gerenciamento de riscos

Material disponvel em:www.projetoderedes.com.br

UNIVERSIDADE PRESBITERIANA MACKENZIE

Compreendendo a Disciplina de Gerenciamento de Riscos

RONALDO AFFONSO

So Paulo2004



Trabalho de apresentado a Universidade PresbiterianaMackenzie, como requisito parcial para aprovao namatria de Metodologia de Trabalho Cientfico.

Professor: Jacinto Mendes

RONALDO AFFONSOCM: 30209935

So Paulo2004



Trabalho de apresentado a Universidade PresbiterianaMackenzie, como requisito parcial para aprovao namatria de Metodologia de Trabalho Cientfico.

Professor: Jacinto Mendes

Aprovada em Dezembro de 2004

BANCA EXAMINADORA

Professora Elida da SilvaUniversidade Presbiteriana Mackenzie

Vivaldo Queiroz

Pontifcia Universidade Catlica

Dedicatria

Gostaramos de expressar nossa gratido a toda nossafamlia e amigos na perseverana quanto ao apoio junto aonosso trabalho , pois no seria possvel realizar essetrabalho de to grande importncia para todo nosso grupo.

AGRADECIMENTOS

So muitos, os amigos que nos auxiliaram na realizao desta trabalho, Muitosprofessores da Universidade Mackenzie, Unicamp, Puc, USP, Fatec foram devital importncia para que o objetivo deste trabalho sempre tivesse o mesmoescopo, aos nossos queridos amigos e potenciais profissionais conhecedores darea em que atuam, a agradecemos a Microsoft por ter cedido muitos textos quenos auxiliaram no nosso trabalho.

Se voc conhece voc e seu inimigo ganhar todas asbatalhas, mas se voc conhece apenas voc e no conheceseu inimigo, perder algumas batalhas, e se voc no seconhece e tambm no conhece o inimigo perder todas asbatalhas

SUN TZU

Sumrio

1 Resumo ................................................................................................................. 1

2 Objetivo ................................................................................................................ 2

2 Introduo.............................................................................................................. 4

3 Prticas de gerenciamento de riscos de segurana e estrutura de segurana 6

4 Estrutura de gerenciamento de riscos de segurana...................................... 12

5 Disciplina de Gerenciamento de Riscos de Segurana ................................... 27

6 Controlando, planejando, agendando e relatando riscos de segurana ....... 51

7 Desenvolvimento de correo de risco de segurana ...................................... 59

8 Teste de correes de segurana ...................................................................... 62

9 Registrando conhecimento sobre segurana .................................................. 63

10 Concluso ........................................................................................................ 69

11 Referncias ......................................................................................................... 70

Resumo

Este mdulo explica a prticas comprovadas derivadas de mtodos deanlise de segurana e processos formulados na MSF e na MOF. Ele detalhou osprocessos usados na SRMD para determinar os custos necessrios para protegeros ativos da organizao. Por fim, mostrou as etapas recomendadas para aformao de uma equipe de segurana para criar e executar planos de ao desegurana que impediro ataques contra o ambiente da organizao e permitiroque haja uma reao contra esses ataques.

Objetivos

Este mdulo descreve uma metodologia comprovada para anlise egerenciamento de riscos. Ele se baseia na MSF (Microsoft SolutionsFramework) e na MOF (Microsoft Operations Framework) para fornecer orientao e conselhos sobre como estabelecer umadiretiva de gerenciamento de segurana em sua organizao. Identificando,categorizando e quantificando corretamente os riscos, voc poder agir damaneira mais apropriada e econmica para proteger o ambiente. Alm disso,voc poder integrar o desenvolvimento da diretiva e do procedimento desegurana ao ciclo de vida de desenvolvimento da sua infra-estrutura de TI(Tecnologia da Informao).

Use este mdulo para:Identificar e quantificar os riscos do ambiente.Identificar e quantificar o valor dos ativos de sua organizao.Usar esses valores quantificados para identificar as atividades mais adequadas eeconmicas para proteger o ambiente.Definir e gerenciar uma diretiva formal de gerenciamento de riscos desegurana.Integrar o gerenciamento de riscos de segurana ao ciclo de vida da infra-estrutura de TI.Definir processos para aprimorar a especializao em gerenciamento de riscosna sua organizao por meio de iteraes do ciclo do gerenciamento de riscos.

Aplica-se aEste mdulo se aplica aos seguintes produtos e tecnologias:Toda a infra-estrutura de TI

Como usar este mduloUse este mdulo como orientao para o desenvolvimento e a integrao de umadiretiva formal de gerenciamento de riscos de segurana que seja adequada parasua organizao.Para aproveitar este mdulo ao mximo:

Leia o mdulo"Definindo o cenrio de segurana do Windows 2000", antesdo mdulo atual. Ele apresenta a terminologia usada neste mdulo e forneceuma viso geral das questes de segurana.

Aps ler o mdulo atual, consulte os recursos listados na seo "Maisinformaes" no fim do mdulo para obter mais orientaes sobre questesespecficas.

Introduo

Este mdulo se baseia em prticas comprovadas de metodologias de anlise desegurana em uso atualmente que aproveitam a MSF e a MOF. A MSF ofereceorientaes sobre as fases de planejamento, criao, estabilizao e implantaodo ciclo de vida do projeto nas reas de arquitetura empresarial e implantao deinfra-estrutura. A MOF fornece conselhos sobre como desenvolver ouaperfeioar sistemas de gerenciamento em operaes de TI. Para obter maisdetalhes sobre a MSF e a MOF, consulte a seo "Mais informaes" no fimdeste mdulo.O mdulo define os trs principais processos de orientao: a SRMD (Disciplinade Gerenciamento de Riscos de Segurana) e a Estrutura de Gerenciamento de

Riscos em termos das atividades de gerenciamento de riscos que ocorremdurante o ciclo de vida de um projeto de segurana.H trs processos principais que uma organizao pode usar para se tornarprotegida e se manter protegida. As informaes a seguir definem essesprocessos de uma forma geral.

1. AvaliaoEsta fase envolve a coleta de informaes relevantes sobre o ambiente daempresa a fim de se realizar uma avaliao da segurana. preciso coletardados suficientes para analisar com eficincia o estado atual do ambiente e,ento, determinar o grau de proteo dos ativos em informaes daorganizao contra possveis ameaas. Alm da avaliao da segurana, umPlano de Ao de Segurana ser criado posteriormente para ser executadodurante o processo de implementao.

2. Desenvolvimento e implementaoEsta fase se concentra na execuo de um Plano de Ao de Segurana a fimde implementar as alteraes recomendadas no ambiente, que foramdefinidas na avaliao. Alm do Plano de Ao de Segurana, desenvolvido o Plano de Contingncia de Riscos de Segurana.

3. OperaoEsta fase envolve a realizao de modificaes e atualizaes no ambiente,conforme o necessrio para mant-lo protegido. Teste de invaso eestratgias de resposta a incidentes so aplicados durante o processooperacional, o que ajuda a concretizar os objetivos de implementao de umprojeto de segurana na organizao. Tambm so realizadas atividades deauditoria e monitoramento dos processos operacionais a fim de manter ainfra-estrutura intacta e protegida.

Prticas de gerenciamento de riscos de segurana e estrutura de seguranaNa execuo do plano de segurana, dois tipos de atividades de gerenciamentode riscos so constantes durante o ciclo de vida do projeto. A primeira atividade o gerenciamento de riscos inerentes ao prprio projeto. A segunda refere-se aogerenciamento dos riscos associados aos componentes de segurana. Os riscosdo projeto so avaliados somente durante o ciclo de vida do projeto, enquanto osriscos de segurana precisam ser avaliados durante todo o ciclo de vida dasoluo ou do sistema. A Risk Management Discipline da MSF serve como basepara gerenciar os riscos das avaliaes de projetos e de segurana. Exemplosprescritivos de gerenciamento de riscos de segurana sero descritos com maisdetalhes no mdulo "Aplicando a Disciplina de Gerenciamento de Riscos deSegurana" deste guia.Neste guia de soluo, definida a SRMD, que se deriva da RMD (RiskManagement Discipline) da MSF. Para distinguir claramente as duas atividades,a RMD mencionada no contexto dos riscos do projeto, enquanto a SRMDrefere-se atividade de avaliao de riscos de segurana. A RMD usada comoprincipal ferramenta para o desenvolvimento da SRMD.Os processos RMD e SRMD defendem uma abordagem proativa, avaliaescontnuas de risco e a integrao com o processo decisrio ao longo do projeto eda operao do ambiente.A segurana do sistema computacional deve ser feita de maneira proativa econtnua para garantir a segurana dos ativos em informaes e para monitorarnovas ameaas e vulnerabilidades. A segurana das informaes dever serlevada em considerao sempre que voc adicionar novos recursos infra-

estrutura de TI da sua organizao. Alm disso, talvez seja necessrio alteraralguns processos e procedimentos comerciais para operar no ambientemodificado e oferecer a proteo a esses novos ativos em informaes.As nove etapas da Disciplina de Gerenciamento de Riscos de Segurana so:Avaliao

1. Avaliao e atribuio de valores de ativos2. Identificao de riscos de segurana3. Anlise e priorizao dos riscos de segurana4. Controle, planejamento e agendamento dos riscos de segurana

Desenvolvimento e implementao5. Desenvolvimento de correes de segurana6. Teste de correes de segurana7. Registro do conhecimento em segurana

Operao8. Reavaliao de ativos e riscos de segurana novos e alterados9. Estabilizao e implantao de contramedidas novas ou

alteradasEssas etapas esto incorporadas na SRMD como as trs principais fases:avaliao, implementao e operao.

AvaliaoAs sees a seguir incorporam tarefas de avaliao organizacional como basepara o incio de uma anlise de segurana. A avaliao e a atribuio de valoresde ativos so as primeiras etapas na anlise de segurana, pois necessrio sabero que existe para avaliar a evoluo dos riscos. O processo de anlise desegurana um conjunto de estratgias que permitem determinar que ativosdevem ser protegidos no ambiente e a prioridade da proteo desses ativos.

Avaliao e atribuio de valores de ativosA avaliao dos ativos refere-se ao valor das informaes para as partesenvolvidas e o esforo necessrio para desenvolver essas informaes. Aatribuio de valores refere-se ao custo de manuteno de um ativo, a quantocustaria sua perda ou destruio e ao benefcio que terceiros teriam ao obter

essas informaes. O valor de um ativo deve refletir todos os custosidentificveis que poderiam resultar de um dano real ao ativo.

Identificao de riscos de seguranaA identificao de riscos de segurana permite que os membros da equipe doprojeto discutam e faam emergir possveis riscos de segurana. So coletadasinformaes sobre ameaas, vulnerabilidades, exploraes e contramedidas.

Anlise de riscos de seguranaA anlise de riscos de segurana usada para verificar possveis ataques,ferramentas, mtodos e tcnicas que podem ser usados para explorar umavulnerabilidade. A anlise de riscos de segurana um mtodo de identificaode riscos e avaliao dos possveis danos que podem ser causados, a fim dejustificar as salvaguardas de segurana.Uma anlise de riscos de segurana tem trs objetivos principais: identificarriscos, quantificar o impacto de possveis ameaas e conseguir um equilbriofinanceiro entre o impacto do risco e o custo da contramedida. So coletadasinformaes para se estimar o nvel de risco, de modo que a equipe possa tomardecises fundamentadas sobre que riscos de segurana devem receber o maioresforo de correo.Essa anlise , ento, usada para priorizar os riscos de segurana e permitir quesua organizao dedique recursos para atender s questes de segurana maiscrticas.Uma anlise de riscos ajuda a integrar os objetivos do programa de seguranaaos objetivos e requisitos de negcios da empresa. Quanto mais alinhadosestiverem os objetivos de negcios e de segurana, mais bem-sucedida ser aorganizao na concretizao de ambos.A anlise tambm ajuda a empresa a delinear um oramento adequado para umprograma de segurana e os componentes de segurana que formam esseprograma. Quando souber o valor dos ativos da empresa e entender as possveisameaas a que eles esto expostos, voc poder tomar decises inteligentessobre o quanto gastar na proteo desses ativos.

Controle, planejamento e agendamento dos riscos de seguranaO controle, o planejamento e o agendamento dos riscos de segurana usam asinformaes obtidas da anlise de riscos de segurana para formular estratgiase planos de atenuao e contingncia que os englobem. O agendamento dosriscos de segurana tenta definir um cronograma para as diversas estratgias decorreo definidas durante a fase de criao de um projeto de segurana. Esseagendamento leva em considerao como os planos de segurana so aprovadose incorporados na arquitetura de informaes, assim como os procedimentos deoperaes cotidianas padro que devem ser implementados.

Desenvolvimento e implementaoO trabalho realizado durante o processo de avaliao permite que vocdesenvolva e implemente as contramedidas adequadas. Os resultados dosprocessos de avaliao permitem uma transio fcil para a implementao deestratgias eficientes de implantao de contramedidas e aprendizado desegurana.

Desenvolvimento de correes de riscos de seguranaO desenvolvimento de correes de riscos de segurana o processo de usar osplanos da fase de avaliao para criar uma nova estratgia de segurana queenvolva gerenciamento de configuraes, gerenciamento de patches,monitoramento e auditoria de sistemas, e diretivas e procedimentosoperacionais. Como vrias contramedidas esto sendo desenvolvidas, importante garantir o controle e os relatrios precisos do progresso.

Teste de correes de riscos de seguranaO teste de correo de riscos de segurana ocorre aps serem concludos odesenvolvimento de estratgias de correo e as respectivas alteraes nogerenciamento de sistemas, e aps as diretivas e os procedimentos dedeterminao da eficincia serem escritos. O processo de teste permite que aequipe leve em considerao como essas alteraes podem ser implantadas emum ambiente de produo. Durante o processo de teste, as contramedidas soavaliadas quanto eficincia do controle dos riscos de segurana.

Aprendizado dos riscos de seguranaO aprendizado dos riscos de segurana formaliza o processo de registro deconhecimento sobre como a equipe protegeu os ativos e documenta asvulnerabilidades e exploraes descobertas. medida que o departamento de TIaprende novas informaes de segurana, preciso registrar e implantar maisuma vez essas informaes para otimizar continuamente a eficincia dascontramedidas que protegem os ativos da empresa. Alm disso, a seguranaprecisa ser ensinada s comunidades da empresa por meio de treinamento ouboletins informativos de segurana.Observao: essas etapas so uma orientao lgica e no precisam serseguidas em seqncia para solucionar um determinado risco de segurana. Asequipes de segurana passaro com freqncia pelas etapas de identificao,anlise e planejamento medida que ganharem experincia em questes desegurana, ameaas e vulnerabilidades de seus ativos em informaesespecficas.Sua organizao precisa determinar um processo de gerenciamento de riscosformal que defina como as contramedidas de segurana so iniciadas e avaliadase sob que circunstncias devem ocorrer transies entre as etapas para riscos desegurana individuais ou grupos de riscos.

OperaoCiclos de operao slidos e consistentes oferecem s equipes de segurana ummecanismo para obter resultados confiveis e previsveis. Executando oprocesso de avaliao no incio do projeto de segurana, as equipes tm maisconhecimento de como reavaliar ativos novos e alterados em toda a empresa. Aestabilizao e a implantao de contramedidas novas ou alteradas para ativosnovos e alterados tornam-se, ento, parte da operao cotidiana da empresa.

Reavaliao de ativos e riscos de segurana novos e alteradosSo essencialmente processos de gerenciamento de alteraes, mas so tambmonde o gerenciamento de configuraes de segurana executado. Isso leva aogerenciamento de verses quando as novas contramedidas e diretivas desegurana so concludas.

Estabilizao e implantao de contramedidas novas ou alteradasNa fase de operao, esses processos so gerenciados por equipes deadministrao do sistema, da segurana e da rede. O monitoramento e o controledo servio e o agendamento de tarefas so processos adicionais na fase deoperao. Neles, os administradores de segurana aplicam contramedidas novasou aprimoradas.

Central de atendimento de segurana, gerenciamento de incidentes eaprendizado de gerenciamento de problemasNa fase de suporte, grupos operacionais na organizao de TI oferecem suporteao ambiente protegido por meio do gerenciamento preciso da central deatendimento de segurana e do gerenciamento controlado de incidentes e daescalao de problemas.

Gerenciamento financeiro, de nvel de servio e de disponibilidadeA MSF e a MOF so prticas comprovadas, projetadas para ajud-lo adesenvolver, implantar e manter um programa de gerenciamento de seguranapreciso. O uso adequado dessas prticas permite a criao de um ambiente queoferea integridade, confidencialidade e disponibilidade de recursos.O gerenciamento de segurana otimizado pelo rigor no gerenciamento de nvelde servio, gerenciamento financeiro, gerenciamento da comunidade deservios, gerenciamento de disponibilidade, gerenciamento de capacidade egerenciamento de fora de trabalho.

Estrutura de gerenciamento de riscos de segurana

Viso geralA estrutura aproveita o modelo de processo da MSF e descreve uma seqnciageral de atividades para criar e implantar solues de segurana de TI. Em vezde prescrever uma srie especfica de procedimentos, a estrutura flexvel osuficiente para acomodar uma ampla gama de processos de TI. O modelo deprocesso aborda o ciclo de vida de uma soluo, desde o comeo do projeto at aimplantao ativa.

Figura 1Etapas do modelo de processo da estrutura de segurana por faseO modelo de processo da MSF pode ser usado para desenvolver aplicativos eimplantar tecnologia de infra-estrutura. Ele segue um ciclo iterativo projetadopara acomodar alteraes de requisitos do projeto por meio de ciclos curtos dedesenvolvimento e verses incrementais da soluo. O gerenciamento de riscose os ciclos de teste contnuos tornam isso possvel.Diversas perguntas importantes sobre o projeto so feitas e respondidas oudiscutidas em cada etapa do modelo de processo, como: A equipe concorda como escopo do projeto? A equipe planejou o suficiente para prosseguir? A equipecriou o que disse que iria criar? A soluo est funcionando adequadamente paraos clientes e parceiros da organizao? Estes seis processos principais de umprojeto de segurana associados figura acima so discutidos resumidamenteaqui.

1. Incio da definio do projetoA fase inicial do projeto atende a uma das necessidades mais fundamentaispara o sucesso do projeto de segurana: unificar a equipe do projeto e oprograma de segurana. O processo de incio da equipe continua at orefinamento, no fim da fase inicial. Todos os membros da equipe tm uma

viso clara do que desejam conseguir com uma soluo de segurana e dasnecessidades da empresa em relao segurana. Essa fase se concentra naidentificao do problema ou da oportunidade da empresa ou nogerenciamento de segurana. Todas as partes envolvidas no gerenciamentode segurana precisam definir objetivos, suposies e restries duranteesses processos.

2. Avaliao e anlises de seguranaA avaliao e as anlises do gerenciamento de segurana so processos queocorrem na fase de planejamento da metodologia da MSF. Esses processosincluem avaliao da organizao, atribuio de valores de ativos,identificao de ameaas, avaliao de vulnerabilidades e avaliao de riscosde segurana. Juntos, eles formam o planejamento envolvido em umaimplantao bem-sucedida de contramedidas.

3. Desenvolvimento de correes de seguranaInformaes obtidas nas fases de avaliao e de anlise de segurana criamum meio para o desenvolvimento de correes de segurana. Durante essesprocessos, os desenvolvedores trabalham constantemente nodesenvolvimento, teste e validao de contramedidas para remediar os riscosidentificados nas fases anteriores do projeto. Esses processos dedesenvolvimento de correes de segurana so testados pela equipe dedesenvolvimento e avaliados segundo critrios de qualidade.

4. Teste de correes de segurana e teste de funcionalidade de recursosOs processos de teste de correes de segurana e de teste de funcionalidadede recursos tm resultados menos previsveis. Resultados imprevistos doteste funcional so identificados e gerenciados durante a fase deestabilizao pelos processos de teste. Apesar de a fase de criao se basearem planos e especificaes conhecidos, o nmero e a gravidade dos errosque sero encontrados so sempre desconhecidos. As tcnicas deconvergncia de erros e resposta sem erros so usadas pela Microsoft paramedir a qualidade da soluo e prever a data de lanamento durante essafase.

5. Implantao de contramedidas e diretivas de segurana

Os processos de implantao de contramedida e de diretiva de seguranacontinuam ao longo da fase de implantao da metodologia MSF e no ciclode processo MOF. Esse processo de implantao de contramedidas organizaos tipos de contramedidas e diretivas de segurana em dois tipos, principal ede site, e seus respectivos componentes de segurana. Componentes desegurana especficos encontram-se em um local central ou principal queenvolve toda a soluo de segurana. Componentes especficos de sitesencontram-se em locais individuais que permitem aos usurios acessar e usara soluo de segurana.

6. Concluso da implantaoO conhecimento do gerenciamento de riscos de segurana um processoregistrado prximo etapa de concluso da implantao. O registro daslies aprendidas prximo implantao coloca a soluo em um estadooperacional e entregam o projeto concludo ao ciclo de processo da MOF.

Para obter mais detalhes sobre os processos do projeto de segurana, consulte oguia Microsoft Solution for Security Services.

Criando a equipe do programa de seguranaDurante o processo de avaliao do modelo de processo da MSF, ocorre umaetapa fundamental para a proteo do ambiente, que a criao de um programade segurana. O fundamento desse programa de segurana determinarobjetivos, escopo, diretivas, prioridades, padres e estratgias para a seguranatotal da organizao. Os membros do programa de segurana so executivosseniores da empresa. O grupo de administrao de segurana , portanto,composto de gerentes de nvel mdio e de suas equipes que implementam egerenciam as diretivas determinadas pelo programa de segurana.Um programa de segurana deve ser desenvolvido com uma abordagem de cimapara baixo, o que significa que o incio, o suporte e a direo devem vir dagerncia superior, sendo aplicados pela gerncia mdia e, finalmente, incluir osmembros da equipe. O suporte, no entanto, pode ser uma combinao dedesenvolvimento e defesa de idias que partam do nvel superior, do nvelinferior ou do nvel mdio no gerenciamento de segurana. Hoje, diversas

empresas usam uma abordagem de baixo para cima para o desenvolvimento e osuporte, em que o departamento de TI desenvolve um plano de segurana semsuporte e direo adequados da gerncia. Isso pode fazer com que o programa desegurana fique desalinhado com os objetivos comerciais mais amplos daorganizao.A gerncia snior deve comear a criar o programa de segurana atribuindofunes e responsabilidades dentro da organizao, que sejam necessrias paraum incio bem-sucedido. O envolvimento da gerncia snior mantm aeficincia e a evoluo do programa medida que os ambientes comercial etcnico mudam. A criao de funes em um programa de segurana confirmaque a organizao reconhece a segurana como parte integrante de seu negcio,em vez de apenas uma preocupao.Alm de um programa de segurana, a gerncia deve estabelecer um grupo deadministrao de segurana. Esse grupo diretamente responsvel pelomonitoramento da maior parte das facetas de um programa de segurana.Geralmente, o programa de segurana em uma organizao desenvolve diretivasde segurana, enquanto o grupo de administrao de segurana impe emonitora configuraes de segurana.Dependendo da organizao, de suas necessidades de segurana e do tamanhodo ambiente, a administrao de segurana pode consistir em uma pessoa ou umgrupo de indivduos que trabalham de maneira centralizada ou descentralizada.

AvaliaoA estrutura de segurana para avaliao de ameaas, descrita no modelo deprocesso, projetada para ajudar os profissionais de segurana a desenvolveruma estratgia para proteger a disponibilidade, a integridade e aconfidencialidade de dados na infra-estrutura de TI de uma organizao. Podeser de interesse dos gerentes de recursos de informao, dos diretores desegurana de computadores e dos administradores, e especialmente valiosa paraos que tentam estabelecer diretivas de segurana de computadores. A estruturaoferece uma abordagem sistemtica dessa importante tarefa e, como precauofinal, tambm envolve a definio de planos de contingncia em caso dedesastre.

ConfidencialidadeA infra-estrutura de TI da organizao pode conter informaes que exigemproteo contra divulgao no autorizada. Os exemplos incluem adisseminao de informaes com data programada, como relatrios deresultados, informaes pessoais ou informaes comerciais proprietrias. Aconfidencialidade garante que a capacidade de fornecer o nvel necessrio desegredo seja imposta em cada juno do processamento de dados e impede adivulgao no autorizada. Um nvel consistente de confidencialidade deve sermantido enquanto os dados residem em sistemas e dispositivos na rede, quandoso transmitidos e quando atingem o destino.

IntegridadeA infra-estrutura de TI contm informaes que devem ser protegidas contramodificao no autorizada, no prevista e no intencional. Os exemplosincluem informaes censitrias, indicadores econmicos ou sistemas detransaes financeiras. A integridade mantida quando a preciso e aconfiabilidade das informaes e dos sistemas so garantidas e a modificaono autorizada dos dados no possvel.

DisponibilidadeA infra-estrutura de TI contm informaes ou fornece servios que devem estardisponveis de maneira apropriada para atender aos requisitos da misso ouevitar perdas substanciais. Os exemplos incluem sistemas fundamentais parasegurana, suporte a vida e conectividade de rede consistente. A disponibilidadegarante confiabilidade e acesso apropriado a dados e recursos para indivduosautorizados.Os administradores de segurana precisam decidir quanto tempo, dinheiro eesforo deve ser gasto para desenvolver as diretivas e os controles de seguranaadequados. A organizao deve analisar suas necessidades especficas e, ento,determinar seus recursos, requisitos de cronograma e restries. Sistemas decomputador, ambientes e diretivas organizacionais so diferentes, dificultando aestratgia para proteger grupos de computadores na organizao. Apesar de a estratgia de segurana poder economizar um tempo valioso daorganizao e fornecer lembretes importantes do que precisa ser feito, a

segurana no uma atividade realizada uma nica vez. Ela parte integral dociclo de vida do sistema para o ambiente. As atividades descritas neste mdulogeralmente exigem atualizao peridica ou reviso adequada. Tais alteraesso feitas quando as configuraes ou outras condies mudam de formasignificativa ou quando regulamentos e diretivas organizacionais exigemmudanas. um processo iterativo que nunca termina e deve ser revisado etestado periodicamente.

Avaliao organizacionalO estabelecimento de um conjunto eficiente de diretivas e controles desegurana exige o uso de uma estratgia para determinar as vulnerabilidades queexistem nos sistemas de computador e nas diretivas e controles de seguranaatuais que os protegem. Sua reviso deve registrar reas do ambiente em quefaltam diretivas, assim como examinar documentos de diretivas existentes. Almdas revises de diretivas, a equipe jurdica da organizao deve garantir quetodas as diretivas de segurana estejam em conformidade com a diretiva jurdicada empresa. O status atual das diretivas de segurana de computadores pode serdeterminado revendo-se a seguinte lista:

Diretivas de segurana fsica de computadores, como controles de acesso fsico

Diretivas de segurana de dados (controle de acesso e controles de integridade)

Planos e testes de contingncia e recuperao de desastres

Reconhecimento e treinamento de segurana de computadores

Diretivas de gerenciamento e coordenao de segurana de computadores

Outros documentos de diretivas que contenham informaes confidenciais,incluindo:

Senhas de BIOS de computador

Senhas de configurao de roteador

Documentos de controle de acesso

Outras senhas de gerenciamento de dispositivos

Anlise de ameaasA criao de listas de ameaas (a maioria das organizaes pode identificarvrias) ajuda o administrador de segurana a identificar as diversas exploraesque podem ser usadas em um ataque. importante que os administradoressempre atualizem seus conhecimentos nessa rea, pois novos mtodos,ferramentas e tcnicas para burlar as medidas de segurana esto sempre sendoinventados.O processo de anlise de ameaas descrito na fase de planejamento da figura 1para determinar os ataques que podem ser esperados e, assim, desenvolverformas de defesa contra esses ataques. impossvel se preparar contra todos osataques; assim, prepare-se para os ataques mais provveis que a organizaopossa esperar. sempre melhor impedir ou minimizar os ataques do que corrigiros danos causados por eles.Para minimizar os ataques, necessrio compreender as diversas ameaas quecausam riscos aos sistemas, as tcnicas correspondentes que podem ser usadaspara comprometer os controles de segurana e as vulnerabilidades que existemnas diretivas de segurana. A compreenso desses trs elementos de ataquesajuda a prever sua ocorrncia, e at mesmo o momento ou o local. Prever umataque o mesmo que prever sua probabilidade, o que depende da compreensode seus diversos aspectos. Esses aspectos podem ser expressos na seguinteequao:Motivos da ameaa + Mtodos de explorao + Vulnerabilidades dos ativos= Ataque

Um atacante mal-intencionado pode usar diferentes mtodos para iniciar omesmo ataque. Assim, a estratgia de segurana deve ser personalizada paracada mtodo que cada tipo de agente de ameaa pode explorar.

Avaliao de vulnerabilidadesA avaliao das necessidades de segurana da organizao deve incluir adeterminao de suas vulnerabilidades em relao a ameaas conhecidas. Essaavaliao envolve reconhecer os tipos de ativos que a organizao tem e quetipo de dano eles podem sofrer.Determinando os danos possveis de um ataqueOs danos possveis aos ativos no ambiente podem variar de pequenas falhas decomputador at perdas de dados catastrficas. Os danos causados ao sistemadependero do tipo de ataque. Se possvel, use um ambiente de teste ou delaboratrio para esclarecer os danos resultantes de diferentes tipos de ataques.Isso permitir que a equipe de segurana avalie com preciso os danos fsicos.Nem todos os ataques causam o mesmo tipo ou a mesma quantidade de danos.Os testes que podem ser executados incluem:

Uma simulao de ataque de vrus de email em um sistema de laboratrio,seguida de uma anlise para determinar os danos causados e os possveisprocedimentos de recuperao necessrios.

Um teste para determinar se os funcionrios esto sujeitos a ataques deengenharia social, que tentam conseguir o nome de usurio e a senha de umfuncionrio desavisado.

Uma simulao de desastre em um centro de dados. Medir o tempo deproduo perdido e o tempo at a recuperao.

Uma simulao de um ataque de vrus mal-intencionado. Medir o temponecessrio para recuperar um computador. Esse fator de tempo pode sermultiplicado pelo nmero de computadores infectados no sistema para avaliar aquantidade de tempo de inatividade ou a perda de produtividade.

Tambm aconselhvel envolver uma equipe de resposta a incidentes noprocesso, pois mais provvel que ela, e no um nico indivduo, observe todosos diferentes tipos de danos que ocorreram. Uma equipe de respostas a

incidentes gerencia a priorizao de incidentes de segurana e os caminhos deescalao para resolv-los.Determinando as vulnerabilidades ou os pontos fracos que um ataque podeexplorarSe as vulnerabilidades que um ataque especfico explora puderem serdescobertas, ser possvel alterar ou criar diretivas e controles de segurana paraminimizar as vulnerabilidades. A determinao do tipo de ataque, ameaa emtodo facilita a descoberta de vulnerabilidades existentes. Isso pode sercomprovado com um teste de invaso.

Planejamento e agendamento de riscos de seguranaPara cada mtodo de explorao, o plano de segurana da organizao deveincluir estratgias proativas e reativas.A estratgia proativa, ou pr-ataque, um conjunto de etapas que ajudam aminimizar as vulnerabilidades da diretiva de segurana existente e a desenvolverplanos de contingncia. A determinao dos danos que um ataque causar emum sistema e dos pontos fracos e das vulnerabilidades exploradas durante oataque ajuda no desenvolvimento de uma estratgia proativa.A estratgia reativa, ou ps-ataque, ajuda a equipe de segurana a avaliar osdanos causados pelo ataque, corrigir os danos ou implementar o plano decontingncia desenvolvido na estratgia proativa, documentar e aprender com aexperincia e reabilitar as funes de negcios assim que possvel.Estratgia proativaA estratgia proativa um conjunto de etapas predefinidas que devem serseguidas para impedir ataques antes que eles ocorram. Essas etapas incluemverificar como um ataque poderia afetar ou danificar o sistema de computador eas vulnerabilidades que ele explora (etapas 1 e 2). O conhecimento obtido nessasavaliaes pode ajudar a implementar diretivas de segurana que vo controlarou minimizar os ataques. Estas so as quatro etapas da estratgia proativa:

1. Determinar os danos que o ataque causar.2. Determinar as vulnerabilidades e os pontos fracos que o ataque vai explorar.3. Minimizar as vulnerabilidades e os pontos fracos relacionados ao ataque

especfico indicado nas duas primeiras etapas.4. Determinar o nvel apropriado de contramedidas a serem implementadas.

Seguir essas etapas para analisar cada tipo de ataque resultar em um benefcioindireto: comear a surgir um padro dos fatores comuns a diferentes ataques.Esse padro pode ser til para determinar as reas de vulnerabilidade querepresentam o maior risco para a empresa.Observao: tambm necessrio equilibrar o custo da perda de dados e ocusto da implementao dos controles de segurana. Ponderar esses riscos ecustos faz parte de uma anlise de riscos do sistema.Estratgia reativaUma estratgia reativa implementada quando a estratgia proativa para oataque falha. A estratgia reativa define as etapas que devem ser seguidasdurante ou aps um ataque. Ela ajuda a identificar os danos causados e asvulnerabilidades que foram exploradas no ataque. Uma estratgia reativatambm determina por que um ataque ocorreu, como corrigir os danos causadose como implementar um plano de contingncia.As estratgias reativas e proativas trabalham juntas para o desenvolvimento dediretivas e controles de segurana no sentido de minimizar ataques e seus danos.A equipe de resposta a incidentes deve ser includa nas etapas seguidas duranteou aps o ataque a fim de ajudar a avaliar, documentar e aprender com o evento.As trs etapas a seguir esto envolvidas na estratgia reativa:

1. Limitar os danos.Conter os danos causados durante o ataque permite limitar a extenso dosdanos. Por exemplo, se houver um vrus no ambiente, voc tentar liminar osdanos assim que possvel desconectando os servidores da rede, mesmo antesde descobrir quantos servidores podem ter sido afetados. Isso deve ser feito omais rapidamente possvel.

2. Avaliar os danos.Determinar os danos causados durante o ataque. Isso deve ser feito comrapidez para que as operaes da organizao sejam reiniciadas assim quepossvel. Se no for possvel avaliar os danos de maneira adequada, umplano de contingncia dever ser implementado para que as operaes de

negcios normais e a produtividade possam continuar.3. Determinar a causa dos danos.

Para determinar a causa dos danos, necessrio compreender que recursos oataque visava e que vulnerabilidades foram exploradas para obter acesso ouinterromper os servios. Revise os logs do sistema, os logs de auditoria e asfaixas de auditoria. Geralmente, essas revises ajudam a descobrir a origemdo ataque no sistema e os recursos que foram afetados.

4. Corrigir os danos. muito importante que os danos sejam corrigidos o mais rapidamentepossvel a fim de restaurar as operaes de negcios normais e os dados quetenham sido perdidos durante o ataque. Os planos e procedimentos derecuperao de desastres da organizao devem abranger a estratgia derestaurao. A equipe de resposta a incidentes tambm deve estar disponvelpara lidar com o processo de restaurao e recuperao e para fornecerorientaes sobre o processo de recuperao. Durante esse processo, osprocedimentos de contingncia so realizados para isolar e limitar adisseminao dos danos.

Plano de contingnciaO plano de contingncia alternativo e foi desenvolvido caso um ataque entreno sistema e danifique dados ou outros ativos, resultando em interrupo dasoperaes normais da empresa ou em reduo da produtividade. O plano decontingncia ser seguido se o sistema no puder ser restaurado de maneiraadequada. Em ltima instncia, o objetivo manter a disponibilidade, aintegridade e a confidencialidade dos dados; o equivalente a um "plano B".Planos de contingncia devem ser criados para responder a cada tipo de ataqueou ameaa. Cada plano deve conter um conjunto de etapas a serem seguidascaso haja um ataque. Eles devem:

Indicar quem faz o que, quando e onde para manter a organizao funcionando.

Ser ensaiados periodicamente para manter a equipe atualizada com as etapas decontingncia mais recentes.

Abranger a restaurao de informaes de servidores de backup.

Englobar a atualizao de software antivrus, service packs e hotfixes.

Abordar os procedimentos de mudana dos servidores de produo para outrolocal. Se houver oramento, as replicaes dos servidores de produo devemser reunidas em locais de contingncia estratgicos.

Incluir uma reviso de fechamento das diretivas de segurana e dos planos decontingncia atuais.

Os pontos a seguir descrevem as diversas tarefas de avaliao que devem serrealizadas ao se desenvolver o plano de contingncia:

Avaliar as diretivas e os controles de segurana da organizao para aproveitartodas as oportunidades que minimizem as vulnerabilidades. A avaliao deveenvolver o plano e os procedimentos de emergncia atuais da organizao,assim como sua integrao ao plano de contingncia.

Avaliar os procedimentos de respostas de emergncia atuais e seus efeitos nasoperaes da empresa.

Desenvolver respostas planejadas para ataques e integr-las aos planos decontingncia, observando at que ponto elas so adequadas para limitar osdanos e minimizar o impacto de um ataque nas operaes de processamento dedados.

Avaliar procedimentos de backup, incluindo as documentaes e os testes derecuperao de desastres mais recentes, a fim de medir sua adequao e incluiros resultados das avaliaes nos planos de contingncia.

Avaliar os planos de recuperao de desastres a fim de determinar se as etapasenvolvidas so adequadas para fornecer um ambiente operacional temporrioou de longo prazo. Os planos de recuperao de desastres devem incluir o testedos nveis de segurana exigidos pela organizao para que a equipe desegurana possa determinar se pode continuar a impor a segurana durante todoo processo de recuperao, operaes temporrias e retorno ao local deprocessamento original da organizao ou mudana para um novo local.

Criar um documento detalhado descrevendo as descobertas necessrias para

seguir as etapas mencionadas acima. Este documento deve listar:Detalhes sobre cenrios de usurios para testar os planos de contingncia.

Detalhes sobre o impacto que dependncias, como obter ajuda externa erecursos essenciais, tero nos planos de contingncia.

Uma lista de prioridades observadas nas operaes de recuperao e a lgicausada para estabelec-las.

Detalhes sobre caminhos de escalao para que, quando um plano decontingncia for executado, todos os problemas que possam surgir dele sejamescalados com clareza para a equipe mais eficiente de TI ou de operaes daempresa.

ImplementaoCuidado para no implementar controles que sejam muito restritivos, pois adisponibilidade das informaes poder se tornar um problema. Deve haver umequilbrio cuidadoso entre os controles de segurana e o acesso s informaes.

Teste de simulao de ataqueO ltimo elemento de uma estratgia de segurana, o teste e a reviso de seusresultados, ser aplicado depois que as estratgias reativas e proativas foremestabelecidas. A simulao de ataques em um sistema de teste ou laboratriopermite avaliar onde h vulnerabilidades e, assim, ajustar as diretivas e oscontroles de segurana da organizao de maneira adequada.Esses testes no devem ser realizados em um sistema de produo ativo, pois oresultado pode ser desastroso. Dessa forma, a ausncia de laboratrios ecomputadores de teste devido a restries oramentrias pode impedir asimulao de ataques. Para garantir os fundos necessrios para a realizao detestes, importante que a gerncia esteja ciente dos riscos e das conseqncias

de um ataque, assim como das medidas de segurana que podem ser necessriaspara proteger o sistema, inclusive os procedimentos de teste. Se possvel, todasas situaes de ataque devem ser testadas e documentadas fisicamente para sedeterminar os melhores controles e diretivas de segurana a seremimplementados.Certos ataques, como desastres naturais, no podem ser testados, embora umasimulao ajude. Por exemplo, um incndio pode ser simulado na sala deservidores, resultando em danos e na perda de todos eles. Essa situao dedesastre pode ser til para testar a capacidade de resposta dos administradores edo pessoal de segurana, bem como para verificar quanto tempo levar para quea organizao volte a funcionar.O ajuste de diretivas e controles de segurana com base nos resultados do teste um processo iterativo. Ele nunca termina e deve ser avaliado e revisadoperiodicamente para ser aperfeioado.

OperaoUm caminho de escalao e gerenciamento de problemas claramente definido essencial para um programa de resposta a incidentes. Executandoconsistentemente o plano de resposta a incidentes logo no incio do projeto, asequipes adquirem mais eficincia para resolver problemas em toda a empresa. Adocumentao dos resultados e o aprendizado adquirido no projeto de seguranaso vantajosos para todos que esto comeando novos projetos. A coleta dessestipos de lies aprendidas nos processos operacionais facilita a concluso dastarefas de avaliao, desenvolvimento e implementao do projeto de seguranaseguinte.

Resposta a incidentesSe sua organizao desejar implementar totalmente as prticas recomendadas deplanejamento de segurana, ser necessrio criar uma equipe de resposta aincidentes. Essa equipe deve estar envolvida nos esforos proativos para garantira segurana do sistema. Esses esforos incluem:

Desenvolver diretrizes para lidar com incidentes.

Preparar caminhos e procedimentos de escalao para a aplicao de leisrelacionadas a crimes de informtica.

Identificar ferramentas de software para resposta a incidentes e eventos.

Pesquisar e desenvolver outras ferramentas de segurana de computadores.

Realizar atividades de treinamento e percepo.

Realizar pesquisas sobre vrus.

Realizar estudos sobre ataques ao sistema.

Esses esforos fornecero o conhecimento que a organizao poder usar pararesolver questes antes e durante incidentes.Um administrador de segurana deve poder monitorar e gerenciar auditorias desegurana na organizao conforme o necessrio. Ele deve ser a autoridade (umapessoa ou um grupo de pessoas) responsvel por implementar a diretiva desegurana para um domnio de segurana. Depois que o administrador desegurana e a equipe de resposta a incidentes conclurem essas funesproativas, o administrador dever repassar a responsabilidade por lidar comincidentes equipe de respostas a incidentes.Isso no significa que o administrador de segurana deva deixar de ser parte daequipe. Contudo, talvez ele no esteja sempre disponvel. Portanto a equipe deresposta a incidentes deve ser capaz de lidar com os incidentes sozinha. Aequipe ser responsvel por responder aos incidentes e dever participar daanlise de eventos incomuns que possam envolver a segurana doscomputadores ou da rede.

Documentar e aprender importante que um ataque seja documentado assim que ocorrer. Adocumentao deve abordar todos os aspectos conhecidos do ataque, incluindoos danos causados (hardware, software, perda de dados, perda de produtividade),

as vulnerabilidades e os pontos fracos explorados durante o ataque, o tempo deproduo perdido, os procedimentos usados para corrigir os danos e o custo dosesforos de correo. A documentao ajudar a modificar estratgias proativasa fim de impedir ataques futuros e minimizar danos.

Implementar planos de contingnciaSe os planos de contingncia j existirem, eles podero ser implementados paraeconomizar tempo e para manter as operaes do negcio em funcionamentonormal. Se no houver um plano de contingncia, desenvolva um apropriadocom base na documentao da etapa anterior.

Revisar resultados e realizar simulaesAps o ataque ou aps defender-se dele, revise o resultado em relao aosistema e a estratgia proativa da organizao. A reviso deve incluir detalhessobre perda de produtividade, de dados ou de hardware, bem como o tempogasto para se recuperar do ataque. Voc deve realizar simulaes em umambiente de teste que sejam semelhantes ao ambiente de produo para produziros melhores resultados.

Revisar e ajustar a eficcia das diretivasSe houver diretivas para defesa contra um ataque que tenha ocorrido, suaeficcia deve ser revisada e verificada. Se no houver diretivas, elas devem serdefinidas para minimizar ou impedir ataques futuros.Quando a eficcia das diretivas existentes no atender ao padro, as diretivasdevero ser ajustadas apropriadamente. As atualizaes de diretivas devem sercoordenadas pelos gerentes pertinentes, o administrador de segurana, osadministradores de TI e a equipe de resposta a incidentes. Todas as diretivasdevem estar em conformidade com as regras e as diretrizes gerais daorganizao. Por exemplo, o horrio de funcionamento padro da organizaopode ser de 8:00 s 18:00. Uma diretiva de segurana pode ser atualizada oucriada, especificando que os usurios s podem fazer logon no sistema nesseintervalo.

Disciplina de Gerenciamento de Riscos de SeguranaAs sees a seguir se baseiam em prticas comprovadas de metodologias deanlise de segurana em uso que aproveitam a MSF e a MOF. A MSF ofereceorientaes sobre as fases de planejamento, criao, estabilizao e implantaodo ciclo de vida do projeto nas reas de arquitetura empresarial e implantao deinfra-estrutura. A MOF fornece conselhos sobre como desenvolver ouaperfeioar sistemas de gerenciamento de operaes de TI. A SRMD definidaem detalhes aqui, o que permite determinar se ela poder ser aplicada em seuambiente. A SRMD um processo detalhado, til para determinar as ameaas evulnerabilidades com maior impacto potencial em uma determinadaorganizao.

Identificao de riscos de seguranaA identificao de riscos de segurana a primeira etapa da avaliao dasegurana da organizao. Para gerenciar com eficincia os riscos de segurana,isso deve ser declarado com clareza, de forma que a equipe do projeto possachegar a um consenso e prosseguir para a anlise das conseqncias e para acriao de um plano de ao voltado para o risco. Embora o escopo dos riscos desegurana seja limitado tecnologia que a equipe do projeto tenta proteger, ofoco da equipe deve ser amplo o bastante para abordar todas as fontes de riscosde segurana, incluindo tecnologias, processos, ambientes e pessoas.Os brainstroms so uma maneira de identificar riscos de segurana; h vriasfontes de informao sobre questes de segurana na Internet. A organizaotambm pode ter uma avaliao de vulnerabilidade ou um teste de invasoexistentes que possam ser revistos para atacar riscos de segurana.

ObjetivosO objetivo da etapa de identificao de riscos de segurana permitir que aequipe crie uma lista de riscos conhecidos que deixem os ativos da organizaoem uma posio vulnervel. Essa lista deve ser o mais abrangente possvel,abordando todos os pontos de vista da arquitetura empresarial, inclusivetecnologia, negcios, pessoas e estratgia.O gerenciamento de riscos o processo de identificao e anlise de riscos, etambm da criao de um plano para gerenci-los. Um risco de segurana

definido como a perda esperada devido a, ou resultante do impacto de, ameaasprevistas em relao s vulnerabilidades do sistema e fora e determinaodos agentes de ameaa relevantes.

InformaesAs informaes para a etapa de identificao de riscos de segurana incluem acoleta dos conhecimentos disponveis sobre ameaas; a criao de uma lista demtodos e tcnicas de explorao atuais; e a anlise de vulnerabilidades dasdiretivas e do sistema, que possam ser exploradas a fim de causar danos aosativos da organizao. As ameaas incluem qualquer possvel perigo sinformaes e aos sistemas. As vulnerabilidades so os pontos fracos dosoftware, do hardware ou dos procedimentos, que oferecem ameaa um pontode ataque. Geralmente, esses riscos originam-se em diferentes pontos doambiente empresarial, incluindo prticas de negcios, aplicativos, dados earquitetura da infra-estrutura.A experincia da equipe, a abordagem atual da organizao em relao aoplanejamento de segurana na forma de diretivas, procedimentos, diretrizes emodelos, bem como as informaes sobre o estado atual da infra-estrutura detecnologia da organizao ajudaro a determinar as informaes para esta etapa.A equipe de segurana pode se basear nas informaes obtidas dos prpriosativos ou de resultados de uma ferramenta usada para realizar uma anlise devulnerabilidade ou um teste de invaso. Brainstorms, grupos de discusso e atmesmo workshops formais para coleta de informaes sobre as percepes daequipe e dos interessados em relao a questes de segurana se mostraro teispara a obteno de informaes.

Atividades de identificao de riscosDurante a etapa de identificao de riscos de segurana, a equipe procura criaruma declarao ou uma lista de questes de segurana objetiva, descrevendoclaramente os riscos enfrentados pela organizao. til organizar uma srie deworkshops ou sesses de discusso com a equipe de segurana para identificaros riscos associados nova situao.

Devido rpida mudana da tecnologia e dos ambientes, importante que aidentificao de riscos de segurana no seja tratada com uma atividade quedeva ser realizada uma nica vez. O processo deve ser repetido periodicamentedurante o ciclo de vida de operaes da organizao.

Abordagem estruturadaA utilizao de uma abordagem estruturada para o gerenciamento de riscos desegurana essencial, pois permite que todos os membros da equipe usem ummecanismo consistente para tratar as questes de segurana. O uso de umaclassificao de ameaas durante essa etapa uma maneira til de fornecer umaabordagem consistente, reproduzvel e mensurvel.Classificao de ameaasAs classificaes de ameaas (tambm conhecidas como categorias outaxonomias) servem a vrios propsitos da equipe de segurana. Durante aidentificao de riscos, elas podem ser usadas para estimular a discusso sobreriscos de segurana que surgem em diferentes reas. Durante as sesses dediscusso, as classificaes tambm podem reduzir as complexidades de setrabalhar com grandes nmeros de ameaas, pois fornecem uma maneiraconveniente de agrupar ameaas semelhantes. As classificaes de ameaastambm podem ser usadas para fornecer uma terminologia comum que a equipepoder usar para monitorar e reportar o status de riscos em todo o projeto.Declarao de risco de seguranaUma declarao de risco de segurana uma expresso em linguagem naturalsobre a relao causal entre o estado de segurana existente da organizao e umresultado de segurana potencial e no concretizado.A primeira parte da declarao de risco de segurana chamada de "condio" efornece a descrio de um estado existente ou de uma possvel ameaa que aequipe considere danosa. A segunda parte da declarao de risco chamada de"conseqncia" e descreve a perda indesejvel de confidencialidade, integridadee disponibilidade de um ativo.As duas declaraes so ligadas por um termo como "ento" ou "poder resultarem", que sugere uma relao incerta (em outras palavras, menor que 100%) oucausal.

Os seguintes itens apresentam a declarao de risco usada neste guia:SE um Agente de Ameaa usar uma ferramenta, uma tcnica ou um mtodo paraexplorar uma Vulnerabilidade, ENTO a perda de (confidencialidade,integridade ou disponibilidade) de um ativo poder resultar em um impacto.As declaraes de risco de segurana so desenvolvidas por meio da anlise deriscos. H dois tipos de abordagem de anlise de riscos: qualitativa equantitativa. Nenhuma dessas abordagens melhor que a outra: cada umafornece uma ferramenta valiosa para a estruturao das atividades deidentificao de riscos. A abordagem quantitativa se baseia nas informaescoletadas no processo quantitativo.

Figura 2Declarao de risco de condio e conseqncia da seguranaAs seguintes etapas detalham cada parte do processo da figura mostrada acima:

1. Defina uma declarao de risco de condio e conseqncia para cadaameaa.Se um agente concluir uma ameaa e explorar uma vulnerabilidade, oataque levar a um risco. O ataque pode danificar o ativo ao reduzir aconfidencialidade, a integridade ou a disponibilidade. Portanto, ele causa a

exposio da empresa a perdas. Contudo, essas exposies podem sercombatidas por salvaguardas.

2. Atribua uma probabilidade de ameaa (PA) (0% mais baixa 100% maisalta). A probabilidade de ameaa a probabilidade de um possvel agentede ameaa entrar no ambiente.

3. Atribua um fator de criticalidade (FC) (1 mais baixo 10 mais alto). Ofator de criticalidade o nvel de explorao potencial da ameaa a umativo.

4. Classifique o esforo (E) (1 mais baixo 10 mais alto). O esfororepresenta as habilidades necessrias para que um atacante tire vantagem daexplorao.

5. Determine o fator de risco (FR). o fator de criticalidade dividido peloesforo.

6. Determine o nvel de freqncia da ameaa usando a equao (PA FR).7. Classifique o fator de vulnerabilidade (FV) (1 mais baixo 10 mais alto).

Decida o tamanho do risco imposto pela vulnerabilidade a um ativo.8. Determine a prioridade do ativo (PrA) (1 mais baixa 10 mais alta).

Determine a classificao da prioridade de cada ativo da empresa com basenos critrios a seguir. A atribuio de valores dos ativos um processocomplexo e pode levar tempo para ser aperfeioada. Para obter maisinformaes sobre atribuio de valores de ativos, consulte as referncias aesse assunto no fim deste mdulo. Priorizar os ativos da organizao fundamental para determinar quantos ativos podem ser protegidos com ooramento disponvel.Para obter ajuda ao formular uma lista de ativos prioritrios, pesquiserespostas s seguintes questes sobre cada ativo com base no ambiente daorganizao:Qual o valor do ativo para a empresa?

Quanto custa a manuteno ou a proteo do ativo?

Quanto o ativo gera de lucros para a empresa?

Quanto o ativo valeria para os concorrentes?

Quanto custaria a recriao ou a recuperao do ativo?

Quanto custou a aquisio ou o desenvolvimento do ativo?

9. Determine o fator de impacto (FI) usando a equao (FV PrA).10. Determine o fator de exposio (FE) usando a equao (Nvel de

Freqncia da Ameaa Fator de Impacto dividido por 1.000). O fator deexposio expresso como uma porcentagem para que seja possvelcalcular a expectativa de perda nica (EPU) nas etapas que continuam natabela 2.

O processo de formulao em duas partes usado para produzir declaraes derisco de segurana tem a vantagem de unir as conseqncias possveis em umativo s condies observveis (e potencialmente controlveis) que existematualmente na organizao. Abordagens alternativas em que a equipe seconcentra somente nas condies de riscos identificveis podem exigir que aequipe redefina a condio de risco posteriormente no processo de anlise deriscos de segurana, quando as estratgias de planejamento de gerenciamento deriscos de segurana so criadas.Observao: declaraes de risco de segurana no so puramente declaraesdo tipo "se-ento"; elas so declaraes de fato que exploram as possveis, masno concretizadas, conseqncias de um risco.Pode ser til considerar declaraes "se-ento" hipotticas a fim de comparar asalternativas e formular planos por meio de rvores de deciso. No entanto, seuobjetivo durante a fase de identificao de riscos de segurana simplesmenteidentificar o mximo possvel de riscos de segurana. Adie a deciso de comoanalis-los e gerenci-los para uma fase posterior do processo.

A declarao de risco de segurana criada deve incluir condies econseqncias. Como parte de uma anlise profunda de riscos de segurana, osmembros da equipe devem procurar semelhanas e agrupamentos naturais dascondies das questes de segurana e, em seguida, redefinir as relaes de cadauma delas em busca de uma causa raiz comum. Tambm vale a pena redefinir asramificaes das relaes a partir da causa raiz da condio, assim que ela forconhecida. Isso examinar os efeitos nos ativos de fora da organizao para queseja possvel obter uma melhor avaliao das perdas totais ou das oportunidadesperdidas associadas ameaa de segurana.Durante a identificao de riscos de segurana, no difcil encontrar a mesmacondio associada a vrias conseqncias. No entanto, o oposto tambm podeser verdadeiro: pode haver diversas condies que produzam a mesmaconseqncia. s vezes, a conseqncia de um risco de segurana identificadoem uma rea da organizao pode se tornar uma condio de risco em outrarea. Essas situaes devem ser registradas para que decises apropriadas sejamtomadas durante a anlise e o planejamento de riscos de segurana a fim de selevar em conta as dependncias e as relaes entre os riscos de segurana.Dependendo das relaes entre os riscos de segurana na organizao, atenuarum nico risco pode resultar na atenuao de um grupo inteiro de riscosdependentes e, assim, na alterao de todo o perfil de risco da organizao.Documentar essas relaes logo no incio da fase de identificao de riscos desegurana pode fornecer informaes teis para a conduo de um planejamentode riscos de segurana que seja flexvel, abrangente e eficiente no exame derecursos necessrios para a abordagem das causas raiz ou ramificadas. Para osriscos de segurana mais importantes, os benefcios do registro de taisinformaes adicionais na etapa de identificao devem ser comparados com arapidez com que se passa pela anlise e pela priorizao subseqentes e com onovo exame das dependncias e das causas raiz durante a fase de planejamento.Atribuindo valores aos ativos na organizaoDeterminar o valor monetrio de um ativo uma parte importante dogerenciamento de riscos. Com freqncia, os gerentes de negcios contam como valor de um ativo para ajud-los a determinar quanto dinheiro e tempo devem

gastar para proteg-lo. Diversas organizaes mantm uma lista de valorespatrimoniais como parte de seus planos de recuperao de desastres. O uso domodelo de atribuio de valores a seguir ajudar a organizao a determinarcomo deve priorizar os ativos, conforme detalhado na etapa 8 da anlisequantitativa.Para atribuir adequadamente um valor a um ativo, calcule estes trs valoresprincipais:

O valor geral do ativo para a organizao. Calcule ou estime o valor do ativo emtermos financeiros diretos. Por exemplo, se houver um site de comrcio eletrnicoque funcione normalmente a semana toda, 24 horas por dia, e gere uma receitamdia de R$ 2.000 por hora em pedidos de clientes, voc poder declarar comsegurana que o valor anual do site em temos de receitas de vendas de R$17.520.000.

O impacto financeiro imediato da perda do ativo. Se o mesmo site ficarindisponvel por seis horas, a exposio calculada ser de 0,000685% ao ano. Semultiplicar essa porcentagem de exposio pelo valor anual do ativo, voc poderprever que as perdas diretamente relacionadas neste caso seriam de R$ 12.000.

O impacto de negcios indireto da perda do ativo. Neste exemplo, a empresaestima que gastaria R$ 10.000 em propaganda para contrabalanar a publicidadenegativa de tal incidente. Alm disso, a empresa tambm estima uma perda de0,01% a 1% das vendas anuais, ou R$ 17.520. Ao combinar as despesaspublicitrias extras e a perda de receita de vendas anual, voc poder prever umtotal de R$ 27.520 em perdas indiretas neste caso.

Tabela 1: Exemplo de atribuio de valores de ativos

Ativo Valor Fator deexposio

Impactodireto

Impactoindireto

Site de comrcioeletrnico

R$ 17.520.000por ano

Seis horas por anoou 0,000685

R$ 12.000 R$ 27.520

Voc tambm deve levar em considerao o valor do ativo para seusconcorrentes. Por exemplo, se seus concorrentes puderem usar informaes declientes obtidas anteriormente no site enquanto este estiver inativo, voc poderperder milhes em receita para eles.

H vrios mtodos e equaes que podem ser usados para a realizao de umaanlise de riscos quantitativa e h diversas variveis que podem ser inseridas noprocesso. No entanto, estas etapas adicionais so continuaes da etapa 10acima que devem ser seguidas para a obteno de uma anlise de riscos desegurana quantitativa:

1. Determine a expectativa de perda nica (EPU). a quantidade total dereceita perdida em uma nica ocorrncia do risco. A EPU um valoratribudo a um nico evento que representa o possvel valor de perda daempresa caso uma ameaa especfica ocorra. Calcule a EPU multiplicando ovalor do ativo (VA) pelo fator de exposio (FE). A EPU semelhante aoimpacto de uma anlise de riscos qualitativaDetermine a EPU usando a equao (VA FE).O fator de exposio representa a porcentagem de perda que uma ameaaconcretizada pode ter em um determinado ativo. Se uma Web farm tiver umvalor patrimonial igual a R$ 150.000 e um incndio resultar em danosestimados em 25% do valor, a EPU ser de R$ 37.500. Esse valor calculado para ser inserido na equao de EPA da etapa 3.

2. Determine a taxa de ocorrncia anual (TOA). A TOA o nmero de vezesque voc espera que o risco ocorra durante o ano. Para estimar a TOA,baseie-se em sua experincia e consulte especialistas em gerenciamento deriscos, assim como consultores de segurana e de negcios. A TOA semelhante probabilidade de uma anlise de riscos qualitativa. O intervaloda TOA varia de 0% (nunca) a 100% (sempre).Por exemplo, se um incndio na Web farm da mesma empresa resultar emdanos de R$ 37.500 e a probabilidade, ou TOA, de ocorrer um incndio forde 0,1 (indicando uma vez a cada dez anos), o valor da EPA neste caso serde R$ 3.750 (R$ 37.500 x 0,1 = R$ 3.750).

3. Determine a expectativa de perda anual (EPA). A EPA a quantidade totalde dinheiro que a organizao perder em um ano se nada for feito paraatenuar o risco. Calcule esse valor multiplicando a EPU pela TOA. A EPA semelhante classificao relativa de uma anlise de riscos qualitativa.Determine a EPA usando a equao (TOA EPU).

A EPA fornece um valor com o qual a empresa pode trabalhar para orar ocusto do estabelecimento de controles ou salvaguardas para impedir esse tipode dano neste caso, R$ 3.750 ou menos por ano e fornecer um nveladequado de proteo. importante quantificar a possibilidade real de umrisco e quantos danos, em termos monetrios, a ameaa poder causar parasaber quanto pode ser gasto para proteger contra as possveis conseqnciasda ameaa.

4. Estime o custo de contramedidas ou salvaguardas usando a seguinteequao:(EPA antes da contramedida) (EPA depois da contramedida) (custo anualda contramedida) = valor da salvaguarda para a empresa (VSE)Por exemplo, a EPA de que um atacante desative um servidor Web R$12.000 e, aps a salvaguarda ser implementada, a EPA avaliada em R$3.000. O custo anual de manuteno e operao da salvaguarda R$ 650;portanto, o valor dessa salvaguarda R$ 8.350 por ano, conforme expressopela seguinte equao: (R$ 12.000 - R$ 3.000 - R$ 650 = R$ 8.350).

Os itens de informao da anlise de riscos quantitativa fornecem objetivos eresultados claramente definidos. O resumo a seguir define o que geralmente obtido dos resultados das etapas anteriores:

Valores monetrios atribudos aos ativos.

Uma lista abrangente de ameaas significativas.

A probabilidade de ocorrncia de cada ameaa.

A possvel perda para a empresa com base em cada ameaa ao longo de dozemeses.

Salvaguardas, contramedidas e aes recomendadas.

ResultadosO resultado mnimo das atividades de identificao de riscos de segurana umadeclarao de consenso clara e objetiva dos riscos enfrentados pela equipe desegurana, documentados como a lista de questes de segurana. A lista dequestes de segurana, em forma de tabela, o resultado principal para a faseseguinte do processo de gerenciamento de riscos de segurana a anlise.Com freqncia, a etapa de identificao de riscos de segurana gera umagrande quantidade de outras informaes teis, incluindo a identificao decausas raiz e efeitos ramificados, partes afetadas, proprietrios etc. recomendvel manter um registro em forma de tabela contendo as declaraesde risco de segurana e as informaes de causas raiz e efeitos ramificados que aequipe de segurana desenvolve. Informaes adicionais para a classificao dosriscos de segurana por ameaa tambm podero ser teis quando asinformaes de riscos de segurana forem utilizadas para criar ou usar uma basede conhecimento de segurana se existir uma taxonomia bem definida para aorganizao.Estas so outras informaes que talvez a equipe de segurana deseje registrardurante o processo de identificao de riscos:

Restries

Circunstncias

Suposies

Fatores contribuintes

Dependncias entre riscos de segurana

Questes relacionadas

Proprietrios dos ativos da empresa

Preocupaes da equipe

Anlise e priorizao dos riscos de seguranaA anlise e a priorizao de riscos de segurana a segunda grande etapa noprocesso de avaliao de segurana. A anlise de riscos de segurana envolve aconverso de dados de riscos de segurana (ameaas, exploraes evulnerabilidades) em um formulrio para facilitar a tomada de decises. Apriorizao de riscos de segurana garante que os membros da equipe desegurana resolvero os riscos de segurana mais importantes primeiro.Durante esta etapa, a equipe de segurana examina os itens da lista de questesde segurana produzida na etapa de identificao de riscos de segurana a fim deprioriz-los e formar um Plano de Ao de Segurana.No Plano de Ao de Segurana, a equipe de segurana da organizao podeusar a lista de questes de segurana a fim de planejar e confirmar recursos paraa execuo de uma estratgia especfica voltada para o gerenciamento dasquestes no ambiente.A equipe tambm pode identificar que questes de segurana, se houver, podemser retiradas da lista por terem uma prioridade muito baixa para ao. medidaque essa fase de implementao de segurana caminha para a concluso e oambiente da organizao muda, a identificao de riscos de segurana e aanlise de riscos de segurana devem ser repetidas para que a eficcia do planode ao de segurana seja validada. Novos riscos de segurana podem surgir eantigos riscos, que no mais apresentem uma prioridade suficientemente alta,podem ser removidos, descontados ou "desativados".

ObjetivoO principal objetivo da etapa de anlise de riscos de segurana priorizar asquestes de segurana do Plano de Ao de Segurana a fim de determinar quaisdelas garantem a confirmao de recursos da organizao para atenu-las.

InformaesDurante o processo de anlise de riscos, a equipe se basear em sua prpriaexperincia e nas informaes derivadas de outras fontes relevantes relacionadass declaraes de risco de segurana. Consulte as diretivas e os procedimentosde segurana da organizao, os bancos de dados de conhecimento sobresegurana do setor, as anlises de vulnerabilidade, as simulaes de segurana eos proprietrios dos ativos para obter informaes sobre como transformardeclaraes de risco de segurana brutas em uma lista mestra de riscospriorizados.

Atividades de anlise de riscos de seguranaH diversas tcnicas qualitativas e quantitativas usadas para a realizao dapriorizao em um Plano de Ao de Segurana. Uma tcnica fcil para aanlise de riscos de segurana usar estimativas de consenso da equipederivadas de dois componentes de risco amplamente aceitos: probabilidade eimpacto. possvel multiplicar esses valores estimados para calcular uma nicaestatstica chamada de exposio ao risco.

Probabilidade do risco de seguranaA probabilidade do risco de segurana uma medida da probabilidade de que oestado de negcios descrito na parte de condio de riscos da declarao de riscode segurana realmente ocorra. A declarao de risco pode incluir outros fatoresalm de tempo e dinheiro da empresa, como os descritos na seguinte parte dadeclarao de risco:"SE um Agente de Ameaa usar uma ferramenta, uma tcnica ou um mtodopara explorar uma Vulnerabilidade..."A ameaa que usa uma explorao para tirar proveito de uma vulnerabilidade aparte de condio da declarao de risco. Para determinados tipos de ameaa,pode no haver uma explorao ou uma vulnerabilidade conhecida,especialmente quando a ameaa um desastre natural.Para classificar os riscos, desejvel que um valor numrico seja atribudo probabilidade do risco. Se a probabilidade do risco de segurana no for maiordo que zero, a ameaa no representar uma questo de segurana. Se a

probabilidade for 100%, o risco de segurana ser uma certeza e poder ser umaquesto conhecida.As probabilidades so notoriamente difceis de se estimar e aplicar, emborabancos de dados de riscos do setor ou da empresa possam ser teis para fornecerestimativas de probabilidade conhecidas com base em amostras de um grandenmero de projetos. No entanto, como as equipes do projeto podem expressarsuas experincias em termos de linguagem natural, pode ser til mapear essestermos a intervalos de probabilidades numricas, conforme demonstrado natabela a seguir.Tabela 2: Probabilidade do risco

Intervalo Valor de clculo Expresso Pontuao1% a 14% 7% Muito improvvel 1

15% a 28% 21% Baixa 2

28% a 42% 35% Improvvel 3

43% a 57% 50% 50 50 4

58% a 72% 65% Provvel 5

73% a 86% 79% Altamente provvel 6

87% a 99% 93% Quase certo 7

O valor de probabilidade usado para clculo representa o meio de um intervalo.Com a ajuda dessas tabelas de mapeamento, um mtodo alternativo paraquantificar a probabilidade relacionar o intervalo de probabilidade ou aexpresso de linguagem natural combinada pela equipe a uma pontuaonumrica. Se uma pontuao numrica for usada para representar o risco desegurana, ser necessrio usar a mesma pontuao para todos os riscos desegurana para que o processo de priorizao funcione com eficincia.Independentemente da tcnica usada para quantificar a incerteza, a equipesempre precisar desenvolver uma abordagem para derivar um nico valor daprobabilidade do risco que represente o consenso para cada risco.

Impacto do risco de seguranaO impacto do risco uma estimativa da criticalidade da perda causada porefeitos adversos nos ativos ou a magnitude de uma perda resultante da perda da

confidencialidade, da integridade ou da disponibilidade de um ativo. Ele deveser uma medida direta das conseqncias de segurana, conforme definido nasegunda parte da declarao de risco de segurana:"...ENTO uma perda de (confidencialidade, integridade ou disponibilidade) deum Ativo poder resultar em um impacto.A perda pode ser medida em termos financeiros ou em uma escala subjetiva emrelao ao ativo. Se todos os impactos de riscos de segurana puderem serexpressos em termos financeiros, o uso do valor financeiro para quantificar amagnitude da perda ou o custo de oportunidade ter a vantagem de serconhecido pelos patrocinadores do negcio. O impacto financeiro pode consistirnos custos de longo prazo em operaes e suporte, na perda de participao nomercado, nos custos de curto prazo em trabalho adicional ou no custo daoportunidade.Em outras situaes, uma escala subjetiva de 1 a 5 ou de 1 a 10 maisapropriada para medir o impacto do risco de segurana. Um exemplo de quandouma escala subjetiva pode ser usada seria uma situao em que o valor lquidoapropriado dos ativos no pode ser determinado com rapidez. Desde que todosos riscos de segurana de um Plano de Ao de Segurana usem as mesmasunidades de medida, as tcnicas simples de priorizao sero boas o suficiente.Tabela 3: Exemplo de sistema de pontuao de perda de ativo

Pontuao Perda monetria1 Abaixo de R$ 100

2 R$ 100 R$ 1.000

3 R$ 1.000 R$ 10.000

4 R$ 10.000 R$ 100.000

5 R$ 100.000 R$ 1 milho

6 R$ 1 milho R$ 10 milhes

7 R$ 10 milhes R$ 100 milhes

8 R$ 100 milhes R$ 1 bilho

9 R$ 1 bilho R$ 10 bilhes

10 Acima de R$ 10 bilhes

O sistema de pontuao para a estimativa do impacto varia entre as organizaese deve refletir os valores e as diretivas da sua organizao. Por exemplo, umaperda monetria de R$ 10.000 pode ser tolervel para uma equipe ouorganizao, mas inaceitvel para outra. A pontuao de um impactocatastrfico com um valor artificialmente alto, como 100, garantir que atmesmo um risco com uma probabilidade muito baixa chegue ao topo da lista deriscos e permanea l.

Exposio ao risco de seguranaA exposio ao risco mede o risco de segurana geral para os ativos,combinando informaes que expressam a probabilidade de perda real cominformaes que expressam a magnitude da possvel perda em uma nicaestimativa numrica. A equipe de segurana pode, ento, usar a magnitude daexposio ao risco para classificar questes de segurana. Na forma maissimples de anlise de riscos quantitativa, a exposio ao risco calculadamultiplicando-se a probabilidade do risco pelo impacto.Quando as pontuaes so usadas para quantificar a probabilidade e o impacto,s vezes conveniente criar uma matriz que considere as possveis combinaesde pontuaes e as atribua a categorias de risco baixo, mdio e alto. Usando umapontuao de probabilidade trplice, onde 1 baixo e 3 alto, e uma pontuaode impacto trplice, onde 1 baixo e 3 alto, os resultados podem ser expressosna forma de uma tabela em que cada clula um valor possvel para a exposioao risco. Com esta organizao, fcil classificar riscos como baixos, mdios ealtos, dependendo de sua posio nas faixas diagonais da pontuao crescente.Tabela 4: Matriz de pontuao de risco

Impacto da probabilidade Baixo = 1Mdio = 2Alto = 3Alto = 3 3 6 9

Mdio = 2 2 4 6

Baixo = 1 1 2 3

Intervalos de exposio: Baixo =1 2; Mdio =3 4; Alto = 6 9

A vantagem que esse formato tabular permite que os nveis de riscos desegurana sejam includos em relatrios de status a serem enviados para os

patrocinadores e interessados, que possibilitam a utilizao de cores (vermelhopara a zona de risco alto no canto superior direito, verde para o risco baixo nocanto inferior esquerdo e amarelo para nveis de risco mdio ao longo dadiagonal). Uma terminologia bem definida e de fcil compreenso melhora acomunicao desses valores, pois mais fcil compreender "alto risco" do que"alta exposio".

Tcnicas quantitativas adicionaisComo os objetivos da anlise de riscos de segurana so priorizar os riscos desegurana, realizar um Plano de Ao de Segurana e orientar as decisesrelacionadas confirmao de recursos para gerenciamento de segurana, aequipe de segurana deve selecionar um mtodo de priorizao dos riscos queseja adequado para o projeto, para a equipe e para os interessados.Algumas organizaes se beneficiam do uso de tcnicas ponderadas e comvrios atributos para levar em conta outros componentes que a equipe desejaconsiderar no processo de classificao, como o prazo exigido, a magnitude dopossvel ganho de oportunidade, a confiabilidade das estimativas deprobabilidade e a atribuio de valores fsica ou informativa dos ativos.A seleo do mtodo "certo" ou da combinao "certa" de mtodos de anlise deriscos de segurana depende do equilbrio adequado entre o esforo para realizara anlise de riscos de segurana e a escolha de priorizao incorreta ouindefensvel (para os interessados) no Plano de Ao de Segurana. A anlise deriscos de segurana deve ser realizada para dar suporte priorizao que orientaa tomada de decises e nunca deve ser feita simplesmente por ser feita.Os resultados das abordagens quantitativas ou semi-quantitativas para apriorizao de riscos de segurana devem ser avaliados no contexto dasdiretrizes de negcios, diretivas e procedimentos, dados e infra-estruturas detecnologia. Uma abordagem semi-quantitativa comea com algum tipo demedida qualitativa para permitir que as empresas apresentem medidas desegurana quantificveis.

ResultadosA anlise de riscos de segurana fornece equipe uma lista de aes desegurana priorizadas para orientar a realizao das atividades de planejamentode riscos de segurana. Com freqncia, as informaes de riscos de seguranadetalhadas, incluindo condies, contexto, causas raiz e estatsticas usadas parapriorizao (probabilidade, impacto, exposio), so registradas para cada riscono formulrio de declarao de risco, que ser descrito em detalhesposteriormente neste mdulo.

Lista mestra de riscos de seguranaA lista dos principais riscos de segurana para os quais deve ser criado um planode ao definida no Plano de Ao de Segurana. Esse plano identifica acondio que causa o risco de segurana, o possvel efeito adverso(conseqncia) e tambm os critrios ou as informaes usados para classificaro risco, como sua probabilidade, seu impacto e sua exposio. Um exemplo delista mestra de riscos que usa a abordagem de estimativa de dois fatores(probabilidade e impacto) mostrada aqui.Tabela 5: Exemplo de lista mestra de riscos e priorizao

Prioridade Condio Conseqncia Probabilidade Impacto Exposio1 Vrus

infectando sitede comrcioeletrnico

Seis horas pararecriar o servidor.

80% 3 2,4

2 Nenhumpadro decodificaopara novalinguagem deprogramao

Lanar compotencialmentemaisvulnerabilidadesde segurana.

45% 2 0,9

3 Nenhumaespecificaoescrita

Alguns recursosde segurana doproduto noimplementados

30% 2 0,6

Exposio calculada como probabilidade x impacto. Impacto baixo = 1, impactomdio = 2 e impacto alto = 3.A lista mestra de riscos de segurana a compilao de todas as informaes deavaliao de riscos de segurana. um documento ativo que forma a base doprocesso contnuo de gerenciamento de riscos de segurana e deve ser mantidoatualizado em todo o ciclo de vida de TI que inclua avaliao, planejamento,criao, implantao e operao.A lista mestra de riscos de segurana o documento fundamental para darsuporte ao gerenciamento de riscos proativo ou reativo. Ela permite a tomada dedecises de equipe ao fornecer a base para:

Priorizao de esforos.

Identificao de aes crticas.

Realce de dependncias.

O mtodo usado para calcular a exposio criada por um risco deve serdocumentado cuidadosamente no plano de gerenciamento de riscos e precisotomar cuidado para garantir que os clculos registrem com preciso as intenesda equipe, ponderando a importncia dos diferentes fatores.Para identificar ameaas aos ativos, realize anlises de riscos. Para cada tipo deameaa identificada, crie uma declarao de risco. As declaraes de riscocombinam informaes sobre uma ameaa a informaes sobre o impacto daameaa, caso ocorra.Tabela 6: Contedo da lista mestra de riscos de segurana

Item Objetivo StatusDeclarao de risco desegurana

Articular claramente o risco. Obrigatrio

Probabilidade Quantificar a probabilidade de ocorrncia daameaa.

Obrigatrio

Impacto Quantificar a criticalidade da perda ou a Obrigatrio

Item Objetivo Statusmagnitude do custo da oportunidade.

Critrio declassificao

Medida nica da importncia. Obrigatrio

Prioridade(classificao)

Priorizar aes. Obrigatrio

Proprietrio Garantir o acompanhamento dos planos deao de riscos.

Obrigatrio

Plano de atenuao Descrever medidas preventivas. Obrigatrio

Disparadores e planode contingncia

Descrever medidas corretivas. Obrigatrio

Causas razes Guiar um planejamento de intervenoeficiente.

Obrigatrio

Efeitos ramificados Garantir estimativas de impacto adequadas. Opcional

Contexto Documentar informaes histricas pararegistrar a inteno da equipe de identificarriscos.

Opcional

Tempo paraimplementao

Registrar a importncia de que os controlesde risco sejam implementados em umdeterminado prazo.

Opcional

Formulrio de declarao de riscoAo analisar cada risco de segurana individualmente, ou durante as atividades deplanejamento de segurana relacionadas a uma ameaa, uma explorao ou umavulnerabilidade especfica, conveniente ver todas as informaes sobre esserisco de segurana em um documento, chamado de formulrio de declarao derisco de segurana. Para obter mais detalhes sobre os processos de um projeto desegurana, consulte o guia Microsoft Solution for Security Services.Normalmente, uma lista de declaraes de risco de segurana contm os camposda lista mestra de riscos de segurana criada durante as fases de identificao eavaliao e poder ser aumentada se a equipe inserir informaes adicionaisimportantes durante o processo de gerenciamento de riscos de segurana. Poder

ser mais fcil tratar a lista de declaraes de risco de segurana como umdocumento separado da lista mestra de riscos se os riscos forem atribudos equipe de segurana para aes de acompanhamento. Estas so algumas dasinformaes que a equipe deve levar em considerao ao desenvolver umformulrio de declarao de risco:Tabela 7: Formulrio de declarao de risco

Item ObjetivoIdentificador do risco desegurana

Nome usado pela equipe para identificar riscosexclusivamente para fins de relatrio e controle.

Origem do risco de segurana Uma abrangente classificao da rea subjacenteda qual o risco de segurana se originou. Usadopara identificar reas onde causas razesrecorrentes do risco de segurana devem serpesquisadas.

Condio do risco desegurana(ameaa/explorao)

Frase que descreve a condio existente que podelevar a uma perda. Forma a primeira parte de umadeclarao de risco de segurana.

Conseqncias do risco(vulnerabilidade/impacto noativo)

Frase que descreve a perda que poder ocorrer seum risco tiver uma conseqncia. Forma asegunda parte de uma declarao de risco desegurana.

Probabilidade do risco desegurana

Probabilidade maior que zero e menor que 100%que representa a possibilidade de uma condio derisco realmente ocorrer, resultando em uma perda.

Classificao de impacto noativo

Abrangente classificao do tipo de impacto quepode ser produzido por um risco.

Exposio do ativo Ameaa geral do risco, comparando apossibilidade de perda real com a magnitude daperda em potencial. A equipe usa a exposio paraclassificar riscos. Para calcular a exposio necessrio multiplicar a probabilidade peloimpacto do risco.

Item ObjetivoContexto do risco Pargrafo que contm informaes histricas que

ajudam a esclarecer a situao do risco desegurana.

Riscos de seguranarelacionados

Lista de identificadores de risco usada pela equipepara controlar riscos interdependentes.

Lista dos principais riscos de seguranaA anlise dos riscos de segurana avalia a ameaa de cada risco de seguranapara ajudar a equipe a decidir que problema requer uma ao. O gerenciamentode segurana e o planejamento associado a ele so tarefas demoradas etrabalhosas que roubam o tempo que poderia ser gasto em outras atividades;portanto, importante que a equipe de segurana faa tudo o que for necessriopara proteger os ativos mais valiosos.Uma tcnica simples mas eficaz de monitoramento de riscos de segurana criaruma lista dos principais riscos de segurana contendo as questes mais crticas.Essa lista poder ficar externamente visvel para todos os participantes. Dessemodo, ela poder ser usada em outros projetos de TI ativos em que a seguranapossa ser afetada.A organizao precisa determinar qual ser o contedo da lista dos principaisriscos de segurana com base em diversos fatores, inclusive tempo, recursos eativos. Depois de selecionar que riscos de segurana precisam ser gerenciados,voc deve alocar recursos de equipe para desenvolver planos que englobemesses riscos.Depois de classificar os riscos de segurana, a equipe deve concentrar-se emuma estratgia de gerenciamento para esses riscos e em um modo de incorporaros planos de ao de segurana ao plano geral de avaliao de segurana.

Desativando riscos de seguranaOs riscos de segurana podem ser desativados ou classificados como inativospara que a equipe se concentre em outros problemas que exijam gerenciamentomais proativo. Classificar um risco de segurana como inativo significa que aequipe de avaliao decidiu que esse risco no vale o esforo necessrio para

controlar a ameaa especfica no momento. A deciso de desativar um risco desegurana tomada durante a anlise de risco.Alguns riscos de segurana so desativados porque a probabilidade de suaameaa praticamente zero e possvel que permanea assim devido a suascondies extremamente improvveis. Outros riscos de segurana sodesativados porque seu impacto nos ativos est abaixo do limite em que vale apena despender esforos para planejar uma atenuao proativa ou uma estratgiade contingncia reativa. Nesses casos, simplesmente mais econmico sofrer aspossveis conseqncias desses riscos de segurana.No aconselhvel desativar riscos de segurana acima desse limite de impactono ativo, mesmo que sua exposio seja baixa, a no ser que a equipe desegurana esteja certa de que a probabilidade (e portanto, a exposio)permanecer baixa em todas as circunstncias previsveis. Lembre-se de quedesativar um risco de segurana no o mesmo que resolv-lo. Um risco desegurana desativado poder reaparecer sob determinadas condies e a equipede segurana poder optar por reclassific-lo como ativo e reiniciar as atividadesde avaliao de riscos de segurana.

Controlando, planejando, agendando e relatando riscos de seguranaControlar os riscos de segurana identificados no Plano de Ao de Segurana eimplementar um processo de planejamento, agendamento e criao de relatriospara remedi-los so as prximas etapas do processo. Com base nas prioridadesidentificadas na etapa anterior, a equipe far alteraes de forma proativa,modificando a infra-estrutura de tecnologia e implementando novos processos eprocedimentos de segurana.Quando um risco no pode ser gerenciado de forma proativa, um plano reativo gerado e executado quando um evento acionado. Aps a criao dos planos, produzido um agendamento de implementao para as modificaes propostas.Por fim, vrias tarefas de correo so atribudas a membros da equipe.O agendamento envolve a integrao das tarefas necessrias implementaodos planos de ao de segurana na agenda do projeto de avaliao. Isso feitopor meio da atribuio a indivduos e controle ativo de seus status.

A criao de relatrios consiste na redefinio de riscos que mudaram porque oescopo e a definio do projeto e dos processos foram alterados. Esse tipo derelatrio tambm conhecido como gerenciamento de alteraes de risco. Acriao de relatrios tambm consiste no fechamento de riscos de segurana apartir dos principais riscos gerenciados de um projeto. A figura a seguir ilustratoda essa etapa.

Figura 3Controlando, planejando, agendando e relatando riscos

ObjetivosO objetivo principal da etapa de planejamento e agendamento de riscos desegurana desenvolver planos de ao detalhados para controlar os principaisriscos de segurana identificados durante a anlise e integrar esses planos aosprocessos padro de gerenciamento de projeto a fim de garantir que sejamconcludos.

InformaesO planejamento de riscos de segurana deve estar totalmente integrado infra-estrutura e aos processos padro de planejamento de projetos. importanteobservar que h riscos associados ao prprio projeto de avaliao de segurana,mas esses riscos so diferentes dos riscos de segurana reais. A implementaode planos de ao de segurana leva risco ao projeto geral e deve ser gerenciadacom a metodologia da RMD da MSF. Normalmente, os riscos do projeto emrelao implementao do Plano de Ao de Segurana incluem tempo,dinheiro e recursos.

As informaes relacionadas ao processo de planejamento de riscos des

gerenciamento de riscos

Documents