Gestão de Segurança da

Informação
Aula 5 – Classificação da Informação e Gestão
de Riscos
Prof. Paulo Gontijo
 Classificação da Informação e Gestão de Riscos

Conteúdo:

1. Breve introdução
2. Classificação da informação
3. Identificação de riscos
4. Tratamento de riscos
 Breve introdução

Por que priorizar?

• De empresas pequenas as grandes, não é possível fazer tudo de uma só vez

• Fazer o que importa e não o que é mais “na moda” ou simples é o que permitirá
sua empresa estar realmente segura
• Implantar um firewall de ultima geração, um antivírus robusto e soluções de
detecção ou prevenção de intrusos é importante mas pode ser que sua empresa
precise de algo mais simples e barato para o curto prazo
• O dinheiro é sempre limitado
 Breve introdução

E o que devo fazer para priorizar?

Te permitirá saber o que é

informação pública e o que é
Classifique a informação confidencial, permitindo assim
definir controles para proteção
da informação

Te permitirá saber o que tem

Faça uma análise de riscos mais urgencia e importancia
criando assim sua priorização.
 Classificação da informação

 Se para toda a informação usarmos os melhores

controles (backup, antivírus, controle de acesso, firewall,
auditoria, etc.), o custo e o prazo irão aumentar muito!!!

Portanto:
Realize investimentos em melhoria de controles de
segurança apenas após saber que tipo de proteção dada
informação precisa.
 Classificação da Informação

A informação pode ser crítica de acordo com algumas

variáveis:

- Divulgação – Focar em controle de acesso

- Indisponibilidade – Focar em site backup
- Integridade – Focar em hash e controle de acesso
- Perda – Focar em backup
 Classificação da informação

O que devo fazer para classificar a

informação?

1) Crie o Regulamento de Classificação da Informação

2) Escolha um processo de negócio
3) Mapeie as informações que suportam o processo
4) Defina o proprietário e o custodiante da informação
5) Implante os controles
 Identificação de riscos

 Você protegeria gastaria R$ 1MM para proteger um

servidor de impressão?

1) Escolha o processo de negócio (ex: atendimento via chat)

2) Identifique os riscos
3) Decida a estratégia: eliminar, mitigar ou aceitar
4) Implante a estratégia
 Identificação de riscos

Risco Indicador Probabilidade Impacto Grau de

Risco

Monitor de
Indisponibilidade downtime > 1h 2 (Média) 3 (Alto) 6
Monitor de
Invasão integridade 1 (Baixa) 3 (Alto) 3
Ausência de
Operadores Folha de ponto < 90% 1 (Baixa) 2 (Médio) 2
Atendimentos/Min
Upgrade de software pós atualização 1 (Baixa) 2 (Médio) 2
 Identificação de riscos

Dashboard executivo de risco

Report Diretoria

3 6 9 Report Gerencia

Report Equipe
2 4 6
1 2 3 Priorizando economizamos
 Identificação de riscos

Risco Probabilidade Impacto Grau de

Risco

Indisp. Roteador 1 (Baixa) 3 (Alto) 3

Indisp. Servidor 3 (Alta) 3 (Alto) 9

Indisp. Falta Energia 1 (Baixa) 2 (Médio) 2

Indisp. Link
Operadora 1 (Baixa) 3 (Alto) 3
 Identificação de riscos

Dashboard operacional de risco

Prioridade 1

3 6 9 Prioridade 2

Prioridade 3
2 4 6
1 2 3 Priorizando economizamos
 Tratamento de riscos

Iremos mitigar, aceitar ou eliminar o risco?

Aceitar: Não executar nada

Mitigar: Trocar a fonte ou o HD do servidor
Eliminar: Configurar servidor redundante em Data Center externo
Resumo e conclusões da aula

Nesta aula vimos

 A importância da classificação da informação
 Como identificar e tratar riscos
 Como priorizar ações para otimizar investimentos
Na próxima aula veremos
 A importância de se desenvolver seguro na primeira vez
 O papel do ethical hacker nas organizações
 Como implantar criptografia em aplicações