Segurança da Informação
Tópico 07 e 08
•
•
•
Análise de riscos.
Metodologia de análise de riscos
métodos de construção do documento.
Prof.Davison Marques
Conceitos
Segurança da Informação
• Processo de proteção de informações e ativos digitais
armazenados em computadores, redes e quaisquer mídias.
• As necessidades de segurança e sua importância relativa de
cada um dos bens de informação dependem do negócio de cada
organização.
Conceitos
“Tradicionalmente, as organizações dedicam grande atenção
para com seus ativos tangíveis físicos e financeiros, mas
relativamente pouca atenção aos ativos de informação que
possuem.”
“Em anos recentes, contudo, a informação assumiu importância
vital para a manutenção dos negócios, marcados pela
dinamicidade da economia globalizada e permanentemente online, de tal forma que hoje não há organização humana não
dependente da tecnologia da informação, em maior ou menor
grau, de forma que o comprometimento do sistema de
informações por problemas de segurança pode causar grandes
prejuízos ou mesmo levar a organização à falência.”
CARUSO, Carlos A.A. - “Segurança em informática e de
informações” – São Paulo, SP - 1999
Conceitos
Existem ainda pouco entendimento sobre o processo e as
métricas utilizados em um processo de análise de risco (AR).
“Ter riscos” significa “ter uma chance”
A incerteza é a questão central do risco, cabe a organização
tomar as providências frente a esta questão.
Ameaças sempre existe e sempre existiram, a tendência é
apenas que elas cresçam a cada dia.
Conceitos
De acordo com a ISO Guide 51, define-se os seguintes termos:
Risco – combinação da probabilidade de ocorrência de dano e
da severidade deste dano.
Dano – prejuízo físico ou dano à saúde de pessoas, dano à
propriedade ou ao ambiente.
Incidente – ocorrência na qual uma situação de perigo resulta
em dano.
Ameaça – fonte potencial de dano
Vulnerabilidade – circunstância na qual ativos, pessoas,
propriedade ou o ambiente ficam expostos a uma ou mais
ameaças.
Medida de proteção (controles) – meio utilizado para reduzir o
risco.
Conceitos
Risco residual – risco remanescente após a adoção de medidas
de proteção.
Análise de risco – uso sistemático de informações disponíveis
para identificar ameaças e estimar riscos.
Avaliação de riscos – procedimento baseado na análise de riscos
para determinar se o risco tolerável foi alcançado.
Conceitos
A ISO Guide 73 define termos complementares como:
Probabilidade - grau de possibilidade de que um evento ocorra
Os graus de confiança em relação à probabilidade podem ser
selecionados de classes ou categorias, tais como:
rara / improvável / moderada / provável / quase certa, ou
impossível / improvável / remota / ocasional / provável /
freqüente.
Transferência do risco - compartilhamento com outra parte do
ônus da perda ou do benefício do ganho associado a um
determinado risco.
Retenção do risco - aceitação do ônus da perda ou do benefício
do ganho associado a um determinado risco.
Conceitos
Aceitação do risco - decisão de concordar com um risco
considerando-se as limitações para seu tratamento.
Mitigação - limitação de quaisquer conseqüências negativas de
um determinado evento.
Redução do risco - ações tomadas para reduzir a probabilidade,
as conseqüências negativas, ou ambas, associadas a um risco.
Conceitos
Conceitos
Conceitos
Ativo – pode ser definido como todo elemento que compõe os
processos de manipulação e processamento da informação,
incluindo a própria informação, os ambientes sistêmicos, os meios
de comunicação.
Todo ativo requer algum nível de proteção, que será proporcional
ao seu valor.
O valor do ativo por sua vez pode ser tangível ou intangível.
O valor da importância do ativo pode ser obtido através da
avaliação de um conjunto de fatores como:
• Valor da informação para o mercado
• Valor da perda da credibilidade da empresa
• Valor de reposição de dados, hardwares, softwares e informações
Conceitos
Conceitos
Ameaças
Não intencionais
• Erro por parte do usuário e/ou operador;
• Falhas em equipamentos;
• Falhas de softwares;
• Desastres naturais;
Intencionais
• Sabotagem e/ou uso indevido;
• Roubo de informação;
• Burla de proteção;
• Ação de programadores;
• Ação de crackers;
• Crime organizado;
• Espionagem industrial;
Ameaças - Agentes
Ameaças - Agentes
•
•
•
•
•
•
•
Clientes;
Fornecedores;
Concorrentes;
Crime organizado;
Funcionários;
Usuários autorizados;
Agentes naturais (Enchentes, terremotos, tempestades, etc)
Vulnerabilidade
A vulnerabilidade é o ponto onde qualquer sistema é suscetível a
um ataque, ou seja, é uma condição encontrada em determinados
recursos, processos, configurações, etc que predispõe à
possibilidade de falha no sistema de segurança.
Condição causada muitas vezes pela ausência ou ineficiência das
medidas de proteção utilizadas com o intuito de salvaguardar os
bens da empresa.
Vulnerabilidade
Vulnerabilidades Físicas:
• Falta de extintores;
• Salas de CPD mal projetadas;
• Falta de detectores de fumaça e de outros recursos para combate
a incêndio;
• Instalações prediais fora do padrão;
• Instalação elétrica antiga e passando na mesma tubulação que os
cabos de conexão dos computadores.
Vulnerabilidades Naturais:
• Possibilidade de desastres naturais (incêndios, enchentes,
terremotos, tempestades);
• Acúmulo de poeira, aumento de umidade e de temperatura;
Vulnerabilidade
Vulnerabilidade de Software:
• Erros na instalação ou na configuração que podem acarretar
acessos indevidos;
• Falhas e bugs (erros de funcionamento) nos Sistemas
Operacionais;
• Falhas em programas que implementam serviços de rede.
Vulnerabilidade das Mídias:
• Disquetes antigos com informações importantes;
• Fita magnética de baixa qualidade;
• Relatórios e impressos podem ser perdidos ou danificados;
• Radiação eletromagnética que pode afetar diversos tipos de
mídias magnéticas;
• Irradiações não desejadas TEMPEST.
Vulnerabilidade
Vulnerabilidade de Hardware:
• Falha nos recursos tecnológicos (desgaste, obsolescência, mal
uso);
• Erros ou problemas durante a instalação.
Vulnerabilidades nas Comunicações:
• Constantes falhas nos links (conexões de telecomunicações);
• Tráfego de informações confidenciais sem proteção adicional
(criptografia);
• Perda de comunicação.
Vulnerabilidade Humana:
• Falta de treinamento;
• Compartilhamento de informações confidenciais;
• Falta de comprometimento dos funcionários.
Risco e Impacto
Risco:
Corresponde ao nível de gravidade (severidade) e à tendência
(probabilidade) de certas ameaças virem a comprometer os
sistemas e as informações, com impactos nos negócios.
•Danos ao patrimônio
•Custos legais
•Perda de receita
•Participação no mercado
Impacto
•Indisponibilidade de fundos
•Interrupção dos negócios
•Perda da capacidade de atendimento a clientes externos e internos
Risco e Impacto
Definem as prioridades das ações a serem tomadas
Prioridades são diretamente proporcionais aos níveis de risco e aos
impactos esperados.
Auxiliam na definição da solução de segurança da
informação
Orçamentos destinados para as soluções tendem também a ser
diretamente proporcionais aos níveis de risco e aos impactos
esperados.
Risco e Impacto
O risco é diretamente proporcional às ameaças,
vulnerabilidades e ao valor do ativo e inversamente
proporcional às medidas de segurança utilizadas para a
proteção.
Ignorar os riscos, contando com a sorte não está no contexto da
análise de riscos.
Análise de riscos
Análise de risco
Pode ser definida como um conjunto de atividades utilizadas para
identificar ativos e suas ameaças, priorizando o tratamento das
vulnerabilidades que podem ser exploradas, identificando as
medidas de segurança apropriadas para se evitar o impacto
indesejado nos processos de negócio.
Tratamento do risco
Aceitar – Riscos com baixo nível de gravidade ou baixa
probabilidade de ocorrência;
Evitar – Deixar de utilizar o item que representa o risco, ex: Não
processar mais informações;
Reduzir – Implementar controles;
Transferir – Transfere a responsabilidade
para um terceiro;
Tratamento do risco
Aceitação consciente dos riscos:
• Riscos com baixo nível de gravidade ou baixa probabilidade
de ocorrência
• Outras considerações plausíveis
A aceitação do risco apenas se justifica quando os custos para a
implementação de controles são menores do que os custos
dos impactos causados pela ocorrência de falha de segurança.
Tratamento do risco
Aceitação inconsciente dos riscos:
• Impudência
• Negligência
Ignorar os riscos, contando-se apenas com a sorte, não está no
contexto da análise de riscos.
Em alguns casos a imprudência e/ou negligência destes riscos
podem representar problemas jurídicos.
Tratamento do risco
Evitar o risco:
Evita-se um risco quando deixa-se de realizar uma atividade que
gere o risco detectado.
Exemplo:
Risco da empresa ser inundada.
Solução: Instalar a empresa em um local alto, para evitar que o
risco de inundações aconteça.
Tratamento do risco
Transferir o risco:
Uma organização transfere o risco quando contrata um terceiro que
assuma o risco detectado.
Exemplo:
Risco do CPD ficar inoperante por falha nos servidores.
Solução: Contratar os serviços de um datacenter.
Tratamento do risco
Reduzir o risco:
• Medidas preventivas
• Reduzir vulnerabilidades
• Reduzir impactos
• Medidas detectivas
• Identificar a ocorrência de eventos não desejados
• Medidas corretivas
• Recuperar ativo atingido por evento não desejado
Tratamento do risco
Reduzir o risco:
Toda adoção de controles, em face do risco, envolve certo grau de
incerteza.
Análise de custo x benefício favorece a decisão relativa à adoção de
controle e medidas de segurança.
O que fazer?
Quanto vai custar?
Quais os benefícios?
Análise de risco
A análise de risco transforma fatores intangíveis em elementos
tangíveis, através de métricas orientadas aos negócios.
Deve servir como base de tomada de decisão no que se refere a
implementação de controles de segurança.
Tem como papel auxiliar o planejamento de investimento em
atividades que necessitem de um determinado nível de segurança.
Análise de risco
Processo de análise de risco é composto por:
Gestão de riscos: É o processo completo e contínuo de análise,
avaliação, priorização e implementação de medidas de controle
conforme o grau de criticidade dos riscos.
Análise de risco: Uso sistemático de informações para identificar
ameaças e vulnerabilidades, bem como para estimar o risco e os
impactos.
Avaliação do risco: Processo de comparar o risco estimado com
critérios de risco pré-definidos para determinar sua relevância.
Análise de risco
Processo de análise de risco é composto por:
Critérios de risco:
São termos de referência para se medir a relevância do risco.
Os critérios de risco podem incluir:
• Custo e benefício associado
• Requisitos legais
• Aspectos socioeconômicos e ambientais
• Prioridades
• Outros pontos de avaliação
Análise de risco
Processo de análise de risco é composto por:
Definição da política de gestão de riscos
Formação da equipe de gestão de riscos
Definição de metodologia e ferramentas
Identificação e mensuração de riscos
Definição do escopo das atividades
Identificação e avaliação dos ativos
Análise de ameaças e vulnerabilidades
Avaliação de riscos e impactos
Definição de critérios para tratamento dos riscos
Tomada de ações
Determinação dos riscos
Os riscos podem ser determinados através de dois métodos, sendo
estes:
Método quantitativo:
Probabilidade do evento ocorrer
Severidade das perdas na ocorrência do evento
É quase impossível conduzir um trabalho de análise de riscos
puramente quantitativo. Só será viável quando todos os elementos
(valor do ativo, impacto, frequência, medidas de proteção,
incerteza) forem quantificados.
Determinação dos riscos
Método qualitativo:
Baseia-se fundamentalmente no elemento relativo a estimativa de
perdas potenciais.
Na prática, pode-se conduzir um projeto de análise de risco
totalmente qualitativo ou combinar com o método quantitativo
quando este tiver dados para análise.
Tomada de decisão
Produto final
O documento final deverá:
•
•
•
•
Estar em linguagem adequada ao público a que se destina
Respeitar os valores e a missão da organização
Conter dados suficientes para a tomada de decisão
Conter as informações suficientes e corretas para o
cumprimento de seus objetivos