A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Identificação dos Riscos e Impacto no Negócio www.sqs.pt Carlos A. Cruz - SQS Portugal - Lisboa, 2 Novembro de 2006.

Apresentações semelhantes


Apresentação em tema: "Identificação dos Riscos e Impacto no Negócio www.sqs.pt Carlos A. Cruz - SQS Portugal - Lisboa, 2 Novembro de 2006."— Transcrição da apresentação:

1 Identificação dos Riscos e Impacto no Negócio Carlos A. Cruz - SQS Portugal - Lisboa, 2 Novembro de 2006

2 2 SQS Portugal n Definições o Vulnerabilidades o Risco o Gestão do Risco o Sistemas Seguros? Agenda n 1ª Parte

3 3 SQS Portugal n O grau até ao qual um sistema de software ou compo- nente está aberto a um acesso não autorizado, modi- ficação ou revelação de informação que provoque uma susceptibilidade de interferência ou interrupção dos serviços desse mesmo sistema de informação. n Ocorrência em hardware, firmware, ou fluxo de software que permite que um sistema de informação seja aberto para uma qualquer potencial exploração externa não desejada. n Uma debilidade nos procedimentos de segurança, controlos administrativos, desenho de infra-estrutura, controlos internos, …, que pode ser explorada para franquear acesso não autorizado à informação gerida ou provocar a falha de processos críticos. VULNERABILIDADE (em TIs)

4 4 SQS Portugal n Conceito resultante de uma cultura e instrumento de apoio à decisão. n Conceito multi-dimensional presente nas decisões pessoais, sociais, institucionais, empresariais, políticas... n Possibilidade de perda, dano, desvantagem; - ou … n Possibilidade de destruição por contingência, perigo ou ameaça. n Ameaça de perda ou perigo para objecto seguro por um contrato, ou grau de probabilidade de tal perda. n Produto da quantidade que pode ser perdida pela probabilidade de a perder. RISCO

5 5 SQS Portugal RISCO – Comportamento actual da sociedade Execução baseada no conhecimento Materialização da inovação Vulnerabilidades do ecossistema face à natureza e efeitos da tecnologia Necessidade de controlo e distribuição Gestão dos riscos Segurança como instrumento ou contradição RISCOS

6 6 SQS Portugal RISCO – Comportamento actual da sociedade Sociedade do risco (U. Beck, 1994) n... Fase de desenvolvimento da sociedade moderna na qual os riscos sociais, políticos, ecológicos e individuais, criados pela dinâmica de inovação, crescentemente ultrapassam o controlo e a protecção das instituições da sociedade industrial n A percepção social do risco torna-se num componente fundamental – a comunicação do risco é crítica na formulação da percepção do risco pela sociedade. n A essência do risco prende-se com o que pode acontecer e não com o que acontece ou aconteceu. n É a probabilidade e incerteza associadas ao conceito de futurologia.

7 7 SQS Portugal Vulnerabilidades e RISCO – Ideias a reter n O risco não pode ser eliminado totalmente, logo tem de ser gerido (noção de riscos residuais). n As vulnerabilidades desconhecidas – por quem gere um ecossistema – afectam (negativamente) a gestão do risco, aumentando a incerteza. n A identificação de uma vulnerabilidade está directamente relacionada com o nível de organização ou de tecnologia de um sistema social, i.e., quanto mais evoluído mais crítica é a essa vulnerabilidade. n Além das macro, as micro-seguranças – no município, no edifício, na PME, na rede, no balcão, (para além da corporação, do banco, da barragem, da infra-estrutura de energia, etc.) – vão representar um valor significativo e crescente da preocupação e do investimento.

8 8 SQS Portugal Gestão do Risco - Quadro de referência n Quais as vulnerabilidades a que o meu ecossistema está sujeito? n Como diminuir o número de vulnerabilidades (presentemente) desconhecida por mim? n Quais são os riscos residuais de um processo, duma actividade, duma instalação? n São aceitáveis esses riscos? n Como transformar esses riscos em riscos aceitáveis? n Como garantir que esses riscos residuais se mantêm aceitáveis?

9 9 SQS Portugal Criação de sistemas seguros n Não existem sistemas 100% seguros necessidade da gestão do risco. n Medida de confiança (Trust) na segurança: n Diz-se que um sistema é confiável se existirem evidências suficientes que satisfaçam um conjunto de requisitos de segurança. n A confiança obtém-se através de técnicas de garantia (assurance) n A verificação de conformidade (de segurança) de um sistema é a análise do desvio de um padrão ou meta assumida por parte de peritos externos e independentes. n A certificação é a aceitação por parte de peritos externos e independentes das garantias e a atribuição de um nível reconhecido de confiança.

10 10 SQS Portugal n Normas n Comportamento do mercado n Caso em observação – Banca n Exemplos de Mercado – Clientes da SQS n Convite ao debate Agenda n 2ª Parte

11 11 SQS Portugal n Normas n Comportamento do mercado n Caso em observação – Banca n Exemplos de Mercado – Clientes da SQS n Convite ao debate Agenda

12 12 SQS Portugal n ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards. l In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1 n ISTQB - International Software Testing Qualifications Board l Part of the European Organization for Quality – Software Group. n iNTACS is the independent non-profit organisation to support the industry on software process improvement. n The Information Technology Infrastructure Library (ITIL) is a framework of best practice approaches intended to facilitate the delivery of high quality information technology (IT) services. Bases – Organizações Normativas

13 13 SQS Portugal n ISO/IEC 27001:2005 specifies the requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a documented Information Security Management System within the context of the organization's overall business risks. It specifies requirements for the implementation of security controls customized to the needs of individual organizations or parts thereof. n ISO/IEC 27001:2005 is designed to ensure the selection of adequate and proportionate security controls that protect information assets and give confidence to interested parties. n USE TO: - Formulate security requirements and objectives; - As a way to ensure that security risks are cost effectively managed; - ensure compliance with laws and regulations; - As a process framework for the implementation and management of controls to ensure that the specific security objectives of an organization are met; - Definition of new information security management processes; - Identification and clarification of existing information security management processes; - Use by the management of organizations to determine the status of information security management activities; - use by the internal and external auditors of organizations to determine the degree of compliance with the policies, directives and standards adopted by an organization; - To provide relevant information about information security policies, directives, standards and procedures to trading partners and other organizations with whom they interact for operational or commercial reasons; - Implementation of business-enabling information security; - To provide relevant information about information security to customers. Bases – ISO/IEC

14 14 SQS Portugal IDÉIAS CHAVE sobre a norma ISO/IEC : n É a mais recente e completa norma reconhecida como padrão internacional para especificar um Sistema de Gestão de Segurança no domínio dos Sistemas de Informação. n Especifica a infra-estrutura para desenhar, implementar, gerir, manter e aplicar os processos de segurança da Informação e determina o controlo sistemático e consistente necessário numa organização. n É uma norma CERTIFICADORA Bases – ISO/IEC

15 15 SQS Portugal n ISO/IEC 17799:2005, is the international standard Code of Practice for Information Security Management n Relationship to ISO 27001: l ISO defines the requirements for an Information Security Management System (ISMS), in turn using ISO to indicate suitable information security controls within the ISMS n It lays out a well structured set of controls to address information security risks, covering confidentiality, integrity and availability aspects. l Organizations that adopt ISO must assess their own information security risks and apply suitable controls, using the standard for guidance. l Strictly speaking, none of the controls are mandatory but if an organization chooses not to adopt something as common as, say, antivirus controls, they should certainly be prepared to demonstrate that this decision was reached through a rational risk management decision process, not just an oversight. Bases – ISO/IEC

16 16 SQS Portugal n Normas n Comportamento do mercado n Caso em observação – Banca n Exemplos de Mercado – Clientes da SQS n Convite ao debate Agenda

17 17 SQS Portugal O mercado exige uma política de segurança e qualidade! Quais as razões e os benefícios? Exemplo - Assessoria de Conformidade com a norma de segurança ISO n Objectivo: Demonstração do conhecimento documentado e detalhado da situação actual relativamente às eventuais vulnerabilidades dos suportes lógicos e Data Centre afecto a um qualquer projecto de sistemas de informação, nomeadamente: o Assegurando um fundamento sólido de apoio ao nível de segurança, adequado à utilização dos sistemas de informação e definição da politica de segurança; o Comprovando a diligência com que procura manter um ambiente seguro na sua infra-estrutura interna de SI e daquela com presença na Internet; o Minimizando o risco de um ataque externo ou interno.

18 18 SQS Portugal O mercado exige uma política de segurança e qualidade! Quais as razões e os benefícios? Exemplo - Assessoria de Conformidade com a norma de segurança ISO n Estes benefícios serão concretizados através de: o Avaliação da política de segurança existente no ambiente de sistemas de informação, bem como sugestão de correcções e práticas para aumentar o nível de segurança e eficiência; o Avaliação e análise das condições de segurança informática do sistema de salvaguarda e reposição; o Identificação das áreas com potencialidade de melhoria, em termos de segurança, de acordo com a sua missão e objectivos; o Classificação, em termos de factor de risco, das vulnerabilidades e desvios às melhores práticas encontradas, tendo em linha de conta a probabilidade e facilidade de serem exploradas, assim como do seu eventual impacto em termos de confidencialidade, integridade e disponibilidade; o Validação da topologia e configuração da infra-estrutura de segurança; o Sugestões com vista à eliminação das vulnerabilidades e desvio das melhores práticas identificadas.

19 19 SQS Portugal Ausência de uma política de segurança e qualidade? Custos e consequências: Quem? n As hierarquias governamentais n Os cidadãos n Os meios de comunicação n A CE Não aceitam mais as desculpas do tipo: n … Eu não sabia n … Não fui eu que fiz (mas fui eu que decidi) n Só cortei na segurança e qualidade global para conseguir executar o projecto Conclusão: n Actualmente um projecto de SI dimensiona-se tanto pela vertente do sucesso nas funcionalidades automatizadas, como pela de segurança e qualidade.

20 20 SQS Portugal Começar por algo pequeno? onde? (sugestão) DMZ o que é? n (Webopedia) Short for demilitarized zone, a computer or small subnetwork that sits between a trusted internal network, and an untrusted external network, such as the Internet. The DMZ contains devices accessible to Internet traffic, such as Web (HTTP ) servers, FTP servers, SMTP ( ) servers and DNS servers... Em 2005, segundo o CERT (centro de Internet Security Expertise, gerido pala Carnegie Mellon University), as vulnerabilidades documentadas, com origem em intrusões via DMZ, aumentaram 59% face a 2004, correspondente a 5,990 vulnerabilidades identificadas! AVALIE a sua DMZ! Benifícios: n Minimiza o risco de um ataque externo por melhorar as condições de aplicação da política de segurança, fundamentada no conhecimento das eventuais vulnerabilidades presentes na rede. n Verifica se os mecanismos de segurança implementados desempenham as suas funções de acordo com os requisitos e política de segurança específicos da infra- estrutura. n Suporta a estabilidade do negócio e da actividade. Planeie de investimentos a prazo mais alargado ao evitar imposições de emergência.

21 21 SQS Portugal n Normas n Comportamento do mercado n Caso em observação – Banca n Exemplos de Mercado – Clientes da SQS n Convite ao debate Agenda

22 22 SQS Portugal Caso em observação - Banca Propomos a análise da área bancária porque… …Porque até 2008 precisará de cumprir com as directivas de diminuição de risco operacional impostas pelo comité de Basileia 2.

23 23 SQS Portugal Banca – Basileia 2 n Basileia é desde 1975 a sede do Bank for International Settlements (BIS) responsável pela supervisão de toda a actividade bancária para o G10 e com ligação reguladora a todos os bancos centrais aderentes (incluíndo o Banco de Portugal) n O framework Basileia 2 actualmente em implementação lança as bases fundamentais para a medição de capital social e activos de um Banco (equity capital measurement ) n 8% do equity capital deve ser acrescentado como reserva para cobrir perdas inesperadas n O custo do equity capital afecta o nível de juro ao crédito e consequentemente todas as oportunidades no mercado bancário Risco do mercado Custo do equity capital Juro ao Crédito Custos operacionais Custos cambiais e do mercado de capitais Custo padrão do risco Risco Operacional Risco do Crédito

24 24 SQS Portugal Banca – Basileia 2 n (uma) Variação drástica com Basileia 2: o Introdução explícita do Risco Operacional o Reconciliação entre Risco Operacional (RO) e Risco do Crédito (RC) o RO/RC = 1:5 …(por enquanto) l Será isto possível sem aumento geral das reservas em equity capital? l Objectivo de RO/RC = 1:4 (ai !!!) n Definição de Risco Operacional:. é o risco resultante de uma perda directa ou indirecta devido a: o Procedimentos internos inadequados ou incorrendo em falhas o Sistemas e colaboradores inadequados ou incorrendo em falhas o Acontecimentos externos imprevisíveis n Principais justificações: IT, Outsourcing, eBanking, Business Continuity... n … pelo que diminuir o risco inerente a este tipo de operações, significa diminuir o risco operacional, ou seja diminuir os custos para o Banco estar em linha com Basileia 2, ou seja continuar a operar após o quadro de implementação até 2008

25 25 SQS Portugal Consequências e custos – Banca Alemã em 2003 Atencão imediata dobre: n Área Core: Sector IT o Upgrade de Sistemas de Informação e Dados + Comunicação e Reporting n Área Core: Risco Operacional o Gestão e Metodologias o Processamento e Agregação de Dados o Confidencialidade e Integração ? Risco Operaci onal Risco Merca do Risco Crédito Requisitos Basel II Reporting + Auditoria Dados e Sistemas Confidencia- lidade Metodologia Gestão Risco Integração do Risco ?

26 26 SQS Portugal Do ponto de vista de Sistemas de Informação e Dados torna-se urgente: n No Risco do Crédito o Desenvolvimento de novos conceitos de Datawarehouse o Através de Web Services, implementar novos procedimentos de Reporting o Prioridade aos procedimentos directamente relacionados coma redução do Risco n No Risco Operacional o Controlo e Gestão do Risco o Desenvolver Bases de Dados e Calculadores do Risco Operacional n Outras Àreas o Sistema de Reporting (interno e externo) n Em resumo, investimentos gerais em: o Consistência e Qualidade dos processos o Consistência e Qualidade dos dados o Refazer toda a infra-estrutura de IT …? Banca – Consequências e custos

27 27 SQS Portugal O Banco de Portugal reafirma desde 2003 que os Bancos Portugueses deverão estar em linha com o quadro regulador de Basileia 2, e dentro dos prazos predefinidos. O Banco de Portugal estima que os 4 maiores Bancos Portugueses investirão mais de 600 M para se adequarem às normas de Basileia 2. Uma parte substancial parte desse esforço é pilotado pela diminuição do Risco Operacional e deve ser orientado para processos de Qualidade e da sua medição (Teste) – Exigência explícita do Comité de Basileia 2 Nota: Com ou sem Basileia 2, a Banca Portuguesa foi notícia por ocorrências de Phishing e outro tipo de intrusões. Os gestores conscientes não deverão esperar por Basileia 2 para diminuir o Risco Operacional do seu negócio (e demonstrá-lo). Banca – Consequências e custos

28 28 SQS Portugal n Novos cartões de crédito sem segurança garantida [ 2006/10/31 | 13:07 ] Os novos cartões de crédito estão quase a chegar. Mas, apesar da tecnologia de ponta (a tão falada identificação por radiofrequência), os cartões mostraram-se menos seguros do que os actuais, com a velhinha banda magnética. Dois professores de matemática avançada de Massachusetts, Tom Heydt- Beijamim e Kevin Fu, não precisaram de ser hackers avançados para provarem a debilidade da tecnologia, que armazena dados num chip identificável à distância. Os professores só tiveram de meter um cartão num envelope, fechá-lo numa caixa preta de plástico e ligá-lo ao computador. Em segundos, o PC descobriu o nome do titular, o número do cartão e a data de validade, de acordo com o «Diário de Notícias». Banca – Consequências e custos (notícias recorrentes)

29 29 SQS Portugal n Normas n Comportamento do mercado n Caso em observação - Banca n Exemplos de Mercado – Clientes da SQS n Convite ao debate Agenda

30 30 SQS Portugal Financial Service Norwich Union Dresdner Bank Deutsche Bank Lloyds TSB Credit Suisse LBS Commerzbank Telecommunications Vodafone ePlus T-Mobile O2 Deutsche Telekom Other SwissLife D&B Whitbread Provinzial Zurich Public Administration Bundeswehr Phoenics RZF NRW VBG Retail/Logistics Edeka Fraport DHL Deutsche Post Die Bahn HHLA SBB CFF FFS Alguns dos nossos clientes… Industry and Engineering, IT Services Daimler Chrysler Alcatel Airbus T-Systems Siemens VDO VW Bordnetze Fiducia Xansa Referências em todos os sectores:

31 31 SQS Portugal n Normas n Definições n Casos em observação - Banca n Exemplos de Mercado n Convite ao debate (no tempo apropriado) Agenda

32 Identificação dos Riscos e Impacto no Negócio Carlos A. Cruz - SQS Portugal - Lisboa, 2 Novembro de 2006


Carregar ppt "Identificação dos Riscos e Impacto no Negócio www.sqs.pt Carlos A. Cruz - SQS Portugal - Lisboa, 2 Novembro de 2006."

Apresentações semelhantes


Anúncios Google