SEGURANÇA, CONTROLE E
AUDITORIA DE DADOS
10 – Análise de Impactos e Cálculo de Riscos
ANÁLISE DE IMPACTOS

Analisa-se impactos em dois aspectos:
Curto prazo;
 Longo prazo.



Em função do tempo que o impacto permanece
afetando os negócios.
De acordo com esta ótica, existem 6 classificações.
ANÁLISE DE IMPACTOS



0 – Impacto irrelevante;
1 – Efeito pouco significativo, sem afetar a
maioria dos processos de negócio da instituição;
2 – Sistemas não disponíveis por um determinado
período de tempo, podendo causar perda de
credibilidade junto aos clientes e fornecedores,
além de pequenas perdas financeiras;
ANÁLISE DE IMPACTOS



3 – Perdas financeiras de maior vulto e perda de
clientes para a concorrência;
4 – Efeitos desastrosos, porém sem comprometer
a sobrevivência da organização;
5 – Efeitos desastrosos que comprometem, de
algum modo, a sobrevivência da organização;
ANÁLISE DE IMPACTOS



Além desses níveis, outros, intrinsecamente
relacionados aos negócios da organização, podem
ser definidos;
Estes níveis devem ser criados por aqueles que
mais entendem dos negócios, e que trabalham
com os processos diariamente;
Exemplos de níveis criados:
ANÁLISE DE IMPACTOS
01 – Modificação de dados
 02 – Sistemas vitais não disponíveis
 03 – Divulgação de informações confidenciais
 04 – Fraude
 05 – Perda de credibilidade
 06 – Possibilidade de processo legal contra a
instituição
 07 – Perda de clientes para a concorrência

ANÁLISE DE IMPACTOS



Além de impactos, também tem-se níveis de
probabilidade;
Estes níveis, de modo padrão semelhante ao
anterior de impacto, também vão de 0 a 5;
Os níveis são como mostrados a seguir:
ANÁLISE DE IMPACTOS



0 – Ameaça completamente improvável de
ocorrer;
1 – Probabilidade da ameaça ocorrer menos de
uma vez por ano;
2 – Probabilidade da ameaça ocorrer pelo menos
uma vez por ano;
ANÁLISE DE IMPACTOS



3 – Probabilidade da ameaça ocorrer pelo menos
uma vez por mês;
4 – Probabilidade da ameaça ocorrer pelo menos
uma vez por semana;
5
–
Probabilidade
diariamente.
da
ameaça
ocorrer
MATRIZ DE RELACIONAMENTO

A maneira mais fácil de visualizar as ameaças,
impactos e probabilidades é a matriz de
relacionamento;

A matriz agrupará as ameaças em categorias;

As ameaças são associadas aos impactos;

Para cada par ameaça/impacto, associasse níveis
de impacto e probabilidade;
MATRIZ DE RELACIONAMENTO
Ameaças
Erros Humanos
Destruição acidental de informação
Configuração incorreta
Identificação e Autenticação
Ameaça com mascara de
identificação
Disponibilidade
Sabotagem
Falha de equipamento
Roubo
Tipo de
Impacto
Impacto
0-5
Probab.
0–5
MATRIZ DE RELACIONAMENTO

O risco é calculado com base nessa matriz;

Risco = Probabilidade X Impacto



Valor mínimo = 0: nenhum risco
Valor máximo = 25: altíssimo risco
Quanto maior o risco, mais atenção devem ter as
medidas de segurança para a ameaça em
questão;
MATRIZ DE RELACIONAMENTO



Economicamente, e tecnicamente, nem todos os
riscos serão minimizados;
Recomenda-se estabelecer um nível aceitável de
risco, e tratar as ameaças com risco maior que
este;
Isso visa diminuir o tempo de implementação de
segurança, e o custo total envolvido;
ANÁLISE DE RISCO

Para cada ameaça, define-se linhas de ação:
Eliminar risco;
 Reduzir risco a nível aceitável;
 Limitar o dano, reduzindo o impacto;
 Compensar o dano, por meio de seguros.


Caso seja impossível eliminar o risco, tenta
reduzi-lo a um nível aceitável, limitar o dano caso
o mesmo ocorra, ou compensar os danificados,
controlando o ambiente ameaçado.
ANÁLISE DE RISCO



Devido
à
complexidade
dos
ambientes
computacionais, recomenda-se o controle em
camadas;
Isso evita que, caso a proteção seja quebrada,
todo o ambiente fique desprotegido;
Caso a proteção de uma camada seja quebrada,
ainda existem a dos outros níveis;
ANÁLISE DE RISCO

Camadas:
Programas e aplicativos,
 Serviços;
 SO;
 Hardware.


Levar em consideração controles de segurança
física e outros controles administrativos;
ANÁLISE DE RISCO


Deste modo, mesmo que um invasor consiga
quebrar uma das camadas, ainda existem outras
barreiras a transpor;
Porém, isso somente funciona das camadas mais
acima para as inferiores;
App -> SO
 Hardware -/-> SO

ANÁLISE DE RISCO


Assim, quanto mais inferior a camada, mais
criteriosa deverá ser a escolha das medidas de
segurança aplicadas;
ISO 7498-2 define categorias de serviço de
segurança:






Autenticação;
Controle de Acesso;
Confidencialidade de Dados;
Integridade de Dados;
Disponibilidade;
Não repudio.
GERÊNCIA DE SEGURANÇA



Pessoa, ou grupo de pessoas, que desenvolve as
políticas de segurança definidas;
Após definida a política, é o gerente de segurança
que deve encabeçar sua implantação;
Deve estar diretamente ligado à alta gerência,
para evitar que suas sugestões (ou ordens) sejam
ignoradas;
GERÊNCIA DE SEGURANÇA

Deve ter em mente três princípios básicos:
Prevenir o acesso de pessoas não autorizadas aos
sistemas e informações;
 Impedir que aqueles que conseguirem acesso,
autorizado ou não, danifiquem ou adulterem
qualquer coisa; e
 Uma vez ocorrida a contingência, estar preparado
para identificar suas causas, recuperar os sistemas e
dados, e modificar os controles para que o problema
não torne a acontecer.

GERÊNCIA DE SEGURANÇA

Pode ser dividida em:
Gerência de segurança de sistemas;
 Gerência dos serviços de segurança;
 Gerência dos mecanismos de segurança;
 Gerência de auditoria de segurança.


Outros responsáveis:
Proprietário ou dono do sistema;
 Gerente do sistema;
 Usuário.

GERÊNCIA DE SEGURANÇA - CHECKLIST


Elaborar, divulgar e manter atualizado o
documento que descreva a política de segurança
de informações;
A alta gerência deve estar comprometida com a
política de segurança de informações, a qual deve
ser implantada de acordo com o documento
formal por ela aprovado;
GERÊNCIA DE SEGURANÇA - CHECKLIST


Definir
uma
estrutura
organizacional
responsável pela segurança, a qual deve aprovar
e revisar as políticas de segurança, designar
funções de segurança e coordenar a implantação
da política;
Estabelecer procedimentos de segurança de
pessoal, com o intuito de reduzir ou evitar erros
humanos, mal uso de recursos computacionais,
fraudes ou roubos, por meio de um processo
rigoroso de recrutamento e de controle sobre
acesso a dados confidenciais;
GERÊNCIA DE SEGURANÇA - CHECKLIST


Todos os funcionários devem ter conhecimento
dos riscos de segurança de informações e de suas
responsabilidades com relação a este assunto;
É recomendável que exista um treinamento de
segurança para difusão de boas práticas e
padrões de segurança, promovendo uma cultura
de segurança na organização;
GERÊNCIA DE SEGURANÇA - CHECKLIST



Controlar e classificar os recursos computacionais
de acordo com seu grau de confidencialidade,
prioridade e importância para a organização;
Todos os recursos (hardware, software, dados,
documentação etc.) devem ser administrados por
um responsável designado seu proprietário;
Definir padrões adequados de segurança física
para prevenir acesso não autorizado, danos ou
interferência em atividades críticas;
GERÊNCIA DE SEGURANÇA - CHECKLIST



Devem ser estabelecidos limites de acesso ou
áreas de segurança com dispositivos de controle
de entrada;
Todos os equipamentos e cabeamentos de energia
e de telecomunicação devem ser protegidos contra
interceptação, dano, falha de energia, picos de
carga e outros problemas elétricos;
Implantar controle de acesso lógico aos sistemas
de forma a prevenir acessos não autorizados;
GERÊNCIA DE SEGURANÇA - CHECKLIST


O controle de acesso lógico pode ser feito via
processo seguro de logon, senhas fortemente
seguras,
registro
formal
de
usuários,
monitoramento por trilhas de auditoria etc;
Administrar os recursos computacionais e as
redes
seguindo
requisitos
de
segurança
previamente definidos;
GERÊNCIA DE SEGURANÇA - CHECKLIST



Definir procedimentos de backup e de
restauração dos sistemas computacionais para
garantir a integridade e a disponibilidade de
dados e software;
A freqüência de backup deve ser apropriada e
pelo menos uma cópia do mesmo deve ser
guardada em local seguro;
Os procedimentos de restauração devem ser
periodicamente testados para garantir sua
efetividade quando forem necessários;
GERÊNCIA DE SEGURANÇA - CHECKLIST



Antes da inclusão de qualquer programa nos
sistemas computacionais da organização, tomar
as medidas de segurança exigidas na política da
organização;
Investigar qualquer incidente que comprometa a
segurança dos sistemas e informações;
Os registros desses incidentes devem ser
mantidos e periodicamente analisados para
detectar vulnerabilidades na política de
segurança adotada;
CONTROLES DE ACESSO LÓGICO


Recursos utilizados para proteger, de modo
lógico, os recursos informacionais;
Pode ser por:
Senhas;
 Token;
 Biometria.


Cada usuário deverá ter acesso somente aos
recursos estritamente necessários, assim como o
que pode fazer com estes também é controlado;
CONTROLES DE ACESSO LÓGICO CHEKLIST


Conceder acesso, aos usuários, somente aos
recursos realmente necessários para execução de
suas tarefas;
Restringir e monitorar o acesso a recursos
críticos;

Utilizar softwares de controle de acesso lógico;

Utilizar criptografia segura;
CONTROLES DE ACESSO LÓGICO CHEKLIST




Revisar periodicamente as listas de controle de
acesso;
Evitar dar orientações ao usuário durante o
processo de logon;
Bloquear a conta do usuário após um
determinado número de tentativas frustradas de
logon;
Restringir acesso a determinados periféricos;
CONTROLES DE ACESSO LÓGICO CHEKLIST




Fornecer contas apena a pessoas autorizadas;
Não fornecer a mesma conta para mais de um
usuário;
Ao conceder a conta ao usuário, informá-lo sobre
as políticas de senha da organização;
Bloquear, se possível, a escolha de senhas frágeis;
CONTROLES DE ACESSO LÓGICO CHEKLIST




Orientar o usuário na escolha de senhas seguras;
Orientar o usuário a não armazenarem senhas
em arquivos ou enviá-las por e-mail;
Armazenas as senhas no sistema sob a forma
criptografada;
Prevenir o uso freqüente de senhas já utilizadas
pelo mesmo usuário anteriormente;
CONTROLES DE ACESSO LÓGICO CHEKLIST



Estabelecer prazo máximo de utilização de uma
mesma senha;
Informar os usuários quanto aos perigos de
divulgação de senhas;
Impedir que o usuário seja capaz de ler arquivos
e senha, identificar e trocar senhas de outros
usuários;
CONTROLES DE ACESSO LÓGICO CHEKLIST

Desabilitar contas inativas, sem senhas, ou com
senhas padronizadas;

Desabilitar a senha de ex-funcionários;

Não armazenas senhas em logs;

Manter e analisar trilhas de auditoria e logs;
CONTROLES DE ACESSO LÓGICO CHEKLIST



Limitar o número de sessões concorrentes e o
horário de uso dos recursos;
Configurar time-out automático;
Revisar e incorporar as listas de verificações
propostas na política de segurança e nos outros
tópicos de caráter mais específico, de acordo com
a área ou plataforma a ser auditada.
CONTROLES DE ACESSO FÍSICO

Recursos protegidos:






Servidores;
Estações de trabalho;
CPU,
Placas;
Monitores; etc
Controles Administrativos:
Crachás;
 Câmeras;
 Controle de entrada e saída de equipamentos; etc

CONTROLES DE ACESSO FÍSICO

Controles Específicos:
Cadeados;
 Fechaduras eletrônicas;
 Fechaduras biométricas;
 Guardas; etc

CONTROLES DE ACESSO FÍSICO CHECKLIST



Instituir formas de identificação capazes de
distinguir um funcionário de um visitante, e
categorias diferentes de usuários, se for o caso;
Exigir a devolução de bens e propriedade da
instituição quando o funcionário é desligado ou
demitido;
Controlar a entrada e saída de equipamentos,
registrando data, horários e responsável;
CONTROLES DE ACESSO FÍSICO CHECKLIST



Controlar a entrada e saída de visitantes,
registrando data, horários e local de visita e,
dependendo do grau de segurança necessário,
acompanhá-los até o local de destino;
Instituir vigilância no prédio, 24/7;
Supervisionar a atuação da equipe de limpeza,
manutenção e vigilância;
CONTROLES DE ACESSO FÍSICO CHECKLIST


Não instalar, em áreas de acesso público,
equipamentos que possam acessar a rede interna;
Orientar os funcionários a não deixarem os
computadores sem qualquer supervisão de pessoa
autorizada, por exemplo, durante o horário de
almoço ou quando se ausentarem de sua sala por
tempo prolongado;
CONTROLES DE ACESSO FÍSICO CHECKLIST



Encorajar o bloqueio de teclado, a guarda de
documentos
confidenciais,
disquetes,
cd’s,
backups e laptops em armários com chave;
Utilizar mecanismos de controle de acesso físico,
tais como fechaduras, câmeras de vídeo e
alarmes;
Proteger as linhas telefônicas e outros
dispositivos de comunicação contra “grampo”;
CONTROLES DE ACESSO FÍSICO CHECKLIST



Restringir o acesso a computadores e impressoras
que manipulem dados confidenciais;
Instituir política de descarte de equipamentos,
dispositivos e documentos em papel que possam
conter informações confidenciais;
Revisar e incorporar as listas de verificações
propostas na política de segurança e nos outros
tópicos de caráter mais específico, de acordo com
a área ou plataforma a ser auditada.
CONTROLES DE ACESSO AMBIENTAL
É com vocês!!