1

Ataques Segurana
Passivo:
Utiliza a informao do sistema;
No afecta recursos do sistema;
Acesso contedo de uma mensagem
Anlise Trfego;
So difceis de detectar;
Activo:
Tenta alterar recursos sistema e o seu funcionamento;
Forjar identidade;
Reproduo;
Modificao mensagem;
Denial of Service;
Difceis de prevenir;
Ameaas Rede:
Escuta;
Impostor (cliente/servidor);
DoS;
Man-in-the-middle;

Criptografia:
Plaintext: Dados que vo ser entrada no algoritmo;
Cifra: Faz transformaes no Plaintext;
Key: Parmetro de entrada para a encriptao;
Ciphertext: Sada do algoritmo de encriptao;
Algoritmo de desencriptao: Tem como entrada ciphertexte e uma chave
correspondente de encriptao. Sada Plaintext;

Requisitos da criptografia convencional:
Algoritmo Robusto:
Um oponente que conhea o algoritmo, no consegue decifrar o texto nem
descobrir a chave;
A troca de chaves deve acontecer de modo seguro;






2

Quebra algoritmo criptogrfico:
Mtodos de ataque a um sistema criptogrfico:
Criptoanalise: Baseia-se no conhecimento dos algoritmos, caractersticas do texto;
Ataque Fora-Bruta: Experimentar todas as chaves at obter um texto inteligvel;
Segurana Criptogrfica:
Segurana incondicional:
A cifra no pode ser quebrada, uma vez que o texto encriptado no fornece
informao suficiente;
Segurana computacional:
Recursos computacionais escassos, logo a cifra no pode ser quebrada;
Difcil de avaliar tempo necessrio;
Tcnicas de Criptografia Clssica:
Tcnica de substituio:
As letras em um texto aberto so substitudas por outras letras, nmeros ou
smbolos;
Tcnica de transposio:
As letras de um determinado texto so permutadas;
Esteganografia:
Marcar caracteres, tinta invisvel, etc;
Tcnicas de Criptografia Moderna:
Assimtrica (Chave Pblica) :
Duas chaves diferentes;
Mais Pesada;
Simtrica (Chave Privada) :
Mesma chave (encriptar e desencriptar)
Requer canal seguro para comunicar a chave
Mais rpida, mais utilizada;
Melhor para grandes volumes de informao;
Operaes: XOR, Rotao, S-Box, P-Box;
Difuso e Confuso para dificultar criptoanalise:
Confuso:
Tornar o menos obvio possvel a relao entre o texto aberto, chave e texto
cifrado;
Tem como objectivo dificultar a descoberta da chave;
Dificulta a descoberta do texto aberto, mesmo conhecendo outras partes do
mesmo;


3

Difuso:
Cada bit de informao deve influenciar diversos bits no texto encriptado;
Um bit no texto cifrado resulta da combinao de vrios bits do texto aberto;
Uma pequena alterao provoca grandes alteraes no texto encriptado;
difcil estabelecer relao entre textos abertos semelhantes ou cifrados
semelhantes;
DES:
Tcnica mais utilizada;
Baseado em blocos
Chaves de comprimento 56 e blocos de 64 bits;

S-DES:
Blocos abertos de 8 bits;
Chaves de 10 bits;
Saida em blocos de 8 bits;
O conjunto de operaes tem como objectivo dificultar a criptoanalise;
AES:
Usado em aplicaes como : IEEE 802.11i (WPA2), Winrar, Skype, Winzip;
Maior eficincia;
Simtrico;
Segurana igual ou superior ao S-DES;
Comparao de algoritmos:
Segurana:
Aleatoriedade;
Validade dos fundamentos matemticos;
Outros factores;
Custo:
Licenciamento
Eficincia Computacional
Requisitos de memria;

Algoritmo e implementao:
Flexibilidade;
Apropriado para hardware e software
Simplicidade;
Problemas criptografia simtrica:
Como fazer chegar a chave sem que a mesma senha interceptada;
Modos de operao dos algoritmos por blocos:
ECB, CBC, CFB,OFB,CTR;
4

Algoritmos encriptao Simtrica:
DES, Blowfish,IDEA,RC4,RC5;
Criptografia Assimtrica:
Baseada em funes matemticas;
Utiliza duas chaves;
Aplicada em assinaturas digitais;
Cada utilizador gera um par de chaves;
Utilizador encripta a menagem com a chave pblica do destinatrio, este desencripta
com a sua chave privada;
Exemplo: Diffie-Hellman;
Requisitos para Segurana na Informao:
Confidencialidade
Integridade
Disponibilidade
Autenticao
No repudio;
X.800:
til para organizar tarefas que fornecem segurana
OS vendedores e operadores de comunicaes desenvolvem produtos tomando como
referncia esta estrutura;
Embora abstracto este modelo til na segurana;
Dividido em cinco categorias:
Autenticao:
Garantir a autenticidade das entidades envolvidas na comunicao;
Comprovao da identidade dos envolvidos;
Confirmao da fonte da unidade de dados;
Controlo de Acesso:
Vedar o acesso no autorizado a um recurso;
Limita acesso ao recurso;
Pressupe uma autenticao;
Confidencialidade:
Proteger os dados para no serem vistos;
Pode ser ao nvel de uma ligao, bloco de dados, fluxo de trafego, etc;
Integridade dos dados:
Garantir que os dados recebidos so os que a entidade emissora enviou;
No Repdio:
Fornece proteco contra a negao de uma das entidades envolvidas na
comunicao;
5

Mecanismos:
Especficos:
Encriptao
Assinatura digital
Controlo de acessos
Integridade dos dados
Troca autenticao
Traffing padding
Routing control
Notarial
No especficos:
Auditoria
Funcionalidade de acordo com os critrios pr-estabelecidos
Recuperao de segurana
Deteco de eventos;

Distribuio de Chaves:
Simtrica: Key Distribution Center
Assimtrica: Distribuio de chaves pblica e utilizao da criptografia assimtrica na
distribuio das chaves secretas;
Mtodos de distribuio:
Anncio Pblico: Qualquer um pode falsificar o anncio;
Disponveis num directrio: Quem mantem o directrio tem alguma credibilidade, O
Sistema pode ser comprometido;
Autoridade da Chave Pblica: Directrio dinmico. feito um pedido
Certificados de Chave Pblica
Autoridade da Chave Pblica:
Cada Participante conhece a chave pblica da autoridade;
Passos:
A envia uma mensagem datada para a autoridade contendo o pedido de chave
pblica de B;
A autoridade responde com uma mensagem encriptada com a sua chave privada.
A mensagem contm:
Chave Pblica de B (para A utilizar);
O pedido original (para A verificar que uma resposta ao seu
pedido e que este no foi alterado;
O selo temporal (A tem a garantia que no uma mensagem
antiga da autoridade);

6



A presena de N1 na mensagem 6 garante que o seu interlocutor B e s este pode
desencriptar;
O N2 garante a B que A efectivamente o interlocutor;
Certificados:
Cada certificado contem essencialmente a chave pblica;
Contm informao criada pela autoridade certificadora;
Ao transmitir o certificado, um participante est a comunicar a sua chave pblica;

Possveis ataques a uma comunicao:
Confidencialidade:
Exposio do contedo da mensagem a qualquer um que no esteja na possa da
chave para desencriptar;
Anlise de trafego. Permite descobrir forma de trfego entre participantes;
Autenticao de Mensagens:
Personificao (Masquerade). Introduo de mensagens na rede de fonte
fraudulenta e supostamente criadas por uma entidade legitima;
Modificao do contedo;
Alterao na sequncia de mensagens;
Alterao temporal;
Repdio relativamente fonte ou/ e ao destino;

Mtodos para maior segurana:
Autenticador:
Valor que vai servir para autenticar a mensagem;
Podem ser:
Resultado da encriptao da mensagem;
7

MAC
Funo hash. Mapeia uma mensagem num valor de tamanho fixo;
Encriptao por autenticao:
Criptografia simtrica: A encriptao da mensagem garante autenticidade e
integridade.
Apenas um subgrupo de mensagens deve ser vlido;
Adicionar um detector de erro e a mensagem mais o cdigo encriptada;
O cdigo do erro deve ser encriptado;
Protocolo TCP:
Ao encriptarmos todo o pacote IP excepto o cabealho, a desencriptao
dificilmente resultaria num cabealho TCP vlido.
Criptografia assimtrica
Encriptado com a chave privada;
Mensagem com estrutura interna;
Assinatura digital;
Funes de Sntese (Message Digest):
Utilizadas para:
Gerar e validar assinaturas digitais;
Calcular autenticadores de mensagens;
Para derivar chaves a parir de chave mestras ou senhas textuais
Caractersticas:
Produzem valores de dimenso constante a partir de mensagens de dimenso
varivel;
Requisitos:
Ser impossvel de obter a mensagem que deu origem ao valor;
Ser impossvel obter uma segunda mensagem com o mesmo valor;
Ser impossvel encontrar duas mensagens com o mesmo resultado;
Algoritmos:
MD5;
SHA-1;
RIPEMD-128/160;
Autenticadores:
Utilizao de chaves simtricas: Autenticadores de mensagens;
Utilizao de chaves assimtricas: Assinaturas digitais;
Autenticadores MAC:
Produzido a partir de mensagem e chave secreta (simtrica);
S pode ser gerado e validado pelos conhecedores da chave;
Proca de origem fraca;
Utilizador pelo SSH, SSL, IPSec;

8

HMAC:
Objectivo: poder utilizar funes de sntese bem conhecidas;
Princpio: Constri-se a sntese a partir da chave anexada mensagem;
Assinatura Digital:
Na autenticao, a proteco refere-se a terceiros e no s partes envolvidas;
Tambm usada para quando no h completa confiana entre o emissor e o receptor,
para que nenhum possa negar o envio da mensagem.
Objectivo:
Garantir integridade;
Garantir a origem e autoria perante terceiros;
Criptografia assimtrica a que melhor se adequa a este fim, uma vez para cada par
de chaves est associada apenas a uma entidade;
Consiste em:
Cifra do documento com a chave privada;
No possvel assegurar confidencialidade;
No reutilizvel.
Fornece mecanismos para no repdio;
Capaz de:
Verificar o autor e data da assinatura;
Autenticar o contedo;
Ser verificvel por terceiros;
Deve satisfazer os seguintes requisitos:
Depender do contedo;
Usar informao nica do autor;
Fcil de produzir;
Fcil de reconhecer e validar;
Invivel de forjar;
Ser possvel guardar uma cpia da assinatura digital;

Assinatura Digital arbitrada:
Toda as mensagens assinadas passam por uma terceira entidade que sujeita a
mensagem a conjunto de testes para verificar a origem e contedo do documento;
S depois datada e enviada para o receptor com a indicao que est conforme com
as condies do rbitro;
Para que o rbitro no viole a privacidade necessrio dupla encriptao;
Envolve s entidade que pretendem comunicar;
O destinatrio conhece a chave pblica;
A assinatura digital construda encriptando toa a mensagem com a chave privada do
receptor ou encriptando o cdigo Hash da mensagem com a chave privada do emissor;

9

Certificados (Conceito):
Para disponibilizar a chave pblica;
Associado a uma entidade;
Assinado por uma Certification Authority (CA);
Permite autenticao dos intervenientes numa comunicao;
Exemplos: SSL e TLS;
So atribudos a utilizadores e a servios
O formato X.509 o mais utilizado;
Certificado X.509:
Faz parte da recomendao X.500:
Foi adoptado pelo IEFT para utilizao na Internet;
Define um framework para protocolos de autenticao baseados na utilizao de
certificados;
Publicado em 1988;
Baseado em criptografia de chave pblica e assinaturas digitais;
No especifica a utilizao de um algoritmo, mas recomenda o RSA;
O Processo de assinatura digital assume a utilizao de uma funo HASH.
Esquema baseado na criao de um certificado para um utilizador;
Assume-se que foi criado por uma CA de confiana;
Colocado no directrio pela CA ou pelo utilizador;
A norma no inclui a criao das chaves;


10

Caractersticas dos certificados:
Qualquer utilizador com acesso chave pblica da CA pode verificar que a chave
pblica foi certificada;
S a CA pode modificar o certificado;
A alterao no certificado notada;
Um utilizador pode transmitir o seu certificado directamente;
Com um certificado de A, B pode assumir que as mensagens encriptadas com a
chave pblica de A so confidenciais e que as mensagens encriptadas com a chave
privada de A no so falsas;
Revogao de certificados:
Quando a relao entre entidade e a chave pblica comprometida;
Quando uma entidade muda de nome ou trabalho;
O utilizador pode sempre consultar uma lista de certificados revogados ou
cancelados;
O protocolo online OCSP pode verificar a validade de certificados;
Procedimentos de autenticao com certificados:
One-Way:
Apenas uma mensagem;
Indica a identidade de A e que a mensagem foi gerada por A;
Que a mensagem era dirigida a B;
Integridade e garantia de no reproduo;
Garante apenas a identidade de quem iniciou a comunicao;
Assume que as duas entidades conhecem as chaves pblicas, obtendo o
certificado;






Two-Way:
Garantias do tipo de auntenticao One-Way;
Garante que a identidade de B e que a resposta foi gerada por B;
Que a mensagem era dirigida a A;
A integridade e originalidade da mensagem;
Permite que se verifique mutuamente a identidade;





11

Three-Way:
Uma terceira mensagem enviada de A para B e contm uma cpia assinada
do nonce rB;
Permite evitar ataques de reproduo mesmo quando no existe relgio
sincronizado entre as entidades da comunicao;






Certification Authority:
Criam certificados para diversos afins;
Relacionadas com os sistemas de infra-estrutura de chave pblica PKI;
A identidade de um utilizador ou servio associada a uma chave pblica atravs
de um certificado digital;
O certificado fornece validao dessa informao quando assinado pela AC;
A AC a entidade responsvel de assegurar que a informao contida no
certificado est correcta;
De acordo com a norma X.509, um certificado vlido se tiver sido criado por uma
AC oficial;
A norma X.509 especifica:
Formato do certificado;
Formato das listas de revogao;
Algoritmos para verificao de validade de certificados;
Uma AC pode emitir certificados para utilizadores, servios e para outras ACs;
Uma AC pode delegar competncias a outras autoridades de certificao;
Root certificates;
Uma AC privada tambm representada por um certificado auto-assinado;
No faz parte da hierarquia de certificao oficial;
Os certificados emitidos por uma AC oficial tm custos;
Emisso de certificados:





12

O Issuer e o Subject so especificados no formato Distinguished Name (DN);
Para serem utilizados nas comunicaes de forma transparente, aplicaes como os
browsers WWW dispem dos certificados das principais ACs de raiz;
So os fabricante de software que decidem que certificados instalar;
Um utilizador pode remover ou acrescentar certificados da lista de ACs de confiana;


Distribuio de chaves simtricas:
A chave tem de ser mantida secreta;
Deve ser alterada com uma certa frequncia;
As tcnicas de distribuio de chaves referem-se ao modo como se pode dar a
conhecer a chave das duas entidade que desejam comunicar sem que outros consigam
a mesma informao;
Modos possveis da partilha de chave entre A e B:
Entrega presencial de A a B;
Uma terceira entidade selecciona a chave e entrega a chave a A e B;
Transmisso de uma nova chave utilizando uma chave anterior;
Se houver ligao encriptada de A e B com uma terceira parte (C), esta pode distribuir
a chave a A e B utilizando ligaes seguras;
KDC- Key Distribution Center:
Funcionamento genrico:
O KDC distribui chaves para pares de utilizadores a medida que forem sendo
necessrias;
Cada utilizador partilha uma chave com o KDC (master key);
Existe uma hierarquia de chaves de pelo menos dois nveis. O outro tipo
denomina-se de session key;
Controlo hierrquico:
No necessrio limitar a distribuio de chaves a nico KDC;
Alternativamente pode implementar-se um esquema hierrquico;
A hierarquia pode resultar em vrios nveis;
A distribuio de master keys menos complexa;
A falha de um KDC afecta apenas a rea local;
Perodo de validade da chave de sesso:
Quanto mais frequentemente se alterar a chave de sesso, mais segura a
comunicao:
Por outro lado, a alterao de chaves de sesso atrasam a comunicao e
gastam recursos da capacidade da rede;
Em connection oriented e em connectionless;
Controlo transparente:
Utilizada FEP( Front-end-processor), faz a encriptao e obtm a chave de
sesso para o terminal ou mquina;
13

til para comunicaes end-to-end encriptadas;
Assume que a comunicao se faz com base no TCP;
Controlo descentralizado:
Num contexto local e de dimenso reduzida pode implementar-se um controlo
distribudo;
So necessrias Nx(N-1)/2 masters keys para configurar N sistemas;
Utilizao da chave:
Definir vrios tipos de chave de sesso consoante a sua utilizao;
No DES, o tipo de chave vai nos 8 bits destinados a parity check;

Kerberos:
Fornece um servio centralizado cuja funo autenticar utilizadores perante
servidores e servidores perante utilizadores;
Baseado exclusivamente em encriptao simtrica;
Duas verses em uso v4 e v5;

Vantagens do Kerberos:
Evita que passwords circulem em aberto;
Permite que os dados para diversos servios sejam centralizados;
Evita que a password fique guardada numa mquina, quer seja cliente ou servidor;

Firewall:
Objectivo:
Proteger uma rede de sistemas implementando uma ligao controlada com o
exterior;
Todo o trfego de dentro para fora da organizao e vice versa tem que passar
no firewall;
O firewall em si deve ser um sistema imune a penetraes;
Caractersticas:
Pode ser um sistema ou um conjunto de dois ou mais sistemas;
Todo o trfego da rede interna e para rede interna deve passar pela firewall;
S trfego autorizado, segundo polticas de segurana, deve passar;
O prprio sistema de firewall dever ser seguro;
Tipo de controlo:
Controlo de Servios;
Controlo da direco em que o servio pode ser requisitado;
Controlo de utilizadores;
Controlo na utilizao de um servio;

14

Potencialidades:
Ponto nico de controlo que facilita a gesto de segurana;
Local privilegiado para monitorizao e auditorias;
So sistemas privilegiados para outras funes: Ex. NAT;
Para IPsec,Vpns;
Limitaes:
No pode proteger contra ataques internos;
No pode proteger contra ataques que no passem pelo firewall;
Limitao no escrutnio de vrus devido variedade de Sos e aplicaes que
podem existir dentro da organizao;
Nat:
Firewall pode actuar como gateway;
NAT Network Adress Translation;
PAT Port Adress Translation;
NAPT- Network and Port Adress Translation;
Duas Operaes:
IP Masquerading: Esconde as mquinas interiores;
Port forwarding: Permite acesso a uma mquina interior, tabela da
gateway no totalmente dinmica, s o gateway acede maquina
interna;
Simplifica a gesto de endereos das redes;
Impede endereamento a mquinas interna, originando na rede externa;
Tnel:
Encapsulamento;
Datagramas de um protocolo com dados de outro protocolo;
Tipos de Firewall:
Packet Filter (filtro de datagramas ou pacotes):
Decises baseadas em:
Interface;
Endereo IP da fonte ou do destino;
Portos TCP ou UDP;
Tipo de mensagem ICMP;
Pacotes de incio de ligaes utilizando os bits TCP SYN ou ACK;
Opoes do cabealho IP;
Lista de Regras at se encontrar uma aplicvel;
A ultima regra define geralmente a politica por omisso;
Application-Level Gateway (proxy, filtro aplicacional):
Decises baseadas em:
Utilizadores;
Autenticao antes de iniciarem o servio;
Mediadores dedicados para cada aplicao;
Permite melhor analise do contedo;
Tem como desvantagem o processamento adicional necessrio;
15

Circuit-Level Gateway (filtro de circuitos);
Iptables:
Tabelas:
As regras so activadas numa das vrias tabelas existentes;
As tabelas representam contextos de aplicao;
Cada tabela pode ter vrias chains;
As tabelas pr-definidas do iptables so: filter, nat, mangle;
Tipos chains pr-definidas:
INPUT (Filtragem dos pacotes IP entrada do sistema);
OUTPUT ( Filtragem de pacotes IP sada do sistema);
FORWARD ( Filtragem de pacotes que passam pelo sistem);
PREROUTING;
POSTROUTING;
Podem ser criadas novas chains;
Cada chain tem uma politica associada caso no se aplique nenhuma regra;
Target:
Cada regra definida permite especificar um conjunto de condies e
opcionalmente um target;
Target indica a aco a aplicar caso a regra se aplique;
Pode ter valores como DROP, ACCEPT, REJECT, etc;
Nem todas as targets so possveis em todas as tabelas;

DMZ (Zona de desmilitarizada):
Rede que no est no permetro protegido mas que pertence organizao do
permetro protegido;
Inclui mquinas que devem estar disponveis para o exterior;
As redes wireless so consideradas DMZ;
SSL( Secure Socket Layer):
Estabelece ligao entre dois sockets, incluindo:
Negociao de parmetros entre cliente e servidor;
Autenticao mutua entre cliente e servidor;
Comunicao confidencial;
Integridade dos dados;
Posicionamento do protocolo:
Aceita pedidos do browser e envia para o TCp para ser enviado para o
servidor;
Uma vez estabelecida a ligao segura, o trabalho do SSL lidar com
compresso e encriptao;
Quando o http sobre o SSL chama-se HTTPS;
Geralmente no porto 443;
16

Vrias verses;
Serve de suporte a vrios algoritmos e opes;
Sesso:
uma associao entre cliente e servidor, criada pelo Hanshake Protocol;
Definem uma srie de parmetros de criptografia que podem ser utilizados em vrias
ligaes;
As sesses so utilizadas para evitar negociaes para cada ligao;
Ligao:
Fornece um tipo de servio adequado ao nvel de transporte. So relaes peer-to-
peer no que respeita ao SSL;
Transiente;
Associada a uma sesso;
Parmetros que definem uma sesso:
Identificador de sesso;
Certificado do par;
Modo de compresso;
Especificao dos algoritmos criptogrficos;
Chave secreta mestra;
Concretizvel;
Aleatrio Servidor e Cliente;
Chave secreta que o servidor usa para MAC;
Chave secreta que o cliente usa para MAC;
Chave secreta Servidor;
Chave secreta Cliente;
Vectores de inicializao;
Nmeros sequenciais;
SSL Record Protocol:
Fornece dois tipos de servio:
Confidencialidade;
Integridade;
Transmisso de dados em SSL:




17

Cabealho da mensagem SSL Record Protocol:



SSL Handshake Protocol:
Fases:
Estabelece as capacidades de segurana;
Autenticao do servidor e troca de chaves;
Autenticao do cliente e troca de chaves;
Finalizao;
ISO 27001:
A norma d um modelo que integra o que os especialistas consideram o estado da arte
em relao segurana de informao;
Atravs da famlia de normas relativas segurana de informao, as organizaes
podem: desenvolver e implementar um framework e prepararem-se para serem
avaliados;
Organizaes:
Recolhem, processam, guardam e transmitem informao;
Reconhecem que a informao e os processos, sistemas, redes e pessoas relacionados
com a informao so activos importantes para atingir os objectivos de negcio;
Deparam-se com uma serie de riscos que podem afectar o funcionamento dos activos;
Modificam o risco implementado controlos de segurana;
Identificao dos requisitos de segurana:
Atravs da avaliao dos riscos que a organizao corre tendo em considerao a
estratgia de negcio e os objectivos. So identificadas ameaas aos activos,
vulnerabilidades e o potencial impacto;
Da legislao que a organizao deve cumprir;
Duma srie de princpios que foram estabelecidos para o processamento da
informao;
Princpios do SGSI:
Conscincia da necessidade de segurana de informao;
Designao de responsabilidade pela segurana da informao;
Incorporao do comprometimento de gesto e dos interesses de todos os envolvidos;
18

Enaltecimento de valores sociais;
Avaliao do risco e determinao dos controlos adequados para ter nveis de risco
aceitveis;
Segurana como parte fundamental das redes e dos sistemas;
Preveno e deteco de incidentes de segurana de forma activa;
Viso alargada da gesto de segurana;
Reavaliao contnua da segurana da informao de modo a efectuar as modificaes
necessrias;
Clusulas da norma ISO 27001:
Poltica de segurana de informao;
Organizao da segurana de informao;
Gesto de activos;
Segurana dos recursos humanos;
Segurana fsica e ambiental;
Gesto das operaes e das comunicaes;
Controlo de acessos;
Aquisio desenvolvimento e manuteno dos sistemas de informao;
Gesto de incidentes de segurana;
Gesto da continuidade do negcio;
Conformidade com regulamentao e legislao;
Gesto de risco:
Avaliao e tratamento do risco:
A avaliao do risco serve para identificar, quantificar e priorizar segundo:
Critrio de aceitao de risco;
Objectivos da organizao;
Os resultados da avaliao determinam os controlos e medidas a serem
implementadas;
Antes do tratamento do risco a organizao decide critrios para aceitar ou no o risco
(Opes):
Aplicar controlo para reduzir o risco;
Aceitar o risco;
Evitar o risco no fazendo aces que provocam o risco;
Transferir o risco para terceiras partes;
Quando a opo aplicar um controlo:
Seleco dos controlos apropriados;
Alguns controlos podem no ser aplicveis;
Avaliao do risco:
Faz parte do processo de gesto de risco e consiste na determinao quantitativa ou
qualitativa do valor do risco;
Enquadramento do risco;
19

Avaliao do risco;
Actuar;
Monitorizar;
Identificao dos riscos:
rvore de ameaas:
De causas naturais;
Erro humano;
Identificao de bens:
Para anlise quantitativa;
Identificao de bens intangveis;
Anlise de risco:
Quantificao:
Risco = Probabilidade + Impacto;
Qualificao;
Estruturas de suporte anlise de risco:
Frameworks:
COSO;
CoBIT ISACA;
Australia/New Zealand Standard Risk Management;
ISO Risk Management Draft Standard;
SP 800 30;