Escopo do SGSI

Definir um escopo, fictcio ou no, para atuar como modelo de

trabalho.
Processo: Atendimento ao Cliente de uma empresa de telefonia
Servio: emisso de 2 via de conta
Atividades para emisso de 2.via de conta:
Inicialmente o atendente loga no sistema e sempre que for se
ausentar bloqueia o sistema;
O cliente dirige-se ao quiosque de atendimento;
Atendente solicita o nmero do telefone para emisso da 2. Via
de uma conta telefnica;
Atendente emite a 2.via de conta;
Atendente entrega ao cliente a 2.via de conta emitida.

Escopo:
Fornecimento de 2. Via de conta telefnica em atendimento pessoal
pela empresa de telefonia X no posto de atendimento Y utilizado a base
atualizada de clientes e contas a receber.

Poltica de Segurana:
1. A Segurana da Informao deve garantir a Confidencialidade,
Integridade e Disponibilidade das informaes relacionadas ao
fornecimento de 2.via de conta telefnica.
2. Para cumprir com as obrigaes com as regulamentaes legais e
contratuais relativas a emisso da 2 via de conta telefnica.
1

3. Realizando as aes necessrias afim de garantir a minimizao

dos

riscos

identificados

nveis

aceitveis

pela

alta

administrao.
4. Seguindo as normas internas relativas ao processo de emisso de
2 via.
5. Fornecendo as informaes claras e precisas e mantendo a
confidencialidade das informaes.

Sistemas de Informao (Fluxo de Informao)

Mapear os principais fluxos de informao conforme o escopo
anteriormente definido.

Ponto Inicial:
O cliente solicita a emisso da 2 via da conta para um determinado
nmero de telefone.
Ponto Final:
Entrega ao Cliente da 2 via emitida;
Destruio do documento com problemas;
Encaminhamento a outro departamento caso o telefone no seja
localizado no sistema.

Ativos de Informao
Determinar os ativos de informao no fluxo mapeado
anteriormente e sua importncia para o escopo (empresa).
Principais Componentes:
Cliente, Atendente, estao de trabalho, impressora, fragmentadora,
switch, Servidor de banco de dados, banco de dados (tabelas),
aplicativo gerenciador, SGBD, SO.
Principais segmentos de rede e de transmisso de informaes:
Segmento 1:
Ativos: cliente, atendente, documento conta em papel.
Informaes: nmero do telefone, dados cadastrais
Fluxo: transmisso via voz
Segmento 2:
Ativos: atendente, terminal.
Terminal: sistema operacional, aplicativos.
Hardware sem perifricos de armazenamento, floppy e USB.
Informaes: nmero do telefone, dados de cliente, logon (matricula,
senha)
Fluxo: digitao via teclado
Segmento 3:
Ativos: terminal, switch, cabo de rede.
Informaes: dados cadastrais, logon (matricula, senha), dados de 2
via.
Fluxo: digital

Segmento 4:
Ativos: switch, servidor, cabo de rede.
Informaes: dados cadastrais, logon (matricula, senha), dados da
conta do cliente.
Fluxo: digital
Segmento 5:
Ativos: terminal, conta em papel, impressora, cabo de rede.
Informaes: dados cadastrais, dados de 2 via.
Fluxo: digital
Segmento 6:
Ativos: atendente, fragmentadora, conta em papel.
Informaes: conta.
Fluxo: manual

Ativos/Informaes
Importncia do Ativo para o escopo:
(1-Baixa, 2-Media, 3-Alta)

Ativo/Informao

Cliente

Atendente

Conta em papel

Nmero do telefone

Dados cadastrais

Estao de trabalho

Switch

Dados de logon

Cabo de rede (segmento 3)

Dados 2 via de conta

Servidor

Cabo de rede (segmento 4)

Cabo impressora paralela

Fragmentadora

Conta em papel invlida

Impressora

Poltica

(*) incluir softwares

Ameaas e Vulnerabilidades
Identificar possveis

eventos

Segurana definida
Estao de trabalho:

considerando

de

 Acesso indevido por pessoa no autorizada devido a mquina

estar em local pblico;
Acesso no autorizado em virtude da falta de atualizao dos
baselines de segurana;
Fornecimento

de

informaes

incorretas

devido

falta

de

verificadores de integridade no sistema aplicativo;

Contaminao por vrus em virtude da ligao na rede da
empresa;
Indisponibilidade da estao de trabalho por falha de hardware;
Documento conta em papel:
Fornecimento

de

documentos

para

pessoas

indevidas

pela

atendente;
Encaminhamento para impressora indevida em virtude da estao
de trabalho estar ligada a rede da empresa;
Fornecimento de informaes incorretas ou indevidas em virtude
de problemas no sistema aplicativo.

Conseqncia (Impacto)
Identificar

as

conseqncias

dos

eventos

identificados,

considerando o impacto para a confidencialidade, integridade,

disponibilidade e aspectos legais;
Conseqncias para o Ativo:
Evento
Acesso indevido por pessoas no autorizadas em

C
3

I
2

D
2

L
1

virtude da estao de trabalho estar instalada em

local pblico.
Acesso no autorizado em virtude da falta de
atualizao dos baselines de segurana.
Fornecimento do documento 2 via para pessoas
indevidas pela atendente.

Probabilidade
Determinar mtricas para definio de probabilidade
Determinar

probabilidade

de

ocorrncia

dos

identificados
Mtrica:
(1-Baixa, 2-Media, 3-Alta)
Probabilidade:
Evento
Probabilidade
Acesso indevido por pessoas no autorizadas
1
em virtude da estao de trabalho estar
instalada em local pblico.
Fornecimento do documento de 2 via para

pessoas indevidas pela atendente.

Acesso no autorizado em virtude da falta de
atualizao dos baselines de segurana.

eventos

Consolidando os Resultados
Definir a melhor forma de obter o escore final do risco.
Quantificar os riscos mapeados
Clculo do Risco:
Risco = Impacto x Probabilidade
Clculo do Impacto:
Impacto = Mdia Aritmtica entre a importncia do Ativo para o escopo
e a conseqncia para o Ativo.
Quantificao do Risco:
Baixo (1-3) Aceitar o risco;
Mdio (4-6) Levar para Comit para discusso de acordo com estudo de
custo x benefcio;
Alto (7-9) Aplicar controles.
Ativo/Evento
Ativo: Estao de Trabalho

C
2

I
3

D
3

L
1

Observao
Importncia para o
escopo

Evento: acesso indevido por pessoas

no

autorizadas

em

virtude

da

Conseqncia

para

o ativo

estao de trabalho estar instalada

em local pblico
Impacto para o escopo 2,5
Probabilidade

2,5

2,5

Da

RISCO 2,5 2,5 2,5

10

1
estao

neste

escopo
1

Baixo. No aplicar
controles.

Ativo: Documento conta em papel

Evento: Fornecimento de documento

de 2 via para pessoas indevidas pela

Importncia
para o escopo
Conseqncia

para o ativo

atendente
Impacto para o escopo
Probabilidade

Da

estao

neste escopo
Baixo.

RISCO

No aplicar
controles.

Ativo: Estao de Trabalho

Evento: Acesso no autorizado em

virtude da falta de atualizao dos

Importncia
para o escopo
Conseqncia

para o ativo

baselines de segurana.
Impacto para o escopo 2,5
Probabilidade

Da

estao

neste escopo
Mdio.

RISCO

Risco deve ser

tratado

11

Tratamento dos Riscos

Determinar um critrio para tratar os riscos identificados.
Selecionar todos os riscos que devem ser tratados.
Identificar os controles necessrios e montar um Plano de
Tratamento de Riscos.
Os riscos sero tratados minimizando o Impacto. (CS)
Risco antes

Controle

5;6;6;4

O Ambiente de 2,5;3;3;2

Ambiente de Mar/2015

(Alto)

Infra-estrutura

Infra-

dever
os

Risco depois Responsvel

(Baixo)

aplicar

estrutura de

baselines

Tecnologia

homologados
(ltimo

patch,

mximo

de

verso
atrasada) pela
empresa
logo

to
sejam

disponibilizados

12

Deadline

para o Sistema
Operacional

Software
Aplicativo.

13

Documentando Controles
Selecionar um ou mais controles do Anexo A da norma NBR
27001.
Documentar

identificar

as

mtricas

conforme

os

itens

apresentados no documento CS.

Controle de Segurana (CS01):
Aplicao de baselines de segurana na Estao de Trabalho.
Objetivos:
Minimizar a probabilidade de ocorrncia de acesso no autorizado em
virtude da ausncia de atualizao dos baselines de segurana.
Descrio:
O Ambiente de Infra-estrutura dever aplicar os baselines homologados
(ltimo patch, mximo de 1 verso atrasada) pela empresa to logo
sejam disponibilizados

para o Sistema Operacional e Software

Aplicativo.
Mtricas de controle:
Quantidade de acessos indevidos.
Nvel de Servio: nenhum a 10 (durante 6 meses).
Avaliao de resultados (*):
Log de acesso da estao de trabalho.
(*) onde encontrar evidncias do cumprimento dos niveis de servio de
acordo com as mtricas.
Nvel de Servio: nvel de aceitao conforme as mtricas definidas.

14

Declarao de Aplicabilidade (SoA)

Elaborar uma declarao de aplicabilidade
Controle

Aplicao

Justificativa

Controle
de
Segurana
(*)

3.1.1

Aplicado

Minimizar riscos X, Y e Z

CS99

3.1.2
...

...

7.2.5

No aplicado

...

...

A manuteno feita in
house

...

...

...

...

12.3.2
20.1.1

Aplicado

Minimizar a probabilidade de
ocorrncias de acessos no
autorizados estao de
trabalho em virtude da falta
de atualizao dos baselines
de segurana

(*) Indica onde est descrito a aplicao do controle

15

CS01