Gestao de riscos Cerutti - IES. Gerência de riscos Conteúdo baseado nos conceitos gerais do National Institute of Standards and Technology (NIST) Special.

Gestao de riscos

Cerutti - IES

Gerência de riscos• Conteúdo baseado nos conceitos gerais do National Institute

of Standards and Technology (NIST) Special Publication (SP) 800-27, Engineering Principles for IT Security”,

• Em conjunto com os princípios e práticas do NIST SP 800-14, Generally Accepted Principles and Practices for Securing Information Technology Systems.

• Adicionalmente, é aderente com as políticas apresentadas na Office of Management and Budget (OMB) Circular A-130, Appendix III, “Security of Federal Automated Information Resources”;

• E o Computer Security Act (CSA) of USA Govenment

Objetivo

• O objetivo de um programa de segurança é para mitigar os riscos.

• Mitigação de riscos não significa eliminálos.• Significa reduzi-las a um nível aceitável. • Para certificar-se de que os controles de

segurança são efetivos para controlar os riscos em seu ambiente,

você precisa antecipar quais tipos de incidentes podem ocorrer no seu

ambiente.

Sofisma

• Não é questão de SE OCORRER um ataque ou incidente.

• A questão é:– QUANDO ocorrer,– Estar preparado para responder da melhor

maneira (eficácia).

Riscos no “Ecossistema”da Segurança

Data centers

A Análise de Riscos tem por objetivo:

- Mapear e tratar adequadamente as ameaças e vulnerabilidades do ambiente;

- Identificar riscos;

- Quantificar o impacto das ameaças; e

- Conseguir um equilíbrio financeiro entre o impacto do risco e custo da contramedida.

A identificação dos riscos e seu correto entendimento irá direcionar os investimentos de forma consciente, obtendo melhores resultados.

Nesse processo é necessário se quantificar o

impacto dos riscos existentes no ambiente sobre os resultados da empresa ou instituição.

Com a análise de risco é possível verificar qual o investimento necessário à infra-estrutura de segurança de modo que os riscos inaceitáveis sejam gerenciados.

Riscos

Probabilidade de ocorrência de um acidente ou evento adverso;

Probabilidade de danos potenciais;

Fator, evento ou condição incerta, com efeito positivo ou negativo sobre os objetivos da instituição ou empresa;

O Risco é a relação existente entre a probabilidade de que uma ameaça de evento adverso ou acidente determinado se concretize e o grau de vulnerabilidade do sistema receptor e seus efeitos.

Risco é a probabilidade de um agente de ameaça efetivar uma ameaça, via exploração de uma vulnerabilidade de um ativo, causando impactos que comprometem o cumprimento da missão.

Risco Ambiental

Possibilidade de dano, enfermidade ou morte resultante da exposição de seres humanos, animais ou vegetais a agentes ou condições ambientais potencialmente perigosas.

Ameaças

Ação ou evento que potencialmente pode romper a segurança e causar danos.

Agentes ou condições dispostos a explorar vulnerabilidades para geração de incidentes.

Ex.: funcionários insatisfeitos, enchentes, temperatura, ex-funcionários, concorrentes.

É necessário identificar as falhas de segurança e as ameaças ativas, reagindo de acordo com o nível de gravidade do risco e as potenciais perdas.

Na análise de risco é realizado um levantamento das ameaças e vulnerabilidades do ambiente.

As informações resultantes deste levantamento são correlacionadas com os ativos da empresa ou instituição, onde são analisados os riscos possíveis a cada ativo e o valor financeiro que este risco representa.

O resultado na análise de risco fornece informações estratégicas que possibilitam a definição de um limite entre os investimentos em segurança e os riscos aceitáveis.

Processos

Análise do fluxo de informação, da geração da informação e de seu consumo. Analisa também como a informação é compartilhada entre os setores da organização.

Pessoas

As pessoas são ativos da informação e executam processos, logo, precisam ser analisadas.

Pessoas podem possuir grandes e importantes vulnerabilidades.

Ex.: Desconhecer a importância da segurança, desconhecer suas obrigações e responsabilidades, deixando processos com “dois pais” e outros “órfãos”.

Ambientes

É o espaço físico onde acontecem os processos, onde as pessoas trabalham e onde estão instalados os componentes de tecnologia.

Este item é responsável pela análise de áreas físicas.

Ex.: Acesso não autorizado a servidores, arquivos, agendas, cofres e fichários.

Impacto

Ainda nesse processo é necessário se determinar qual o grau de prejuízo da empresa ou instituição se determinado ativo tornar-se indisponível, público ou não confiável (sem integridade).

Benefícios da Análise e Gerenciamento de Riscos

- Maior conhecimento do ambiente, seus problemas e riscos;

- Possibilidade de tratamento das vulnerabilidades, com base nas informações geradas;

- Informações estratégicas sobre investimentos;

- Maior organização e aderência a padrões de segurança;

- Maior confiabilidade do ambiente após a análise;

- Informações para o desenvolvimento da Política de Segurança da instituição.

- Melhoria na identificação de ameaças e oportunidades;

- Valoração da incerteza e da variabilidade;

- Gerenciamento pró-ativo ao invés de reativo;

- Alocação e uso mais efetivo de recursos;

- Melhoria no gerenciamento de incidentes e redução nas perdas e no custo do risco;

- Melhoria na confiança do stakeholder e no relacionamento;

- Menos surpresas;

- Exploração de oportunidades;

- Melhoria no planejamento e no desempenho da instituição;

- Economia e eficiência;

- Melhoria na reputação;

- Proteção da alta administração;

- Melhoria pessoal.

Produtos Finais:

- Reunião de conclusão da análise;

- Relatório de Análise de Risco;

- Plano de Ação para curto e médio prazo.

Diagnóstico

Para que isso ocorra é necessário diagnosticar a situação da segurança na organização e recomendar ações e contramedidas para cada vulnerabilidade mapeada.

O Diagnóstico consiste em um processo de identificação dos riscos de segurança a que a organização está exposta.

Ele será realizado através de uma avaliação sistemática que visa o mapeamento das ameaças e vulnerabilidades.

O Risco deve ser visto e entendido para que as oportunidades sejam maximizadas e as potenciais perdas sejam minimizadas.

O Risco representa a capacidade de enxergar o futuro e suas conseqüências, podendo ele ser tanto positivo quanto negativo.

De fato, existe o risco de se perder algo, mas também existe o risco de se ganhar algo.

“Você deseja uma válvula que não vaze e faz

todo o possível para desenvolvê-la. Mas no mundo real só existem válvulas que vazam. Você tem de determinar o grau de vazamento que pode tolerar.”

Foi com esta frase que o The New York Times apresentou, em 3 de janeiro de 1996, o obituário de Arthur Rudolph, o cientista responsável pelo desenvolvimento do foguete Saturno 5, que lançou a primeira missão Apolo à Lua.

A frase representa, de forma peculiar, a inquietação dos cientistas quanto ao uso seguro da tecnologia.

norma NIST 800-34Propósito e escopo dos planos de emergência de segurança em TI

Interrelação entre os planosComputer Security Incident Handling Guide Special Publication NIST-800-61

Eventos e incidentes• Segundo a norma NIST 800-61 [18] , um Incidente é um

Evento Adverso. • Um evento pode ser considerado qualquer ocorrência

observável em um sistema ou rede. • Eventos na área da informação digital incluem:

– um usuário conectando em um sistema de compartilhamento de arquivos,

– um servidor recebendo uma requisição de páginas web através do HTTP,

– ou um usuário enviando e recebendo emails, – e um firewall bloqueando pacotes que estejam tentando uma

conexão.

Eventos e incidentes

• Eventos Adversos são aqueles com consequências negativas, como uma pane em um sistema, inundação de pacotes na rede (packets flood) acesso naão autorizado a sistemas privilegiados ou dados sensíveis bem como a execução de código malicioso que pode levar a perda de dados.

Incidente

• Um incidente de segurança computacional é:– uma violação ou ameaça de violação eminente

das políticas de segurança, – do uso aceitável dessas políticas – ou das práticas padrões de segurança da

informação • Exemplo de incidente pode ser o DDOS

(ataque distribuído de negação de serviço ).

Análise gestão de risco

• Uma análise efetua uma varredura dos recursos de informação existentes na organização e seus controles, processos e políticas.

• A partir desses dados, a gestão de risco trata do que permanece como vulnerabilidade nos sistemas computacionais e na organização como um conjunto.

Contingência

• Gestão de riscos combina o potencial de perdas de cada recurso, ou conjunto de recursos,

• com uma taxa estimada de ocorrências para estabelecer o nível de danos, em moeda ou outro tipo de ativo.

• Os planos de contingência e recuperação podem dessa forma ser analisados sob a perspectiva da análise e gerência de riscos.

Plano de contingência

Conveniência e impacto

Matriz risco/probabilidade/impacto

• As estratégias de recuperação podem ser associadas aos grupos determinados pela gerência dos riscos. Os riscos podem ser classificados segundo a metodologia descrita na Tabela 2, disponível a seguir.

• Uma matriz de avaliação dos riscos pode ser aplicada para verificação das probabilidades de ocorrência de incidente de segurança da informação.

• Elabora-se um ESCORE para a classificação desses riscos em tipo de risco/impacto/probabilidade.

Atividade - entregar

• Crie uma tabela risco/probabilidade/impacto para incidentes envolvendo os seguintes ativos de informação, considerando uma empresa de plano de saúde privada:– Banco de dados corporativo– Servidor WEB; – servidor de email;– servidor de impressão; – link de Internet.

Recuperação

• É a restauração do serviço de processamento da informação ou outros ativos relacionados a informação, após algum incidente, dano ou destruição física. Exige ações pré-determinadas para ser efetiva.

• Essas ações estão descritas nos planos de recuperação (sejam de incidentes, desastres ou de contingencia).

• Esses planos precisam considerar o RPO e o RTO, os quais veremos na sequência.

Objetivo do ponto de recuperação – RPO

• • Recovery point objective (RPO). É a medida do

ponto anterior a uma interrupção, a partitir do qual os dados devem ser recuperados. Pode ser tratado como a idade dos arquivos os quais devem ser recuperados da mídia de armazenamento de backups, objetivando o retorno ao normal das operações de um computador, sistema ou rede após um evento danoso.

RPO

• O RPO é expresso em unidades de tempo passado desde o momento da falha, podendo ser especificado em segundos, minutos, horas ou dias.

Importante• Ele é uma consideração muito importante nos

planos de contingência (CP), recuperação de incidentes (IRP) ou recuperação de desastres (DRP)

• Uma vez que o Objetivo do Ponto de Recuperação de um dado computador, sistema ou rede tenha sido definido, ele determina a frequência minima na qual os backups deve ser processados.

• O objetivo do Tempo de Recuperação (RTO) auxilia na escolha das tecnologias as quais devem ser empregadas para o desempenho esperado na recuperação do evento.

RPO

• Por exemplo, se o RPO é de 1 hora, os backups devem ser executados no mínimo a cada hora. Nesse caso, discos externos redundantes podem solucionar o problema.

• Se o RPO for de 5 dias, (120 horas), os backups devem ser executados em períodos de 120 horas ou menos. Nessa situação, os backups em fita podem ser usados.

Objetivo do tempo de recuperação (RTO)

• O Recovery time objective, conhecido como “RTO” é o montante de tempo permitido até a recuperação de uma função do negócio ou um recurso após a ocorrência de um evento (incidente ou desastre).

• Nos processos de planejamento de recuperação de incidentes, todas as funcionalidades críticas para os negócios devem ser analisadas para determinar-se os requisitos de tempo de restauração dos serviços.

• Os objetivos de tempo de restauração são determinados para cada funcionalidade ou sistema, e irão direcionar a seleção de procedimentos. A Tabela 3, presente a seguir, mostra uma matriz genérica usada para classificar as necessidades de recuperação em termos temporais para funcionalidades ou sistemas necessários aos negócios da organização.

• O RTO e o RPO e suas relações com os custos para minimizar esses os tempos de recuperação de incidentes,

• bem como as técnicas mais usadas em cada momento após o evento estão ilustrados na Figura a seguir.

Atividade - entregar• 1-RESUMA em 5 linhas as diferenças entre RPO e RTO• 2-Crie uma tabela com base na tabela 3, onde estejam

especificados os Objetivos de tempo de recuperação para um cenário empresarial que tenha um plano de recuperação de incidentes envolvendo os seguintes ativos de informação:– Banco de dados corporativo– Servidor WEB; – servidor de email;– servidor de impressão; – link de Internet.

Downtime - Causas

A Figura n apresenta o modelo de gerenciamento de risco adotado pela AS/NZS 4360:2004. O modelo apresenta os elementos do gerenciamento de risco:

• Estabelecimento de contexto;• Identificação de risco;• Análise de risco;• Avaliação de risco;• Tratamento de risco;• Monitoramento e revisão;• Comunicação e consulta.

Figura 1: Modelo AS/NZS 4360:2004.

De acordo com a Figura 1, após a análise de risco são necessárias atividades de avaliação de risco, de tratamento de risco, de monitoramento e revisão e de comunicação e consulta.

A análise de risco é feita após o estabelecimento de contexto e a identificação de risco.

Um dos grandes benefícios da implementação de um processo de análise de risco é a identificação de pontos que representam ameaça ao cumprimento da missão estratégica da organização.

As ações tomadas com base na compreensão, na medição e na avaliação do risco fazem com que as chances de sucesso aumentem, já que danos são minimizados e oportunidades são maximizadas.

No entendimento do risco deve se considerar suas diferentes naturezas. Apesar de haver um inter-relacionamento entre os diferentes tipos de risco, eles são normalmente abordados de uma forma particular para cada área de conhecimento (Figura 2 ).

A Figura 2 apresenta as diferentes naturezas do risco:

Assim, a forma como o risco deve ser tratado é definido levando-se em consideração os aspectos do projeto e o modelo de gerenciamento de risco como o da Figura n.

Figura 3: Modelo de Gestão de Segurança da Informação para APF.

Ciclo PDCA

O Ciclo PDCA nasceu no escopo da tecnologia TQC (Total Quality Control) como uma ferramenta que melhor representava o ciclo de gerenciamento de uma atividade.

O conceito do Ciclo evoluiu ao longo dos anos vinculando-se também com a idéia de que, uma organização qualquer, encarregada de atingir um determinado objetivo, necessita planejar e controlar as atividades a ela relacionadas.

O Ciclo PDCA compõe o conjunto de ações em seqüência dada pela ordem estabelecida pelas letras que compõem a sigla:

P (plan: planejar);

D (do: fazer, executar);

C (check: verificar, controlar); e

A (act: agir, atuar corretivamente).

Como pode ser visto na Figura 21, vários processos definidos no PMBOK tratam especificamente do risco:

• Planejamento do gerenciamento de risco;• Identificação de risco;• Análise de risco qualitativa;• Análise de risco quantitativa;• Planejamento de resposta ao risco;• Monitoramento e controle de risco.

Figura 4: Risco no PMBOK.

Figura 7: Risco no PMBOK.

O processo de planejamento do gerenciamento de risco do PMBOK, por exemplo, é definido da seguinte forma:

• Inputs;• Fatores organizacionais;• Atitude e tolerância com relação ao risco;• Processos organizacionais;• Categorias de risco;• Definição de conceitos e termos;• Papéis e responsabilidades;• Níveis de autoridade para tomada de decisão;

• Escopo do projeto;• Plano de gerenciamento do projeto;• Ferramentas e técnicas;• Reuniões e análises;• Output;• Plano de gerenciamento de risco.

A estrutura do plano do gerenciamento de risco segue o seguinte formato:

• Metodologia;• Papéis e responsabilidades;• Investimento;• Cronograma;• Categorias de risco (RBS);• Definição da probabilidade e impacto do risco;• Matriz de probabilidade e impacto;• Tolerância dos stakeholders;• Formato dos relatórios;• Auditoria.

O RBS pode ser visto na Figura 15, e divide os riscos identificados como sendo de natureza técnica, externa, organizacional e do próprio gerenciamento de projeto.

No exemplo do processo de planejamento de resposta ao risco do PMBOK, ele possui a seguinte estrutura:

• Inputs;• Plano de gerenciamento de risco;• Registro de risco;• Ferramentas e técnicas;

• Estratégias para riscos negativas ou ameaças;• Evitar, transferir, mitigar;• Estratégias para riscos positivos ou oportunidades;• Explorar, compartilhar, maximizar;• Estratégia para ameaça e oportunidade;• Estratégia de contingência;• Outputs;• Registro de risco atualizado;• Plano de gerenciamento de risco atualizado;• Contrato de acordo sobre os riscos.

Figura 5: Risk Breakdown Structure (RBS) do PMBOK.

Um ponto importante a ser considerado é quanto aos riscos relacionados à segurança da informação.

Uma das metodologias de análise de risco que foca na segurança da informação é a OCTAVE, desenvolvida pela Universidade de Carnegie Mellon.

As fases da OCTAVE podem ser vistas na Figura 6.

Figura 6: OCTAVE e suas fases.

Os elementos do risco tratados, quando aspectos de segurança da informação são considerados, podem ser visto na Figura 7, que teve como foco órgãos e instituições da Administração Pública Federal.

É possível verificar que, partindo do conceito definido no ISO Guide 73, de que risco é a combinação da probabilidade de um evento e de suas conseqüências, o conceito mais detalhado seria:

Risco é a probabilidade de um agente de ameaça efetivar uma ameaça, via exploração de uma vulnerabilidade de um ativo, causando impactos que comprometem o cumprimento da missão.

Os elementos da Figura 7 foram utilizados na metodologia Risco@Gov, voltada para a Administração Pública Federal.

A metodologia Risco@Gov conta com 5 fases:

• Fase 1 – Contextualização;• Fase 2 – Levantamento de informações;• Fase 3 – Análises;• Fase 4 – Recomendações;• Fase 5 – Apresentação dos resultados.

Figura 7: Relacionamentos entre elementos do risco.

O início da metodologia prepara todo o processo de análise de risco a ser conduzido, de acordo com o contexto existente.

O levantamento de informações é realizado usando diferentes técnicas e, após a análise de risco, que envolve ainda análises de vulnerabilidades e testes de penetração, as recomendações são geradas, documentadas e apresentadas.

Os processos definidos na metodologia de análise de risco Risco@Gov geram resultados como o da Figura 8, que apresenta o nível de risco existente em um ativo, que pode comprometer o cumprimento da missão da organização.

O exemplo mostra uma base de informações consolidadas e que analisa os componentes do risco relacionados com a organização.

Figura 8: Um dos resultados do Risco@Gov.

As informações contidas nesse relatório são: os agentes de ameaça, as ameaças, vulnerabilidades e os controles utilizados por cada ativo crítico, com a determinação do nível de risco, que leva em consideração a probabilidade e o impacto relacionados.

Nessa etapa é estimado o impacto que um determinado risco pode causar ao negócio.

Como é praticamente impossível oferecer proteção total contra todas as ameaças existentes, é preciso identificar os ativos e as vulnerabilidades mais críticas, possibilitando a priorização dos esforços e os gastos com segurança.

Uma vez que os riscos tenham sido identificados e a organização definiu quais serão tratados, as medidas de segurança devem ser de fato implementadas.

O Gerenciamento de Riscos é um processo contínuo, que não termina com a implementação de uma medida de segurança.

Através de um monitoramento constante, é possível identificar quais áreas foram bem sucedidas e quais precisam de revisões e ajustes.

Nessa etapa ainda podem ser definidas medidas adicionais de segurança, como os Planos de Continuidade dos Negócios – capítulo separado – que visam manter em funcionamento os serviços de missão-crítica, essenciais ao negócio da empresa, em situações emergenciais – e Response Teams – que possibilitam a detecção e avaliação dos riscos em tempo real, permitindo que as providências cabíveis sejam tomadas rapidamente.

Considerações Finais

O gerenciamento de risco é um elemento chave para o sucesso das organizações, de tecnologias ou de projetos.

Os benefícios do gerenciamento de risco são grandes e resultam em ganhos e na melhor utilização de recursos.

O gerenciamento de risco faz parte da vida das pessoas e também das empresas.

Um processo formal de gerenciamento de risco é um elemento importante para as tomadas de decisão, que são cada vez mais críticas devido à rápida evolução tecnológica, à concorrência, aos recursos existentes e à necessidade de retorno financeiro e de imagem.

Recomenda-se que os projetos adotem uma abordagem de gerenciamento de risco para as decisões técnicas, operacionais e estratégicas, a fim de possibilitar que o sucesso do projeto chegue até o seu principal destino, que é a sociedade brasileira.