no uma etapa obrigatria. Uma priorizao formal poder ser necessria apenas quando o custo da soluo de atenuao for alto. Em geral, uma comparao aos riscos similares capaz de fornecer informaes suficientes priorizao da avaliao de riscos ad hoc. Obviamente, os resultados da avaliao ad hoc sero incorporados ao processo formal, conforme apropriado. O modelo de discusso de risco includo na seo Ferramentas deste guia pode ser usado tambm na avaliao de riscos ad hoc. Contudo, possvel que a coleta de dados exija somente a pesquisa em vez de reunies com os participantes do programa. A Equipe de gerenciamento de riscos de segurana deve responder as questes chave no modelo, por m a prpria equipe pode ser capaz de fornecer essas repostas. Por exemplo, se a equipe estiver tentando compreender os riscos associados aos dispositivos mveis, investigar a taxa de perda dos dispositivos pode ser uma informao necessria. Essa informao pode ser descoberta por meio de pesquisa externa ou atravs de outras equipes de TI responsveis pela manuteno. A avaliao de riscos ad hoc pode ser estruturada em um documento da seguinte forma: Resumo executivo. Esse resumo deve apresentar uma viso geral da avaliao e deve poder ser extrado da avaliao de riscos como um documento independente. Lista de suposies relacionadas ao escopo e objetivos da avaliao de riscos ad hoc. Uma descrio do ativo sendo protegido e o seu valor aos negcios. Uma declarao de risco bem definida, conforme descrito no processo de gerenciamento de riscos de segurana, que aborde as seguintes questes: Contra que riscos voc deseja proteger o ativo? De que forma a perda ou a exposio pode ocorrer? Qual a extenso da exposio potencial em relao ao ativo? O que est sendo feito atualmente para reduzir a probabilidade de ocorrncia do risco ou atenuar o seu impacto caso as medidas de proteo falhem? Qual o risco geral? Inclua uma decla rao similar a "H uma alta probabilidade de que o ataque comprometeria a integridade de ativos digitais de mdio impacto, o que representa um alto risco organizao." Que medidas podem ser tomadas para reduzir a probabilidade
no futuro?
Uma nica avaliao de riscos pode conter diversos cenrios de ameaa. No exemplo da soluo de acesso sem fio a parceiros convidados, um cenrio pode representar o risco de um dos convidados atacar outro convidado; um segundo cenrio pode demonstrar um ataque externo a um dos convidados; um terceiro cenrio pode representar um convidado que abuse do acesso e ataque um alvo na Internet. Voc deve desenvolver uma declarao de risco para cada cenrio aplicvel. Quando os riscos forem compreendidos, poder bastar apenas informar sobre a sua existncia. possvel tambm que o resultado desejado seja uma declarao dos requisitos funcionais da Equipe de gerenciamento de riscos de segurana. Se os requisitos funcionais forem gerados, eles devero ser associados aos riscos especficos a que se referem. Um documento de avaliao de riscos com requisitos funcionais de segurana uma ferramenta eficaz para ajudar a empresa a compreender o risco e encontrar a melhor soluo de atenuao. Incio da pgina
8 de 12
Tangvel
Infraestrutura fsica
Tangvel
Infraestrutura fsica
Tangvel
Infraestrutura fsica
Tangvel
Infraestrutura fsica
Roteadores
Tangvel
Infraestrutura fsica
Comutadores de rede
Tangvel
Infraestrutura fsica
Mquinas de fax
Tangvel
Infraestrutura fsica
Tangvel
Infraestrutura fsica
Mdia removvel (por exemplo, fitas, disquetes, CDROMs, DVDs, unidades de disco rgido portteis, dispositivos de armazenamento de placa PCMCIA, dispositivos de armazenamento USB etc.)
Tangvel
Infraestrutura fsica
Fontes de alimentao
Tangvel
Infraestrutura
Sistema de alimentao
fsica
ininterrupta (nobreak)
Tangvel
Infraestrutura fsica
Tangvel
Infraestrutura fsica
Sistemas de ar condicionado
Tangvel
Infraestrutura fsica
Sistemas de filtragem de ar
Tangvel
Infraestrutura fsica
Tangvel
Dados de intranet
Cdigo-fonte
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Cartes inteligentes
Tangvel
Dados de intranet
Propriedade intelectual
Tangvel
Dados de intranet
Dados de requisitos de regulamentao (GLBA, HIPAA, CA SB1386, Diretiva de proteo de dados da UE etc.)
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Planos estratgicos
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de intranet
Tangvel
Dados de
Dados etnogrficos
intranet Tangvel Dados de extranet Tangvel Dados de extranet Tangvel Dados de extranet Tangvel Dados de extranet
dos funcionrios Dados de contrato de parceiros Dados financeiros de parceiros Dados de contato de parceiros Solicitao de colaborao de parceiros 3 3 5 5
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Dados de contrato de fornecedores Dados financeiros de fornecedores Dados de contato de fornecedores Solicitao de colaborao de fornecedores
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Tangvel
Dados de extranet
Tangvel
Dados de extranet
fornecedores Tangvel Dados de Internet Tangvel Dados de Internet Tangvel Dados de Internet Tangvel Dados de Internet Tangvel Dados de Internet Aplicativo de vendas na Web Dados de marketing do site Dados de carto de crdito de clientes Dados de contato de clientes Chaves de criptografia pblicas Tangvel Dados de Internet Tangvel Dados de Internet Tangvel Dados de Internet Tangvel Dados de Internet Intangvel Intangvel Reputao Credibilidade pblica Intangvel Moral dos funcionrios Intangvel Produtividade dos funcionrios Servios de TI Envio de mensagens Email/agendamento (por exemplo, o Microsoft Exchange) Servios de TI Envio de mensagens Mensagens instantneas 1 3 3 3 Documentao do produto Materiais de treinamento 5 3 3 1 C omunicados imprensa Documentos oficiais 1 1 1 3 5 3 5
Servios de TI Envio de mensagens Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal Servios de TI Infraestrutura principal
DHCP
Armazenamento
Telefonia
SharePoint)
Incio da pgina
9 de 12
Pessoa mal-intencionada Pessoa mal-intencionada Pessoa mal-intencionada Pessoa mal-intencionada Pessoa mal-intencionada Pessoa mal-intencionada
Engenharia social Funcionrio atual descontente Antigo funcionrio descontente Terrorista Funcionrio negligente Funcionrio desonesto (subornado ou vtima de chantagem)
Pessoa mal-intencionada
Incio da pgina
10 de 12
no fecham totalmente o cmodo no teto e no cho Natural Prdio construdo sobre uma falha geolgica Natural Prdio localizado em uma zona de inundao Natural Prdio localizado em uma rea de avalanche Hardware Hardware Patches ausentes Firmware desatualizado Hardware Sistemas mal configurados Hardware Sistemas sem segurana fsica Hardware Protocolos de gerenciamento permitidos atravs de interfaces pblicas Software Software antivrus desatualizado Software Software Patches ausentes Aplicativos mal escritos Software Aplicativos mal escritos Software Aplicativos mal escritos CSS (Cross site scripting) Incluso de cdigo SQL Pontos fracos do cdigo, como estouros de buffer Software Pontos fracos intencionais Portas dos fundos do fornecedor
destinadas ao gerenciamento ou recuperao do sistema Software Pontos fracos intencionais Spyware, como programas de registro de teclas Software Ponto fraco intencional Software Pontos fracos intencionais Software Erros de configurao Processos manuais resultantes em configuraes inconsistentes Software Erros de configurao Sistemas sem proteo avanada Software Erros de configurao Sistemas sem auditoria Software Erros de configurao Sistemas sem monitorao Mdia Comunicaes Interferncia eltrica Protocolos de rede no criptografados Comunicaes Conexes a redes mltiplas Comunicaes Protocolos desnecessrios permitidos Comunicaes Falta de filtragem entre segmentos da rede Humanas Procedimentos mal definidos Falta de preparo para responder aos incidentes Cavalos de Tria
Humanas
Processos manuais
Humanas
Humanas
Testes dos sistemas de produo Violaes no comunicadas Controle de alterao mal executado
Humanas
Humanas
Humanas
Roubo de credenciais
Incio da pgina
11 de 12
Marco Nuijen, Microsoft, Pases Baixos David Smith, Microsoft Services Brad Warrender, Microsoft Services John Weigelt, Microsoft, Canad Jessica Zahn, EUA -MSCOM Pub Internacional Brian Shea, Bank of America Perante a solicitao da Microsoft, o Instituto Nacional de Padres e Tecnologia (NIST) do Departamento de Comrcio dos Estados Unidos tambm participou da reviso deste documento da Microsoft e proporcionou comentrios que foram incorpo rados nas verses publicadas. Incio da pgina
12 de 12