Académique Documents
Professionnel Documents
Culture Documents
Adaptao de Alessandro Manotti1 Muito se fala em definio de Riscos, Criticidades, Controles e Anlise de Custo X Benefcio, premissas indispensveis na gesto de Segurana da Informao, para qualquer CSO (Chief Security Officer Gestor de Segurana da Informao), que se preze, mas tambm muito se pergunta: Na prtica como isso funciona ? Vamos considerar o seguinte cenrio: Uma rede de grande porte, com diversos pontos de acesso: Internet, Filial, Extranet (parceiros); Temos diversas ameaas (brechas de segurana) s quais a referida rede est exposta; Faremos uma Anlise de Risco Operacional a estas ameaas; Enumeraremos solues e custos envolvidos, comparando Anlise Qualitativa e de Custo X Benefcio.
Estudo de Caso Uma Rede de Grande Porte Figura 1 Topologia de Empresa Multinacional de Consultoria e Vendas de Mquinas Industriais
O Escritrio Central nos Estados Unidos (Firms Home Office Network) e a Filial Brasileira (Firms Remote Site) esto conectados Internet, cuja permite a conexo com a Extranet (Web Partners Network) estabelecida com os Parceiros de Negcio Locais. Existem servidores para receber conexes discadas de acesso remoto, para consultores e representan tes de vendas se conectarem por meio de seus notebooks. A rede do Escritrio Central possui diversas sub-redes de Engenharia, Compras, e Vendas, alm disso, possui servidores aplicativos e de servios, dentre outros: Firewall, Banco de Dados, E -Mail, ERP (Sistema de Gesto Empresarial), Autenticao e Autorizao, IDS (Intrusion Detection System). A rede da nossa Filial, alm de possuir Firewall, Banco de Dados e servidor de Autenticao e Autorizao, hospeda as sub-redes de Vendas e Contabilidade.
Alm de tudo isso, consideremos os dados envolvidos, hardware, software, instalaes e recursos humanos, cujos esto sujeitos diversas ameaas. Ameaas Potenciais A rede considerada est exposta aos seguintes tipos de ameaas potenciais (previsveis ou imprevisveis), que podem variar em termos de freqncia a seguir: Falha Humana Intencional (Figura 2) Falha Humana No- Intencional (Figura 3) Acidentes (Figura 4) Desastres Naturais e Ocorrncias I nesperadas (Figura 5)
Descoberta e explorao das vulnerabilidades nas redes-alvo. Acesso a servidores discados (RAS Remote Access Service) desprotegidos.
Polticas Indevidas de RH Controle de Acesso Indevido Testes/ C ontroles inadequados, incorporados aos programas aplicativos Anlise de Riscos realizada de forma inadequada Superviso Inadequada Falta de tica Atualizao Indevida/ Perda de arquivos Danos aos Discos Fsicos Storage Falta de conscientizao em riscos por parte da Alta Administrao Problemas nos Controles Internos
Ausncia de Responsabilidade por aes Indevidas Desconhecimento Relatrios, Dados Imprecisos/ No Confiveis Falta de confiana da Alta A dministrao na rea de TI Desperdcio de recursos Perda de Prazos Perda de Produtividade Atrasos de Processamento
Anlise de Risco Identifique os ativos relacionados de informao (como: sistemas e infra-estrutura de TI) que so importantes organizao.
Tenha foco na anlise dos riscos nos ativos considerados de maior criticidade, ou seja, aqueles que suportam diretamente ou indiretamente a atividade-alvo da organizao. Considere os relacionamentos entre os ativos crticos, as ameaas e vulnerabilidades (organizacionais e tcnicas), como: Se uma senha de administrador (ativo crtico), for divulgada ou obtida indevidamente (vulnerabilidade), cai em mos erradas (ameaa), e permite acesso indevido ao sistema livro-caixa da organizao (impacto). Avalie o grau de exposio dos ativos em um contexto operacional, como estes ativos conduzem os negcios e o risco envolvido devido a estas vulnerabilidades de segurana. Estabelea uma estratgia de proteo para melhoria dos processos, bem como criar um plano de implementao de controles (tcnicos, operacionais) para a mitigao (gerenciamento) deste risco a uma Razo de Custo X Benefcio, onde a implementao do controle seja sempre inferior ao montante das perdas ocasionadas pela ausncia do mesmo.
Fluxo de implementao - Figura 6 da Metodologia para Anlise de Risco - OCTAVE , Operationally Critical Threat, Asset, and Vulnerability Evaluation (Avaliao de Ameaas, Ativos e Vulnerabilidades Crticas), da Carnegie Mellon University, http://www.cert.org/octave/): Figura 6 Fluxo de Processo de Anlise de Risco - Metodologia Octave
Depois que a populao de ameaas potenciais foi identificada, esta deve ser reduzida a um subconjunto menor de ameaas relevantes ou "significativas" a um ambiente de TI especfico. A identificao dos riscos significativos assegura que a firma alocar de forma adequada os seus recursos s medidas de segurana que se dirigem aos riscos identificados. A empresa pode usar uma combinao (ou todos) dos seguintes mtodos a seguir nesta anlise:
1. Anlise de Pareto Faamos investimentos para implementarmos os controles necessrios para atingirmos os 80% dos principais riscos do negcio suportado por TI e os 20% dos riscos restantes mais
caros e de baixa probabilidade seriam assumidos como risco inerente ou mesmo este risco poderia ser transferido por meio de um Acordo de Nvel de Servio com Terceiros- SLA (Service Level Agreement) ou mesmo a utilizao de Aplice de Seguro. Figura 7 Anlise de Pareto (Distribuio de Freqncia) Ou seja, identificamos, conforme Figura 7 os 20% dos sistemas que suportam os produtos e servios da empresa que respondem por 80% do faturamento da empresa, ento, estes sistemas devem ser priorizados.
Se utilizada de forma adequada, esta metodologia pode nos ajudar a obter grande retorno em termos de reduo do risco para uma reduzida margem total de investimentos em medidas de segurana. 2. Pesquisas de Mercado - Benchmarking Algumas fontes de consulta e pesquisas realizadas com empresrios de diversos setores no Brasil e no Exterior, podem ser utilizadas como Benchmarking, para o auxlio na deciso de criticidade das vulnerabilidades, ameaas, e impactos ao negcio, algumas destas fontes, que podemos citar, dentre outras, so: FBI/CSI Polcia Federal Americana, PricewaterhouseCoopers, Mdulo Security, Deloitte, KPMG, Financial Insights, IDG Now!, Gartner Group, Ernst&Young. 3. Ranking de Ameaas disponibilizados por Empresas Seguradoras Estas empresas disponibilizam periodicamente tabelas determinando a freqncia de ocorrncia para diversas ameaas, estas tabelas so confeccionadas com o objetivo de analisar o processo de anlise de risco, classificando-os conforme algumas categorias que podemos exemplificar, na Figura 8: Figura 8 Risco e Probabilidade Risco Risco Baixssimo Risco Baixo Risco Mdio Risco Alto Probabilidade Impossvel uma vez em 40 anos (ou a cada 4 anos, uma vez ao ano) uma vez em 100 dias (ou uma vez a cada 10 dias) uma vez por dia (ou 10 vezes por dia)
4. Abordagem ao Cenrio de Risco Ameaas como as apresentadas nas Figuras 2 a 5, devem ser mapeadas e compiladas por especialistas em riscos, onde estas seriam classificadas pela probabilidade de ocorrncia ao ambiente corporativo, estas devem ser avaliadas para cada empresa, face ao seu tipo de negcio e mercado, durante reunies entre comit de riscos (que pode ser terceirizado, ex: auditores externos) e alta administrao da empresa.
5. Abordagem Estatstica A viabilidade desta depende do grau de registros histricos das reais ocorrncias de ameaas e desastres. Envolve o desenvolvimento de um grfico de freqncia dos riscos. Desde que presumimos que esta tcnica presume o futuro a partir do passado, para obtermos maior preciso em nossa anlise esta deve ser empregada com uma ou mais das tcnicas discutidas anteriormente , principalmente referindo-se a Abordagem ao Cenrio de Risco. Quando quantificamos as maiores Ameaas X Perdas P otenciais na Anlise de Risco obtivemos os riscos de TI mais significantes ao negcio Consultoria e Vendas de Mquinas Industriais, o que nos possibilita o mapeamento de cenrios distintos de ameaas, digamos A1, A2 e A3. Medindo perdas antecipadas para cada cenrio de ameaa Estatsticas indicam que todas as estimativas de perdas so sujeitas a distribuio de probabilidade, porm como esta distribuio pode ser difcil de mensurar, pode se utilizar a tcnica amplamente conhecida como Anlise PERT, para substituirmos a distribuio de probabilidade. A frmula simples: para computarmos o valor de perda esperada para cada ocorrncia da ameaa, calculamos: Perda = (A + 4B + C)/6 Sendo A a menor perda, B a perda mais comum,e C a maior perda para o evento da ocorrncia da ameaa. Ento para o cenrio de ameaa A1, calculamos da seguinte forma (considerando valores em milhares de reais, ou seja, multiplica-se o valor mencionado x 1.000): Perda Antecipada A1 = [R$ 50,00 + (R$ 500,00 x 4) + R$1.000,00]/6 = R$ 508,33 Posteriormente verificamos com base nas estimativas o nmero esperado de ocorrncias anuais para os trs cenrios de ameaa mencionados, caso o cenrio A1, tem 1 (uma) expectativa de ocorrncia a cada 10 anos, o nmero de ocorrncias por ano seria 1/10, ou seja, 0,10. Por fim, a Perda Anual para os trs cenrios de ameaa so computados. Para A1 a Perda Anual esperada pode ser calculada como R$ 508,33 x 0,10 = R$50,83. Aps calcular as perdas estimadas para as ameaas A1, A2 e A3, deve-se implementar medidas de segurana a fim de proteger o ambiente da nossa empresa fictcia, aos 3 respectivos cenrios de ameaa identificados. Figura 9 Clculo de Perda Anual Esperada por Cenrio de Ameaa
Ameaa A1 A2 A3 Perda Mxima R$ 1.000,00 R$ 755,00 R$ 500,00 Perda Mais Provvel R$ 500,00 R$ 500,00 R$ 200,00 Menor Perda R$ 50,00 R$ 50,00 R$ 10,00 Perda Antecipada R$ 508,33 R$ 467,50 R$ 218,33 Probabilidade da Perda 0,10 0,05 0,03 Perda Anual Esperada R$ 50,83 R$ 23,37 R$ 6,55
Soma A1-A3
R$ 80,75
Valores em Milhares de Reais (x R$ 1.000)ta f Seleo das M edidas de Segurana Adotando-se a estratgia de Custo x Benefcio, observemos as medidas de segurana descritas abaixo, atentando para a mitigao das ameaas A1, A2 e A3 descritas na Figura 9 acima, com base no julgamento, intuio e experincia profissional dos indivduos responsveis pela anlise de risco. Figura 10 Exemplos de Medidas de Segurana com base nas Ame aas Potenciais (descritas anteriormente)
Todas as Categorias Sensores e Alarmes No-Break, Geradores Plano de Continuidade de Negcio Circuito Interno de TV Backups Peridicos Auditorias Externas Peridicas Acompanhamento Visitantes (CPD, reas crticas) Visitas de Especialistas Preveno de Incndio Dispositivos de Preveno e Supresso de Incndio Cofre a prova de Incndio Polticas de RH, Conscientizao e Treinamento Aplice de Seguro Auditoria Interna de Tecnologia Monitoramento de Trfego de Rede Armazenamento Externo de Dados Extintores de Incndio Grupo de Resposta a Incidentes Procedimentos de Contingncia Administrador de Segurana Segurana Patrimonial Falha Humana No-Intencional Cdigo de tica Corporativo Controles Ambientais (ar-condicionado, umidificadores de ar) Recepcionistas Falha Humana Intencional Antivrus Softwares e Hardware para Controle de Acesso Biometria (digitais, ris, voz, face) Modems de Callback Patrulha com apoio Canino Acesso via Crach Autoridade Certificadora Cartrio Digital Punies no conformidades, funcionrios, colaboradores e terceiros Monitores de contedo de mensagens/acesso web Chaves Criptogrficas Cercas Eletricas Firewall (hardware/ software) Auditoria Forense (anti-fraude) IDS Software de Monitorao de Intrusos na Rede IPS Software de Preveno de Intrusos na Rede Bloqueio de Sesso em Terminais Sensores de Movimento Teste de Intruso Hacker tico Segurana Fsica a servidores de Segurana, Aplicativos, Internet e Bancos de Dados Recepcionistas Defragmentadoras de Papel Desmagnetizadores de fitas Senhas Scanners de Vulnerabilidades na Rede Acidentes Acesso via Crach Controles Am bientais (ar-condicionado, umidificadores de ar) Rotinas de reincio a paradas Sensores de Movimento Manuteno Preventiva Dispositivos de Deteco e Drenagem de gua No-Break, Geradores
Desastres naturais e ocorrncias inesperadas Controles Ambientais (ar-condicionado, umidificadores de ar) Dispositivos de Deteco e Drenagem de gua No-Break, Geradores Dispositivos de Preveno e Supresso de Incndio
A Figura 11 abaixo ilustra a diferena entre duas abordagens de Implantao das Medidas de Segurana : Qualitativa (todas) e Custo X Benefcio (parcial) e mostra que medida que o percentual das medidas de segurana implementadas aumenta, os Custos dos Controles tambm aumenta exponencialmente. Quanto mais medidas de segurana instaladas, maior o ndice de Qualidade da sada dos Sistemas de Informao da empresa, mas posteriormente este ndice cai. Esta tendncia de diminuio dos retornos de investimento na abordagem Qualitativa, se apresenta em queda alm de um ponto de pice, onde posteriormente a eficincia e eficcia caem, por diversos motivos, como novas necessidades de negcio, novas ameaas, novas tecnologias, etc... Figura 11 - Abordagem Qualitativa Versus Custo X Benefcio
Se por um lado a Anlise de Custo X Benefcio implica na implantao de uma Mdia Aceitvel de Controles (assinalado com o X), onde os custos das Medidas de Segurana se cruzam com o ponto mximo (pice) das curvas de Qualidade dos Sistemas e Eficincia e Eficcia das Medidas. Por outro lado, quando adotamos a Abordagem Qualitativa, implica na implantao de Todas as Medidas Possveis para a minimizao do risco identificado, apesar da facilidade inicial de se no mensurar o Custo X Benefcio, a mdio e longo prazo o custo da Abordagem Qualitativa pode ser muito elevado para justificar a manuteno de um mesmo nvel de risco aceitvel. Denominemos trs Medidas de Segurana de 1 a 3 = M1, M2 e M3, representando Controles de preveno ou deteco de uma Ameaa significante. Para termos uma idia de como se realizar um estudo de Custo X Beneficio, devemos ter em mente que a empresa est desenvolvendo uma estratgia focada em ameaas j enumeradas, no nosso caso (A1, A2 e A3). Para mantermos a simplicidade neste estudo de caso, vamos supor que j foram escolhidas trs medidas de segurana (M1, M2 e M3) para enderear estas trs ameaas, como representamos na Figura 12.
A probabilidade de uma medida de segurana falhar pode ser considerada pelo percentual de confiabilidade da medida. Assumindo por exemplo que a implementao de uma medida M1 seja responsvel pela garantia de at 99% de eficcia na mitigao da ameaa, consideramos ento como 0,01 a Probabilidade de Falha de M1. Figur a 12 Exemplos de Trs Medidas de Segurana
Custo da Medida (?mplementao I + Anual) R$11,00 R$28,00 R$20,00 Perda Anual Esperada (Figura 9) R$ 50,83 R$ 23,37 R$ 6,55 Perda Residual (Perda Anual *Probabilidade Falha) R$ 0,50 R$ 2,33 R$ 0,32
Medida
Ameaa Mitigada A1 A2 A3
M1 M2 M3
Valores em Milhares de Reais (x R$ 1.000) A Perda Residual equivale ao valor da perda mesmo com a implantao da medida (Perda Anual * Probabilidade de Falha), no caso desta medida falhar, ou seja para uma perda anual estimada de R$ 50,83 para uma ameaa A1, quando se implementa uma medida M1 com probabilidade de falha de 0,01 temos uma perda residual de R$ 0,50. . Perda Residual = Perda Anual * Probabilidade Falha O Valor B ruto da medida de Segurana obtido da subtrao do Valor Esperado da Perda Aps a Implantao da Medida (considerando a perda residual) da Perda Anual Esperada Valor Bruto = Perda Anual Esperada Perda Residual Para obter o Valor Lquido da medida de Segurana necessrio subtrair o Custo da Medida do Valor Bruto. Valor Lquido = Valor Bruto - Custo da Medida Na Figura 13, tomamos como exemplo: A Perda Anual Esperada para a Ameaa A1 R$50,83, a empresa neste caso implementa a contramedida M1 para proteo a esta Ameaa. O Custo da Medida M1 R$ 11,00 (implementao+custo anual), foi definido pela gesto do processo afetado que a contramedida 99% efetiva, sobrando 1% (0,01) de Probabilidade de Falha , ou seja, MI proporcionar 99% de proteo contra a ameaa A1, ento: A Perda Anual Esperada causada por A1 seria de R$ $50,83. Tendo-se efetividade de M1 em 99%, sobra-se 1% (0,01) ou seja, com a implantao da medida temos um residual de R$ 0,50 sobre os R$ 50,83. O Valor Bruto de M1 igual a R$ 50,33. (Perda Anual Esperada Perda Residual). O Custo da Medida M1 equivale a R$ 11,00.(Obtido da Figura 12) O Valor Lquido de M1 equivale a R$39,33. (Valor Bruto Custo da Medida)
O passo final na justificativa de Custo X Benefcio a aplicao do modelo de custo, isto implica na simulao de diversos cenrios de agrupamento das medidas de segurana. Isto demonstra diversos
cenrios de Custo Total Esperado, caso as ameaas venham a se materializar, ou seja qual o valor final da perda caso a ameaa se concretize, conforme a(s) medida(s) escolhida(s). Figur a 13 Custo X Benefcio das Medidas de Segurana quando aplicadas s Ameaas
(A) Conjunto de Medidas* Sem Controles M1*** M2 M3 M1, M2 M1, M3 M2, M3 M1, M2, M3 (B) Perda Anual Esperada
(A1 A3) (Figura 9) (Figura 12)
(Figura 12)
R$0 R$11,00 R$28,00 R$20,00 R$11,00+ R$28,00 R$11,00+ R$20,00 R$28,00+ R$20,00 R$11,00+ R$28,00+ R$20,00
Alessandro Manotti, CISA alessandromanotti@hotmail.com Profissional h dez anos na rea Auditoria de Sistemas e Segurana da Informao, atuando em instituies financeiras e consultorias no Brasil e Exterior.
1
Adaptao baseada no artigo Treat Assessment and Security Measures Justification for Advanced IT Networks de Michael J. Cerullo - Ph.D. ,CPA, CITP, CFE, e Virginia Cerullo, Ph.D., CPA, CIA, CFE, publicado no ISACA - Information Systems Control Journal, Volume 1 2005.