Sie sind auf Seite 1von 50

Segurança de Redes

Aula 6: Análise de
Riscos

10/08/2010

Prof. M.Sc. Marcus Fabiano Praciano Santiago


Objetivo

• Apresentar ao aluno as abordagens e


atividades relacionadas a
análise/avaliação de riscos, que tem o
propósito de reduzir os riscos da
organização a um nível aceitável.
Tópicos

- Atividades de Análise de riscos;


- Exercícios.
Análise de Riscos

- É uma atividade dentro do processo de gestão de riscos;

- Compreende atividades com o propósito de reduzir os


riscos a um nível aceitável para a organização;

- É um dos requisitos necessários e exigidos pela norma


NBR 27001 para estabelecer e manter um SGSI;

- Necessidade de estabelecer o escopo e os limites em que


a gestão de riscos irá abranger.
Análise de Riscos

- Escopo:
- Necessidade de estabelecer o escopo e os limites em que
a gestão de riscos irá abranger;

- Os ativos considerados relevantes devem ser


identificados, mapeados e analisados;

- A norma ABNT NBR ISO/IEC 27005 contempla a


atividade de gestão de riscos.
Análise de Riscos

- NBR 27005:

- A NBR 27005 recomenda que a atividade de análise de


riscos deve considerar:

- A política de segurança estabelecida;


- O planejamento estratégico da organização;
- A estrutura da organização e seus processos de
negócio.
Análise de Riscos
Análise de Riscos
- NBR 27005:

- A NBR 27005 recomenda que a atividade de análise de


riscos deve considerar:

- Os ativos da informação;
- Os requisitos legais e contratuais;
- A localização geográfica e o ambiente sociocultural;
- A interação e comunicação com o ambiente externo.
Análise de Riscos
Atividades de Análise de Riscos

Definidos o escopo e os limites a análise de riscos requer


outras atividades tais como:

- Identificação dos ativos e seus responsáveis;


- Identificação das ameaças;
- Identificação dos controles implementados;
- Identificação das vulnerabilidades;
- Identificação dos riscos;
- Estimativa dos riscos.
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos ativos e seus responsáveis:

- Proteção adequada ao ativo: proporcional ao seu valor


e condição estratégica para a organização;

- A identificação do ativo deve ser precisa e detalhada;

- O responsável pelo ativo deve ser identificado: pessoa


indicada para estabelecer o valor do ativo;

- Mapeamento dos processos de negócio que são


sustentados por esses ativos.
Riscos

É o perigo ou a possibilidade de perigo.

É a probabilidade de que AMEAÇAS


explorem as VULNERABILIDADES dos
ATIVOS, gerando IMPACTO e perdas nos
negócios !

10
Análise de Riscos

Atividades de Análise de Riscos


Identificação das ameaças:

- Ameaças: condições, eventos ou agentes que podem


se aproveitar de falhas e vulnerabilidades para explorar os
ativos;

- Mapear todas as ameaças para analisar suas


probabilidades de ocorrência, grau de severidade e
impacto para a organização;
Riscos

Naturais ou não-naturais; voluntárias ou


involuntárias; internas ou externas
erro
sabotador
hacker
acidentes
naturais
colaborador
insatisfeito engenharia vírus
social
12
Análise de Riscos
Atividades de Análise de Riscos
Identificação das ameaças:
Riscos

RISCO = AMEAÇA X VULNERABILIDADE X IMPACTO


AMEAÇA:
aquilo que tem potencial para causar perda/dano

VULNERABILIDADE:
uma fraqueza de um ativo que pode ser explorada

CONSEQUENCIA OU IMPACTO:
resultado negativo da exploração de uma vulnerabilidade
14
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos controles implementados:
- Ação realizada para estimar o efeito do controle e o
seu grau de proteção:
- O quanto o controle reduz a probabilidade de uma
ameaça explorar uma vulnerabilidade;
- Evita a aplicação de controles redundantes;
- Possibilita a sua avaliação quanto a efetividade e
necessidade de aplicação de controles complementares.
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos controles implementados:
Análise de Riscos
Atividades de Análise de Riscos

Identificação das vulnerabilidades:


- Todo processo, produto ou serviço pode apresentar
falhas ou vulnerabilidades;
- Tais falhas podem propiciar a ação de agentes ou
condições que afetem os ativos da organização;
Vulnerabilidades

Física, hardware, software, mídias,


comunicação, pessoal

 problemas de infra-estrutura (carência de


mecanismos de controle, acesso físico)

 tecnológicas (configuração inadequada, falha de


projetos)

 em mídias (fitas de backup impróprias)

 humanas (falta de conscientização)


18
Vulnerabilidades

• Instalações inadequadas ( incêndios – falta de equipamento,


cabos desorganizados, etc.)
• Não-identificação de pessoas
• Locais próximos a rios propensos a inundações
• Ausência de atualizações dos programas utilizados (patches)
• Conservação inadequada dos equipamentos
• Configuração e instalação indevidas de programas
• Meios de armazenamento (prazo de validade, defeito de
fabricação, uso incorreto, guarda em locais impróprios)
• Ausência de sistemas de criptografia nas comunicações
• Desconhecimento das medidas de segurança adequadas
• Falta de capacitação específica para execução das atividades
• Falta de consciência de segurança da informação (ex: senhas
fracas)

19
Análise de Riscos
Atividades de Análise de Riscos
Identificação das vulnerabilidades:
- A existência de uma vulnerabilidade não significa
necessariamente que os ativos serão afetados:
- É preciso que haja uma ameaça que explore
uma vulnerabilidade;
- Ainda que não haja a necessidade de implementar
controles convém que as vulnerabilidades sejam
mapeadas, pois essa condição poderá ser tornar dinâmica.
Análise de Riscos

Atividades de Análise de Riscos


Identificação das vulnerabilidades:
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos riscos:

- É a determinação dos eventos que possam afetar os


ativos da organização;

- É a possibilidade de uma ameaça conseguir explorar


uma vulnerabilidade existente;

- Os eventos devem ser mapeados e detalhados quanto


ao modo, local e circunstâncias em que podem ocorrer.
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos riscos:
Análise de Riscos
Atividades de Análise de Riscos
Identificação das consequências:

- Para a identificação das consequências já devem


estar mapeadas:

- Os processos de negócio da organização e a sua


associação aos ativos que os sustentam;

- As vulnerabilidade e as ameaças vinculadas;

- Relevância dos ativos.


Análise de Riscos
Atividades de Análise de Riscos
Identificação das consequências:
Consequências

Consequencia: financeiro, material, humano


 prejuízo financeiro causado por incêndio

 pichação de página causando prejuízos à


imagem da empresa.

26
Análise de Riscos
Atividades de Análise de Riscos
Estimativa de riscos:
- Adota-se duas abordagens:
- Qualitativa;
- Quantitativa.
- Estimativa qualitativa:

- Utiliza-se de escalas descritivas para estimar as


consequências e suas probabilidades de ocorrência;
- Vantagem: fácil compreensão;
- Desvantagem: muito subjetiva.
Análise de Riscos
Atividades de Análise de Riscos
Estimativa de riscos:
- Estimativa quantitativa:

-Utiliza-se de escalas numéricas e técnicas


matemáticas;
- Necessita de dados de várias fontes:
- Dados do registro histórico de incidentes de
segurança;
- Dados estatísticos de outras variáveis relacionadas
a segurança.
Análise de Riscos

Atividades de Análise de Riscos


Estimativa de riscos:
- Estimativa quantitativa:
- Vantagem: baseada em dados sólidos
-Desvantagem: a ausência de informação pode
torná-la inadequada ou não exata.
Análise de Riscos
Atividades de Análise de Riscos
Estimativa de riscos:
Controle

 CONTROLE: medida de segurança que


minimiza, evita, transfere ou ignora o risco
- operacionais
- técnicos
- gerenciamento
- prevenção
- detecção
- correção
- recuperação

31
Exemplos de Controles

• Backup
• Plano de recuperação
• Controle de acesso
• Termo de responsabilidade
• Teste de aceite
• Gerência de mudança
• Antivírus
• Política de Segurança
• Treinamento/conscientização
• Monitoração
• Procedimentos
• Manutenção
• Segurança física

32
OUTROS COMPONENTES

 ATIVO: recurso que suporta um processo de


Tecnologia da Informação e da Comunicação, que
tem valor e requer proteção.

Elementos:
1. Informação (meio eletrônico ou físico)
2. Equipamentos de suporte:
2.1. Software (programas de computador)
2.2. Hardware (infra-estrutura tecnológica)
2.3. Organização (ambiente físico / estrutura)
3. Usuários
33
METODOLOGIA DE ANÁLISE DE RISCOS

A metodologia exemplificada se baseia nos seguintes


documentos:
 FRAP – Facilitated Risk Analysis Process, de Tom Peltier;
 BS7799 – Guide to Risk Assessment and Risk Management,
 Risk Management Guide – NIST
A metodologia exemplificada é qualitativa.

34
METODOLOGIA DE ANÁLISE DE RISCOS

 7 PASSOS:
1. Definição do Escopo
2. Identificação dos Ativos
3. Levantamento das Ameaças
4. Identificação das Vulnerabilidades existentes
5. Avaliação do nível de Risco (tabela)
6. Identificação dos Controles existentes
7. Recomendação dos Controles necessários

35
METODOLOGIA DE ANÁLISE DE RISCOS

 RESULTADO: Relatório de Análise de Riscos

Conteúdo:
Relação dos Participantes

Descrição do Escopo - Processos

Relação de ativos
Planilha de Análise de Riscos
 Ameaças
 Vulnerabilidades
 Níveis de Impacto, Vulnerabilidade e Risco
 Controles Existentes e Necessários
36
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 1/7: DEFINIÇÃO DO ESCOPO


 O escopo deve ser bem definido para o
sucesso de qualquer forma de análise de
riscos

 A delimitação do escopo garante que a análise


seja direcionada para um foco específico e
determinado, evitando erro de entendimento e
futuro retrabalho

 São relacionados os processos relativos ao


escopo definido 37
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 2/7: IDENTIFICAÇÃO DOS ATIVOS

 Devem ser identificados todos os ativos


relacionados ao escopo

 São relacionados os ativos de software, físicos


(hardware e outros equipamentos), de
serviços, de informação e as pessoas

 A partir dessa relação é que são consideradas


as vulnerabilidades
38
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 3/7: LEVANTAMENTO DAS AMEAÇAS

 Utilizar uma relação de ameaças previamente


definida e considerar quais dessas se aplicam
ao escopo do trabalho

 Outras ameaças surgirão durante o trabalho


(brainstorming)

 Para cada ameaça dessa relação é que serão


avaliados os níveis de impacto,
vulnerabilidades e riscos
39
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 4/7: IDENTIFICAÇÃO DAS


VULNERABILIDADES
 As vulnerabilidades variam em função do
escopo, do ambiente, dos processos e dos
ativos

 A identificação das vulnerabilidades é feita em


conjunto com o responsável do escopo
definido. O condutor da Análise de Riscos
deve conhecer o ambiente e questionar o
responsável
40
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO


Impacto
Alto Médio Baixo
A - Alta 1 2 3
Vulnerabilidade M - Média 2 2 3
B - Baixa 3 3 4
BB – Muito Baixa 4 4 4
Risco

Para cada ameaça detectada, avaliar pela tabela,


o nível de vulnerabilidade e de impacto, para
finalmente encontrar o nível do risco.
41
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO


Impacto
Alto Médio Baixo
A - Alta 1 2 3
Vulnerabilidade M - Média 2 2 3
B - Baixa 3 3 4
BB – Muito Baixa 4 4 4
Risco

Para cada ameaça detectada, avaliar pela tabela,


o nível de vulnerabilidade e de impacto, para
finalmente encontrar o nível do risco.
42
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO


Impacto
Alto Médio Baixo
A - Alta 1 2 3
Vulnerabilidade M - Média 2 2 3
B - Baixa 3 3 4
BB – Muito Baixa 4 4 4
Risco

Para cada ameaça detectada, avaliar pela tabela,


o nível de vulnerabilidade e de impacto, para
finalmente encontrar o nível do risco.
43
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO


Impacto
Alto Médio Baixo
A - Alta 1 2 3
Vulnerabilidade M - Média 2 2 3
B - Baixa 3 3 4
BB – Muito Baixa 4 4 4
Risco

Para cada ameaça detectada, avaliar pela tabela,


o nível de vulnerabilidade e de impacto, para
finalmente encontrar o nível do risco.
44
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO

 Para cada risco detectado (1 a 4), verificar na


tabela abaixo, qual a ação recomendada

Riscos
Tipo Descrição
1 Ações corretivas de implementação imediata
2 Ações corretivas necessárias
3 Exige monitoramento
4 Não exige ação

45
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 6/7: IDENTIFICAÇÃO DOS CONTROLES


EXISTENTES

 Levantar, juntamente com o responsável pelo


escopo e com o grupo que está realizando a
Análise de Riscos, por meio de
questionamentos e verificações, quais os
controles que já estão implantados e que
reduzem os riscos.

46
METODOLOGIA DE ANÁLISE DE RISCOS

PASSO 7/7: IDENTIFICAÇÃO DOS CONTROLES


NECESSÁRIOS

 Levantar, juntamente com o responsável pelo


escopo e com o grupo que está realizando a
Análise de Riscos, quais os controles que são
necessários e que devem ser implementados.

47
METODOLOGIA DE ANÁLISE DE RISCOS

PLANILHA DE ANÁLISE DE RISCO

Controles
Controles Controles
Controles
Ameaças
Ameaças Vulnerabilidades
Vulnerabilidades I I VV RR Existentes
Existentes Necessários
Necessários

48
Análise de Riscos
Gerenciamento da Segurança da Informação
Exercícios:
Estudo de caso:
Considere o departamento de pesquisa e
desenvolvimento de uma empresa do ramo
industrial da área de telefonia. Durante
atendimento da equipe de suporte técnico em
informática, um dos técnicos reportou a chefia que
em um de seus atendimentos observou que alguns
funcionários do departamento de pesquisa
mantinham suas senhas de acesso aos sistemas
sob o teclado.
Análise de Riscos
Gerenciamento da Segurança da Informação
Exercícios:
Estudo de caso:
Observou ainda, que as mesmas
variavam desde nomes próprios a datas do
calendário. Considerando esse contexto
simples, realize uma análise de risco da
situação realizando a identificação das
ameaças, os riscos, as vulnerabilidades, as
conseqüências e o impacto para a
organização, utilizando a metodologia
exemplificada.

Das könnte Ihnen auch gefallen