RISCOS� Para as empresas alcançarem seus objetivos e metas além de conhecerem muito bem seu negócio elas precisam conhecer todos os potenciais riscos envolvidos a fim de minimizá-los, dentro de um custo aceitável para a organização.

� Exemplos: � quando montamos uma rede, poderemos ter os serviços paralisados.

� Quando atravessamos uma rua longe do semáforo, posso ser atropelado.

Risco X Segurança da Informação.

� Para definir com maior precisão uma classificação dos processos de segurança realmente necessário à empresa (do mais crítico ao menos crítico), o gestor precisará conhecer de perto os riscos da empresa.

Visão Geral sobre Riscos

� Porque adotar um gerenciamento de risco da segurança da informação ? Quando as empresas decidem implementá-lo ?� Normalmente essa motivação é criada por uma necessidade de responder a um incidente de segurança que a organização tenha identificado :

� Servidores comprometidos por hackers.� Infecção maciça de vírus.� Vazamento de informações, etc.

Os três pilares da segurança

� Segurança Física.� Segurança Técnica.� Segurança Lógica.� Os três são necessários e complementares. A gerência deve ser integrada sendo que recursos e investimentos deverão ser cuidadosamente distribuídos.

Tipos de Gestão de Riscos� Gestão Reativa:

� São os famosos apagadores de incêndio que estão sempre enrolados com diversas tarefas e nunca possuem tempo para planejar e desenvolver algo.

� As ações só serão executadas mediante o surgimento de algum incidente de segurança como invasão de sistemas, vírus, worms, etc.

� Na maioria dos casos custa mais caro para a organização implementar e geralmente é mais difícil de conter, pois controles de segurança são praticamente nulos.

Tipos de Gestão de Riscos� Gestão Proativa:

� A organização já possui uma série de controles para o tratamento das informações. Ela não precisa esperar um evento danoso para reagir no sentido de minimizar impactos sobre seu ambiente.

� Existe um correto acompanhamento quanto ao tratamento dos riscos da organização.

Mesmo com uma gestão de risco proativa a organização precisa ter uma equipe de resposta a incidentes.

Mas o que é um risco???� Risco é perigo ou possibilidade de perigo

� É a probabilidade de acontecer algo, pela exploração das vulnerabilidades de um determinado ambiente, provocando possíveisproblemas financeiros e impactos aos negócios. É um contexto que inclui as ameaças, vulnerabilidades e o valor a proteger. Tendo maior conhecimento do risco podemos tomar atitudes melhores sobre ele.

� O que é a análise de risco?

� É o processo de avaliar o que é ou não aceitável para uma organização num determinado contexto. Só devemos aceitar um risco, quando o custo do controle aplicado para mitigá-lo, for maior do que o custo do próprio bem em risco. O nível de risco no qual uma organização aceita operar é denominado de risco aceitável.

Classificação de Riscos

� Qualitativos: Nesse caso atribuímos valores relativos aos itens analisados.

� Quantitativos: As informações atribuídas visam ser o mais objetivas ou exatas possíveis, podendo em alguns casos utilizar bases históricas para definir valores.

Técnicas de análise de risco� A análise de risco deve ser feita considerando vários

aspectoscomo:� ativos;� ameaças;� vulnerabilidades.

� Para cada cenário deverão ser:� previstos os prejuízos;� recursos envolvidos para evitar a concretização do risco no

cenário;� custos;� benefícios.

� Fator de Risco: � Qualquer forma de comprometer o ativo/processo analisado (Exs.: sistema aplicativo, processo, projeto, etc.). Este item ajudará a identificar os possíveis impactos, dentre o escopo analisado, sobre as diversas dimensões do risco (Exs.: tempo, qualidade, etc.).

Componentes relevantes para análise de Riscos

� Descrição do Risco:� Necessário para o gestor entender de forma clara e objetiva a que fatores de risco ele está exposto.

� Contexto:� Necessário para o gestor se situar ao cenário como um todo, ao problema atacado e principalmente ao negócio da empresa.

� Controle:� Fundamental para evitar prejuízos, este item irá tratar os riscos identificados através de ações e ou medidas corretivas / preventivas aumentando o nível de segurança dos sistemas.

� Dimensões do Risco:� Permitem identificar quais as dimençõesrelacionadas com os riscos, como por exemplo, qualidade, política, financeira, entre outras.

� Probabilidade X Impacto� Através deste item, o gestor poderá priorizar as ações corretivas de segurança enumerando-as por ordem de relevância, verificando a probabilidade de ocorrência de cada risco e o grau dos impactos sobre o ambiente.

Classificação dos Ativos� Os ativos podem ser classificados em tangíveis e intangíveis:� Tangíveis

� Aplicações: software ou pacotes de aplicativos existente. Devemos analisar e verificar quais deles causam maior impacto ao negóciodo cliente.

� Equipamentos: máquinas, computadores e mídias, ou seja, qualquer tipo de equipamento que manipule informações.

� Informações: tecnologias, patentes, planejamentos, senhas, pastas ou outras informações estratégicas que devam ser protegidas.

� Organização: localização dos escritórios ou áreas departamentaisdeimportância relevante, como por exemplo, a estrutura dos servidores.

� Usuários: alta administração, administradores de rede, operadores desistemas críticos, prestadores de serviço e usuários chave.

� Intangíveis� Imagem, reputação, credibilidade, habilidade de desenvolvimento

de alguma atividade.

Identificação dos ativos� Ativos físicos:

� Equipamentos computacionais (processadores, monitores, laptops, modems).� Equipamentos de comunicação (roteadores, PABX’s , fax, secretárias

eletrônicas).� Mídias magnéticas (fitas e discos).� Outros equipamentos técnicos (no-breaks, ar-condicionado).� Mobília e acomodações.

� Serviços:� Computação e serviços de comunicação.� Utilidades gerais� Climatização.� Iluminação.� Eletricidade.� Refrigeração.

� Ativos de software:� Aplicativos.� Sistemas.� Ferramentas de desenvolvimento.� Utilitários.

Vulnerabilidades� Fraquezas associadas aos ativos da organização que caso

exploradas por uma ameaça representam riscos concretos a organização. É o ponto onde o sistema poderá ser suscetível a ataque.

� Exemplo : A localização física dos prédios deverá ser observada conforme:

� Linhas de comunicação podem ser escutadas ou interrompidas?� Ocorre a existência de Modem’s?

� Mesmo que as ameaças pareçam insignificantes, todas aspossíveis vulnerabilidades devem ser identificadas.

As ameaças� Algo que possa resultar em incidentes causando danos e

prejuízos a uma organização. Normalmente é difícil evitar aocorrência de tais eventos, porém eles podem ser facilmente detectados.

� Ameaças naturais: fenômenos de natureza, chuva, fogo,furacão, terremoto, raio, tempestade, avalanche, desmoronamento, etc.

� Ameaças físicas: acesso e/ou uso não autorizado, desvio de mensagens, roubo físico de equipamentos, acidente aéreo, ameaça de bomba, acidente de construção, acidente, ferroviário, acidente industrial, acidente marítimo, acidente, nuclear, acidente químico, acidente rodoviário, etc.

Ameaças Humanas

� Ameaças não intencionais:� Este tipo de ameaça, geralmente ocorre pela ignorância dos envolvidos. Por exemplo:

� Falta de treinamento do usuário ou administrador da rede.

� Não entendimento de um manual ou documentação.� Arquivos enviados por engano.� Arquivos abandonados ou anotações esquecidas em micro, mesa, etc.

� Listagens abandonadas em cestas de lixo.

Ameaças Intencionais� Podem surgir a partir do meio interno e do meio externo,

como por exemplo:� Obtenção física de arquivos, discos, fitas, listagens, por meio de

roubo, cópia, pirataria e outros.� Ação de estranhos na tentativa de identificação ou autenticação

mascarada como usuário legítimo.� Ação do operador revelando medidas de proteção.� Ação do pessoal de manutenção sabotando ou utilizando de forma

indevida utilitários ou equipamentos.� Ação de programadores explorando o sistema, desarmando

proteções, forçando acessos através de gatilhos colocados dentro do sistema operacional.

� “Grampos” nos canais de comunicação.

� NO MATERIAL DE APOIO TEMOS VÁRIOS EXEMPLOS DE AMEAÇAS.

Atitudes

� Conhecendo os riscos, ameaças e vulnerabilidades poderemos tomar 4 atitudes :� Aceitar: só se justifica quando o custo de implementação é maior que o impacto negativo que o risco poderá trazer.

� Diminuir: colocar em práticas ações com o objetivo dereduzir o risco.

� Ignorar: Não dar nenhum tipo de importância e acreditar que nada irá acontecer.

� Transferir: transferir o risco para um terceiro, criandocompensações, quase sempre menores, sobre as perdas.

Técnicas de Análise de Risco� Análise subjetiva: documentos são escritos com vários cenários

como base para sessão de brainstorming”.� Análise quantitativa: orientada a mensurar os impactos financeiros

provocados por uma situação de quebra de segurança a partir davaloração dos próprios ativos. Para cada ameaça quantificar a suaincidência. Estimar o valor dos prejuízos que pode causar. Estimaro custo de combater a ameaça. Pesar as várias ameaças para obterum valor final.

� Análise qualitativa: orientada por critérios que permitem estimaros impactos aos negócios provocados pela exploração de umavulnerabilidade por parte de uma ameaça. Baseia-se em critérios eclassificações que podem pegar ao mesmo tempo valores tangíveise intangíveis. Esta tem se demonstrado com eficiência superiorpois abrange o processo como um todo.

Impacto

� O que é impacto ?� É o conceito utilizado para medir os efeitos positivos ou

negativos que uma determinada atividade pode causar.

� Como impactos podemos citar:� Perda financeira; Abalo na imagem; Multas ou sanções; Perda de investidores; Prejuízo operacional; Aumento no custo operacional; Parada no negócio da empresa; Perda de ativos; Alteração na quantidade de pessoas para a execução do processo; Redução da margem de lucro e etc..

Medidas de Segurança (PDCR)� Podem ser estabelecidas em função do parâmetro de

tempo enecessidade, podendo ser de 4 tipos e sendo geralmenteconhecidas como medidas PDCR.� Preventivas: ação de tentar evitar que o problema ocorra.Exemplo: antivírus.

� Detectivas: ação de detectar um determinado problema.Exemplo: vshield na memória.

� Corretivas: ação de corrigir algo que as outras duas ações nãoconseguiram evitar. Exemplo: clean no arquivo.

� Restauradoras: recuperar algo perdido. Exemplo: restore do arquivo danificado.

Mapeamento de processos� Identificar e mapear os processos internos é uma atitude que

ajuda a empresa a se tornar mais competitiva otimizando otempo e alcançando melhores resultados. Trata-se de umaferramenta simples, que pode ser adotada por organizaçõesde qualquer porte ou área de atuação, com inúmeros ganhosprincipalmente na segurança da informação. Qualquerorganização é composta por um conjunto de processos tantode natureza técnica como social. Estes processos são asatividades de negócio típicas que a empresa desenvolve paragerar valor, satisfazer as necessidades dos seus clientes e criar rendimento.

Atividade (slides 68 e 69)� Ativo: corresponde a entidade ou objeto alvo da função de

segurança. Exemplo: servidor.� Vulnerabilidade: uma fraqueza do ativo. Exemplo:

necessidade de energia elétrica.� Ameaça: ação, atitude ou situação em que a

vulnerabilidade de um ativo possa ser explorada. Exemplo: rompimento dos cabos de energia elétrica.

� Agente agressor: entidade responsável pela exploração da ameaça. Exemplo: espião de empresa concorrente.

� Perímetro de proteção: ambiente ou linha imaginária, física ou lógica, em que uma ameaça possa atingir um ativo. Exemplo: poste de suporte aos cabos de energia elétrica.

Atividade (slides 68 e 69)

� Pense em sua casa e faça uma análise de risco preenchendo com pelo menos 3 elementos dos dados citados abaixo:� Ativo;� Vulnerabilidade;� Ameaça;� Controles existentes;� Aspecto básico afetado;� Impacto;� Medidas de segurança a serem adotadas.

Matriz de G.U.T (Gravidade, Urgência e Tendência)� A prioridade das ações a serem executada pode ser encontrada utilizando a

matriz de G.U.T (gravidade, urgência e tendência). A definição da prioridadefinal é composta pela análise e pelo produto das 3 dimensões do GUT (Impacto = Gravidade X Urgência x Tendência).

� Dimensão gravidade� Nesta linha de análise deve ser considerada a severidade dos impactos

relacionados ao processo do negócio analisado. Por exemplo: o que seria doTelemarketing se toda a base de dados dos clientes fosse corrompida?

� Dimensão urgência� Nesta linha de análise deve ser considerado o tempo da duração dos impactos

relacionados ao processo de negócio que esta sendo analisado. Por exemplo: oque aconteceria com a empresa do exemplo anterior se a base continuassecorrompida por mais de 07 dias?

� Dimensão tendência� Nesta linha de análise deve ser considerado a oscilação dos impactos relacionados

ao processo analisado. Por exemplo: o que aconteceria com a empresa doexemplo anterior se a base ficasse comprometida a curto, médio e longo prazo?

Impacto

� O responsável pelo processo é que indica os pesos.

� Impacto = Gravidade x Urgência x Tendência

Sistema de coloração da matriz G.U.T� Os valores obtidos depois da análise são multiplicados

gerando o impacto final, sendo que a faixa dos valorespossíveis vai de 1 a 125. O objetivo da matriz de GUT éfacilitar a identificação rápida dos processos e suasprioridades. O resultado final é posicionado por cores ondeas faixa de 1 a 42, 43 a 83 e 84 a 125 devem ser sinalizadas respectivamente pelas cores VERDE, AMARELA e VERMELHA. Desta forma poderá ser visto qual ativo ouprocesso tem maior impacto negativo em caso de incidente.

Exercício� Cada grupo deverá escolher 3 processos, sendo estes os

principais da empresa. Para cada processo deverão serapontados 3 ativos. Para cada ativo deverão ser apontadas 3 vulnerabilidades. Para cada vulnerabilidade deverá ser apontado uma ameaça que possa explorar esta vulnerabilidade. Para cada ameaça identificar um método de controle mitigador da mesma.

� Depois aplicar o método de GUT (explicado mais adiante).

Mapeamento de processos e análise de riscos