SEGURANÇA DA INFORMAÇÃO E
MÍDIAS SOCIAIS
Aula 1 - A segurança da informação
e a análise de risco
Prof. Ivan Fontainha de Alvarenga
Dados X Informação
Dados são fatos brutos que caso não
estejam
ordenados,
organizados
ou
processados apresentam apenas partes
isoladas de eventos ou situações.
Informação é criada quando temos
dados que sofrem algum tipo de
relacionamento, de avaliação, interpretação ou
organização.
Dados X Informação
Entrada
classificar
filtrar
organizar
Saída
Dados X Informação
Após termos as informações, isto é, o
tratamento dos dados de um ambiente,
podemos tomar decisões sobre o ambiente
onde os dados foram retirados ou do ambiente
que estes dados se relacionam.
Dados X Informação
Por analogia.....
Dados X Informação
Exemplificando....
Imaginem estes dados:
Temperatura: 15 º
Belo Horizonte
2012
6:05
10 de janeiro
Caso estejam assim, jogados, não tem nenhum
significado.
Dados X Informação
Se sobre eles atribuíssemos uma organização, um
processamento:
2012
10 de
janeiro
6:05
Temperatura:
15 º
Hoje, dia 10 de janeiro de 2012, são
6:05 horas e temos uma temperatura
de 15º em Belo Horizonte
Belo
Horizonte
Conseguiríamos ter uma informação, com um
sentido para o ambiente que ele pertence.
Dados X Informação
•A informação (dados organizados,
processados) é de suma importância para a
tomada de decisões nas empresas.
•Então, a informação passou a ser um bem da
empresa e como qualquer outro necessitamos
de resguardá-los e deixa-los sempre disponiveis
a quem necessita.
•A partir desta necessidade, surgiu a
importância da “Segurança da Informação”.
Segurança da Informação
Segurança significa um conjunto de
processos, de dispositivos, de medidas de
precaução que asseguram o sucesso de um
empreendimento.
No mundo informatizado, a segurança
significa a proteção da informação, que como
qualquer ativo importante para o negócio, tem
um valor para a organização e necessita ser
protegido.
Segurança da Informação
A informação pode existir de diversas
formas:
Escrita em
papeis
Armazenada
eletronicamente
Em conversas
Em qualquer que seja este meio, é sempre
necessário
que
ela
seja
protegida
adequadamente.
Segurança da Informação
É a proteção da informação contra vários
tipos de ameaças para garantir a continuidade
do negócio, minimizar o risco, maximizar o
retorno sobre o investimento e as
oportunidades de negócio.
Segurança da Informação
Para garantirmos esta segurança, devemos
implementar um conjunto de controles como:
• políticas (de utilização, de distribuição, de
envio)
• processos
• procedimentos
• estruturas organizacionais
• funções a serem executadas pelos softwares
e hardwares
Segurança da Informação
Estes controles precisam ser bem
estabelecidos,
implementados,monitorados,
analisados criticamente e.....
melhorados sempre que julgar necessário
garantindo sempre que os objetivos do negocio
e de segurança da organização sejam atendido.
Princípios da Segurança da
Informação
A segurança da informação é
fundamental e pode ser caracterizada por
alguns princípios:
• Confiabilidade
• Autenticidade
• Integridade
• Disponibilidade
• Conformidade
• Não-repúdio
Princípios da Segurança da
Informação
Confiabilidade
Proteção da informação contra a sua
revelação a alguém não autorizado (interna ou
externa)
Consiste em proteger a informação
contra leitura / copia por alguém não
autorizado pelo proprietário da informação.
Deve-se cuidar não somente do todo,
mas também de partes.
Princípios da Segurança da
Informação
Autenticidade
Esta associado com a identificação
correta do usuário ou computador.
O serviço de autenticação deve
assegurar ao receptor que a mensagem
realmente procede da origem informada em
seu conteúdo.
Realizada através de mecanismos de
senha ou assinatura digital.
Princípios da Segurança da
Informação
Autenticidade
Sua verificação é necessária para todo o
processo de autenticação, seja de usuário para
um sistema, de um sistema para usuário ou de
sistema para sistema.
É a medida de proteção contra
personificação por intrusos.
Princípios da Segurança da
Informação
Integridade
Consiste na proteção da informação
contra modificação sem a permissão do
proprietário.
Esta modificação pode ser escrita,
alteração de conteúdo, alteração de status,
remoção ou criação de informações.
Princípios da Segurança da
Informação
Integridade
Deve-se considerar a proteção da
informação nas mais variadas formas, como
discos ou fitas de backup e arquivos digitais em
servidores.
integridade significa garantir que o dado
esta lá, que não foi corrompido, que nada foi
retirado, adicionado ou modificado nele, isto é,
encontra-se integro.
Princípios da Segurança da
Informação
Disponibilidade
•Consiste na garantia que o usuário autorizado
tenha acesso a informação sempre que
necessário.
•Para isso, devemos assegurar a proteção dos
serviços prestados pelo sistema de forma que
eles não sejam degradados ou se tornem
indisponíveis sem autorização.
•Também chamado de continuidade dos
serviços.
Princípios da Segurança da
Informação
Conformidade
Consiste em assegurar que as
informações
estejam cumprindo as leis,
regulamentos, clausulas contratuais e políticas
internas.
Princípios da Segurança da
Informação
Não-repúdio
É a garantia da certeza do remetente de
uma mensagem.
Deve-se garantir que o remetente não
deva ser capaz de negar que enviou uma
mensagem.
Podem ser usadas criptografias ou
assinaturas digitais por exemplo.
Princípios da Segurança da
Informação
Para um nível de segurança aceitável,
nem sempre devemos ter todos estes fatores
ao mesmo tempo.
Imaginem como exemplo um site de
noticias de cunho público, nele os usuários
podem opinar então não temos necessidade de
garantir o não-repúdio, disponibilidade e
integridade.
Elementos da Segurança da
Informação
Podem ocorrer que um ou mais
princípios da informação sejam desrespeitados,
o que chamamos de incidentes da informação.
Elementos da Segurança da
Informação
Para
entendermos
melhor
estes
incidentes da informação, devemos conhecer
os seguintes elementos:
• Ativo da informação
• Vulnerabilidades
• Ameaças
• Impactos
• Riscos
Elementos da Segurança da
Informação
Ativos de informação
É o meio que suporta, que mantém, que
permite que a informação exista, vejamos
exemplos:
• A informação: mensagens, textos, dados de
um sistema, dados de cadastro de funcionários
Elementos da Segurança da
Informação
Ativos de informação
• As tecnologias que a suportam:
papel
Correio
eletrônico
telefone
Arquivo de aço
Sistemas de informação
computadores
Elementos da Segurança da Informação
Ativos de informação
• Os processos e as pessoas que a utilizam:
- gerentes,
- vendedores,
- fornecedores,
- clientes,
- processo de compra de matéria prima,
- processo de entrega de mercadorias.
Elementos da Segurança da
Informação
Vulnerabilidade
Os ativos da informação, que suportam o
processo
de
negócio,
possuem
vulnerabilidades.
Vulnerabilidade é a fraqueza presente
nos ativos de informação que podem causar,
com ou sem intenção, a quebra de um ou mais
princípios da segurança de informação.
Elementos da Segurança da
Informação
Vulnerabilidade
Podemos
relacionar
algumas
vulnerabilidades mais comuns nos ativos da
informação:
• Tecnologias:
- Ausência
de
manutenção
nos
computadores
(sistemas
operacionais
desatualizados)
Elementos da Segurança da
Informação
Vulnerabilidade
• Tecnologias:
- Computadores sem antivírus.
“Relatório da empresa Panda, cerca de 220.000
vírus são criados diariamente. No ano de 2010 cerca
de 67 milhões de programas e arquivos nocivos
foram criados (entre janeiro e outubro de 2010)”
Fonte: http://www.tecmundo.com.br/virus/15411-cerca-de-220-000-virus-sao-criados-por-dia.htm
Elementos da Segurança da
Informação
Vulnerabilidade
• Tecnologias:
Switches não protegidos com senha ou com a
senha padrão de fábrica.
Elementos da Segurança da
Informação
Vulnerabilidade
• Tecnologias:
- Cabos de redes ou fibra óticas expostos
em áreas de passagem de público ou
externas.
Elementos da Segurança da
Informação
Vulnerabilidade
• Tecnologias:
- Aparelhos celulares sem senha de acesso.
- Rede local sem proteção de usuários ou
senha de acesso pública.
- Sistema de informação sem controle de
acesso lógico (senha de usuários).
Elementos da Segurança da
Informação
Vulnerabilidade
• Tecnologias:
- Ausência de proteção de sobrecargas elétricas
para
os
aparelhos
de
informação
(computadores, switches, servidores).
no-break
estabilizador
Elementos da Segurança da
Informação
Vulnerabilidade
• Pessoas e processos:
- Ausência de uma política de segurança da
informação dentro da organização.
- Ausência de um profissional especialista
em segurança da informação ou contrato
formal com este funcionário.
Elementos da Segurança da
Informação
Vulnerabilidade
• Pessoas e processos:
- Ausência de uma regulamentação de
acesso a informação da organização por
terceiros e prestadores de serviço.
- Inexistência de regulamentação para o
processamento fora das instalações fisicas
da organização.
Elementos da Segurança da
Informação
Vulnerabilidade
• Pessoas e processos:
- Desconhecimento dos ativos da informação da
empresa e não classificação destes ativos por nível
de importância e sigilo.
- Não regulamentações das atribuições e
responsabilidades dos ativos, gerando falta de
compromisso dos colaboradores para com estes
ativos.
Elementos da Segurança da
Informação
Vulnerabilidade
• Pessoas e processos:
- Procedimentos ineficientes para análise e
conferencia das informações fornecidas por
candidatos a vaga de trabalho na organização.
- Falta de treinamento dos colaboradores sobre a
política de segurança da informação da organização.
Elementos da Segurança da
Informação
Vulnerabilidade
• Pessoas e processos:
- Ausência de procedimentos disciplinares para o
tratamento das violações da política de segurança da
informação.
- Não mapeamento de áreas e equipamentos críticos
e mais sensíveis a segurança da informação, não
tendo como implementar controle de acessos a estas
áreas.
Elementos da Segurança da
Informação
Vulnerabilidade
• Pessoas e processos:
- Ausência de procedimentos explícitos
quanto ao uso de informações no
desenvolvimento de sistemas (interno ou
externo).
- A não preocupação com o plano de
contingência para incidentes de segurança
que possam acontecer.
Elementos da Segurança da
Informação
Vulnerabilidade
• Pessoas e processos:
- Não adequação da política de segurança da
informação com a legislação vigente aplicável na
organização, seja ela municipal, estadual ou federal,
ou ate mesmo organizacional, no que se refere a
regulamento interno , estatuto ou similar.
Elementos da Segurança da
Informação
Vulnerabilidade
• Ambiente:
- Ausência de mecanismos contra incêndio.
Elementos da Segurança da
Informação
Vulnerabilidade
• Ambiente:
- Ausência de mecanismos de prevenção de
enchentes.
- Ausência de proteção a poluentes que
prejudiquem mídias e equipamentos.
Elementos da Segurança da
Informação
Vulnerabilidade
• Ambiente:
- Ausência de proteção a animais que
possam prejudicar equipamentos(formiga,
rato, cupins).
“Já tivemos invasão de grilos nos servidores e
cabos de fibra óptica roídos por ratos. O importante é
entender a região, a natureza e adequar soluções”.
Fonte: http://www.alcoa.com/brazil/pt/news/whats_new/2011_09_28.asp
Elementos da Segurança da
Informação
Vulnerabilidade
• Ambiente:
- Falta de controle de acesso a salas
principais da empresa.
Elementos da Segurança da
Informação
Vulnerabilidade
• Ameaças:
Ameaça é um agente externo ao ativo de
informação que aproveita de uma
vulnerabilidade deste ativo para poder
quebrar um dos princípios da segurança da
informação.
Elementos da Segurança da
Informação
Vulnerabilidade
• Ameaças:
- Fraudadores.
- Vírus de computadores.
- Vândalos.
- Ladrões.
- Sobrecarga do sistema elétrico.
- Tempestades.
Elementos da Segurança da
Informação
Vulnerabilidade
• Ameaças:
- Crakers
-Crakers são indivíduos que utilizam seu conhecimento para
invadir computadores e roubar informações confidenciais.
Geralmente essas informações são vendidas ou utilizadas
para aplicar golpes na internet.
-Já o hacker é um indivíduo que utiliza seu conhecimento
para testar os recursos de segurança instalados na
organização. Ser hacker tornou-se uma profissão.
Elementos da Segurança da
Informação
Vulnerabilidade
• Impacto:
Impacto é o resultado de um incidente de
resultado de um incidente de segurança que
poderá acarretar perdas ou danos
pequenos, médios ou grandes.
Elementos da Segurança da
Informação
Vulnerabilidade
• Impacto:
Um exemplo:
A violação de uma transação bancária de
um cliente – impacto grande!
A confiança dos outros clientes cairia,
diminuindo a quantidade de clientes deste
banco.
Elementos da Segurança da
Informação
Vulnerabilidade
• Risco:
A avaliação dos riscos permite identificar as ameaças
dos ativos, as vulnerabilidades e a possibilidade de
ocorrência, além de seus impactos para a empresa.
A importância de conhecer estes riscos é que quanto
mais conhecemos os riscos dos nossos ativos, mais
fácil fica de neutralizá-los.
Elementos da Segurança da
Informação
Vulnerabilidade
• Risco:
Podemos conduzir o tratamento de riscos
de quarto maneiras:
• Aceitá-los.
• Reduzí-los
• Transferí-los.
• Mistigá-los (suavizá-los).
SEGURANÇA DA INFORMAÇÃO E
MIDIAS SOCIAIS
Aula 2 - A análise de risco
Prof. Ivan Fontainha de Alvarenga
Análise dos riscos
Analisar os riscos de incidentes da
segurança da informação é atividade essencial
para a gestão de segurança de informação.
Esta analise possibilita identificar o grau
de proteção que os ativos de informação de
cada processo da organização precisa.
Ela nos permite proporcionar a proteção
necessária
para
nosso
negócio
e
principalmente usar de maneira inteligente os
recursos da organização.
Análise dos riscos
É o principal para o sistema de gestão da
segurança da informação, pois sem esta analise
não é possível determinar quais as medidas de
segurança devem ser adotadas pela empresa.
A abordagem da analise de riscos deve
ser o primeiro passo, pois nosso objetivo é
definir os resultados que são esperados e os
caminhos que deverão ser percorridos para
alcançar este objetivo.
Análise dos riscos
Existem 2 tipos de gestão de riscos
adotados pelas organizações:
• Gestão Reativa.
• Gestão Proativa.
Análise dos riscos
• Gestão Reativa:
São os famosos apagadores de incêndio.
Estes profissionais ficam sempre enrolados
com diversas tarefas corretivas que nunca
dispõe de tempo para planejar nem
desenvolver.
As ações serão sempre executadas
mediantes incidentes de segurança (ataques
de vírus, invasões a sistemas).
Análise dos riscos
• Gestão Reativa:
Na maioria dos casos custa muito mais caro
para a organização implementar e são mais
difíceis de conter, pois o controle de
segurança é quase nulo.
Análise dos riscos
• Gestão Proativa:
Os benefícios são maiores que a reativa,
pois a empresa já possui uma série de
controle
para
o
travamento
das
informações, não esperando que aconteça
os eventos danosos para somente depois
reagir.
Análise dos riscos
• Gestão Proativa:
O fato da organização possuir uma gestão
de riscos proativa não implica que a mesma
não deva ter uma equipe de resposta a
incidentes, pois eles podem acontecer.
Análise dos riscos
Existem vários métodos de analise de
riscos, divididos em duas categorias principais:
• Qualitativa
• Quantitativa
Ambas envolvem cálculos, porém a
qualitativa é a que utiliza cálculo mais simples e
menos preciso do ponto de vista financeiro.
Análise dos riscos
Vejamos o quadro de comparação das
duas categorias:
Quantitativo
Resultados baseados em
valores objetivos.
Qualitativo
Resultados baseados em
valores subjetivos.
Cálculos complexos.
Cálculos simples.
Valores financeiros são Não há valorização do risco.
atribuidos ao risco.
Grande tempo e esforço são
Menor trabalho para
necessários para atribuir as atribuir as taxas de risco.
taxas de risco.
Facilita o cálculo de
Dificulta o cálculo de
custo / beneficio.
custo / beneficio.
Análise dos riscos
O método quantitativo não é indicado
para empresas que estão iniciando o seu
trabalho de análise de riscos por ser mais
complexo.
Porém uma empresa que já tem uma
analise de risco e necessitam analisar seu risco
a partir de uma visão financeira devem adotar
o método quantitativo.
Análise dos riscos
•
•
•
•
Identificando os riscos
Para identificarmos os riscos devemos:
Identificar os ativos da informação.
Identificar as ameaças.
Identificar as vulnerabilidades.
Identificar os impactos.
Análise dos riscos
Identificando os riscos
• Identificar os ativos da informação
A identificação dos ativos seria um
inventário dos ativos relevantes para o
processo da organização, cujo acidente de
segurança resultaria em um impacto negativo
para o negócio.
Análise dos riscos
Identificando os riscos
• Identificar os ativos da informação
Devemos além de identificar o ativo,
identificar também o seu proprietário (quem
usa ou é responsável) e o processo de negocio
da organização que é suportado pelo ativo,
sendo assim possível atribuir um grau de
relevância para o processo.
Análise dos riscos
Identificando os riscos
• Identificar os ativos da informação
Vamos tomar como base o seguinte
exemplo:
Firewall
Tecnologia da
informação
Manter
serviços de
rede
servidor de
arquivos
servidor de
correio
Proprietário
Processo
Ativos
Análise dos riscos
Identificando os riscos
• Identificar os ativos da informação
A partir do exemplo anterior podemos
elaborar o seguinte inventário:
Processo
Proprietário
Ativo
Firewall
Servidor de arquivos
Manter serviços de rede
TI
Servidor de correio
Análise dos riscos
Identificando os riscos
• Identificar os ativos da informação
-Firewall pode ser definido como uma barreira de proteção,
que controla o tráfego de dados entre seu computador e a
Internet (ou entre a rede onde seu computador está
instalado e a Internet).
-Seu objetivo é permitir somente a transmissão e a recepção
de dados autorizados (através de regras criadas por
administradores).
-Existem firewalls baseados na combinação de hardware e
software e firewalls baseados somente em software. Este
último é o tipo recomendado ao uso doméstico e também é
o mais comum.
Análise dos riscos
Identificando os riscos
• Identificar as ameaças
Após identificar os ativos, devemos
identificar as ameaças sobre eles.
Ameaças são agentes externos aos
ativos e não internos.
Existem ameaças intencionais ou
maliciosas (como vírus de computador) ou não
intencionais (como uma enchente).
Análise dos riscos
Identificando os riscos
Ameaças
• Identificar ameaças: exemplo
Firewall
Tecnologia da
informação
Manter
serviços de
rede
servidor de
arquivos
Invasor
externo
Invasor
interno
virus
servidor de
correio
variação
de energia
Proprietário
Processo
Ativos
Análise dos riscos
Identificando os riscos
• Identificar ameaças: planilha
Processo
Proprietário
Ativo
Ameaças
Invasor externo (cracker)
Firewall
Invasor interno
Vírus
Variação de energia
Invasor externo (cracker)
Manter serviços de rede
TI
Servidor de arquivos
Invasor interno
Vírus
Variação de energia
Invasor externo (cracker)
Servidor de correio
Invasor interno
Vírus
Variação de energia
Análise dos riscos
Identificando os riscos
• Identificar as vulnerabilidades
Cada ameaça poderá explorar uma
vulnerabilidade especifica dos ativos listados,
então devemos identificar as vulnerabilidades
destes ativos que poderiam ser exploradas pela
ameaça levantada.
Análise dos riscos
Identificando os riscos
• Identificar as vulnerabilidades
Existe uma identificação entre a
vulnerabilidade e o controle de segurança de
informação, pois os pontos vulneráveis, são
aqueles onde é possível a implementação de
algum tipo de controle.
Análise dos riscos
Identificando os riscos
• Identificar vulnerabilidades: exemplo
Vulnerabilidades
Firewall
Tecnologia da
informação
Manter
serviços de
rede
servidor de
arquivos
servidor de
correio
Proprietário
Processo
Ativos
Ameaças
Portas
TCP
Invasor
externo
Acesso
Físico
Invasor
interno
Sem
antivirus
virus
Sem
no-break
variação
de energia
Análise dos riscos
Identificando os riscos
• Identificar as vulnerabilidades
-Portas TCP:
-Ao conectar na internet , seu micro recebe um endereço IP
válido. Mas, normalmente mantemos vários programas ou
serviços abertos simultaneamente. Estes enviam e recebem
informações para a internet. Se temos apenas um endereço
IP, como todos estes serviços podem funcionar ao mesmo
tempo sem entrar em conflito?
-Para isso temos as portas TCP, que são as portas de
comunicação de um servidor (no nosso caso firewall) com o
ambiente da internet.
Análise dos riscos
Identificando os riscos
• Identificar vulnerabilidades: planilha
Processo
Proprietário
Ativo
Firewall
Manter serviços de
rede
TI
Servidor de arquivos
Servidor de correio
Ameaças
Vulnerabilidades
Invasor externo (cracker)
Portas TCP abertas
Invasor interno
Sem controle de acesso físico
Vírus
Sem sistema de antivírus
Variação de energia
Sem nobreak
Invasor externo (cracker)
Portas TCP abertas
Invasor interno
Sem controle de acesso físico
Vírus
Sem sistema de antivírus
Variação de energia
Sem nobreak
Invasor externo (cracker)
Portas TCP abertas
Invasor interno
Sem controle de acesso físico
Vírus
Sem sistema de antivírus
Variação de energia
Sem nobreak
Análise dos riscos
Identificando os riscos
• Identificar os impactos
A ultima etapa da identificação de riscos
é a definição do grau de impacto que a
ocorrência de um incidente de segurança da
informação acarretaria para o negocio da
organização, dependendo do ativo envolvido
no acidente.
Análise dos riscos
Identificando os riscos
• Identificar os impactos
O impacto deve ser analisado quanto ao
prejuízo potencial que pode ser gerado para a
organização, levando em conta:
- o prejuízo de negócios,
- tempo e custo necessário para
reabilitação do ativo,
- prejuízos de imagem,
- prejuízos a terceiros.
Análise dos riscos
Identificando os riscos
• Identificar impacto: exemplo
Vulnerabilidades
Médio
Tecnologia da
informação
Manter
serviços de
rede
Médio
Firewall
servidor de
arquivos
Alto
servidor de
correio
Proprietário
Processo
Ativos
Ameaças
Portas
TCP
Invasor
externo
Acesso
Físico
Invasor
interno
Sem
antivirus
virus
Sem
no-break
variação
de energia
Análise dos riscos
Identificando os riscos
• Identificar impacto: planilha
Processo
Proprietário
Ativo
Firewall
Manter serviços de
rede
TI
Servidor de arquivos
Servidor de correio
Ameaças
Vulnerabilidades
Impacto
Invasor externo (cracker)
Portas TCP abertas
Médio
Invasor interno
Sem controle de acesso físico
Médio
Vírus
Sem sistema de antivírus
Médio
Variação de energia
Sem nobreak
Médio
Invasor externo (cracker)
Portas TCP abertas
Médio
Invasor interno
Sem controle de acesso físico
Médio
Vírus
Sem sistema de antivírus
Médio
Variação de energia
Sem nobreak
Médio
Invasor externo (cracker)
Portas TCP abertas
Alto
Invasor interno
Sem controle de acesso físico
Alto
Vírus
Sem sistema de antivírus
Alto
Variação de energia
Sem nobreak
Alto
Análise dos riscos
Realizando análise dos riscos
Realizar uma análise de riscos não é uma
atividade
fácil,
pois
envolve
muito
planejamento e esforço. Dividimos esta análise
em algumas partes:
• Analisar processos.
• Analisar pessoas.
• Analisar tecnologia.
• Analisar ambientes.
• Definir os responsáveis.
Análise dos riscos
Realizando análise dos riscos
• Analisar processos
Devemos mapear e analisar a fundo o
processo de cada ativo relacionado, pois a
relevância do processo é uma variável
importante para a definição de um impacto de
uma eventual incidente de segurança de
informação em uma determinada área.
Análise dos riscos
Realizando análise dos riscos
• Analisar processos
É muito importante entendermos o fluxo
de informações entre os processos para
podermos entender qual informação deve ser
protegida.
Análise dos riscos
Realizando análise dos riscos
• Analisar pessoas
Pessoas são ativos de informação e os
riscos relacionados a elas precisam ser
analisados.
São elas quem executam e constituem os
processos, são elas quem geram e consomem
as informações.
Análise dos riscos
Realizando análise dos riscos
• Analisar pessoas
São as pessoas que fazem com que tudo
funcione, isto é, quem executam os processos,
utilizam a tecnologia e o ambiente
Tecnologias
Pessoas
Processos
Ambiente
Análise dos riscos
Realizando análise dos riscos
• Analisar pessoas
Quais as vulnerabilidades podemos
encontrar nas pessoas?
- Desconhecimento de diretrizes, normas e
procedimentos.
- Não conferencia do setor de contratação a
informações dadas por candidatos.
- Podem ser coagidas ou subornadas para dar
informações.
Análise dos riscos
Realizando análise dos riscos
• Analisar tecnologias
É a mais difundida entre as quatro
modalidades, principalmente tecnologias de
informática como computadores e softwares.
Porém não podemos esquecer das
outras
como
sistema
de
telefonia,
equipamentos de mídia, gravadores.
Análise dos riscos
Realizando análise dos riscos
• Analisar tecnologias
Nesta categoria podemos contar com
apoio de softwares, que conseguem detectar
vulnerabilidades em ativos de informática.
Firewall
?
Internet
Servidor
de Correio
Servidor
de Arquivos
Exemplo: sistemas desprotegidos
por firewall.
Análise dos riscos
Realizando análise dos riscos
• Analisar ambientes
Ambientes são espaços físicos onde
acontecem os processos, trabalham as pessoas
ou onde são instalados os equipamentos.
Nestes ambientes contem os ativos de
informação como computadores, arquivos de
metal dentre outros.
Análise dos riscos
Realizando análise dos riscos
• Analisar ambientes
Algumas vulnerabilidades deste ativo é o
não controle de acesso e a falta de demarcação
das áreas físicas.
Devemos avaliar a quantidade de
pessoas que visitam estes ambientes, se são
pessoas autorizadas e se sim, qual o risco de
roubarem estas informações.
Análise dos riscos
Realizando análise dos riscos
• Analisar ambientes
Devemos avaliar também:
- Quais áreas contem informações mais
criticas?
- Qual a facilidade de acesso físico a esta área?
- Como é feito o controle de acesso?
Análise dos riscos
Realizando análise dos riscos
• Definir os responsáveis pela análise de riscos
Devem ser pessoas de total confiança da
organização.
Devem assinar termos de sigilo e
confidencialidade.
Deve
ter
diferentes
tipos
de
profissionais, cada um voltado para uma das
áreas de analise: pessoas, processos, ambiente
e tecnologia.
Análise dos riscos
Planejando o tratamento de riscos
Após compreendidos, temos quatro
formas de responder a estes riscos:
• Evitar
• Controlar
• Transferir
• Aceitar
Análise dos riscos
Planejando o tratamento de riscos
• Evitar
Caso optemos por evitar os riscos,
devemos adotar tecnologias ou processos que
não ofereçam riscos ao negocio da organização.
Exemplo: não vender pela internet.
Devemos lembrar que nem sempre
conseguimos atingir metas evitando riscos.
Análise dos riscos
Planejando o tratamento de riscos
• Controlar
Caso optemos por controlar, devemos
implementar controles para diminuir as
vulnerabilidades dos ativos que suportam os
processos.
Análise dos riscos
Planejando o tratamento de riscos
• Transferir
Caso optemos por transferir o risco, uma
forma seria contratar um seguro cujo valor
garanta a cobertura dos prejuízos ou até
mesmo contratar uma organização que garanta
um nível mínimo do seu serviço.
Análise dos riscos
Planejando o tratamento de riscos
• Aceitar
O ultimo caso seria aceitar o risco. Caso
não seja decidido evitar, nem controlar, nem
transferir, devemos simplesmente aceitar.
Devemos decidir por aceitar quando o
risco for pequeno ou não trazer perigo para o
negocio.
Download

A análise de risco