Beruflich Dokumente
Kultur Dokumente
Aula 6: Análise de
Riscos
10/08/2010
- Escopo:
- Necessidade de estabelecer o escopo e os limites em que
a gestão de riscos irá abranger;
- NBR 27005:
- Os ativos da informação;
- Os requisitos legais e contratuais;
- A localização geográfica e o ambiente sociocultural;
- A interação e comunicação com o ambiente externo.
Análise de Riscos
Atividades de Análise de Riscos
10
Análise de Riscos
VULNERABILIDADE:
uma fraqueza de um ativo que pode ser explorada
CONSEQUENCIA OU IMPACTO:
resultado negativo da exploração de uma vulnerabilidade
14
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos controles implementados:
- Ação realizada para estimar o efeito do controle e o
seu grau de proteção:
- O quanto o controle reduz a probabilidade de uma
ameaça explorar uma vulnerabilidade;
- Evita a aplicação de controles redundantes;
- Possibilita a sua avaliação quanto a efetividade e
necessidade de aplicação de controles complementares.
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos controles implementados:
Análise de Riscos
Atividades de Análise de Riscos
19
Análise de Riscos
Atividades de Análise de Riscos
Identificação das vulnerabilidades:
- A existência de uma vulnerabilidade não significa
necessariamente que os ativos serão afetados:
- É preciso que haja uma ameaça que explore
uma vulnerabilidade;
- Ainda que não haja a necessidade de implementar
controles convém que as vulnerabilidades sejam
mapeadas, pois essa condição poderá ser tornar dinâmica.
Análise de Riscos
26
Análise de Riscos
Atividades de Análise de Riscos
Estimativa de riscos:
- Adota-se duas abordagens:
- Qualitativa;
- Quantitativa.
- Estimativa qualitativa:
31
Exemplos de Controles
• Backup
• Plano de recuperação
• Controle de acesso
• Termo de responsabilidade
• Teste de aceite
• Gerência de mudança
• Antivírus
• Política de Segurança
• Treinamento/conscientização
• Monitoração
• Procedimentos
• Manutenção
• Segurança física
32
OUTROS COMPONENTES
Elementos:
1. Informação (meio eletrônico ou físico)
2. Equipamentos de suporte:
2.1. Software (programas de computador)
2.2. Hardware (infra-estrutura tecnológica)
2.3. Organização (ambiente físico / estrutura)
3. Usuários
33
METODOLOGIA DE ANÁLISE DE RISCOS
34
METODOLOGIA DE ANÁLISE DE RISCOS
7 PASSOS:
1. Definição do Escopo
2. Identificação dos Ativos
3. Levantamento das Ameaças
4. Identificação das Vulnerabilidades existentes
5. Avaliação do nível de Risco (tabela)
6. Identificação dos Controles existentes
7. Recomendação dos Controles necessários
35
METODOLOGIA DE ANÁLISE DE RISCOS
Conteúdo:
Relação dos Participantes
Relação de ativos
Planilha de Análise de Riscos
Ameaças
Vulnerabilidades
Níveis de Impacto, Vulnerabilidade e Risco
Controles Existentes e Necessários
36
METODOLOGIA DE ANÁLISE DE RISCOS
Riscos
Tipo Descrição
1 Ações corretivas de implementação imediata
2 Ações corretivas necessárias
3 Exige monitoramento
4 Não exige ação
45
METODOLOGIA DE ANÁLISE DE RISCOS
46
METODOLOGIA DE ANÁLISE DE RISCOS
47
METODOLOGIA DE ANÁLISE DE RISCOS
Controles
Controles Controles
Controles
Ameaças
Ameaças Vulnerabilidades
Vulnerabilidades I I VV RR Existentes
Existentes Necessários
Necessários
48
Análise de Riscos
Gerenciamento da Segurança da Informação
Exercícios:
Estudo de caso:
Considere o departamento de pesquisa e
desenvolvimento de uma empresa do ramo
industrial da área de telefonia. Durante
atendimento da equipe de suporte técnico em
informática, um dos técnicos reportou a chefia que
em um de seus atendimentos observou que alguns
funcionários do departamento de pesquisa
mantinham suas senhas de acesso aos sistemas
sob o teclado.
Análise de Riscos
Gerenciamento da Segurança da Informação
Exercícios:
Estudo de caso:
Observou ainda, que as mesmas
variavam desde nomes próprios a datas do
calendário. Considerando esse contexto
simples, realize uma análise de risco da
situação realizando a identificação das
ameaças, os riscos, as vulnerabilidades, as
conseqüências e o impacto para a
organização, utilizando a metodologia
exemplificada.