Anlise de Risco

Risco de Segurana da Informao

Risco de SdI a probabilidade de uma vulnerabilidade ser explorada

por uma ameaa, que resulta num determinado grau de perda de
confidencialidade, integridade e disponibilidade de um ativo de
informao, com um determinado impacto.

Caixa Geral de Depsitos | Lisboa 2

Anlise de Risco

Processo destinado a compreender a natureza do risco e a determinar o nvel

de risco:

Avaliao do grau de exposio a acontecimentos, eventos ou

condies incertas e respetivas consequncias que, a
acontecerem, podero ter um efeito positivo (oportunidade) ou
negativo (ameaa)

Avaliao da probabilidade de ocorrncia

Determinao do nvel de risco

Caixa Geral de Depsitos | Lisboa 3

Identificao do Risco

Identificar Identificar Identificar

Ativos Ameaas Vulnerabilidades

Identificao de Identificao de
Identificao
Ameaas Vulnerabilidades
de Ativos

Possibilidade de Fragilidade que permite

Bem com valor para a concretizar um
ocorrncia de eventos
organizao (ex: particular tipo de
potencialmente
informao, pessoas, ameaa.
negativos, atravs da
tecnologia, processos,
explorao de
infraestruturas).
vulnerabilidades

Caixa Geral de Depsitos | Lisboa 4

Anlise de Risco

Identificar Identificar Identificar Analisar e

Ativos Ameaas Vulnerabilidades avaliar o risco

Identificao de Anlise Quantitativa

Anlise Qualitativa
Mitigaes

Identificar a Identificar um conjunto Avaliar os custos ou

probabilidade de de alternativas de fatores associados ao
ocorrncia do risco e o mitigao risco e sua
seu impacto tendo em mitigao
conta a perda de
confidencialidade,
integridade e
disponibilidade
R=PxI

Caixa Geral de Depsitos | Lisboa 5

Tratamento do Risco

Identificar Identificar Identificar Analisar e

Ativos Ameaas Vulnerabilidades avaliar o risco Tratar o risco

Reduzir Aceitar Evitar Partilhar

o Risco o Risco o Risco o Risco

Implementar controlos Aceitar o risco como Eliminar a causa e/ou Transferir ou partilhar o
de mitigao que est. consequncias do risco usando outras
minimizem o impacto risco; opes para compensar
negativo do mesmo; as perdas

Caixa Geral de Depsitos | Lisboa 6

Anlise de Risco

Exemplo de Matriz do Risco

Exemplo de Estratgia de Mitigao
em funo da Probabilidade versus Impacto do Risco

Caixa Geral de Depsitos | Lisboa 7

Gesto do Risco: Desafios
Analisar o risco no chega
H que manter um processo contnuo de gesto do risco

Organizao envolvida

Avaliar corretamente o impacto e a probabilidade

Ser exaustivo e antecipar todos os riscos possveis

=> a gesto do risco pode tornar-se um pesadelo
ingervel

Escolher a metodologia correta

Estabelecer prioridades no tratamento do risco

Monitorizar

Caixa Geral de Depsitos | Lisboa 8

ISO/IEC 27005:2011 Gesto do Risco de Segurana da Informao

A 2 edio da ISO/IEC 27005 foi publicada em 2011. Reflete o

standard ISO 31000:2009 ao contexto especifico dos riscos de
segurana da informao

Est em curso um projeto de reviso da 27005 em alinhamento

com a verso de 2013 da ISO 27001 e 27002

Controlo

Controlo
Anexo A
ISO27001

Controlo

Riscos de Plano de Tratamento Declarao de

SdI do Risco Aplicabilidade (SOA)

Caixa Geral de Depsitos | Lisboa 9

ISO/IEC 27005:2011 Gesto do risco de segurana da informao

No especifica nem recomenda a metodologia a utilizar para a

gesto do risco

Implica um processo contnuo de um conjunto de atividades

Estabelecer o contexto da gesto do risco (ex: mbito, obrigaes de

compliance, mtodo utilizado, polticas relevantes e critrios para execuo
de avaliaes do risco, apetite ia da organizao ao risco
Analisar quantitativa e qualitativamente os riscos de SdI tendo em conta
ativos de informao, ameaas, vulnerabilidades e controlos existentes,
probabilidade de ocorrncia, potenciais consequncias para o negcio
(perdas financeiras, reputao, perda de informao, etc), para determinar o
nvel de risco
Reduzir, aceitar, evitar, transferir/partilhar o risco e priorizar
Manter os stakeholders informados
Monitorizar e rever regularmente

Caixa Geral de Depsitos | Lisboa 10

 Abordagem da ISO 27001:2013 gesto do risco de SdI

Melhoria contnua em vez do PDCA

Maior liberdade na escolha na framework de gesto do risco (27005,

31000, NIST-SP800-30)

Possibilidade de incorporar a gesto do risco de SdI na framework

de Gesto do Risco existente na organizao (por exemplo Gesto
do Risco Operacional)

Dono do Risco em vez de dono do ativo

Apenas necessrio identificar riscos relacionados com a perda de

Confidencialidade , Integridade e Disponibilidade

Caixa Geral de Depsitos | Lisboa 11

Ciber Risco ou Risco de Cibersegurana

Mudana no paradigma do risco tradicional

Ferramentas sofisticadas e mtodos de ataque mais complexos

Maior exposio dos sistemas de informao

Mais servios disponibilizados por third parties

Motivao elevada dos atacantes (dinheiro, poltica, espionagem,

terrorismo)

Advanced Persistent Threats

Ataques dirigidos (spear phishing)

Caixa Geral de Depsitos | Lisboa 12

Ciberameaas: As tendncias

Fonte: Enisa

Caixa Geral de Depsitos | Lisboa 13

Risco de Exposio a Ameaas e Vulnerabilidades

Fonte: Relatrio EY GISS 2016-17

Caixa Geral de Depsitos | Lisboa 14

Apetite pelo risco

As organizaes devem :

Saber o que tm capacidade de controlar

Aceitar o que no conseguem controlar
Definir o nvel de aceitao risco
Saber como vo gerir o risco residual

Fonte: Relatrio EY GISS 2016-17

Caixa Geral de Depsitos | Lisboa 15

Quando realizar de anlises de risco

Implementao ou alterao de sistemas de informao

Acesso de fornecedores informao, TIC e ou instalaes das organizaes

Situaes de exceo regulao e boas prticas de Segurana da Informao

Novos projetos que envolvam um dos seguintes critrios:

nova forma de transmitir, armazenar ou processar informao confidencial ou

estritamente confidencial
tecnologias emergentes (ex. Internet of Things, Cloud)
risco intrnseco significativo (ex. Internet, dispositivos amovveis)
impacto na conformidade com requisitos legais, regulamentares ou contratuais (ex.
proteo de dados pessoais, dados de pagamentos, PCI-DSS) em matria de
segurana de informao

Na deteo de vulnerabilidades de segurana da informao

Face a alteraes regulatrias

Caixa Geral de Depsitos | Lisboa 16

No incluir o risco de segurana da informao na gesto de
risco das organizaes pode ter um grande impacto

Fonte: ISACA

Caixa Geral de Depsitos | Lisboa 17

Infeo de Smart TV com ransomware

Fonte: http://news.softpedia.com/

Caixa Geral de Depsitos | Lisboa 18

 Infeo de Smart TV com Ramsomware

Vulnerabilidades

Inexistncia de sistemas de antivrus para dispositivos da IoT

Muito raramente so publicadas atualizaes de software para

dispositivos IoT

Ameaa Bloqueia a utilizao da

televiso.
Explorao de vulnerabilidade pelo

Ransomware FLocker
Exige o envio de um carto

de oferta iTunes com 200

USD.

Caixa Geral de Depsitos | Lisboa 19

Ciber ataque a ATMs na Tailndia

Fonte: http://www.bankinfosecurity.com/

Caixa Geral de Depsitos | Lisboa 20

Ciber ataque a ATMs na Tailndia

Vulnerabilidade

Vulnerabilidade das mquinas NCR que permitia dispensar todo o

contedo da mquina quando um carto especifico era utilizado

Ameaa

Infeo com malware Ripper no sistema de gesto e distribuio de

Foram atacadas 21 ATMs do

Government Savings Bank.

software para as ATMs
Foram levantados 311.000

Explorao da vulnerabilidade pelo malware Ripper

Fonte: http://www.bankinfosecurity.com/ripper-malware-likely-fueled-thai-atm-attacks-a-9370 /

Caixa Geral de Depsitos | Lisboa 21

Ciber ataque a uma Central de Tratamento de guas

Fonte: http://www.mydailyinformer.com/

Caixa Geral de Depsitos | Lisboa 22

Ciber ataque a uma Central de Tratamento de guas

Vulnerabilidades

Servidor Web do portal de pagamentos para os consumidores

vulnervel a ataques de SQL Injection

Sistemas de controlo da central
Credenciais de administrao idnticas no servidor Web e no sistema de
foi comprometido.

Quantidade de qumicos
controlo
utilizados foi alterada.

Os dados pessoais de 2,5

milhes de clientes foram

Ameaa
tornados pblicos
Controlo malicioso de infraestruturas crticas

Fonte: http://www.verizonenterprise.com/verizon-insights-lab/data-breach-digest/2016/

Caixa Geral de Depsitos | Lisboa 23

Ciber ataque ao Banco Central do Bangladesh via rede SWIFT

Fonte: http://www.reuters.com/

Caixa Geral de Depsitos | Lisboa 24

Ciber ataque ao Banco Central do Bangladesh via rede SWIFT

Vulnerabilidades

Inexistncia de Firewall

Utilizao de switches de 10 que no permitiam segregar

convenientemente as redes internas das gateways para a SWIFT

Ameaa Foram transferidos

80M.
Modificao no autorizada do software da gateway SWIFT - Alliance
As ordens pendentes

Access, que permitia intercetar e alterarperfaziam

os dados 800M.
das transaes

enviadas para a SWIFT

Fonte: http://arstechnica.com/security/2016/04/billion-dollar-bangladesh-hack-swift-software-hacked-no-firewalls-10-switches/

Caixa Geral de Depsitos | Lisboa 25

Ataque a uma Central de Energia Eltrica Ucraniana

Fonte: http://thehackernews.com/2016/01/Ukraine-power-system-hacked.html

Caixa Geral de Depsitos | Lisboa 26

 Ataque a uma Central de Energia Eltrica Ucraniana

Vulnerabilidades

O sistema de acessos remotos no requeria um segundo fator de

autenticao

RH vulnerveis a ataques de engenharia social

Ameaa 30 subestaes desativadas

230.000 consumidores sem

Spear-Phishing dirigido a tcnicos de TI de vrias centrais eltricas, que
eletricidade

documento Word com macros maliciosas

Reposio de fornecimento
que uma vez executadas
demorou de 2 a 6 horas

descarregavam um backdoor para o sistema

Fonte: https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/

Caixa Geral de Depsitos | Lisboa 27