Identificação dos Riscos e Impacto no Negócio

Apresentação em tema: "Identificação dos Riscos e Impacto no Negócio"— Transcrição da apresentação:

1 Identificação dos Riscos e Impacto no Negócio
SQS Portugal Identificação dos Riscos e Impacto no Negócio Carlos A. Cruz - SQS Portugal - Lisboa, 2 Novembro de 2006

2 Agenda 1ª Parte Definições Vulnerabilidades Risco Gestão do Risco
SQS Portugal Agenda 1ª Parte Definições Vulnerabilidades Risco Gestão do Risco Sistemas Seguros? SQS Portugal

3 VULNERABILIDADE (em TIs)
SQS Portugal VULNERABILIDADE (em TIs) O grau até ao qual um sistema de software ou compo- nente está aberto a um acesso não autorizado, modi- ficação ou revelação de informação que provoque uma susceptibilidade de interferência ou interrupção dos serviços desse mesmo sistema de informação. Ocorrência em hardware, firmware, ou fluxo de software que permite que um sistema de informação seja aberto para uma qualquer potencial exploração externa não desejada. Uma debilidade nos procedimentos de segurança, controlos administrativos, desenho de infra-estrutura, controlos internos, … , que pode ser explorada para franquear acesso não autorizado à informação gerida ou provocar a falha de processos críticos. SQS Portugal

4 SQS Portugal RISCO Conceito resultante de uma cultura e instrumento de apoio à decisão. Conceito multi-dimensional presente nas decisões pessoais, sociais, institucionais, empresariais, políticas... Possibilidade de perda, dano, desvantagem; - ou … Possibilidade de destruição por contingência, perigo ou ameaça. Ameaça de perda ou perigo para objecto seguro por um contrato, ou grau de probabilidade de tal perda. Produto da quantidade que pode ser perdida pela probabilidade de a perder. SQS Portugal

5 RISCO – Comportamento actual da sociedade
SQS Portugal RISCO – Comportamento actual da sociedade Execução baseada no conhecimento Materialização da inovação Vulnerabilidades do ecossistema face à natureza e efeitos da tecnologia RISCOS Segurança como instrumento ou contradição Necessidade de controlo e distribuição Gestão dos riscos SQS Portugal

6 RISCO – Comportamento actual da sociedade
SQS Portugal RISCO – Comportamento actual da sociedade Sociedade do risco (U. Beck, 1994) “... Fase de desenvolvimento da sociedade moderna na qual os riscos sociais, políticos, ecológicos e individuais, criados pela dinâmica de inovação, crescentemente ultrapassam o controlo e a protecção das instituições da sociedade industrial” A percepção social do risco torna-se num componente fundamental – a comunicação do risco é crítica na formulação da percepção do risco pela sociedade. A essência do risco prende-se com o que pode acontecer e não com o que acontece ou aconteceu. É a probabilidade e incerteza associadas ao conceito de futurologia. SQS Portugal

7 Vulnerabilidades e RISCO – Ideias a reter
SQS Portugal Vulnerabilidades e RISCO – Ideias a reter O risco não pode ser eliminado totalmente, logo tem de ser gerido (noção de riscos residuais). As vulnerabilidades desconhecidas – por quem gere um ecossistema – afectam (negativamente) a gestão do risco, aumentando a incerteza. A identificação de uma vulnerabilidade está directamente relacionada com o nível de organização ou de tecnologia de um sistema social, i.e., quanto mais evoluído mais crítica é a essa vulnerabilidade. Além das macro, as micro-seguranças – no município, no edifício, na PME, na rede, no balcão, (para além da corporação, do banco, da barragem, da infra-estrutura de energia, etc.) – vão representar um valor significativo e crescente da preocupação e do investimento. SQS Portugal

8 Gestão do Risco - Quadro de referência
SQS Portugal Gestão do Risco - Quadro de referência Quais as vulnerabilidades a que o meu ecossistema está sujeito? Como diminuir o número de vulnerabilidades (presentemente) desconhecida por mim? Quais são os riscos residuais de um processo, duma actividade, duma instalação? São aceitáveis esses riscos? Como transformar esses riscos em riscos aceitáveis? Como garantir que esses riscos residuais se mantêm aceitáveis? SQS Portugal

9 Criação de sistemas seguros
SQS Portugal Criação de sistemas seguros Não existem sistemas 100% seguros necessidade da gestão do risco. Medida de confiança (Trust) na segurança: Diz-se que um sistema é confiável se existirem evidências suficientes que satisfaçam um conjunto de requisitos de segurança. A confiança obtém-se através de técnicas de garantia (assurance) A verificação de conformidade (de segurança) de um sistema é a análise do desvio de um padrão ou meta assumida por parte de peritos externos e independentes. A certificação é a aceitação por parte de peritos externos e independentes das garantias e a atribuição de um nível reconhecido de confiança. SQS Portugal

10 Agenda 2ª Parte Normas Comportamento do mercado
SQS Portugal Agenda 2ª Parte Normas Comportamento do mercado Caso em observação – Banca Exemplos de Mercado – Clientes da SQS Convite ao debate SQS Portugal

11 Agenda Normas Comportamento do mercado Caso em observação – Banca
SQS Portugal Agenda Normas Comportamento do mercado Caso em observação – Banca Exemplos de Mercado – Clientes da SQS Convite ao debate SQS Portugal

12 Bases – Organizações Normativas
SQS Portugal Bases – Organizações Normativas ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1 ISTQB - International Software Testing Qualifications Board Part of the European Organization for Quality – Software Group. iNTACS is the independent non-profit organisation to support the industry on software process improvement. The Information Technology Infrastructure Library (ITIL) is a framework of best practice approaches intended to facilitate the delivery of high quality information technology (IT) services. Product and company independent SQS Portugal

13 Bases – ISO/IEC 27001 www.iso.org
SQS Portugal Bases – ISO/IEC ISO/IEC 27001:2005 specifies the requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a documented Information Security Management System within the context of the organization's overall business risks. It specifies requirements for the implementation of security controls customized to the needs of individual organizations or parts thereof. ISO/IEC 27001:2005 is designed to ensure the selection of adequate and proportionate security controls that protect information assets and give confidence to interested parties. USE TO: - Formulate security requirements and objectives; - As a way to ensure that security risks are cost effectively managed; - ensure compliance with laws and regulations; - As a process framework for the implementation and management of controls to ensure that the specific security objectives of an organization are met; - Definition of new information security management processes; - Identification and clarification of existing information security management processes; - Use by the management of organizations to determine the status of information security management activities; - use by the internal and external auditors of organizations to determine the degree of compliance with the policies, directives and standards adopted by an organization; - To provide relevant information about information security policies, directives, standards and procedures to trading partners and other organizations with whom they interact for operational or commercial reasons; - Implementation of business-enabling information security; - To provide relevant information about information security to customers. Product and company independent SQS Portugal

14 Bases – ISO/IEC 27001 www.iso.org
SQS Portugal Bases – ISO/IEC IDÉIAS CHAVE sobre a norma ISO/IEC : É a mais recente e completa norma reconhecida como padrão internacional para especificar um Sistema de Gestão de Segurança no domínio dos Sistemas de Informação. Especifica a infra-estrutura para desenhar, implementar, gerir, manter e aplicar os processos de segurança da Informação e determina o controlo sistemático e consistente necessário numa organização. É uma norma CERTIFICADORA Product and company independent SQS Portugal

15 Bases – ISO/IEC 17799 www.iso.org
SQS Portugal Bases – ISO/IEC ISO/IEC 17799:2005, is the international standard Code of Practice for Information Security Management Relationship to ISO 27001: ISO defines the requirements for an Information Security Management System (ISMS), in turn using ISO to indicate suitable information security controls within the ISMS It lays out a well structured set of controls to address information security risks, covering confidentiality, integrity and availability aspects. Organizations that adopt ISO must assess their own information security risks and apply suitable controls, using the standard for guidance. Strictly speaking, none of the controls are mandatory but if an organization chooses not to adopt something as common as, say, antivirus controls, they should certainly be prepared to demonstrate that this decision was reached through a rational risk management decision process, not just an oversight. Product and company independent SQS Portugal

16 Agenda Normas Comportamento do mercado Caso em observação – Banca
SQS Portugal Agenda Normas Comportamento do mercado Caso em observação – Banca Exemplos de Mercado – Clientes da SQS Convite ao debate SQS Portugal

17 SQS Portugal O mercado exige uma política de segurança e qualidade! Quais as razões e os benefícios? Exemplo - Assessoria de Conformidade com a norma de segurança ISO 17799 Objectivo: Demonstração do conhecimento documentado e detalhado da situação actual relativamente às eventuais vulnerabilidades dos suportes lógicos e Data Centre afecto a um qualquer projecto de sistemas de informação, nomeadamente: Assegurando um fundamento sólido de apoio ao nível de segurança, adequado à utilização dos sistemas de informação e definição da politica de segurança; Comprovando a diligência com que procura manter um ambiente seguro na sua infra-estrutura interna de SI e daquela com presença na Internet; Minimizando o risco de um ataque externo ou interno. SQS Portugal

18 SQS Portugal O mercado exige uma política de segurança e qualidade! Quais as razões e os benefícios? Exemplo - Assessoria de Conformidade com a norma de segurança ISO 17799 Estes benefícios serão concretizados através de: Avaliação da política de segurança existente no ambiente de sistemas de informação, bem como sugestão de correcções e práticas para aumentar o nível de segurança e eficiência; Avaliação e análise das condições de segurança informática do sistema de salvaguarda e reposição; Identificação das áreas com potencialidade de melhoria, em termos de segurança, de acordo com a sua missão e objectivos; Classificação, em termos de factor de risco, das vulnerabilidades e desvios às melhores práticas encontradas, tendo em linha de conta a probabilidade e facilidade de serem exploradas, assim como do seu eventual impacto em termos de confidencialidade, integridade e disponibilidade; Validação da topologia e configuração da infra-estrutura de segurança; Sugestões com vista à eliminação das vulnerabilidades e desvio das melhores práticas identificadas. SQS Portugal

19 SQS Portugal Ausência de uma política de segurança e qualidade? Custos e consequências: Quem? As hierarquias governamentais Os cidadãos Os meios de comunicação A CE Não aceitam mais as desculpas do tipo: … Eu não sabia … Não fui eu que fiz (mas fui eu que decidi) Só cortei na segurança e qualidade global para conseguir executar o projecto Conclusão: Actualmente um projecto de SI dimensiona-se tanto pela vertente do sucesso nas funcionalidades automatizadas, como pela de segurança e qualidade. SQS Portugal

20 Começar por algo pequeno? onde? (sugestão)
SQS Portugal Começar por algo pequeno? onde? (sugestão) DMZ o que é? (Webopedia) Short for demilitarized zone, a computer or small subnetwork that sits between a trusted internal network, and an untrusted external network, such as the Internet. The DMZ contains devices accessible to Internet traffic, such as Web (HTTP ) servers, FTP servers, SMTP ( ) servers and DNS servers... Em 2005, segundo o CERT (centro de Internet Security Expertise, gerido pala Carnegie Mellon University), as vulnerabilidades documentadas, com origem em intrusões via DMZ, aumentaram 59% face a 2004, correspondente a 5,990 vulnerabilidades identificadas! AVALIE a sua DMZ! Benifícios: Minimiza o risco de um ataque externo por melhorar as condições de aplicação da política de segurança, fundamentada no conhecimento das eventuais vulnerabilidades presentes na rede. Verifica se os mecanismos de segurança implementados desempenham as suas funções de acordo com os requisitos e política de segurança específicos da infra-estrutura. Suporta a estabilidade do negócio e da actividade. Planeie de investimentos a prazo mais alargado ao evitar imposições de emergência. SQS Portugal

21 Agenda Normas Comportamento do mercado Caso em observação – Banca
SQS Portugal Agenda Normas Comportamento do mercado Caso em observação – Banca Exemplos de Mercado – Clientes da SQS Convite ao debate SQS Portugal

22 Caso em observação - Banca
SQS Portugal Caso em observação - Banca Propomos a análise da área bancária porque… …Porque até 2008 precisará de cumprir com as directivas de diminuição de risco operacional impostas pelo comité de Basileia 2. SQS Portugal

23 Banca – Basileia 2 Juro ao Crédito Custo do equity capital
SQS Portugal Banca – Basileia 2 Basileia é desde 1975 a sede do Bank for International Settlements (BIS) responsável pela supervisão de toda a actividade bancária para o G10 e com ligação reguladora a todos os bancos centrais aderentes (incluíndo o Banco de Portugal) O “framework” Basileia 2 actualmente em implementação lança as bases fundamentais para a medição de capital social e activos de um Banco (equity capital measurement ) 8% do “equity capital” deve ser acrescentado como reserva para cobrir perdas inesperadas O custo do “equity capital” afecta o nível de juro ao crédito e consequentemente todas as oportunidades no mercado bancário Risco do mercado Custo do equity capital Juro ao Crédito Custos cambiais e do mercado de capitais Custo padrão do risco Custos operacionais Risco do Crédito Risco Operacional SQS Portugal

24 Banca – Basileia 2 Introdução explícita do Risco Operacional
SQS Portugal Banca – Basileia 2 (uma) Variação drástica com Basileia 2: Introdução explícita do Risco Operacional Reconciliação entre Risco Operacional (RO) e Risco do Crédito (RC) RO/RC = 1:5 …(por enquanto) Será isto possível sem aumento geral das reservas em “equity capital“? Objectivo de RO/RC = 1:4 (ai !!!) Definição de Risco Operacional: .„é o risco resultante de uma perda directa ou indirecta devido a: Procedimentos internos inadequados ou incorrendo em falhas Sistemas e colaboradores inadequados ou incorrendo em falhas Acontecimentos externos imprevisíveis Principais justificações: IT, Outsourcing, eBanking, Business Continuity... … pelo que diminuir o risco inerente a este tipo de operações, significa diminuir o risco operacional, ou seja diminuir os custos para o Banco estar em linha com Basileia 2, ou seja continuar a operar após o quadro de implementação até 2008 SQS Portugal

25 Consequências e custos – Banca Alemã em 2003
SQS Portugal Consequências e custos – Banca Alemã em 2003 ? Risco Operaci onal Risco Merca do Risco Crédito Requisitos Basel II Reporting + Auditoria Dados e Sistemas Confidencia- lidade Metodologia Gestão Risco Integração do Risco X Atencão imediata dobre: Área Core: Sector IT Upgrade de Sistemas de Informação e Dados + Comunicação e Reporting Área Core: Risco Operacional Gestão e Metodologias Processamento e Agregação de Dados Confidencialidade e Integração SQS Portugal

26 Banca – Consequências e custos
SQS Portugal Banca – Consequências e custos Do ponto de vista de Sistemas de Informação e Dados torna-se urgente: No Risco do Crédito Desenvolvimento de novos conceitos de Datawarehouse Através de Web Services, implementar novos procedimentos de Reporting Prioridade aos procedimentos directamente relacionados coma redução do Risco No Risco Operacional Controlo e Gestão do Risco Desenvolver Bases de Dados e Calculadores do Risco Operacional Outras Àreas Sistema de Reporting (interno e externo) Em resumo, investimentos gerais em: Consistência e Qualidade dos processos Consistência e Qualidade dos dados Refazer toda a infra-estrutura de IT …? SQS Portugal

27 Banca – Consequências e custos
SQS Portugal Banca – Consequências e custos O Banco de Portugal reafirma desde 2003 que os Bancos Portugueses deverão estar em linha com o quadro regulador de Basileia 2, e dentro dos prazos predefinidos. O Banco de Portugal estima que os 4 maiores Bancos Portugueses investirão mais de 600 M€ para se adequarem às normas de Basileia 2. Uma parte substancial parte desse esforço é pilotado pela diminuição do Risco Operacional e deve ser orientado para processos de Qualidade e da sua medição (Teste) – Exigência explícita do Comité de Basileia 2 Nota: Com ou sem Basileia 2, a Banca Portuguesa foi notícia por ocorrências de Phishing e outro tipo de intrusões. Os gestores conscientes não deverão esperar por Basileia 2 para diminuir o Risco Operacional do seu negócio (e demonstrá-lo). SQS Portugal

28 Banca – Consequências e custos (notícias recorrentes)
SQS Portugal Banca – Consequências e custos (notícias recorrentes) Novos cartões de crédito sem segurança garantida [ 2006/10/31 | 13:07 ] Os novos cartões de crédito estão quase a chegar. Mas, apesar da tecnologia de ponta (a tão falada identificação por radiofrequência), os cartões mostraram-se menos seguros do que os actuais, com a velhinha banda magnética. Dois professores de matemática avançada de Massachusetts, Tom Heydt-Beijamim e Kevin Fu, não precisaram de ser hackers avançados para provarem a debilidade da tecnologia, que armazena dados num chip identificável à distância. Os professores só tiveram de meter um cartão num envelope, fechá-lo numa caixa preta de plástico e ligá-lo ao computador. Em segundos, o PC descobriu o nome do titular, o número do cartão e a data de validade, de acordo com o «Diário de Notícias». SQS Portugal

29 Agenda Normas Comportamento do mercado Caso em observação - Banca
SQS Portugal Agenda Normas Comportamento do mercado Caso em observação - Banca Exemplos de Mercado – Clientes da SQS Convite ao debate SQS Portugal

30 Alguns dos nossos clientes…
SQS Portugal Alguns dos nossos clientes… Referências em todos os sectores: Financial Service Norwich Union Dresdner Bank Deutsche Bank Lloyds TSB Credit Suisse LBS Commerzbank Telecommunications Vodafone ePlus T-Mobile O2 Deutsche Telekom Other SwissLife D&B Whitbread Provinzial Zurich Public Administration Bundeswehr Phoenics RZF NRW VBG Retail/Logistics Edeka Fraport DHL Deutsche Post Die Bahn HHLA SBB CFF FFS Industry and Engineering, IT Services Daimler Chrysler Alcatel Airbus T-Systems Siemens VDO VW Bordnetze Fiducia Xansa SQS Portugal

31 Agenda Normas Definições Casos em observação - Banca
SQS Portugal Agenda Normas Definições Casos em observação - Banca Exemplos de Mercado Convite ao debate (no tempo apropriado) SQS Portugal

32 Identificação dos Riscos e Impacto no Negócio
SQS Portugal Identificação dos Riscos e Impacto no Negócio Carlos A. Cruz - SQS Portugal - Lisboa, 2 Novembro de 2006