gest o de riscos de seguran a
play

Gesto de Riscos de Segurana Jos Eduardo Malta de S Brando Joni da - PDF document

Aug 06, 2023 •205 likes •522 views

Gesto de Riscos de Segurana Jos Eduardo Malta de S Brando Joni da Silva Fraga je.brandao@ipea.gov.br fraga@das.ufsc.br SBSeg 2008 - Gesto de Riscos de Segurana Sumrio Motivao Conceitos Principais Padres

  1. Gestão de Riscos de Segurança José Eduardo Malta de Sá Brandão Joni da Silva Fraga je.brandao@ipea.gov.br fraga@das.ufsc.br � SBSeg 2008 - Gestão de Riscos de Segurança Sumário � Motivação � Conceitos � Principais Padrões � Méticas � Common Vulnerability Scoring System (CVSS) � Estudo de Caso � 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Motivação � 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga 1

  2. SBSeg 2008 - Gestão de Riscos de Segurança Qual é o Risco ? � 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Mitigação do Risco � 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Por que Gerenciar Riscos ? � A noção correta dos riscos permite que se definam caminhos e ferramentas para mitigá-los � “Os riscos podem ser identificados e reduzidos, mas nunca totalmente eliminados” (Garfinkel et al. 2003) � 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga 2

  3. SBSeg 2008 - Gestão de Riscos de Segurança Quando Gerenciar os Riscos ? � É comum a aplicação de ferramentas de análise de risco em protótipos desenvolvidos em projetos de software científicos ou comerciais � Análise de Vulnerabilidades � Problemas encontrados: � Vulnerabilidades inerentes à tecnologia adotada � Decisão: troca da tecnologia ou aceitação de um risco maior do que o desejado ? � Tratar os riscos apenas no ponto de protótipo pode ser extremamente dispendioso e, em alguns casos, os resultados podem inviabilizar o próprio projeto � As vulnerabilidades encontradas poderiam ter sido facilmente identificadas na etapa de planejamento do projeto. � 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Conceitos Iniciais � 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Propriedades de Segurança � Integridade : � garante que a informação não será alterada ou destruída sem a autorização adequada. � Confidencialidade : � garante que a informação não será revelada sem a autorização adequada. � Disponibilidade : � garante que a informação estará acessível aos usuários legítimos quando solicitada. � 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga 3

  4. SBSeg 2008 - Gestão de Riscos de Segurança Violações de Segurança � Quando há a quebra de uma ou mais propriedades de segurança � Violação de confidencialidade � Revelação não autorizada da informação � Violação de integridade � Modificação não autorizada da informação � Violação de disponibilidade � Negação de serviço �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Vulnerabilidade � “Defeito ou fraqueza no design ou na implementação de um sistema de informações (incluindo procedimentos de segurança e controles de segurança associados ao sistema), que pode ser intencionalmente ou acidentalmente explorada, afetando a confidencialidade, integridade ou disponibilidade” (Ross et al. 2005) �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Risco � “É o impacto negativo da exploração de uma vulnerabilidade, considerando a probabilidade do uso do mesmo e o impacto da violação” (Stoneburner et al. 2002) �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga 4

  5. SBSeg 2008 - Gestão de Riscos de Segurança Estimativa do Risco � O risco pode ser expressado matematicamente como uma função da probabilidade de uma origem de ameaça (ou atacante) explorar uma vulnerabilidade potencial e do impacto resultante deste evento adverso no sistema e, conseqüentemente, na empresa ou organização. �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Gestão de Riscos � “A gestão de riscos baseia-se em atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos” (ISO/IEC Guide 73:2002) � Envolve um processo criterioso e recursivo de documentação, avaliação e decisão durante todas as fases do ciclo de vida do projeto �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Estudo de caso � Ilustração prática da aplicação da gestão de riscos em um projeto científico � Gestão de Riscos no Projeto de Composições de IDSs � Adotou inicialmente a norma AS/NZ4360 e posteriormente adaptada para o padrão ISO 27005 � Será apresentado em conjunto com a metodologia �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga 5

  6. SBSeg 2008 - Gestão de Riscos de Segurança Principais Padrões Relacionados à Gestão de Riscos � Melhores Práticas � Common Criteria (CC) � Normas de Gestão de Riscos � NIST SP800-30 � AS/NZS 4360, ISO 27005 e ISO 31000ca �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Melhores Práticas em SGI �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Família de Normas ISO 27000 �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga 6

  7. SBSeg 2008 - Gestão de Riscos de Segurança Norma ISO 27000 � Está em desenvolvimento � Irá definir os conceitos fundamentais e o vocabulário de segurança da informação adotado na família de documentos ISO 27000 �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Norma ISO 27001 � Baseada na BS 17799-2 � Foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Norma ISO 27002 � Baseada na BS/ISO 17799-1 � Introduz os conceitos de segurança da informação e faz uma discussão inicial a respeito das motivações para o estabelecimento da gestão de segurança. � Na maior parte do documento são detalhadas as práticas de segurança, que são associadas aos os objetivos de controles, e os controles de segurança citados na norma ISO 27001 �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga 7

  8. SBSeg 2008 - Gestão de Riscos de Segurança Norma ISO 27003 � Em desenvolvimento � É baseada no anexo B da norma BS 7799-2 � Basicamente um guia para a implantação do SGSI �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Norma ISO 27004 � Em desenvolvimento � Definirá métricas e medidas para o acompanhamento do SGSI �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Norma ISO 27006 � Define critérios para as pessoas e empresas que farão a certificação e auditoria do SGSI � Segue o padrão da norma 17021 �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga 8

  9. SBSeg 2008 - Gestão de Riscos de Segurança Norma ISO 27007 � Em desenvolvimento � Definirá critérios específicos para a auditoria dos processos do SGSI � Baseada na norma ISO 19011 �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança O Modelo PDCA Plan Estabelecimento do Partes Partes SGSI Interessadas Interessadas Implementação e Manutenção e Do Act Operação do SGSI Melhoria do SGSI Expectativas e requisitos de Segurança da Monitoramento e segurança da informação análise crítica do SGSI gerenciada informação Check �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Plan � O ciclo do PDCA começa com o estabelecimento da política, dos objetivos, dos processos e dos procedimentos do SGSI, que sejam relevantes para a gestão de riscos e a melhoria da segurança da informação e que produzam resultados de acordo com as políticas e objetivos globais de uma organização. �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga 9

  10. SBSeg 2008 - Gestão de Riscos de Segurança Do � Envolve a implantação e a operação da política, dos controles, dos processos e dos procedimentos estabelecidos na primeira etapa �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Check � É feita a avaliação e, quando aplicável, a medição do desempenho de um processo frente à política, aos objetivos e à experiência prática do SGSI, apresentando os resultados para a análise crítica pela direção. �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga SBSeg 2008 - Gestão de Riscos de Segurança Act � Cabe a execução das ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. � Após esta etapa, o ciclo é reiniciado, tomando como base o aprendizado do ciclo anterior. O resultado esperado da adoção do PDCA é a segurança da informação devidamente gerenciada. �� 05/09/2008 José Eduardo M. S. Brandão / Joni S. Fraga 10

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Current developments on computational modeling using P systems Agustn Riscos-Nez Research

Current developments on computational modeling using P systems Agustn Riscos-Nez Research

Current developments on computational modeling using P systems Agustn Riscos-Nez Research Group on Natural Computing Department of Computer Science and Artificial Intelligence University of Seville CiE 2011 - Natural Computing Session

1.13k views • 57 slides
March 8, 2011 Cineplex Entertainment La Large gest st The Mo Most st and Successful

March 8, 2011 Cineplex Entertainment La Large gest st The Mo Most st and Successful

Credit Suisse Global Media and Communications Convergence Conference March 8, 2011 Cineplex Entertainment La Large gest st The Mo Most st and Successful Succ essful Motion Picture Theatre Exhibition Company in Canada 131 131

608 views • 47 slides
in in PP PP re reform orm UA is one of f th the large gest st count ntries ies in Europe

in in PP PP re reform orm UA is one of f th the large gest st count ntries ies in Europe

Pro roZorro Zorro Golden Triangle of Partnership in in PP PP re reform orm UA is one of f th the large gest st count ntries ies in Europe ope Population 44 million (8 th in Europe) Area 603 sq. km (1 st in Europe) Ge

306 views • 14 slides
Ov Over erview view, , impa impact cts s & & su sugge gest stion ions s for

Ov Over erview view, , impa impact cts s & & su sugge gest stion ions s for

Clima Climate te cha hang nge e po poli licies cies and and th the UK e UK bu busine siness ss se sect ctor or: : Ov Over erview view, , impa impact cts s & & su sugge gest stion ions s for or r ref efor

527 views • 17 slides
Simulation of Computing P Systems: A GPU Design for the Factorization Problem Miguel .

Simulation of Computing P Systems: A GPU Design for the Factorization Problem Miguel .

Simulation of Computing P Systems: A GPU Design for the Factorization Problem Miguel . Martnez-del-Amor , David Orellana-Martn Ignacio Prez-Hurtado, Luis Valencia-Cabrera Agustn Riscos-Nez, Mario J. Prez-Jimnez Research Group

430 views • 41 slides
Fraquezas no Cart ao MIFARE Classic Wellington Baltazar de Souza Instituto de Matem atica e

Fraquezas no Cart ao MIFARE Classic Wellington Baltazar de Souza Instituto de Matem atica e

Fraquezas no Cart ao MIFARE Classic Wellington Baltazar de Souza Instituto de Matem atica e Estat stica Laborat orio de Seguran ca de Dados 9 de Agosto de 2010 Wellington Baltazar de Souza Fraquezas no Cart ao MIFARE

345 views • 34 slides
AFRICAN DUST OUTBREAKS A satellite perspective of temporal and spatial variability over the

AFRICAN DUST OUTBREAKS A satellite perspective of temporal and spatial variability over the

AFRICAN DUST OUTBREAKS A satellite perspective of temporal and spatial variability over the tropical Atlantic Ocean Jingfeng Huang 1,2 , Chidong Zhang 3 , Joseph M. Prospero 3 1 UMBC GEST; 2 NASA GSFC; 3 University of Miami, RSMAS Thanks to:

787 views • 16 slides
Video Error Concealment: A Brief Presentation Rui Fernandes 1 1 Instituto Polit ecnico de

Video Error Concealment: A Brief Presentation Rui Fernandes 1 1 Instituto Polit ecnico de

Video Error Concealment: A Brief Presentation Rui Fernandes 1 1 Instituto Polit ecnico de Braganc a Escola Superior de Tecnologia e Gest ao Departamento de Electrotecnia rvpf@ipb.pt, mpt09015@fe.up.pt Abstract. Typical error control

540 views • 6 slides
Building ng a stronge nger airline ne for the futur ure May 12, , 2016 016 Introduc ucti

Building ng a stronge nger airline ne for the futur ure May 12, , 2016 016 Introduc ucti

Building ng a stronge nger airline ne for the futur ure May 12, , 2016 016 Introduc ucti tion Paulo Kaki kinoff CEO GOL Large gest t low-cost t airline in LatAm Am Standardized fleet of 143 Boeing 737-700 and 800 NG

432 views • 30 slides
FR FRUI UITAS S HO HOLDIN LDINGS, GS, IN INC. INVESTOR PRESENTATION JANUARY 2020 AGENDA

FR FRUI UITAS S HO HOLDIN LDINGS, GS, IN INC. INVESTOR PRESENTATION JANUARY 2020 AGENDA

FR FRUI UITAS S HO HOLDIN LDINGS, GS, IN INC. INVESTOR PRESENTATION JANUARY 2020 AGENDA THE COMPANY Industry Overview Competitive Strengths Key Strategies Financial Highlights Use of Proceeds 2 The LA LARGE GEST ST diversified

449 views • 43 slides
Minimization of cirrus cloud interference in the detection of ice polar stratospheric clouds

Minimization of cirrus cloud interference in the detection of ice polar stratospheric clouds

Minimization of cirrus cloud interference in the detection of ice polar stratospheric clouds with AIRS data assimilation Craig Benson GEST Overview Hypothesis: AIRS observed-forecast (O-F) residuals can be used to detect ice polar

229 views • 18 slides
1 Development of e learning system for endoscopic diagnosis of gastric cancer: an international

1 Development of e learning system for endoscopic diagnosis of gastric cancer: an international

AST 2012 Fukuoka December 14, 2012 1 Development of e learning system for endoscopic diagnosis of gastric cancer: an international multicenter trial: Global e Endo Study Team (GEST) Funds from the Central Research Institute of Fukuoka

729 views • 42 slides
Establishing a Modern Ground Network for Space Geodesy Applications Michael R. Pearlman*

Establishing a Modern Ground Network for Space Geodesy Applications Michael R. Pearlman*

Establishing a Modern Ground Network for Space Geodesy Applications Michael R. Pearlman* Harvard-Smithsonian Center for Astrophysics, Cambridge, MA, USA mpearlman@cfa.harvard.edu Erricos C. Pavlis GEST, UMBC, Baltimore, MD, USA Zuheir

208 views • 19 slides
Software Solutions for Managing Coding (Billing) Compliance Minnette Terlep Senior Vice

Software Solutions for Managing Coding (Billing) Compliance Minnette Terlep Senior Vice

Software Solutions for Managing Coding (Billing) Compliance Minnette Terlep Senior Vice President United Audit Systems, Inc. 360 Gest Street Cincinnati, OH 45203 513-723-1122, extension 114 Software Solutions for Managing

759 views • 58 slides
Ler y Qual i t y LERY SEAFOOD GROUP THOM AS JOHNSEN Lery Seafood Group Ler

Ler y Qual i t y LERY SEAFOOD GROUP THOM AS JOHNSEN Lery Seafood Group Ler

Ler y Qual i t y LERY SEAFOOD GROUP THOM AS JOHNSEN Lery Seafood Group Ler y s or i gi ns goes back t o 1 899 The w or l ds second l ar gest pr oducer of f ar m ed at l ant i c sal m

796 views • 13 slides
Computer Security DD2395 http://www.csc.kth.se/utbildning/kth/kurser/DD2395/dasakh10/ Fall 2010

Computer Security DD2395 http://www.csc.kth.se/utbildning/kth/kurser/DD2395/dasakh10/ Fall 2010

Computer Security DD2395 http://www.csc.kth.se/utbildning/kth/kurser/DD2395/dasakh10/ Fall 2010 Sonja Buchegger buc@kth.se Lecture 11, Nov. 29, 2010 Multi-Level Security Trusted Computing and Multilevel Security present some interrelated

1k views • 41 slides
Lecture 02 (28.10.2013) Concepts of Safety and Security Christoph Lth Christian Liguda SQS,

Lecture 02 (28.10.2013) Concepts of Safety and Security Christoph Lth Christian Liguda SQS,

Systeme hoher Qualitt und Sicherheit Universitt Bremen, WS 2013/14 Lecture 02 (28.10.2013) Concepts of Safety and Security Christoph Lth Christian Liguda SQS, WS 13/14 SQS, WS 13/14 Where are we? Lecture 01: Concepts of Quality

1.15k views • 50 slides
Seminar Term Paper Certification of Hardware and Software Formal Methods for Fun and Profit

Seminar Term Paper Certification of Hardware and Software Formal Methods for Fun and Profit

Seminar Term Paper Certification of Hardware and Software Formal Methods for Fun and Profit Summer Semester 2005 Theme: Certification of Hardware and Software Supervisor: Jr. Prof. Beckert Presented by: Kiptoo A. Kiprop Registration

1.02k views • 20 slides
Computer and Network Security Trusted Operating Systems R. E. Newman Computer & Information

Computer and Network Security Trusted Operating Systems R. E. Newman Computer & Information

Computer and Network Security Trusted Operating Systems R. E. Newman Computer & Information Sciences & Engineering University Of Florida Gainesville, Florida 32611-6120 nemo@cise.ufl.edu Trusted Operating Systems (Pfleeger Ch. 7)

653 views • 29 slides
Evil Module 1 Module 3 OS OS Module 2 Module 4 Safe? Safe? Yes! Yes! 5 6 1 5/23/10

Evil Module 1 Module 3 OS OS Module 2 Module 4 Safe? Safe? Yes! Yes! 5 6 1 5/23/10

5/23/10 A Travel Story Bryan Parno, Jonathan McCune, Adrian Perrig Carnegie Mellon University 1 2 Does program P compute F? Trust is CriAcal Is F what the programmer intended? Will I regret having done this? X Other Y Other F X Alice Y

429 views • 5 slides
Service Interaction: Patterns, Formalization, and Analysis 9th International School on Formal

Service Interaction: Patterns, Formalization, and Analysis 9th International School on Formal

Service Interaction: Patterns, Formalization, and Analysis 9th International School on Formal Methods for the Design of Computer, Communication and Software Systems: Web Services (SFM-09:WS), Bertinoro, Italy, June 1-6, 2009. prof.dr.ir. Wil

1.83k views • 137 slides
Stakeholder Engagement: The Safecast experience Joint ICTP-IAEA Workshop on Environmental

Stakeholder Engagement: The Safecast experience Joint ICTP-IAEA Workshop on Environmental

Stakeholder Engagement: The Safecast experience Joint ICTP-IAEA Workshop on Environmental Mapping: Mobilising Trust in Measurements and Engaging Scientific Citizenry ICTP , Trieste - Italy March 6-24, 2017 Who are the stakeholders? Affected

1.09k views • 82 slides
TagCurate: Crowdsourcing the Verification of Biomedical Annotations to Mobile Users Bahar Sateli

TagCurate: Crowdsourcing the Verification of Biomedical Annotations to Mobile Users Bahar Sateli

TagCurate: Crowdsourcing the Verification of Biomedical Annotations to Mobile Users Bahar Sateli Sebastien Luong Ren e Witte Semantic Software Lab Department of Computer Science and Software Engineering Concordia University, Montr eal,

392 views • 24 slides
Product Development T echie Pizza #44267 Project, Lesson 3 Michael Lyle How is a product

Product Development T echie Pizza #44267 Project, Lesson 3 Michael Lyle How is a product

Product Development T echie Pizza #44267 Project, Lesson 3 Michael Lyle How is a product developed? Idea How is a product developed? Idea Solution Design How is a product developed? Idea Solution Design Prototype How is a product

443 views • 19 slides

More recommend