Gerenciamento de Riscos

Material disponvel em:
www.projetoderedes.com.br
UNIVERSIDADE PRESBITERIANA MACKENZIE
Compreendendo a Disciplina de Gerenciamento de Riscos
RONALDO AFFONSO
So Paulo
2004
Trabalho de apresentado a Universidade Presbiteriana
Mackenzie, como requisito parcial para aprovao na
matria de Metodologia de Trabalho Cientfico.
Professor: Jacinto Mendes
RONALDO AFFONSO
CM: 30209935
So Paulo
2004
Trabalho de apresentado a Universidade Presbiteriana
Mackenzie, como requisito parcial para aprovao na
matria de Metodologia de Trabalho Cientfico.
Professor: Jacinto Mendes
Aprovada em Dezembro de 2004
BANCA EXAMINADORA
Professora Elida da Silva
Universidade Presbiteriana Mackenzie
Vivaldo Queiroz
Pontifcia Universidade Catlica
Dedicatria
Gostaramos de expressar nossa gratido a toda nossa
famlia e amigos na perseverana quanto ao apoio junto ao
nosso trabalho , pois no seria possvel realizar esse
trabalho de to grande importncia para todo nosso grupo.
AGRADECIMENTOS
So muitos, os amigos que nos auxiliaram na realizao desta trabalho, Muitos
professores da Universidade Mackenzie, Unicamp, Puc, USP, Fatec foram de
vital importncia para que o objetivo deste trabalho sempre tivesse o mesmo
escopo, aos nossos queridos amigos e potenciais profissionais conhecedores da
rea em que atuam, a agradecemos a Microsoft por ter cedido muitos textos que
nos auxiliaram no nosso trabalho.
Se voc conhece voc e seu inimigo ganhar todas as
batalhas, mas se voc conhece apenas voc e no conhece
seu inimigo, perder algumas batalhas, e se voc no se
conhece e tambm no conhece o inimigo perder todas as
batalhas
SUN TZU
Sumrio
1 Resumo ................................................................................................................. 1
2 Objetivo ................................................................................................................ 2
2 Introduo.............................................................................................................. 4
3 Prticas de gerenciamento de riscos de segurana e estrutura de segurana 6
4 Estrutura de gerenciamento de riscos de segurana...................................... 12
5 Disciplina de Gerenciamento de Riscos de Segurana ................................... 27
6 Controlando, planejando, agendando e relatando riscos de segurana ....... 51
7 Desenvolvimento de correo de risco de segurana ...................................... 59
8 Teste de correes de segurana ...................................................................... 62
9 Registrando conhecimento sobre segurana .................................................. 63
10 Concluso ........................................................................................................ 69
11 Referncias ......................................................................................................... 70
Resumo
Este mdulo explica a prticas comprovadas derivadas de mtodos de
anlise de segurana e processos formulados na MSF e na MOF. Ele detalhou os
processos usados na SRMD para determinar os custos necessrios para proteger
os ativos da organizao. Por fim, mostrou as etapas recomendadas para a
formao de uma equipe de segurana para criar e executar planos de ao de
segurana que impediro ataques contra o ambiente da organizao e permitiro
que haja uma reao contra esses ataques.
Objetivos
Este mdulo descreve uma metodologia comprovada para anlise e
gerenciamento de riscos. Ele se baseia na MSF (Microsoft Solutions
Framework) e na MOF (Microsoft Operations
Framework) para fornecer orientao e conselhos sobre como estabelecer uma
diretiva de gerenciamento de segurana em sua organizao. Identificando,
categorizando e quantificando corretamente os riscos, voc poder agir da
maneira mais apropriada e econmica para proteger o ambiente. Alm disso,
voc poder integrar o desenvolvimento da diretiva e do procedimento de
segurana ao ciclo de vida de desenvolvimento da sua infra-estrutura de TI
(Tecnologia da Informao).
Use este mdulo para:
Identificar e quantificar os riscos do ambiente.
Identificar e quantificar o valor dos ativos de sua organizao.
Usar esses valores quantificados para identificar as atividades mais adequadas e
econmicas para proteger o ambiente.
Definir e gerenciar uma diretiva formal de gerenciamento de riscos de
segurana.
Integrar o gerenciamento de riscos de segurana ao ciclo de vida da infra-
estrutura de TI.
Definir processos para aprimorar a especializao em gerenciamento de riscos
na sua organizao por meio de iteraes do ciclo do gerenciamento de riscos.

Aplica-se a
Este mdulo se aplica aos seguintes produtos e tecnologias:
Toda a infra-estrutura de TI

Como usar este mdulo
Use este mdulo como orientao para o desenvolvimento e a integrao de uma
diretiva formal de gerenciamento de riscos de segurana que seja adequada para
sua organizao.
Para aproveitar este mdulo ao mximo:
Leia o mdulo"Definindo o cenrio de segurana do Windows 2000", antes

do mdulo atual. Ele apresenta a terminologia usada neste mdulo e fornece
uma viso geral das questes de segurana.
Aps ler o mdulo atual, consulte os recursos listados na seo "Mais

informaes" no fim do mdulo para obter mais orientaes sobre questes
especficas.

Introduo
Este mdulo se baseia em prticas comprovadas de metodologias de anlise de
segurana em uso atualmente que aproveitam a MSF e a MOF. A MSF oferece
orientaes sobre as fases de planejamento, criao, estabilizao e implantao
do ciclo de vida do projeto nas reas de arquitetura empresarial e implantao de
infra-estrutura. A MOF fornece conselhos sobre como desenvolver ou
aperfeioar sistemas de gerenciamento em operaes de TI. Para obter mais
detalhes sobre a MSF e a MOF, consulte a seo "Mais informaes" no fim
deste mdulo.
O mdulo define os trs principais processos de orientao: a SRMD (Disciplina
de Gerenciamento de Riscos de Segurana) e a Estrutura de Gerenciamento de
Riscos em termos das atividades de gerenciamento de riscos que ocorrem
durante o ciclo de vida de um projeto de segurana.
H trs processos principais que uma organizao pode usar para se tornar
protegida e se manter protegida. As informaes a seguir definem esses
processos de uma forma geral.
1. Avaliao
Esta fase envolve a coleta de informaes relevantes sobre o ambiente da
empresa a fim de se realizar uma avaliao da segurana. preciso coletar
dados suficientes para analisar com eficincia o estado atual do ambiente e,
ento, determinar o grau de proteo dos ativos em informaes da
organizao contra possveis ameaas. Alm da avaliao da segurana, um
Plano de Ao de Segurana ser criado posteriormente para ser executado
durante o processo de implementao.
2. Desenvolvimento e implementao
Esta fase se concentra na execuo de um Plano de Ao de Segurana a fim
de implementar as alteraes recomendadas no ambiente, que foram
definidas na avaliao. Alm do Plano de Ao de Segurana,
desenvolvido o Plano de Contingncia de Riscos de Segurana.
3. Operao
Esta fase envolve a realizao de modificaes e atualizaes no ambiente,
conforme o necessrio para mant-lo protegido. Teste de invaso e
estratgias de resposta a incidentes so aplicados durante o processo
operacional, o que ajuda a concretizar os objetivos de implementao de um
projeto de segurana na organizao. Tambm so realizadas atividades de
auditoria e monitoramento dos processos operacionais a fim de manter a
infra-estrutura intacta e protegida.

Prticas de gerenciamento de riscos de segurana e estrutura de segurana
Na execuo do plano de segurana, dois tipos de atividades de gerenciamento
de riscos so constantes durante o ciclo de vida do projeto. A primeira atividade
o gerenciamento de riscos inerentes ao prprio projeto. A segunda refere-se ao
gerenciamento dos riscos associados aos componentes de segurana. Os riscos
do projeto so avaliados somente durante o ciclo de vida do projeto, enquanto os
riscos de segurana precisam ser avaliados durante todo o ciclo de vida da
soluo ou do sistema. A Risk Management Discipline da MSF serve como base
para gerenciar os riscos das avaliaes de projetos e de segurana. Exemplos
prescritivos de gerenciamento de riscos de segurana sero descritos com mais
detalhes no mdulo "Aplicando a Disciplina de Gerenciamento de Riscos de
Segurana" deste guia.
Neste guia de soluo, definida a SRMD, que se deriva da RMD (Risk
Management Discipline) da MSF. Para distinguir claramente as duas atividades,
a RMD mencionada no contexto dos riscos do projeto, enquanto a SRMD
refere-se atividade de avaliao de riscos de segurana. A RMD usada como
principal ferramenta para o desenvolvimento da SRMD.
Os processos RMD e SRMD defendem uma abordagem proativa, avaliaes
contnuas de risco e a integrao com o processo decisrio ao longo do projeto e
da operao do ambiente.
A segurana do sistema computacional deve ser feita de maneira proativa e
contnua para garantir a segurana dos ativos em informaes e para monitorar
novas ameaas e vulnerabilidades. A segurana das informaes dever ser
levada em considerao sempre que voc adicionar novos recursos infra-
estrutura de TI da sua organizao. Alm disso, talvez seja necessrio alterar
alguns processos e procedimentos comerciais para operar no ambiente
modificado e oferecer a proteo a esses novos ativos em informaes.
As nove etapas da Disciplina de Gerenciamento de Riscos de Segurana so:
Avaliao
1. Avaliao e atribuio de valores de ativos
2. Identificao de riscos de segurana
3. Anlise e priorizao dos riscos de segurana
4. Controle, planejamento e agendamento dos riscos de segurana
Desenvolvimento e implementao
5. Desenvolvimento de correes de segurana
6. Teste de correes de segurana
7. Registro do conhecimento em segurana
Operao
8. Reavaliao de ativos e riscos de segurana novos e alterados
9. Estabilizao e implantao de contramedidas novas ou
alteradas
Essas etapas esto incorporadas na SRMD como as trs principais fases:
avaliao, implementao e operao.
Avaliao
As sees a seguir incorporam tarefas de avaliao organizacional como base
para o incio de uma anlise de segurana. A avaliao e a atribuio de valores
de ativos so as primeiras etapas na anlise de segurana, pois necessrio saber
o que existe para avaliar a evoluo dos riscos. O processo de anlise de
segurana um conjunto de estratgias que permitem determinar que ativos
devem ser protegidos no ambiente e a prioridade da proteo desses ativos.
Avaliao e atribuio de valores de ativos
A avaliao dos ativos refere-se ao valor das informaes para as partes
envolvidas e o esforo necessrio para desenvolver essas informaes. A
atribuio de valores refere-se ao custo de manuteno de um ativo, a quanto
custaria sua perda ou destruio e ao benefcio que terceiros teriam ao obter
essas informaes. O valor de um ativo deve refletir todos os custos
identificveis que poderiam resultar de um dano real ao ativo.
Identificao de riscos de segurana
A identificao de riscos de segurana permite que os membros da equipe do
projeto discutam e faam emergir possveis riscos de segurana. So coletadas
informaes sobre ameaas, vulnerabilidades, exploraes e contramedidas.
Anlise de riscos de segurana
A anlise de riscos de segurana usada para verificar possveis ataques,
ferramentas, mtodos e tcnicas que podem ser usados para explorar uma
vulnerabilidade. A anlise de riscos de segurana um mtodo de identificao
de riscos e avaliao dos possveis danos que podem ser causados, a fim de
justificar as salvaguardas de segurana.
Uma anlise de riscos de segurana tem trs objetivos principais: identificar
riscos, quantificar o impacto de possveis ameaas e conseguir um equilbrio
financeiro entre o impacto do risco e o custo da contramedida. So coletadas
informaes para se estimar o nvel de risco, de modo que a equipe possa tomar
decises fundamentadas sobre que riscos de segurana devem receber o maior
esforo de correo.
Essa anlise , ento, usada para priorizar os riscos de segurana e permitir que
sua organizao dedique recursos para atender s questes de segurana mais
crticas.
Uma anlise de riscos ajuda a integrar os objetivos do programa de segurana
aos objetivos e requisitos de negcios da empresa. Quanto mais alinhados
estiverem os objetivos de negcios e de segurana, mais bem-sucedida ser a
organizao na concretizao de ambos.
A anlise tambm ajuda a empresa a delinear um oramento adequado para um
programa de segurana e os componentes de segurana que formam esse
programa. Quando souber o valor dos ativos da empresa e entender as possveis
ameaas a que eles esto expostos, voc poder tomar decises inteligentes
sobre o quanto gastar na proteo desses ativos.
Controle, planejamento e agendamento dos riscos de segurana
O controle, o planejamento e o agendamento dos riscos de segurana usam as
informaes obtidas da anlise de riscos de segurana para formular estratgias
e planos de atenuao e contingncia que os englobem. O agendamento dos
riscos de segurana tenta definir um cronograma para as diversas estratgias de
correo definidas durante a fase de criao de um projeto de segurana. Esse
agendamento leva em considerao como os planos de segurana so aprovados
e incorporados na arquitetura de informaes, assim como os procedimentos de
operaes cotidianas padro que devem ser implementados.
Desenvolvimento e implementao
O trabalho realizado durante o processo de avaliao permite que voc
desenvolva e implemente as contramedidas adequadas. Os resultados dos
processos de avaliao permitem uma transio fcil para a implementao de
estratgias eficientes de implantao de contramedidas e aprendizado de
segurana.
Desenvolvimento de correes de riscos de segurana
O desenvolvimento de correes de riscos de segurana o processo de usar os
planos da fase de avaliao para criar uma nova estratgia de segurana que
envolva gerenciamento de configuraes, gerenciamento de patches,
monitoramento e auditoria de sistemas, e diretivas e procedimentos
operacionais. Como vrias contramedidas esto sendo desenvolvidas,
importante garantir o controle e os relatrios precisos do progresso.
Teste de correes de riscos de segurana
O teste de correo de riscos de segurana ocorre aps serem concludos o
desenvolvimento de estratgias de correo e as respectivas alteraes no
gerenciamento de sistemas, e aps as diretivas e os procedimentos de
determinao da eficincia serem escritos. O processo de teste permite que a
equipe leve em considerao como essas alteraes podem ser implantadas em
um ambiente de produo. Durante o processo de teste, as contramedidas so
avaliadas quanto eficincia do controle dos riscos de segurana.
Aprendizado dos riscos de segurana
O aprendizado dos riscos de segurana formaliza o processo de registro de
conhecimento sobre como a equipe protegeu os ativos e documenta as
vulnerabilidades e exploraes descobertas. medida que o departamento de TI
aprende novas informaes de segurana, preciso registrar e implantar mais
uma vez essas informaes para otimizar continuamente a eficincia das
contramedidas que protegem os ativos da empresa. Alm disso, a segurana
precisa ser ensinada s comunidades da empresa por meio de treinamento ou
boletins informativos de segurana.
Observao: essas etapas so uma orientao lgica e no precisam ser
seguidas em seqncia para solucionar um determinado risco de segurana. As
equipes de segurana passaro com freqncia pelas etapas de identificao,
anlise e planejamento medida que ganharem experincia em questes de
segurana, ameaas e vulnerabilidades de seus ativos em informaes
especficas.
Sua organizao precisa determinar um processo de gerenciamento de riscos
formal que defina como as contramedidas de segurana so iniciadas e avaliadas
e sob que circunstncias devem ocorrer transies entre as etapas para riscos de
segurana individuais ou grupos de riscos.
Operao
Ciclos de operao slidos e consistentes oferecem s equipes de segurana um
mecanismo para obter resultados confiveis e previsveis. Executando o
processo de avaliao no incio do projeto de segurana, as equipes tm mais
conhecimento de como reavaliar ativos novos e alterados em toda a empresa. A
estabilizao e a implantao de contramedidas novas ou alteradas para ativos
novos e alterados tornam-se, ento, parte da operao cotidiana da empresa.
Reavaliao de ativos e riscos de segurana novos e alterados
So essencialmente processos de gerenciamento de alteraes, mas so tambm
onde o gerenciamento de configuraes de segurana executado. Isso leva ao
gerenciamento de verses quando as novas contramedidas e diretivas de
segurana so concludas.
Estabilizao e implantao de contramedidas novas ou alteradas
Na fase de operao, esses processos so gerenciados por equipes de
administrao do sistema, da segurana e da rede. O monitoramento e o controle
do servio e o agendamento de tarefas so processos adicionais na fase de
operao. Neles, os administradores de segurana aplicam contramedidas novas
ou aprimoradas.
Central de atendimento de segurana, gerenciamento de incidentes e
aprendizado de gerenciamento de problemas
Na fase de suporte, grupos operacionais na organizao de TI oferecem suporte
ao ambiente protegido por meio do gerenciamento preciso da central de
atendimento de segurana e do gerenciamento controlado de incidentes e da
escalao de problemas.
Gerenciamento financeiro, de nvel de servio e de disponibilidade
A MSF e a MOF so prticas comprovadas, projetadas para ajud-lo a
desenvolver, implantar e manter um programa de gerenciamento de segurana
preciso. O uso adequado dessas prticas permite a criao de um ambiente que
oferea integridade, confidencialidade e disponibilidade de recursos.
O gerenciamento de segurana otimizado pelo rigor no gerenciamento de nvel
de servio, gerenciamento financeiro, gerenciamento da comunidade de
servios, gerenciamento de disponibilidade, gerenciamento de capacidade e
gerenciamento de fora de trabalho.

Estrutura de gerenciamento de riscos de segurana
Viso geral
A estrutura aproveita o modelo de processo da MSF e descreve uma seqncia
geral de atividades para criar e implantar solues de segurana de TI. Em vez
de prescrever uma srie especfica de procedimentos, a estrutura flexvel o
suficiente para acomodar uma ampla gama de processos de TI. O modelo de
processo aborda o ciclo de vida de uma soluo, desde o comeo do projeto at a
implantao ativa.
Figura 1
Etapas do modelo de processo da estrutura de segurana por fase
O modelo de processo da MSF pode ser usado para desenvolver aplicativos e
implantar tecnologia de infra-estrutura. Ele segue um ciclo iterativo projetado
para acomodar alteraes de requisitos do projeto por meio de ciclos curtos de
desenvolvimento e verses incrementais da soluo. O gerenciamento de riscos
e os ciclos de teste contnuos tornam isso possvel.
Diversas perguntas importantes sobre o projeto so feitas e respondidas ou
discutidas em cada etapa do modelo de processo, como: A equipe concorda com
o escopo do projeto? A equipe planejou o suficiente para prosseguir? A equipe
criou o que disse que iria criar? A soluo est funcionando adequadamente para
os clientes e parceiros da organizao? Estes seis processos principais de um
projeto de segurana associados figura acima so discutidos resumidamente
aqui.
1. Incio da definio do projeto
A fase inicial do projeto atende a uma das necessidades mais fundamentais
para o sucesso do projeto de segurana: unificar a equipe do projeto e o
programa de segurana. O processo de incio da equipe continua at o
refinamento, no fim da fase inicial. Todos os membros da equipe tm uma
viso clara do que desejam conseguir com uma soluo de segurana e das
necessidades da empresa em relao segurana. Essa fase se concentra na
identificao do problema ou da oportunidade da empresa ou no
gerenciamento de segurana. Todas as partes envolvidas no gerenciamento
de segurana precisam definir objetivos, suposies e restries durante
esses processos.
2. Avaliao e anlises de segurana
A avaliao e as anlises do gerenciamento de segurana so processos que
ocorrem na fase de planejamento da metodologia da MSF. Esses processos
incluem avaliao da organizao, atribuio de valores de ativos,
identificao de ameaas, avaliao de vulnerabilidades e avaliao de riscos
de segurana. Juntos, eles formam o planejamento envolvido em uma
implantao bem-sucedida de contramedidas.
3. Desenvolvimento de correes de segurana
Informaes obtidas nas fases de avaliao e de anlise de segurana criam
um meio para o desenvolvimento de correes de segurana. Durante esses
processos, os desenvolvedores trabalham constantemente no
desenvolvimento, teste e validao de contramedidas para remediar os riscos
identificados nas fases anteriores do projeto. Esses processos de
desenvolvimento de correes de segurana so testados pela equipe de
desenvolvimento e avaliados segundo critrios de qualidade.
4. Teste de correes de segurana e teste de funcionalidade de recursos
Os processos de teste de correes de segurana e de teste de funcionalidade
de recursos tm resultados menos previsveis. Resultados imprevistos do
teste funcional so identificados e gerenciados durante a fase de
estabilizao pelos processos de teste. Apesar de a fase de criao se basear
em planos e especificaes conhecidos, o nmero e a gravidade dos erros
que sero encontrados so sempre desconhecidos. As tcnicas de
convergncia de erros e resposta sem erros so usadas pela Microsoft para
medir a qualidade da soluo e prever a data de lanamento durante essa
fase.
5. Implantao de contramedidas e diretivas de segurana
Os processos de implantao de contramedida e de diretiva de segurana
continuam ao longo da fase de implantao da metodologia MSF e no ciclo
de processo MOF. Esse processo de implantao de contramedidas organiza
os tipos de contramedidas e diretivas de segurana em dois tipos, principal e
de site, e seus respectivos componentes de segurana. Componentes de
segurana especficos encontram-se em um local central ou principal que
envolve toda a soluo de segurana. Componentes especficos de sites
encontram-se em locais individuais que permitem aos usurios acessar e usar
a soluo de segurana.
6. Concluso da implantao
O conhecimento do gerenciamento de riscos de segurana um processo
registrado prximo etapa de concluso da implantao. O registro das
lies aprendidas prximo implantao coloca a soluo em um estado
operacional e entregam o projeto concludo ao ciclo de processo da MOF.
Para obter mais detalhes sobre os processos do projeto de segurana, consulte o
guia Microsoft Solution for Security Services.
Criando a equipe do programa de segurana
Durante o processo de avaliao do modelo de processo da MSF, ocorre uma
etapa fundamental para a proteo do ambiente, que a criao de um programa
de segurana. O fundamento desse programa de segurana determinar
objetivos, escopo, diretivas, prioridades, padres e estratgias para a segurana
total da organizao. Os membros do programa de segurana so executivos
seniores da empresa. O grupo de administrao de segurana , portanto,
composto de gerentes de nvel mdio e de suas equipes que implementam e
gerenciam as diretivas determinadas pelo programa de segurana.
Um programa de segurana deve ser desenvolvido com uma abordagem de cima
para baixo, o que significa que o incio, o suporte e a direo devem vir da
gerncia superior, sendo aplicados pela gerncia mdia e, finalmente, incluir os
membros da equipe. O suporte, no entanto, pode ser uma combinao de
desenvolvimento e defesa de idias que partam do nvel superior, do nvel
inferior ou do nvel mdio no gerenciamento de segurana. Hoje, diversas
empresas usam uma abordagem de baixo para cima para o desenvolvimento e o
suporte, em que o departamento de TI desenvolve um plano de segurana sem
suporte e direo adequados da gerncia. Isso pode fazer com que o programa de
segurana fique desalinhado com os objetivos comerciais mais amplos da
organizao.
A gerncia snior deve comear a criar o programa de segurana atribuindo
funes e responsabilidades dentro da organizao, que sejam necessrias para
um incio bem-sucedido. O envolvimento da gerncia snior mantm a
eficincia e a evoluo do programa medida que os ambientes comercial e
tcnico mudam. A criao de funes em um programa de segurana confirma
que a organizao reconhece a segurana como parte integrante de seu negcio,
em vez de apenas uma preocupao.
Alm de um programa de segurana, a gerncia deve estabelecer um grupo de
administrao de segurana. Esse grupo diretamente responsvel pelo
monitoramento da maior parte das facetas de um programa de segurana.
Geralmente, o programa de segurana em uma organizao desenvolve diretivas
de segurana, enquanto o grupo de administrao de segurana impe e
monitora configuraes de segurana.
Dependendo da organizao, de suas necessidades de segurana e do tamanho
do ambiente, a administrao de segurana pode consistir em uma pessoa ou um
grupo de indivduos que trabalham de maneira centralizada ou descentralizada.
Avaliao
A estrutura de segurana para avaliao de ameaas, descrita no modelo de
processo, projetada para ajudar os profissionais de segurana a desenvolver
uma estratgia para proteger a disponibilidade, a integridade e a
confidencialidade de dados na infra-estrutura de TI de uma organizao. Pode
ser de interesse dos gerentes de recursos de informao, dos diretores de
segurana de computadores e dos administradores, e especialmente valiosa para
os que tentam estabelecer diretivas de segurana de computadores. A estrutura
oferece uma abordagem sistemtica dessa importante tarefa e, como precauo
final, tambm envolve a definio de planos de contingncia em caso de
desastre.
Confidencialidade
A infra-estrutura de TI da organizao pode conter informaes que exigem
proteo contra divulgao no autorizada. Os exemplos incluem a
disseminao de informaes com data programada, como relatrios de
resultados, informaes pessoais ou informaes comerciais proprietrias. A
confidencialidade garante que a capacidade de fornecer o nvel necessrio de
segredo seja imposta em cada juno do processamento de dados e impede a
divulgao no autorizada. Um nvel consistente de confidencialidade deve ser
mantido enquanto os dados residem em sistemas e dispositivos na rede, quando
so transmitidos e quando atingem o destino.
Integridade
A infra-estrutura de TI contm informaes que devem ser protegidas contra
modificao no autorizada, no prevista e no intencional. Os exemplos
incluem informaes censitrias, indicadores econmicos ou sistemas de
transaes financeiras. A integridade mantida quando a preciso e a
confiabilidade das informaes e dos sistemas so garantidas e a modificao
no autorizada dos dados no possvel.
Disponibilidade
A infra-estrutura de TI contm informaes ou fornece servios que devem estar
disponveis de maneira apropriada para atender aos requisitos da misso ou
evitar perdas substanciais. Os exemplos incluem sistemas fundamentais para
segurana, suporte a vida e conectividade de rede consistente. A disponibilidade
garante confiabilidade e acesso apropriado a dados e recursos para indivduos
autorizados.
Os administradores de segurana precisam decidir quanto tempo, dinheiro e
esforo deve ser gasto para desenvolver as diretivas e os controles de segurana
adequados. A organizao deve analisar suas necessidades especficas e, ento,
determinar seus recursos, requisitos de cronograma e restries. Sistemas de
computador, ambientes e diretivas organizacionais so diferentes, dificultando a
estratgia para proteger grupos de computadores na organizao.
Apesar de a estratgia de segurana poder economizar um tempo valioso da
organizao e fornecer lembretes importantes do que precisa ser feito, a
segurana no uma atividade realizada uma nica vez. Ela parte integral do
ciclo de vida do sistema para o ambiente. As atividades descritas neste mdulo
geralmente exigem atualizao peridica ou reviso adequada. Tais alteraes
so feitas quando as configuraes ou outras condies mudam de forma
significativa ou quando regulamentos e diretivas organizacionais exigem
mudanas. um processo iterativo que nunca termina e deve ser revisado e
testado periodicamente.
Avaliao organizacional
O estabelecimento de um conjunto eficiente de diretivas e controles de
segurana exige o uso de uma estratgia para determinar as vulnerabilidades que
existem nos sistemas de computador e nas diretivas e controles de segurana
atuais que os protegem. Sua reviso deve registrar reas do ambiente em que
faltam diretivas, assim como examinar documentos de diretivas existentes. Alm
das revises de diretivas, a equipe jurdica da organizao deve garantir que
todas as diretivas de segurana estejam em conformidade com a diretiva jurdica
da empresa. O status atual das diretivas de segurana de computadores pode ser
determinado revendo-se a seguinte lista:
Diretivas de segurana fsica de computadores, como controles de acesso fsico
Diretivas de segurana de dados (controle de acesso e controles de integridade)
Planos e testes de contingncia e recuperao de desastres
Reconhecimento e treinamento de segurana de computadores
Diretivas de gerenciamento e coordenao de segurana de computadores

Outros documentos de diretivas que contenham informaes confidenciais,
incluindo:
Senhas de BIOS de computador
Senhas de configurao de roteador
Documentos de controle de acesso
Outras senhas de gerenciamento de dispositivos

Anlise de ameaas
A criao de listas de ameaas (a maioria das organizaes pode identificar
vrias) ajuda o administrador de segurana a identificar as diversas exploraes
que podem ser usadas em um ataque. importante que os administradores
sempre atualizem seus conhecimentos nessa rea, pois novos mtodos,
ferramentas e tcnicas para burlar as medidas de segurana esto sempre sendo
inventados.
O processo de anlise de ameaas descrito na fase de planejamento da figura 1
para determinar os ataques que podem ser esperados e, assim, desenvolver
formas de defesa contra esses ataques. impossvel se preparar contra todos os
ataques; assim, prepare-se para os ataques mais provveis que a organizao
possa esperar. sempre melhor impedir ou minimizar os ataques do que corrigir
os danos causados por eles.
Para minimizar os ataques, necessrio compreender as diversas ameaas que
causam riscos aos sistemas, as tcnicas correspondentes que podem ser usadas
para comprometer os controles de segurana e as vulnerabilidades que existem
nas diretivas de segurana. A compreenso desses trs elementos de ataques
ajuda a prever sua ocorrncia, e at mesmo o momento ou o local. Prever um
ataque o mesmo que prever sua probabilidade, o que depende da compreenso
de seus diversos aspectos. Esses aspectos podem ser expressos na seguinte
equao:
Motivos da ameaa + Mtodos de explorao + Vulnerabilidades dos ativos
= Ataque
Um atacante mal-intencionado pode usar diferentes mtodos para iniciar o
mesmo ataque. Assim, a estratgia de segurana deve ser personalizada para
cada mtodo que cada tipo de agente de ameaa pode explorar.
Avaliao de vulnerabilidades
A avaliao das necessidades de segurana da organizao deve incluir a
determinao de suas vulnerabilidades em relao a ameaas conhecidas. Essa
avaliao envolve reconhecer os tipos de ativos que a organizao tem e que
tipo de dano eles podem sofrer.
Determinando os danos possveis de um ataque
Os danos possveis aos ativos no ambiente podem variar de pequenas falhas de
computador at perdas de dados catastrficas. Os danos causados ao sistema
dependero do tipo de ataque. Se possvel, use um ambiente de teste ou de
laboratrio para esclarecer os danos resultantes de diferentes tipos de ataques.
Isso permitir que a equipe de segurana avalie com preciso os danos fsicos.
Nem todos os ataques causam o mesmo tipo ou a mesma quantidade de danos.
Os testes que podem ser executados incluem:
Uma simulao de ataque de vrus de email em um sistema de laboratrio,

seguida de uma anlise para determinar os danos causados e os possveis
procedimentos de recuperao necessrios.
Um teste para determinar se os funcionrios esto sujeitos a ataques de

engenharia social, que tentam conseguir o nome de usurio e a senha de um
funcionrio desavisado.
Uma simulao de desastre em um centro de dados. Medir o tempo de

produo perdido e o tempo at a recuperao.
Uma simulao de um ataque de vrus mal-intencionado. Medir o tempo

necessrio para recuperar um computador. Esse fator de tempo pode ser
multiplicado pelo nmero de computadores infectados no sistema para avaliar a
quantidade de tempo de inatividade ou a perda de produtividade.
Tambm aconselhvel envolver uma equipe de resposta a incidentes no
processo, pois mais provvel que ela, e no um nico indivduo, observe todos
os diferentes tipos de danos que ocorreram. Uma equipe de respostas a
incidentes gerencia a priorizao de incidentes de segurana e os caminhos de
escalao para resolv-los.
Determinando as vulnerabilidades ou os pontos fracos que um ataque pode
explorar
Se as vulnerabilidades que um ataque especfico explora puderem ser
descobertas, ser possvel alterar ou criar diretivas e controles de segurana para
minimizar as vulnerabilidades. A determinao do tipo de ataque, ameaa e
mtodo facilita a descoberta de vulnerabilidades existentes. Isso pode ser
comprovado com um teste de invaso.
Planejamento e agendamento de riscos de segurana
Para cada mtodo de explorao, o plano de segurana da organizao deve
incluir estratgias proativas e reativas.
A estratgia proativa, ou pr-ataque, um conjunto de etapas que ajudam a
minimizar as vulnerabilidades da diretiva de segurana existente e a desenvolver
planos de contingncia. A determinao dos danos que um ataque causar em
um sistema e dos pontos fracos e das vulnerabilidades exploradas durante o
ataque ajuda no desenvolvimento de uma estratgia proativa.
A estratgia reativa, ou ps-ataque, ajuda a equipe de segurana a avaliar os
danos causados pelo ataque, corrigir os danos ou implementar o plano de
contingncia desenvolvido na estratgia proativa, documentar e aprender com a
experincia e reabilitar as funes de negcios assim que possvel.
Estratgia proativa
A estratgia proativa um conjunto de etapas predefinidas que devem ser
seguidas para impedir ataques antes que eles ocorram. Essas etapas incluem
verificar como um ataque poderia afetar ou danificar o sistema de computador e
as vulnerabilidades que ele explora (etapas 1 e 2). O conhecimento obtido nessas
avaliaes pode ajudar a implementar diretivas de segurana que vo controlar
ou minimizar os ataques. Estas so as quatro etapas da estratgia proativa:
1. Determinar os danos que o ataque causar.
2. Determinar as vulnerabilidades e os pontos fracos que o ataque vai explorar.
3. Minimizar as vulnerabilidades e os pontos fracos relacionados ao ataque
especfico indicado nas duas primeiras etapas.
4. Determinar o nvel apropriado de contramedidas a serem implementadas.
Seguir essas etapas para analisar cada tipo de ataque resultar em um benefcio
indireto: comear a surgir um padro dos fatores comuns a diferentes ataques.
Esse padro pode ser til para determinar as reas de vulnerabilidade que
representam o maior risco para a empresa.
Observao: tambm necessrio equilibrar o custo da perda de dados e o
custo da implementao dos controles de segurana. Ponderar esses riscos e
custos faz parte de uma anlise de riscos do sistema.
Estratgia reativa
Uma estratgia reativa implementada quando a estratgia proativa para o
ataque falha. A estratgia reativa define as etapas que devem ser seguidas
durante ou aps um ataque. Ela ajuda a identificar os danos causados e as
vulnerabilidades que foram exploradas no ataque. Uma estratgia reativa
tambm determina por que um ataque ocorreu, como corrigir os danos causados
e como implementar um plano de contingncia.
As estratgias reativas e proativas trabalham juntas para o desenvolvimento de
diretivas e controles de segurana no sentido de minimizar ataques e seus danos.
A equipe de resposta a incidentes deve ser includa nas etapas seguidas durante
ou aps o ataque a fim de ajudar a avaliar, documentar e aprender com o evento.
As trs etapas a seguir esto envolvidas na estratgia reativa:
1. Limitar os danos.
Conter os danos causados durante o ataque permite limitar a extenso dos
danos. Por exemplo, se houver um vrus no ambiente, voc tentar liminar os
danos assim que possvel desconectando os servidores da rede, mesmo antes
de descobrir quantos servidores podem ter sido afetados. Isso deve ser feito o
mais rapidamente possvel.
2. Avaliar os danos.
Determinar os danos causados durante o ataque. Isso deve ser feito com
rapidez para que as operaes da organizao sejam reiniciadas assim que
possvel. Se no for possvel avaliar os danos de maneira adequada, um
plano de contingncia dever ser implementado para que as operaes de
negcios normais e a produtividade possam continuar.
3. Determinar a causa dos danos.
Para determinar a causa dos danos, necessrio compreender que recursos o
ataque visava e que vulnerabilidades foram exploradas para obter acesso ou
interromper os servios. Revise os logs do sistema, os logs de auditoria e as
faixas de auditoria. Geralmente, essas revises ajudam a descobrir a origem
do ataque no sistema e os recursos que foram afetados.
4. Corrigir os danos.
muito importante que os danos sejam corrigidos o mais rapidamente
possvel a fim de restaurar as operaes de negcios normais e os dados que
tenham sido perdidos durante o ataque. Os planos e procedimentos de
recuperao de desastres da organizao devem abranger a estratgia de
restaurao. A equipe de resposta a incidentes tambm deve estar disponvel
para lidar com o processo de restaurao e recuperao e para fornecer
orientaes sobre o processo de recuperao. Durante esse processo, os
procedimentos de contingncia so realizados para isolar e limitar a
disseminao dos danos.
Plano de contingncia
O plano de contingncia alternativo e foi desenvolvido caso um ataque entre
no sistema e danifique dados ou outros ativos, resultando em interrupo das
operaes normais da empresa ou em reduo da produtividade. O plano de
contingncia ser seguido se o sistema no puder ser restaurado de maneira
adequada. Em ltima instncia, o objetivo manter a disponibilidade, a
integridade e a confidencialidade dos dados; o equivalente a um "plano B".
Planos de contingncia devem ser criados para responder a cada tipo de ataque
ou ameaa. Cada plano deve conter um conjunto de etapas a serem seguidas
caso haja um ataque. Eles devem:
Indicar quem faz o que, quando e onde para manter a organizao funcionando.
Ser ensaiados periodicamente para manter a equipe atualizada com as etapas de

contingncia mais recentes.
Abranger a restaurao de informaes de servidores de backup.
Englobar a atualizao de software antivrus, service packs e hotfixes.
Abordar os procedimentos de mudana dos servidores de produo para outro

local. Se houver oramento, as replicaes dos servidores de produo devem
ser reunidas em locais de contingncia estratgicos.
Incluir uma reviso de fechamento das diretivas de segurana e dos planos de

contingncia atuais.
Os pontos a seguir descrevem as diversas tarefas de avaliao que devem ser
realizadas ao se desenvolver o plano de contingncia:
Avaliar as diretivas e os controles de segurana da organizao para aproveitar

todas as oportunidades que minimizem as vulnerabilidades. A avaliao deve
envolver o plano e os procedimentos de emergncia atuais da organizao,
assim como sua integrao ao plano de contingncia.
Avaliar os procedimentos de respostas de emergncia atuais e seus efeitos nas

operaes da empresa.
Desenvolver respostas planejadas para ataques e integr-las aos planos de

contingncia, observando at que ponto elas so adequadas para limitar os
danos e minimizar o impacto de um ataque nas operaes de processamento de
dados.
Avaliar procedimentos de backup, incluindo as documentaes e os testes de

recuperao de desastres mais recentes, a fim de medir sua adequao e incluir
os resultados das avaliaes nos planos de contingncia.
Avaliar os planos de recuperao de desastres a fim de determinar se as etapas

envolvidas so adequadas para fornecer um ambiente operacional temporrio
ou de longo prazo. Os planos de recuperao de desastres devem incluir o teste
dos nveis de segurana exigidos pela organizao para que a equipe de
segurana possa determinar se pode continuar a impor a segurana durante todo
o processo de recuperao, operaes temporrias e retorno ao local de
processamento original da organizao ou mudana para um novo local.
Criar um documento detalhado descrevendo as descobertas necessrias para

seguir as etapas mencionadas acima. Este documento deve listar:
Detalhes sobre cenrios de usurios para testar os planos de contingncia.
Detalhes sobre o impacto que dependncias, como obter ajuda externa e

recursos essenciais, tero nos planos de contingncia.
Uma lista de prioridades observadas nas operaes de recuperao e a lgica

usada para estabelec-las.
Detalhes sobre caminhos de escalao para que, quando um plano de

contingncia for executado, todos os problemas que possam surgir dele sejam
escalados com clareza para a equipe mais eficiente de TI ou de operaes da
empresa.
Implementao
Cuidado para no implementar controles que sejam muito restritivos, pois a
disponibilidade das informaes poder se tornar um problema. Deve haver um
equilbrio cuidadoso entre os controles de segurana e o acesso s informaes.
Teste de simulao de ataque
O ltimo elemento de uma estratgia de segurana, o teste e a reviso de seus
resultados, ser aplicado depois que as estratgias reativas e proativas forem
estabelecidas. A simulao de ataques em um sistema de teste ou laboratrio
permite avaliar onde h vulnerabilidades e, assim, ajustar as diretivas e os
controles de segurana da organizao de maneira adequada.
Esses testes no devem ser realizados em um sistema de produo ativo, pois o
resultado pode ser desastroso. Dessa forma, a ausncia de laboratrios e
computadores de teste devido a restries oramentrias pode impedir a
simulao de ataques. Para garantir os fundos necessrios para a realizao de
testes, importante que a gerncia esteja ciente dos riscos e das conseqncias
de um ataque, assim como das medidas de segurana que podem ser necessrias
para proteger o sistema, inclusive os procedimentos de teste. Se possvel, todas
as situaes de ataque devem ser testadas e documentadas fisicamente para se
determinar os melhores controles e diretivas de segurana a serem
implementados.
Certos ataques, como desastres naturais, no podem ser testados, embora uma
simulao ajude. Por exemplo, um incndio pode ser simulado na sala de
servidores, resultando em danos e na perda de todos eles. Essa situao de
desastre pode ser til para testar a capacidade de resposta dos administradores e
do pessoal de segurana, bem como para verificar quanto tempo levar para que
a organizao volte a funcionar.
O ajuste de diretivas e controles de segurana com base nos resultados do teste
um processo iterativo. Ele nunca termina e deve ser avaliado e revisado
periodicamente para ser aperfeioado.
Operao
Um caminho de escalao e gerenciamento de problemas claramente definido
essencial para um programa de resposta a incidentes. Executando
consistentemente o plano de resposta a incidentes logo no incio do projeto, as
equipes adquirem mais eficincia para resolver problemas em toda a empresa. A
documentao dos resultados e o aprendizado adquirido no projeto de segurana
so vantajosos para todos que esto comeando novos projetos. A coleta desses
tipos de lies aprendidas nos processos operacionais facilita a concluso das
tarefas de avaliao, desenvolvimento e implementao do projeto de segurana
seguinte.
Resposta a incidentes
Se sua organizao desejar implementar totalmente as prticas recomendadas de
planejamento de segurana, ser necessrio criar uma equipe de resposta a
incidentes. Essa equipe deve estar envolvida nos esforos proativos para garantir
a segurana do sistema. Esses esforos incluem:
Desenvolver diretrizes para lidar com incidentes.
Preparar caminhos e procedimentos de escalao para a aplicao de leis

relacionadas a crimes de informtica.
Identificar ferramentas de software para resposta a incidentes e eventos.
Pesquisar e desenvolver outras ferramentas de segurana de computadores.
Realizar atividades de treinamento e percepo.
Realizar pesquisas sobre vrus.
Realizar estudos sobre ataques ao sistema.

Esses esforos fornecero o conhecimento que a organizao poder usar para
resolver questes antes e durante incidentes.
Um administrador de segurana deve poder monitorar e gerenciar auditorias de
segurana na organizao conforme o necessrio. Ele deve ser a autoridade (uma
pessoa ou um grupo de pessoas) responsvel por implementar a diretiva de
segurana para um domnio de segurana. Depois que o administrador de
segurana e a equipe de resposta a incidentes conclurem essas funes
proativas, o administrador dever repassar a responsabilidade por lidar com
incidentes equipe de respostas a incidentes.
Isso no significa que o administrador de segurana deva deixar de ser parte da
equipe. Contudo, talvez ele no esteja sempre disponvel. Portanto a equipe de
resposta a incidentes deve ser capaz de lidar com os incidentes sozinha. A
equipe ser responsvel por responder aos incidentes e dever participar da
anlise de eventos incomuns que possam envolver a segurana dos
computadores ou da rede.
Documentar e aprender
importante que um ataque seja documentado assim que ocorrer. A
documentao deve abordar todos os aspectos conhecidos do ataque, incluindo
os danos causados (hardware, software, perda de dados, perda de produtividade),
as vulnerabilidades e os pontos fracos explorados durante o ataque, o tempo de
produo perdido, os procedimentos usados para corrigir os danos e o custo dos
esforos de correo. A documentao ajudar a modificar estratgias proativas
a fim de impedir ataques futuros e minimizar danos.
Implementar planos de contingncia
Se os planos de contingncia j existirem, eles podero ser implementados para
economizar tempo e para manter as operaes do negcio em funcionamento
normal. Se no houver um plano de contingncia, desenvolva um apropriado
com base na documentao da etapa anterior.
Revisar resultados e realizar simulaes
Aps o ataque ou aps defender-se dele, revise o resultado em relao ao
sistema e a estratgia proativa da organizao. A reviso deve incluir detalhes
sobre perda de produtividade, de dados ou de hardware, bem como o tempo
gasto para se recuperar do ataque. Voc deve realizar simulaes em um
ambiente de teste que sejam semelhantes ao ambiente de produo para produzir
os melhores resultados.
Revisar e ajustar a eficcia das diretivas
Se houver diretivas para defesa contra um ataque que tenha ocorrido, sua
eficcia deve ser revisada e verificada. Se no houver diretivas, elas devem ser
definidas para minimizar ou impedir ataques futuros.
Quando a eficcia das diretivas existentes no atender ao padro, as diretivas
devero ser ajustadas apropriadamente. As atualizaes de diretivas devem ser
coordenadas pelos gerentes pertinentes, o administrador de segurana, os
administradores de TI e a equipe de resposta a incidentes. Todas as diretivas
devem estar em conformidade com as regras e as diretrizes gerais da
organizao. Por exemplo, o horrio de funcionamento padro da organizao
pode ser de 8:00 s 18:00. Uma diretiva de segurana pode ser atualizada ou
criada, especificando que os usurios s podem fazer logon no sistema nesse
intervalo.

Disciplina de Gerenciamento de Riscos de Segurana
As sees a seguir se baseiam em prticas comprovadas de metodologias de
anlise de segurana em uso que aproveitam a MSF e a MOF. A MSF oferece
orientaes sobre as fases de planejamento, criao, estabilizao e implantao
do ciclo de vida do projeto nas reas de arquitetura empresarial e implantao de
infra-estrutura. A MOF fornece conselhos sobre como desenvolver ou
aperfeioar sistemas de gerenciamento de operaes de TI. A SRMD definida
em detalhes aqui, o que permite determinar se ela poder ser aplicada em seu
ambiente. A SRMD um processo detalhado, til para determinar as ameaas e
vulnerabilidades com maior impacto potencial em uma determinada
organizao.
Identificao de riscos de segurana
A identificao de riscos de segurana a primeira etapa da avaliao da
segurana da organizao. Para gerenciar com eficincia os riscos de segurana,
isso deve ser declarado com clareza, de forma que a equipe do projeto possa
chegar a um consenso e prosseguir para a anlise das conseqncias e para a
criao de um plano de ao voltado para o risco. Embora o escopo dos riscos de
segurana seja limitado tecnologia que a equipe do projeto tenta proteger, o
foco da equipe deve ser amplo o bastante para abordar todas as fontes de riscos
de segurana, incluindo tecnologias, processos, ambientes e pessoas.
Os brainstroms so uma maneira de identificar riscos de segurana; h vrias
fontes de informao sobre questes de segurana na Internet. A organizao
tambm pode ter uma avaliao de vulnerabilidade ou um teste de invaso
existentes que possam ser revistos para atacar riscos de segurana.
Objetivos
O objetivo da etapa de identificao de riscos de segurana permitir que a
equipe crie uma lista de riscos conhecidos que deixem os ativos da organizao
em uma posio vulnervel. Essa lista deve ser o mais abrangente possvel,
abordando todos os pontos de vista da arquitetura empresarial, inclusive
tecnologia, negcios, pessoas e estratgia.
O gerenciamento de riscos o processo de identificao e anlise de riscos, e
tambm da criao de um plano para gerenci-los. Um risco de segurana
definido como a perda esperada devido a, ou resultante do impacto de, ameaas
previstas em relao s vulnerabilidades do sistema e fora e determinao
dos agentes de ameaa relevantes.
Informaes
As informaes para a etapa de identificao de riscos de segurana incluem a
coleta dos conhecimentos disponveis sobre ameaas; a criao de uma lista de
mtodos e tcnicas de explorao atuais; e a anlise de vulnerabilidades das
diretivas e do sistema, que possam ser exploradas a fim de causar danos aos
ativos da organizao. As ameaas incluem qualquer possvel perigo s
informaes e aos sistemas. As vulnerabilidades so os pontos fracos do
software, do hardware ou dos procedimentos, que oferecem ameaa um ponto
de ataque. Geralmente, esses riscos originam-se em diferentes pontos do
ambiente empresarial, incluindo prticas de negcios, aplicativos, dados e
arquitetura da infra-estrutura.
A experincia da equipe, a abordagem atual da organizao em relao ao
planejamento de segurana na forma de diretivas, procedimentos, diretrizes e
modelos, bem como as informaes sobre o estado atual da infra-estrutura de
tecnologia da organizao ajudaro a determinar as informaes para esta etapa.
A equipe de segurana pode se basear nas informaes obtidas dos prprios
ativos ou de resultados de uma ferramenta usada para realizar uma anlise de
vulnerabilidade ou um teste de invaso. Brainstorms, grupos de discusso e at
mesmo workshops formais para coleta de informaes sobre as percepes da
equipe e dos interessados em relao a questes de segurana se mostraro teis
para a obteno de informaes.
Atividades de identificao de riscos
Durante a etapa de identificao de riscos de segurana, a equipe procura criar
uma declarao ou uma lista de questes de segurana objetiva, descrevendo
claramente os riscos enfrentados pela organizao. til organizar uma srie de
workshops ou sesses de discusso com a equipe de segurana para identificar
os riscos associados nova situao.
Devido rpida mudana da tecnologia e dos ambientes, importante que a
identificao de riscos de segurana no seja tratada com uma atividade que
deva ser realizada uma nica vez. O processo deve ser repetido periodicamente
durante o ciclo de vida de operaes da organizao.
Abordagem estruturada
A utilizao de uma abordagem estruturada para o gerenciamento de riscos de
segurana essencial, pois permite que todos os membros da equipe usem um
mecanismo consistente para tratar as questes de segurana. O uso de uma
classificao de ameaas durante essa etapa uma maneira til de fornecer uma
abordagem consistente, reproduzvel e mensurvel.
Classificao de ameaas
As classificaes de ameaas (tambm conhecidas como categorias ou
taxonomias) servem a vrios propsitos da equipe de segurana. Durante a
identificao de riscos, elas podem ser usadas para estimular a discusso sobre
riscos de segurana que surgem em diferentes reas. Durante as sesses de
discusso, as classificaes tambm podem reduzir as complexidades de se
trabalhar com grandes nmeros de ameaas, pois fornecem uma maneira
conveniente de agrupar ameaas semelhantes. As classificaes de ameaas
tambm podem ser usadas para fornecer uma terminologia comum que a equipe
poder usar para monitorar e reportar o status de riscos em todo o projeto.
Declarao de risco de segurana
Uma declarao de risco de segurana uma expresso em linguagem natural
sobre a relao causal entre o estado de segurana existente da organizao e um
resultado de segurana potencial e no concretizado.
A primeira parte da declarao de risco de segurana chamada de "condio" e
fornece a descrio de um estado existente ou de uma possvel ameaa que a
equipe considere danosa. A segunda parte da declarao de risco chamada de
"conseqncia" e descreve a perda indesejvel de confidencialidade, integridade
e disponibilidade de um ativo.
As duas declaraes so ligadas por um termo como "ento" ou "poder resultar
em", que sugere uma relao incerta (em outras palavras, menor que 100%) ou
causal.
Os seguintes itens apresentam a declarao de risco usada neste guia:
SE um Agente de Ameaa usar uma ferramenta, uma tcnica ou um mtodo para
explorar uma Vulnerabilidade, ENTO a perda de (confidencialidade,
integridade ou disponibilidade) de um ativo poder resultar em um impacto.
As declaraes de risco de segurana so desenvolvidas por meio da anlise de
riscos. H dois tipos de abordagem de anlise de riscos: qualitativa e
quantitativa. Nenhuma dessas abordagens melhor que a outra: cada uma
fornece uma ferramenta valiosa para a estruturao das atividades de
identificao de riscos. A abordagem quantitativa se baseia nas informaes
coletadas no processo quantitativo.
Figura 2
Declarao de risco de condio e conseqncia da segurana
As seguintes etapas detalham cada parte do processo da figura mostrada acima:
1. Defina uma declarao de risco de condio e conseqncia para cada
ameaa.
Se um agente concluir uma ameaa e explorar uma vulnerabilidade, o
ataque levar a um risco. O ataque pode danificar o ativo ao reduzir a
confidencialidade, a integridade ou a disponibilidade. Portanto, ele causa a
exposio da empresa a perdas. Contudo, essas exposies podem ser
combatidas por salvaguardas.
2. Atribua uma probabilidade de ameaa (PA) (0% mais baixa 100% mais
alta). A probabilidade de ameaa a probabilidade de um possvel agente
de ameaa entrar no ambiente.
3. Atribua um fator de criticalidade (FC) (1 mais baixo 10 mais alto). O
fator de criticalidade o nvel de explorao potencial da ameaa a um
ativo.
4. Classifique o esforo (E) (1 mais baixo 10 mais alto). O esforo
representa as habilidades necessrias para que um atacante tire vantagem da
explorao.
5. Determine o fator de risco (FR). o fator de criticalidade dividido pelo
esforo.
6. Determine o nvel de freqncia da ameaa usando a equao (PA FR).
7. Classifique o fator de vulnerabilidade (FV) (1 mais baixo 10 mais alto).
Decida o tamanho do risco imposto pela vulnerabilidade a um ativo.
8. Determine a prioridade do ativo (PrA) (1 mais baixa 10 mais alta).
Determine a classificao da prioridade de cada ativo da empresa com base
nos critrios a seguir. A atribuio de valores dos ativos um processo
complexo e pode levar tempo para ser aperfeioada. Para obter mais
informaes sobre atribuio de valores de ativos, consulte as referncias a
esse assunto no fim deste mdulo. Priorizar os ativos da organizao
fundamental para determinar quantos ativos podem ser protegidos com o
oramento disponvel.
Para obter ajuda ao formular uma lista de ativos prioritrios, pesquise
respostas s seguintes questes sobre cada ativo com base no ambiente da
organizao:
Qual o valor do ativo para a empresa?
Quanto custa a manuteno ou a proteo do ativo?
Quanto o ativo gera de lucros para a empresa?
Quanto o ativo valeria para os concorrentes?
Quanto custaria a recriao ou a recuperao do ativo?
Quanto custou a aquisio ou o desenvolvimento do ativo?

9. Determine o fator de impacto (FI) usando a equao (FV PrA).
10. Determine o fator de exposio (FE) usando a equao (Nvel de
Freqncia da Ameaa Fator de Impacto dividido por 1.000). O fator de
exposio expresso como uma porcentagem para que seja possvel
calcular a expectativa de perda nica (EPU) nas etapas que continuam na
tabela 2.
O processo de formulao em duas partes usado para produzir declaraes de
risco de segurana tem a vantagem de unir as conseqncias possveis em um
ativo s condies observveis (e potencialmente controlveis) que existem
atualmente na organizao. Abordagens alternativas em que a equipe se
concentra somente nas condies de riscos identificveis podem exigir que a
equipe redefina a condio de risco posteriormente no processo de anlise de
riscos de segurana, quando as estratgias de planejamento de gerenciamento de
riscos de segurana so criadas.
Observao: declaraes de risco de segurana no so puramente declaraes
do tipo "se-ento"; elas so declaraes de fato que exploram as possveis, mas
no concretizadas, conseqncias de um risco.
Pode ser til considerar declaraes "se-ento" hipotticas a fim de comparar as
alternativas e formular planos por meio de rvores de deciso. No entanto, seu
objetivo durante a fase de identificao de riscos de segurana simplesmente
identificar o mximo possvel de riscos de segurana. Adie a deciso de como
analis-los e gerenci-los para uma fase posterior do processo.
A declarao de risco de segurana criada deve incluir condies e
conseqncias. Como parte de uma anlise profunda de riscos de segurana, os
membros da equipe devem procurar semelhanas e agrupamentos naturais das
condies das questes de segurana e, em seguida, redefinir as relaes de cada
uma delas em busca de uma causa raiz comum. Tambm vale a pena redefinir as
ramificaes das relaes a partir da causa raiz da condio, assim que ela for
conhecida. Isso examinar os efeitos nos ativos de fora da organizao para que
seja possvel obter uma melhor avaliao das perdas totais ou das oportunidades
perdidas associadas ameaa de segurana.
Durante a identificao de riscos de segurana, no difcil encontrar a mesma
condio associada a vrias conseqncias. No entanto, o oposto tambm pode
ser verdadeiro: pode haver diversas condies que produzam a mesma
conseqncia. s vezes, a conseqncia de um risco de segurana identificado
em uma rea da organizao pode se tornar uma condio de risco em outra
rea. Essas situaes devem ser registradas para que decises apropriadas sejam
tomadas durante a anlise e o planejamento de riscos de segurana a fim de se
levar em conta as dependncias e as relaes entre os riscos de segurana.
Dependendo das relaes entre os riscos de segurana na organizao, atenuar
um nico risco pode resultar na atenuao de um grupo inteiro de riscos
dependentes e, assim, na alterao de todo o perfil de risco da organizao.
Documentar essas relaes logo no incio da fase de identificao de riscos de
segurana pode fornecer informaes teis para a conduo de um planejamento
de riscos de segurana que seja flexvel, abrangente e eficiente no exame de
recursos necessrios para a abordagem das causas raiz ou ramificadas. Para os
riscos de segurana mais importantes, os benefcios do registro de tais
informaes adicionais na etapa de identificao devem ser comparados com a
rapidez com que se passa pela anlise e pela priorizao subseqentes e com o
novo exame das dependncias e das causas raiz durante a fase de planejamento.
Atribuindo valores aos ativos na organizao
Determinar o valor monetrio de um ativo uma parte importante do
gerenciamento de riscos. Com freqncia, os gerentes de negcios contam com
o valor de um ativo para ajud-los a determinar quanto dinheiro e tempo devem
gastar para proteg-lo. Diversas organizaes mantm uma lista de valores
patrimoniais como parte de seus planos de recuperao de desastres. O uso do
modelo de atribuio de valores a seguir ajudar a organizao a determinar
como deve priorizar os ativos, conforme detalhado na etapa 8 da anlise
quantitativa.
Para atribuir adequadamente um valor a um ativo, calcule estes trs valores
principais:
O valor geral do ativo para a organizao. Calcule ou estime o valor do ativo em

termos financeiros diretos. Por exemplo, se houver um site de comrcio eletrnico
que funcione normalmente a semana toda, 24 horas por dia, e gere uma receita
mdia de R$ 2.000 por hora em pedidos de clientes, voc poder declarar com
segurana que o valor anual do site em temos de receitas de vendas de R$
17.520.000.
O impacto financeiro imediato da perda do ativo. Se o mesmo site ficar

indisponvel por seis horas, a exposio calculada ser de 0,000685% ao ano. Se
multiplicar essa porcentagem de exposio pelo valor anual do ativo, voc poder
prever que as perdas diretamente relacionadas neste caso seriam de R$ 12.000.
O impacto de negcios indireto da perda do ativo. Neste exemplo, a empresa

estima que gastaria R$ 10.000 em propaganda para contrabalanar a publicidade
negativa de tal incidente. Alm disso, a empresa tambm estima uma perda de
0,01% a 1% das vendas anuais, ou R$ 17.520. Ao combinar as despesas
publicitrias extras e a perda de receita de vendas anual, voc poder prever um
total de R$ 27.520 em perdas indiretas neste caso.
Tabela 1: Exemplo de atribuio de valores de ativos
Ativo Valor Fator de
exposio
Impacto
direto
Impacto
indireto
Site de comrcio
eletrnico
R$ 17.520.000
por ano
Seis horas por ano
ou 0,000685
R$ 12.000 R$ 27.520
Voc tambm deve levar em considerao o valor do ativo para seus
concorrentes. Por exemplo, se seus concorrentes puderem usar informaes de
clientes obtidas anteriormente no site enquanto este estiver inativo, voc poder
perder milhes em receita para eles.
H vrios mtodos e equaes que podem ser usados para a realizao de uma
anlise de riscos quantitativa e h diversas variveis que podem ser inseridas no
processo. No entanto, estas etapas adicionais so continuaes da etapa 10
acima que devem ser seguidas para a obteno de uma anlise de riscos de
segurana quantitativa:
1. Determine a expectativa de perda nica (EPU). a quantidade total de
receita perdida em uma nica ocorrncia do risco. A EPU um valor
atribudo a um nico evento que representa o possvel valor de perda da
empresa caso uma ameaa especfica ocorra. Calcule a EPU multiplicando o
valor do ativo (VA) pelo fator de exposio (FE). A EPU semelhante ao
impacto de uma anlise de riscos qualitativa
Determine a EPU usando a equao (VA FE).
O fator de exposio representa a porcentagem de perda que uma ameaa
concretizada pode ter em um determinado ativo. Se uma Web farm tiver um
valor patrimonial igual a R$ 150.000 e um incndio resultar em danos
estimados em 25% do valor, a EPU ser de R$ 37.500. Esse valor
calculado para ser inserido na equao de EPA da etapa 3.
2. Determine a taxa de ocorrncia anual (TOA). A TOA o nmero de vezes
que voc espera que o risco ocorra durante o ano. Para estimar a TOA,
baseie-se em sua experincia e consulte especialistas em gerenciamento de
riscos, assim como consultores de segurana e de negcios. A TOA
semelhante probabilidade de uma anlise de riscos qualitativa. O intervalo
da TOA varia de 0% (nunca) a 100% (sempre).
Por exemplo, se um incndio na Web farm da mesma empresa resultar em
danos de R$ 37.500 e a probabilidade, ou TOA, de ocorrer um incndio for
de 0,1 (indicando uma vez a cada dez anos), o valor da EPA neste caso ser
de R$ 3.750 (R$ 37.500 x 0,1 = R$ 3.750).
3. Determine a expectativa de perda anual (EPA). A EPA a quantidade total
de dinheiro que a organizao perder em um ano se nada for feito para
atenuar o risco. Calcule esse valor multiplicando a EPU pela TOA. A EPA
semelhante classificao relativa de uma anlise de riscos qualitativa.
Determine a EPA usando a equao (TOA EPU).
A EPA fornece um valor com o qual a empresa pode trabalhar para orar o
custo do estabelecimento de controles ou salvaguardas para impedir esse tipo
de dano neste caso, R$ 3.750 ou menos por ano e fornecer um nvel
adequado de proteo. importante quantificar a possibilidade real de um
risco e quantos danos, em termos monetrios, a ameaa poder causar para
saber quanto pode ser gasto para proteger contra as possveis conseqncias
da ameaa.
4. Estime o custo de contramedidas ou salvaguardas usando a seguinte
equao:
(EPA antes da contramedida) (EPA depois da contramedida) (custo anual
da contramedida) = valor da salvaguarda para a empresa (VSE)
Por exemplo, a EPA de que um atacante desative um servidor Web R$
12.000 e, aps a salvaguarda ser implementada, a EPA avaliada em R$
3.000. O custo anual de manuteno e operao da salvaguarda R$ 650;
portanto, o valor dessa salvaguarda R$ 8.350 por ano, conforme expresso
pela seguinte equao: (R$ 12.000 - R$ 3.000 - R$ 650 = R$ 8.350).
Os itens de informao da anlise de riscos quantitativa fornecem objetivos e
resultados claramente definidos. O resumo a seguir define o que geralmente
obtido dos resultados das etapas anteriores:
Valores monetrios atribudos aos ativos.
Uma lista abrangente de ameaas significativas.
A probabilidade de ocorrncia de cada ameaa.
A possvel perda para a empresa com base em cada ameaa ao longo de doze
meses.
Salvaguardas, contramedidas e aes recomendadas.

Resultados
O resultado mnimo das atividades de identificao de riscos de segurana uma
declarao de consenso clara e objetiva dos riscos enfrentados pela equipe de
segurana, documentados como a lista de questes de segurana. A lista de
questes de segurana, em forma de tabela, o resultado principal para a fase
seguinte do processo de gerenciamento de riscos de segurana a anlise.
Com freqncia, a etapa de identificao de riscos de segurana gera uma
grande quantidade de outras informaes teis, incluindo a identificao de
causas raiz e efeitos ramificados, partes afetadas, proprietrios etc.
recomendvel manter um registro em forma de tabela contendo as declaraes
de risco de segurana e as informaes de causas raiz e efeitos ramificados que a
equipe de segurana desenvolve. Informaes adicionais para a classificao dos
riscos de segurana por ameaa tambm podero ser teis quando as
informaes de riscos de segurana forem utilizadas para criar ou usar uma base
de conhecimento de segurana se existir uma taxonomia bem definida para a
organizao.
Estas so outras informaes que talvez a equipe de segurana deseje registrar
durante o processo de identificao de riscos:
Restries
Circunstncias
Suposies
Fatores contribuintes
Dependncias entre riscos de segurana
Questes relacionadas
Proprietrios dos ativos da empresa
Preocupaes da equipe
Anlise e priorizao dos riscos de segurana
A anlise e a priorizao de riscos de segurana a segunda grande etapa no
processo de avaliao de segurana. A anlise de riscos de segurana envolve a
converso de dados de riscos de segurana (ameaas, exploraes e
vulnerabilidades) em um formulrio para facilitar a tomada de decises. A
priorizao de riscos de segurana garante que os membros da equipe de
segurana resolvero os riscos de segurana mais importantes primeiro.
Durante esta etapa, a equipe de segurana examina os itens da lista de questes
de segurana produzida na etapa de identificao de riscos de segurana a fim de
prioriz-los e formar um Plano de Ao de Segurana.
No Plano de Ao de Segurana, a equipe de segurana da organizao pode
usar a lista de questes de segurana a fim de planejar e confirmar recursos para
a execuo de uma estratgia especfica voltada para o gerenciamento das
questes no ambiente.
A equipe tambm pode identificar que questes de segurana, se houver, podem
ser retiradas da lista por terem uma prioridade muito baixa para ao. medida
que essa fase de implementao de segurana caminha para a concluso e o
ambiente da organizao muda, a identificao de riscos de segurana e a
anlise de riscos de segurana devem ser repetidas para que a eficcia do plano
de ao de segurana seja validada. Novos riscos de segurana podem surgir e
antigos riscos, que no mais apresentem uma prioridade suficientemente alta,
podem ser removidos, descontados ou "desativados".
Objetivo
O principal objetivo da etapa de anlise de riscos de segurana priorizar as
questes de segurana do Plano de Ao de Segurana a fim de determinar quais
delas garantem a confirmao de recursos da organizao para atenu-las.
Informaes
Durante o processo de anlise de riscos, a equipe se basear em sua prpria
experincia e nas informaes derivadas de outras fontes relevantes relacionadas
s declaraes de risco de segurana. Consulte as diretivas e os procedimentos
de segurana da organizao, os bancos de dados de conhecimento sobre
segurana do setor, as anlises de vulnerabilidade, as simulaes de segurana e
os proprietrios dos ativos para obter informaes sobre como transformar
declaraes de risco de segurana brutas em uma lista mestra de riscos
priorizados.
Atividades de anlise de riscos de segurana
H diversas tcnicas qualitativas e quantitativas usadas para a realizao da
priorizao em um Plano de Ao de Segurana. Uma tcnica fcil para a
anlise de riscos de segurana usar estimativas de consenso da equipe
derivadas de dois componentes de risco amplamente aceitos: probabilidade e
impacto. possvel multiplicar esses valores estimados para calcular uma nica
estatstica chamada de exposio ao risco.
Probabilidade do risco de segurana
A probabilidade do risco de segurana uma medida da probabilidade de que o
estado de negcios descrito na parte de condio de riscos da declarao de risco
de segurana realmente ocorra. A declarao de risco pode incluir outros fatores
alm de tempo e dinheiro da empresa, como os descritos na seguinte parte da
declarao de risco:
"SE um Agente de Ameaa usar uma ferramenta, uma tcnica ou um mtodo
para explorar uma Vulnerabilidade..."
A ameaa que usa uma explorao para tirar proveito de uma vulnerabilidade a
parte de condio da declarao de risco. Para determinados tipos de ameaa,
pode no haver uma explorao ou uma vulnerabilidade conhecida,
especialmente quando a ameaa um desastre natural.
Para classificar os riscos, desejvel que um valor numrico seja atribudo
probabilidade do risco. Se a probabilidade do risco de segurana no for maior
do que zero, a ameaa no representar uma questo de segurana. Se a
probabilidade for 100%, o risco de segurana ser uma certeza e poder ser uma
questo conhecida.
As probabilidades so notoriamente difceis de se estimar e aplicar, embora
bancos de dados de riscos do setor ou da empresa possam ser teis para fornecer
estimativas de probabilidade conhecidas com base em amostras de um grande
nmero de projetos. No entanto, como as equipes do projeto podem expressar
suas experincias em termos de linguagem natural, pode ser til mapear esses
termos a intervalos de probabilidades numricas, conforme demonstrado na
tabela a seguir.
Tabela 2: Probabilidade do risco
Intervalo Valor de clculo Expresso Pontuao
1% a 14% 7% Muito improvvel 1
15% a 28% 21% Baixa 2
28% a 42% 35% Improvvel 3
43% a 57% 50% 50 50 4
58% a 72% 65% Provvel 5
73% a 86% 79% Altamente provvel 6
87% a 99% 93% Quase certo 7
O valor de probabilidade usado para clculo representa o meio de um intervalo.
Com a ajuda dessas tabelas de mapeamento, um mtodo alternativo para
quantificar a probabilidade relacionar o intervalo de probabilidade ou a
expresso de linguagem natural combinada pela equipe a uma pontuao
numrica. Se uma pontuao numrica for usada para representar o risco de
segurana, ser necessrio usar a mesma pontuao para todos os riscos de
segurana para que o processo de priorizao funcione com eficincia.
Independentemente da tcnica usada para quantificar a incerteza, a equipe
sempre precisar desenvolver uma abordagem para derivar um nico valor da
probabilidade do risco que represente o consenso para cada risco.
Impacto do risco de segurana
O impacto do risco uma estimativa da criticalidade da perda causada por
efeitos adversos nos ativos ou a magnitude de uma perda resultante da perda da
confidencialidade, da integridade ou da disponibilidade de um ativo. Ele deve
ser uma medida direta das conseqncias de segurana, conforme definido na
segunda parte da declarao de risco de segurana:
"...ENTO uma perda de (confidencialidade, integridade ou disponibilidade) de
um Ativo poder resultar em um impacto.
A perda pode ser medida em termos financeiros ou em uma escala subjetiva em
relao ao ativo. Se todos os impactos de riscos de segurana puderem ser
expressos em termos financeiros, o uso do valor financeiro para quantificar a
magnitude da perda ou o custo de oportunidade ter a vantagem de ser
conhecido pelos patrocinadores do negcio. O impacto financeiro pode consistir
nos custos de longo prazo em operaes e suporte, na perda de participao no
mercado, nos custos de curto prazo em trabalho adicional ou no custo da
oportunidade.
Em outras situaes, uma escala subjetiva de 1 a 5 ou de 1 a 10 mais
apropriada para medir o impacto do risco de segurana. Um exemplo de quando
uma escala subjetiva pode ser usada seria uma situao em que o valor lquido
apropriado dos ativos no pode ser determinado com rapidez. Desde que todos
os riscos de segurana de um Plano de Ao de Segurana usem as mesmas
unidades de medida, as tcnicas simples de priorizao sero boas o suficiente.
Tabela 3: Exemplo de sistema de pontuao de perda de ativo
Pontuao Perda monetria
1 Abaixo de R$ 100
2 R$ 100 R$ 1.000
3 R$ 1.000 R$ 10.000
4 R$ 10.000 R$ 100.000
5 R$ 100.000 R$ 1 milho
6 R$ 1 milho R$ 10 milhes
7 R$ 10 milhes R$ 100 milhes
8 R$ 100 milhes R$ 1 bilho
9 R$ 1 bilho R$ 10 bilhes
10 Acima de R$ 10 bilhes
O sistema de pontuao para a estimativa do impacto varia entre as organizaes
e deve refletir os valores e as diretivas da sua organizao. Por exemplo, uma
perda monetria de R$ 10.000 pode ser tolervel para uma equipe ou
organizao, mas inaceitvel para outra. A pontuao de um impacto
catastrfico com um valor artificialmente alto, como 100, garantir que at
mesmo um risco com uma probabilidade muito baixa chegue ao topo da lista de
riscos e permanea l.
Exposio ao risco de segurana
A exposio ao risco mede o risco de segurana geral para os ativos,
combinando informaes que expressam a probabilidade de perda real com
informaes que expressam a magnitude da possvel perda em uma nica
estimativa numrica. A equipe de segurana pode, ento, usar a magnitude da
exposio ao risco para classificar questes de segurana. Na forma mais
simples de anlise de riscos quantitativa, a exposio ao risco calculada
multiplicando-se a probabilidade do risco pelo impacto.
Quando as pontuaes so usadas para quantificar a probabilidade e o impacto,
s vezes conveniente criar uma matriz que considere as possveis combinaes
de pontuaes e as atribua a categorias de risco baixo, mdio e alto. Usando uma
pontuao de probabilidade trplice, onde 1 baixo e 3 alto, e uma pontuao
de impacto trplice, onde 1 baixo e 3 alto, os resultados podem ser expressos
na forma de uma tabela em que cada clula um valor possvel para a exposio
ao risco. Com esta organizao, fcil classificar riscos como baixos, mdios e
altos, dependendo de sua posio nas faixas diagonais da pontuao crescente.
Tabela 4: Matriz de pontuao de risco
Impacto da probabilidade Baixo = 1Mdio = 2Alto = 3
Alto = 3 3 6 9
Mdio = 2 2 4 6
Baixo = 1 1 2 3
Intervalos de exposio: Baixo =1 2; Mdio =3
4; Alto = 6 9

A vantagem que esse formato tabular permite que os nveis de riscos de
segurana sejam includos em relatrios de status a serem enviados para os
patrocinadores e interessados, que possibilitam a utilizao de cores (vermelho
para a zona de risco alto no canto superior direito, verde para o risco baixo no
canto inferior esquerdo e amarelo para nveis de risco mdio ao longo da
diagonal). Uma terminologia bem definida e de fcil compreenso melhora a
comunicao desses valores, pois mais fcil compreender "alto risco" do que
"alta exposio".
Tcnicas quantitativas adicionais
Como os objetivos da anlise de riscos de segurana so priorizar os riscos de
segurana, realizar um Plano de Ao de Segurana e orientar as decises
relacionadas confirmao de recursos para gerenciamento de segurana, a
equipe de segurana deve selecionar um mtodo de priorizao dos riscos que
seja adequado para o projeto, para a equipe e para os interessados.
Algumas organizaes se beneficiam do uso de tcnicas ponderadas e com
vrios atributos para levar em conta outros componentes que a equipe deseja
considerar no processo de classificao, como o prazo exigido, a magnitude do
possvel ganho de oportunidade, a confiabilidade das estimativas de
probabilidade e a atribuio de valores fsica ou informativa dos ativos.
A seleo do mtodo "certo" ou da combinao "certa" de mtodos de anlise de
riscos de segurana depende do equilbrio adequado entre o esforo para realizar
a anlise de riscos de segurana e a escolha de priorizao incorreta ou
indefensvel (para os interessados) no Plano de Ao de Segurana. A anlise de
riscos de segurana deve ser realizada para dar suporte priorizao que orienta
a tomada de decises e nunca deve ser feita simplesmente por ser feita.
Os resultados das abordagens quantitativas ou semi-quantitativas para a
priorizao de riscos de segurana devem ser avaliados no contexto das
diretrizes de negcios, diretivas e procedimentos, dados e infra-estruturas de
tecnologia. Uma abordagem semi-quantitativa comea com algum tipo de
medida qualitativa para permitir que as empresas apresentem medidas de
segurana quantificveis.
Resultados
A anlise de riscos de segurana fornece equipe uma lista de aes de
segurana priorizadas para orientar a realizao das atividades de planejamento
de riscos de segurana. Com freqncia, as informaes de riscos de segurana
detalhadas, incluindo condies, contexto, causas raiz e estatsticas usadas para
priorizao (probabilidade, impacto, exposio), so registradas para cada risco
no formulrio de declarao de risco, que ser descrito em detalhes
posteriormente neste mdulo.
Lista mestra de riscos de segurana
A lista dos principais riscos de segurana para os quais deve ser criado um plano
de ao definida no Plano de Ao de Segurana. Esse plano identifica a
condio que causa o risco de segurana, o possvel efeito adverso
(conseqncia) e tambm os critrios ou as informaes usados para classificar
o risco, como sua probabilidade, seu impacto e sua exposio. Um exemplo de
lista mestra de riscos que usa a abordagem de estimativa de dois fatores
(probabilidade e impacto) mostrada aqui.
Tabela 5: Exemplo de lista mestra de riscos e priorizao
Prioridade Condio Conseqncia Probabilidade Impacto Exposio
1 Vrus
infectando site
de comrcio
eletrnico
Seis horas para
recriar o servidor.
80% 3 2,4
2 Nenhum
padro de
codificao
para nova
linguagem de
programao
Lanar com
potencialmente
mais
vulnerabilidades
de segurana.
45% 2 0,9
3 Nenhuma
especificao
escrita
Alguns recursos
de segurana do
produto no
implementados
30% 2 0,6
Exposio calculada como probabilidade x impacto. Impacto baixo = 1, impacto
mdio = 2 e impacto alto = 3.
A lista mestra de riscos de segurana a compilao de todas as informaes de
avaliao de riscos de segurana. um documento ativo que forma a base do
processo contnuo de gerenciamento de riscos de segurana e deve ser mantido
atualizado em todo o ciclo de vida de TI que inclua avaliao, planejamento,
criao, implantao e operao.
A lista mestra de riscos de segurana o documento fundamental para dar
suporte ao gerenciamento de riscos proativo ou reativo. Ela permite a tomada de
decises de equipe ao fornecer a base para:
Priorizao de esforos.
Identificao de aes crticas.
Realce de dependncias.
O mtodo usado para calcular a exposio criada por um risco deve ser
documentado cuidadosamente no plano de gerenciamento de riscos e preciso
tomar cuidado para garantir que os clculos registrem com preciso as intenes
da equipe, ponderando a importncia dos diferentes fatores.
Para identificar ameaas aos ativos, realize anlises de riscos. Para cada tipo de
ameaa identificada, crie uma declarao de risco. As declaraes de risco
combinam informaes sobre uma ameaa a informaes sobre o impacto da
ameaa, caso ocorra.
Tabela 6: Contedo da lista mestra de riscos de segurana
Item Objetivo Status
Declarao de risco de
segurana
Articular claramente o risco. Obrigatrio
Probabilidade Quantificar a probabilidade de ocorrncia da
ameaa.
Obrigatrio
Impacto Quantificar a criticalidade da perda ou a Obrigatrio
Item Objetivo Status
magnitude do custo da oportunidade.
Critrio de
classificao
Medida nica da importncia. Obrigatrio
Prioridade
(classificao)
Priorizar aes. Obrigatrio
Proprietrio Garantir o acompanhamento dos planos de
ao de riscos.
Obrigatrio
Plano de atenuao Descrever medidas preventivas. Obrigatrio
Disparadores e plano
de contingncia
Descrever medidas corretivas. Obrigatrio
Causas razes Guiar um planejamento de interveno
eficiente.
Obrigatrio
Efeitos ramificados Garantir estimativas de impacto adequadas. Opcional
Contexto Documentar informaes histricas para
registrar a inteno da equipe de identificar
riscos.
Opcional
Tempo para
implementao
Registrar a importncia de que os controles
de risco sejam implementados em um
determinado prazo.
Opcional
Formulrio de declarao de risco
Ao analisar cada risco de segurana individualmente, ou durante as atividades de
planejamento de segurana relacionadas a uma ameaa, uma explorao ou uma
vulnerabilidade especfica, conveniente ver todas as informaes sobre esse
risco de segurana em um documento, chamado de formulrio de declarao de
risco de segurana. Para obter mais detalhes sobre os processos de um projeto de
segurana, consulte o guia Microsoft Solution for Security Services.
Normalmente, uma lista de declaraes de risco de segurana contm os campos
da lista mestra de riscos de segurana criada durante as fases de identificao e
avaliao e poder ser aumentada se a equipe inserir informaes adicionais
importantes durante o processo de gerenciamento de riscos de segurana. Poder
ser mais fcil tratar a lista de declaraes de risco de segurana como um
documento separado da lista mestra de riscos se os riscos forem atribudos
equipe de segurana para aes de acompanhamento. Estas so algumas das
informaes que a equipe deve levar em considerao ao desenvolver um
formulrio de declarao de risco:
Tabela 7: Formulrio de declarao de risco
Item Objetivo
Identificador do risco de
segurana
Nome usado pela equipe para identificar riscos
exclusivamente para fins de relatrio e controle.
Origem do risco de segurana Uma abrangente classificao da rea subjacente
da qual o risco de segurana se originou. Usado
para identificar reas onde causas razes
recorrentes do risco de segurana devem ser
pesquisadas.
Condio do risco de
segurana
(ameaa/explorao)
Frase que descreve a condio existente que pode
levar a uma perda. Forma a primeira parte de uma
declarao de risco de segurana.
Conseqncias do risco
(vulnerabilidade/impacto no
ativo)
Frase que descreve a perda que poder ocorrer se
um risco tiver uma conseqncia. Forma a
segunda parte de uma declarao de risco de
segurana.
Probabilidade do risco de
segurana
Probabilidade maior que zero e menor que 100%
que representa a possibilidade de uma condio de
risco realmente ocorrer, resultando em uma perda.
Classificao de impacto no
ativo
Abrangente classificao do tipo de impacto que
pode ser produzido por um risco.
Exposio do ativo Ameaa geral do risco, comparando a
possibilidade de perda real com a magnitude da
perda em potencial. A equipe usa a exposio para
classificar riscos. Para calcular a exposio
necessrio multiplicar a probabilidade pelo
impacto do risco.
Item Objetivo
Contexto do risco Pargrafo que contm informaes histricas que
ajudam a esclarecer a situao do risco de
segurana.
Riscos de segurana
relacionados
Lista de identificadores de risco usada pela equipe
para controlar riscos interdependentes.
Lista dos principais riscos de segurana
A anlise dos riscos de segurana avalia a ameaa de cada risco de segurana
para ajudar a equipe a decidir que problema requer uma ao. O gerenciamento
de segurana e o planejamento associado a ele so tarefas demoradas e
trabalhosas que roubam o tempo que poderia ser gasto em outras atividades;
portanto, importante que a equipe de segurana faa tudo o que for necessrio
para proteger os ativos mais valiosos.
Uma tcnica simples mas eficaz de monitoramento de riscos de segurana criar
uma lista dos principais riscos de segurana contendo as questes mais crticas.
Essa lista poder ficar externamente visvel para todos os participantes. Desse
modo, ela poder ser usada em outros projetos de TI ativos em que a segurana
possa ser afetada.
A organizao precisa determinar qual ser o contedo da lista dos principais
riscos de segurana com base em diversos fatores, inclusive tempo, recursos e
ativos. Depois de selecionar que riscos de segurana precisam ser gerenciados,
voc deve alocar recursos de equipe para desenvolver planos que englobem
esses riscos.
Depois de classificar os riscos de segurana, a equipe deve concentrar-se em
uma estratgia de gerenciamento para esses riscos e em um modo de incorporar
os planos de ao de segurana ao plano geral de avaliao de segurana.
Desativando riscos de segurana
Os riscos de segurana podem ser desativados ou classificados como inativos
para que a equipe se concentre em outros problemas que exijam gerenciamento
mais proativo. Classificar um risco de segurana como inativo significa que a
equipe de avaliao decidiu que esse risco no vale o esforo necessrio para
controlar a ameaa especfica no momento. A deciso de desativar um risco de
segurana tomada durante a anlise de risco.
Alguns riscos de segurana so desativados porque a probabilidade de sua
ameaa praticamente zero e possvel que permanea assim devido a suas
condies extremamente improvveis. Outros riscos de segurana so
desativados porque seu impacto nos ativos est abaixo do limite em que vale a
pena despender esforos para planejar uma atenuao proativa ou uma estratgia
de contingncia reativa. Nesses casos, simplesmente mais econmico sofrer as
possveis conseqncias desses riscos de segurana.
No aconselhvel desativar riscos de segurana acima desse limite de impacto
no ativo, mesmo que sua exposio seja baixa, a no ser que a equipe de
segurana esteja certa de que a probabilidade (e portanto, a exposio)
permanecer baixa em todas as circunstncias previsveis. Lembre-se de que
desativar um risco de segurana no o mesmo que resolv-lo. Um risco de
segurana desativado poder reaparecer sob determinadas condies e a equipe
de segurana poder optar por reclassific-lo como ativo e reiniciar as atividades
de avaliao de riscos de segurana.

Controlando, planejando, agendando e relatando riscos de segurana
Controlar os riscos de segurana identificados no Plano de Ao de Segurana e
implementar um processo de planejamento, agendamento e criao de relatrios
para remedi-los so as prximas etapas do processo. Com base nas prioridades
identificadas na etapa anterior, a equipe far alteraes de forma proativa,
modificando a infra-estrutura de tecnologia e implementando novos processos e
procedimentos de segurana.
Quando um risco no pode ser gerenciado de forma proativa, um plano reativo
gerado e executado quando um evento acionado. Aps a criao dos planos,
produzido um agendamento de implementao para as modificaes propostas.
Por fim, vrias tarefas de correo so atribudas a membros da equipe.
O agendamento envolve a integrao das tarefas necessrias implementao
dos planos de ao de segurana na agenda do projeto de avaliao. Isso feito
por meio da atribuio a indivduos e controle ativo de seus status.
A criao de relatrios consiste na redefinio de riscos que mudaram porque o
escopo e a definio do projeto e dos processos foram alterados. Esse tipo de
relatrio tambm conhecido como gerenciamento de alteraes de risco. A
criao de relatrios tambm consiste no fechamento de riscos de segurana a
partir dos principais riscos gerenciados de um projeto. A figura a seguir ilustra
toda essa etapa.
Figura 3
Controlando, planejando, agendando e relatando riscos
Objetivos
O objetivo principal da etapa de planejamento e agendamento de riscos de
segurana desenvolver planos de ao detalhados para controlar os principais
riscos de segurana identificados durante a anlise e integrar esses planos aos
processos padro de gerenciamento de projeto a fim de garantir que sejam
concludos.
Informaes
O planejamento de riscos de segurana deve estar totalmente integrado infra-
estrutura e aos processos padro de planejamento de projetos. importante
observar que h riscos associados ao prprio projeto de avaliao de segurana,
mas esses riscos so diferentes dos riscos de segurana reais. A implementao
de planos de ao de segurana leva risco ao projeto geral e deve ser gerenciada
com a metodologia da RMD da MSF. Normalmente, os riscos do projeto em
relao implementao do Plano de Ao de Segurana incluem tempo,
dinheiro e recursos.
As informaes relacionadas ao processo de planejamento de riscos de
segurana incluem no somente a lista mestra de riscos de segurana, a lista dos
principais riscos de segurana e as informaes do knowledge base de
segurana, mas tambm os planos de ao de segurana e os agendamentos de
implementao de segurana.
Atividades de planejamento
Ao desenvolver planos para reduzir a exposio dos ativos, voc deve:
Concentrar-se em riscos de segurana de exposio alta.
Abordar a condio de ameaa (ameaa, exploraes) para reduzir a

probabilidade.
Procurar causas razes da questo de segurana em vez de sintomas.
Abordar as conseqncias sobre o ativo (vulnerabilidade e ativo) para

minimizar o impacto no ativo.
Determinar a causa raiz da questo de segurana e procurar situaes

semelhantes resultantes da mesma causa que possam afetar os mesmos ou
outros ativos.
Ficar atento s dependncias e interaes de ameaas, exploraes e

vulnerabilidades entre riscos de segurana.
Existem diversas abordagens de planejamento para reduzir diferentes condies
de risco de projeto. Essas abordagens incluem:
Para riscos de projeto que possam ser controlados pela equipe, aplique os
recursos de equipe necessrios para a reduo da probabilidade da condio de
ameaa. Essa abordagem de gerenciamento de riscos de segurana proativa.
Para riscos de projeto fora do controle da equipe, encontre uma possvel

soluo temporria ou transfira (escale) o risco de segurana para pessoas que
tenham autoridade para intervir.
Para riscos de projeto fora do controle da equipe que no possam ser

transferidos ou gerenciados proativamente, e equipe deve desenvolver planos
para minimizar o impacto no ativo ou sua perda. Essa abordagem de
gerenciamento de riscos de segurana reativa.
Planejamento de aes de segurana
Existem seis abordagens principais para o planejamento de aes de segurana e
sua equipe deve considerar os problemas associados a cada uma delas, listadas
aqui resumidamente, ao formular o plano de ao de riscos de segurana. As
abordagens so definidas mais detalhadamente a seguir.
Pesquisa. A equipe de segurana sabe o bastante sobre o risco de segurana?

Voc precisa estudar mais a ameaa, a explorao, a vulnerabilidade ou os
ativos para determinar melhor as caractersticas desses componentes antes de
decidir que ao deve ser executada?
Aceitao. Voc est disposto a aceitar o risco e no executar nenhuma ao

proativa, com exceo dos planos de contingncia? Talvez voc deva
considerar aceitar um risco se o valor de EPA do ativo for menor que o valor do
ativo e se o impacto nos negcios for baixo. Sua organizao poder suportar as
conseqncias se o risco de segurana realmente ocorrer?
Evitar Riscos. H uma maneira de evitar riscos eliminando a fonte do risco ou

a exposio de um ativo ao risco? Esta uma reao extrema e s deve ser
realizada quando o impacto do risco for maior que o benefcio obtido com o
ativo. A organizao pode evitar riscos alterando o escopo do projeto de
implementao?
Transferncia. possvel transferir riscos repassando parcialmente a

responsabilidade pelo risco a terceiros, como uma empresa de seguros ou uma
empresa de servios gerenciados? A transferncia de riscos est se tornando
uma estratgia de segurana cada vez mais importante. A organizao pode
evitar o risco de segurana transferindo-o para outro grupo, outra equipe, outra
pessoa ou para uma organizao externa?
atenuao. Voc pode atenuar riscos alterando de forma proativa a exposio

do ativo ao risco ou alterando a importncia do ativo para a organizao? Pense
em uma estratgia de atenuao de riscos se a EPA for menor que o valor do
ativo e se voc puder realizar aes proativas. A atenuao a principal
estratgia de gerenciamento de riscos. Voc pode fazer tudo para reduzir a
probabilidade de ameaa ou o impacto do risco de segurana no ativo?
Planejamento de contingncias. O impacto pode ser reduzido com uma

resposta a incidentes planejada? Planos de contingncia corretamente criados
reduziro o impacto quando um risco se tornar um problema ou um incidente.
Aps o incidente de segurana, um disparador poder ser usado para que o
plano de contingncia seja executado apropriadamente.
Pesquisa
Grande parte dos riscos de projetos de segurana est relacionada a incertezas
que envolvem informaes incompletas. Geralmente, os riscos de segurana
relacionados falta de conhecimento podem ser resolvidos ou gerenciados de
forma eficaz se for possvel aprender mais sobre a ameaa, a explorao, as
vulnerabilidades ou sobre o prprio ativo antes de continuar.
Por exemplo, uma equipe pode optar por realizar uma avaliao de
vulnerabilidade ou conduzir uma anlise de segurana para aprender mais sobre
o ambiente ou a habilidade da equipe em reagir a uma violao de segurana
antes de concluir o plano de implementao de segurana. Se a deciso da
equipe for executar uma pesquisa, o Plano de Ao de Segurana dever conter
uma proposta de pesquisa adequada que inclua as reas a serem testadas e os
problemas a serem respondidos, como a criao da equipe e os equipamentos
necessrios.
Aceitao
Para alguns riscos de segurana, principalmente ameaas relacionadas a
desastres naturais, simplesmente impraticvel intervir com medidas
preventivas ou corretivas eficazes. Portanto, a equipe pode simplesmente optar
por aceitar a questo de segurana. Contudo, planos de atenuao proativa e
contingncia reativa ainda devem ser desenvolvidos. Um compromisso corrente
em monitorar um risco de segurana deve contar com os recursos apropriados e
as medidas de controle estabelecidas.
Observao: a aceitao no uma estratgia de passividade. O Plano de Ao
de Segurana da organizao deve incluir uma lgica documentada explicando
os motivos que levaram a equipe a optar por aceitar o risco.
Evitar Riscos
Um risco de segurana pode ser identificado como facilmente controlvel por
meio da alterao do escopo de avaliao. A alterao do escopo de avaliao
realizada para "eliminar" totalmente o risco de segurana chamada de tcnica
de evitao. Nesses casos, o Plano de Ao de Segurana deve incluir a
documentao da lgica para essas decises e o plano de implementao de
segurana deve ser atualizado com os processos de alterao de escopo e com as
alteraes de design necessrias.
Transferncia
s vezes, possvel transferir um risco de segurana para que seja gerenciado
por uma entidade externa organizao. Estes so alguns exemplos de
transferncia de risco de segurana:
Seguro.
Uso de consultores externos mais especializados.
Servios terceirizados.
A transferncia do risco de segurana no significa que ele ser eliminado.
Normalmente, uma estratgia de transferncia gera novos riscos de segurana
que ainda exigem gerenciamento proativo, mas a transferncia do risco reduz a
ameaa a um nvel mais aceitvel. Por exemplo, a terceirizao da infra-
estrutura de TI pode transferir riscos de segurana para fora da equipe de
segurana, mas tambm pode introduzir novos riscos relacionados
confidencialidade dos ativos que a organizao est tentando proteger.
atenuao
A atenuao de riscos de segurana envolve a execuo de aes proativas que
impediro que um risco de segurana ocorra ou reduziro o impacto ou as
conseqncias a um nvel aceitvel. O gerenciamento proativo de riscos de
segurana por meio de atenuao difere da abordagem de evitao. A atenuao
concentra-se na preveno e na minimizao das ameaas a nveis aceitveis. J
a evitao de riscos de segurana altera o escopo da avaliao para impedir que
as atividades que envolvem um risco inaceitvel ocorram.
O objetivo principal da atenuao de riscos de segurana reduzir a
probabilidade de ocorrncia da ameaa. Por exemplo, a utilizao de uma
diretiva de senha forte reduzir a probabilidade de um usurio externo adivinhar
uma senha para acessar o sistema da folha de pagamento.
Planejamento de contingncias
O planejamento de contingncias de risco de segurana envolve a criao de um
ou mais planos de resposta a incidentes que possam ser ativados caso os
esforos realizados para impedir um ataque falhem. bom criar planos de
contingncia para todos os riscos de segurana, inclusive aqueles que tm planos
de atenuao. A razo disso muito simples: mesmo que a organizao
desenvolva bons planos de segurana proativos, poder haver ameaas,
exploraes ou vulnerabilidades desconhecidas capazes de danificar ativos.
O planejamento de contingncias de segurana precisa informar o que dever ser
feito se a ameaa ocorrer e precisa concentrar-se na conseqncia e em como
minimizar o impacto no ativo. A equipe deve criar planos de resposta a
incidentes e planos de restabelecimento de negcios para garantir que voc
possa reagir de forma eficaz durante e aps um ataque.
Voc pode estabelecer valores disparadores para planos de contingncia com
base no tipo de ameaa, explorao ou vulnerabilidade que possa ser
encontrado. Por segurana, um disparador geralmente um evento. Isso
significa que preciso que haja uma maneira de registrar esse evento e de
notificar a equipe de resposta adequada para a execuo dos planos de
contingncia.
Existem dois tipos de disparadores de planos de contingncia:
Disparadores agendados. Os disparadores agendados so criados de acordo

com datas, geralmente a ltima data em que algo deva ocorrer. As datas podem
ser definidas de acordo com diretrizes organizacionais ou legais que
proscrevam quando determinadas medidas de segurana ocorrem.
Disparadores de limite. Disparadores de limite dependem de itens que possam

ser medidos ou contados. Por exemplo, um evento auditado registrado por um
sistema de deteco de intruso pode garantir um exame e a possvel ativao
de um plano de contingncia.
importante que a equipe de segurana concorde com outras equipes da
organizao a respeito de disparadores de planos de contingncia e de medidas
associadas a eles para que no haja atraso na execuo desses planos.
Atividades de agendamento
O agendamento de atividades de gerenciamento e controle de riscos de
segurana no difere da abordagem recomendada pela MSF para o agendamento
de atividades de projeto em geral. importante que a equipe de segurana
compreenda que as atividades de correo ou controle de segurana so uma
parte esperada da avaliao e do gerenciamento de riscos de segurana.
Resultados
O resultado da produo do Plano de Ao de Segurana deve incluir planos de
gerenciamento de segurana proativos e reativos que usem uma das seis
abordagens apresentadas acima: pesquisa, aceitao, evitao, transferncia,
atenuao ou o desenvolvimento de planos de contingncia. As tarefas
especficas para a implementao desses planos de segurana devem ser
integradas aos agendamentos padro de implementao de segurana. Se houver
alteraes no ambiente tcnico, elas devero ser documentadas em uma
especificao funcional.
O agendamento e o Plano de Ao de Segurana devem ser responsveis por
ajustes em recursos e escopos dedicados, o que resultar em um conjunto de
itens de ao de segurana que especificam que tarefas individuais devem ser
concludas por membros da equipe de segurana. A lista mestra de riscos de
segurana deve ser atualizada para refletir as informaes adicionais includas
nos planos proativos de contingncia (atenuao) e reativos. conveniente
resumir os planos de gerenciamento de riscos de segurana em uma nica rea
do documento no formulrio de ao de riscos de segurana.
Atualizando o agendamento de implementao de segurana e o plano de
implementao de segurana
Os planos de implementao de segurana devem incluir planos proativos e
reativos. Ao atualizar o plano de implementao de segurana, considere o
seguinte:
As condies do risco, inclusive a probabilidade de ocorrncia e o impacto do

risco
A alterao de condies, como a maior probabilidade de um risco ocorrer ou o
menor impacto financeiro de um risco, exigir que a equipe atualize o plano de
gerenciamento de riscos.
A eficcia do esforo de atenuao

A equipe pode achar que alguns dos esforos de atenuao so ineficazes.
Freqentemente, isso ocorre quando uma diretiva tcnica que entra em conflito
com processos de negcios implementada. s vezes, os funcionrios
subvertem a diretiva tcnica encontrando solues temporrias para ela a fim
de atingir seus objetivos de negcios.
A eficcia de planos de contingncia e disparadores

Ao longo do tempo, os riscos de segurana identificados no plano de
gerenciamento de riscos ocorrem. Aps o incidente de segurana, determine se
os planos de contingncia e os disparadores de inicializao de respostas foram
eficazes.
Sua equipe deve monitorar riscos de segurana nos trs intervalos de tempo a
seguir:
Tempo real. Use aplicativos, como software de deteco de intruso, para

monitorar continuamente computadores e dispositivos de rede e para tomar
decises predeterminadas com base no risco.
Peridico. Avalie riscos regularmente a perodos agendados, como bimestral

ou trimestralmente.
Ad hoc. Avalie riscos a intervalos no agendados. O monitoramento ad hoc

quase sempre realizado em resposta a um incidente de segurana crtico ou a
uma alterao na rede.

Desenvolvimento de correo de risco de segurana
O desenvolvimento de contramedidas e procedimentos operacionais so
essenciais para a estratgia de segurana da organizao. Os riscos de segurana
podem ser gerenciados de forma proativa por meio de um processo de proteo
tecnolgica ou do desenvolvimento de diretivas que englobem a organizao
inteira.
Geralmente, a instalao padro de um sistema operacional, um aplicativo ou
um banco de dados tem configuraes de segurana pouco severas para
simplificar o trabalho do administrador de TI ou do desenvolvedor de software.
Antes da implantao de produo dessas tecnologias, a tecnologia que est
sendo implantada deve fazer parte de um "processo de proteo".
O processo de proteo do servidor pode envolver a remoo de configuraes
de segurana padro e de componentes de software desnecessrios. A equipe de
TI deve se manter atualizada em relao a vulnerabilidades de tecnologia
conhecidas e a exploraes atuais para instalar as verses mais recentes de
hotfixes de software e segurana.
O processo de desenvolvimento de estratgias de segurana tambm inclui o
desenvolvimento de sistemas, diretivas e procedimentos para controlar e criar
relatrios de riscos de segurana no percebidos. Isso ajudar a verificar se as
medidas preventivas da infra-estrutura de tecnologia esto funcionando e a
validar a eficcia das novas diretivas e procedimentos.
Tambm deve haver um sistema de relatrios para registrar eventos suspeitos ou
ameaas em potencial que exijam ateno imediata. Alm de um sistema
automatizado para o controle de riscos de segurana, um processo manual
tambm pode ser usado. O controle de riscos de segurana permite que a equipe
do projeto faa ajustes a planos para acomodar novos riscos de segurana.
O controle a funo de monitoramento do plano de ao de risco. Isso
essencial para a implementao eficaz de planos de ao de segurana. O
controle garante que medidas preventivas ou planos de contingncia sejam
concludos de forma adequada e dentro de restries de recursos do projeto.
Durante o controle de risco, as principais atividade executadas pela equipe so o
monitoramento de medidas de risco e a certificao de que eventos sero
disparados para que aes de risco planejadas entrem em vigor.
Objetivos
O objetivo do processo de desenvolvimento de correes documentar
alteraes necessrias de arquitetura, bem como novos processos ou alteraes
no procedimento.
Informaes
As principais informaes para o processo de desenvolvimento de correo de
risco de segurana so os planos de risco de segurana que contm a atenuao
de segurana especfica e os planos de contingncia que determinam as ameaas,
as exploraes e as vulnerabilidades dos riscos de segurana da organizao. O
desenvolvimento de correes tambm requer que sistemas e processos sejam
desenvolvidos para monitorar os disparadores identificados para os planos de
contingncia que podem ser executados.
Atividades de desenvolvimento
As atividades de desenvolvimento do processo de correo de risco de
segurana so semelhantes s atividades de desenvolvimento de um projeto
comum de desenvolvimento de infra-estrutura. Por exemplo, o desenvolvimento
de mtodos para o gerenciamento de alteraes de patches do sistema.
Alteraes de design realizadas na infra-estrutura devem ser documentadas em
uma especificao funcional, e talvez diretivas e procedimentos precisem ser
modificados para acomodar os novos requisitos de segurana. Durante esse
processo, se novos sistemas forem implementados para fornecer funcionalidade
de monitoramento e auditoria, o design e o gerenciamento dos sistemas tambm
devero ser especificados.
Estes so alguns exemplos de estatsticas de projeto s quais podem ser
atribudas estatsticas de disparadores agendados e que devem ser continuamente
controladas:
Boletins de segurana abertos e no resolvidos de um aplicativo, de um servio

ou de um sistema operacional.
Mdia de horas extras registradas por semana pelos engenheiros de infra-

estrutura.
O nmero de revises de requisitos ou solicitaes de gerenciamento de

alteraes por semana.
Procedimentos de criao de relatrios de status de risco tambm devem ser
desenvolvidos nesta fase. A criao de relatrios de risco deve operar em dois
nveis: para a prpria equipe e para a criao de relatrios externos para o
conselho do projeto.
Para a equipe de segurana, relatrios regulares de status de risco devem levar
em considerao estas quatro possveis situaes de gerenciamento de riscos que
se aplicam a cada risco:
Um risco resolvido, concluindo o plano de ao de risco. O risco totalmente

resolvido deve ser documentado como fechado e arquivado no Plano de Ao
de Segurana.
Aes de risco so consistentes com o plano de gerenciamento de riscos e esto

de acordo com sua agenda.
Algumas aes de risco no esto de acordo com o plano de gerenciamento de

riscos. Nesse caso, medidas corretivas devem ser definidas e implementadas.
A situao de risco mudou significativamente em relao a um ou mais riscos

e, portanto, o plano de ao de risco deve ser reformulado.
Para a criao de relatrios externos para o conselho do projeto e outros
participantes, a equipe deve relatar os principais riscos e resumir o status das
aes de gerenciamento de riscos. Tambm til mostrar a classificao de
riscos anterior e o nmero de vezes que cada risco esteve na lista dos principais
riscos.
medida que a equipe do projeto executa aes para gerenciar riscos, a
exposio total de riscos do projeto deve comear a se aproximar de nveis
aceitveis.
Resultados
O resultado da fase de correo a especificao das alteraes de segurana
que devem ser atualizadas nos seguintes itens:
Especificao funcional
Procedimentos e diretivas operacionais
Planos de implementao de segurana atualizados
Agendamentos de implementao de segurana atualizados

Teste de correes de segurana
A etapa de teste de correo de segurana foi criada para garantir que a eficcia
dos planos de segurana seja testada. A equipe deve executar atividades
relacionadas ao teste das estratgias proativas e reativas (contramedidas e
procedimentos) para determinar a eficcia do Plano de Ao de Segurana.
Para medir a eficcia de contramedidas, diretivas e procedimentos recentemente
desenvolvidos, voc deve examinar cada risco a ser abordado e testar a
estratgia associada a esses riscos em relao a ameaas, exploraes,
vulnerabilidades e ativos da organizao.
Talvez seja necessrio, com base em testes de correo de risco de segurana,
modificar o plano de ao de segurana para melhorar sua eficcia, sua validade
e sua capacidade de resposta a eventos disparadores de segurana.
Os resultados e as lies aprendidas com a execuo dos planos de teste de
segurana so incorporados a um documento de teste para que se tornem parte
da base de conhecimento de segurana da organizao. importante coletar o
mximo possvel de informaes durante o teste para determinar a eficcia
desses planos.
Objetivos
O objetivo do processo de teste de correo de segurana testar a eficcia dos
diversos planos de segurana que a equipe do projeto criou para os principais
riscos de segurana. Os planos de ao de segurana devem avaliar e testar o
seguinte:
A eficcia dos planos de atenuao e contingncia.
As estatsticas de segurana associadas a eventos ou disparadores de planos de

contingncia.
Contramedidas de segurana. Podem incluir uma segunda avaliao de

vulnerabilidade para determinar se estas foram implementadas corretamente.
Informaes
As informaes sobre o processo de controle de riscos de segurana so os
formulrios de ao de segurana que descrevem detalhadamente as atividades a
serem realizadas por membros da equipe do projeto para ajudar a abordar cada
questo de segurana. Os resultados dos testes devem documentar a eficcia dos
planos proativos e reativos para determinar se so apropriados para os requisitos
de segurana da organizao.
Atividades de teste
As atividades de teste de correo de segurana devem medir a eficcia de cada
contramedida e plano de incidente desenvolvido. importante manter testes
contnuos de correo de risco de segurana para detectar os riscos de segurana
secundrios que possam surgir devido a novas contramedidas.
Resultados
O resultado da etapa de teste de correo de segurana um documento ou um
"banco de dados de questes" que pode ajudar a documentar o andamento, at a
concluso, da implementao dos planos de ao de segurana da organizao.
til que a equipe de teste faa um resumo das estratgias de segurana que
funcionaram e das que no funcionaram. Esse resumo tambm deve informar a
eficcia das diretivas e dos procedimentos criados recentemente.

Registrando conhecimento sobre segurana
O conhecimento adquirido durante a avaliao de segurana e o processo de
implementao deve ser registrado para uso futuro. Essa a sexta e ltima fase
do processo de avaliao de risco de segurana. Ela acrescenta uma perspectiva
estratgica, empresarial ou organizacional s atividades de gerenciamento de
riscos de segurana.
extremamente importante que as contramedidas, as diretivas e os
procedimentos desenvolvidos durante essa avaliao de segurana sejam
registrados para que possam ser reutilizados por futuras equipes de projeto.
medida que sua organizao inicia futuras iniciativas de TI, esses projetos
podem usar o conhecimento adquirido na avaliao para garantir que as novas
solues implementadas sejam seguras.
O aprendizado proveniente da avaliao de risco de segurana deve ser
registrado em um formato conveniente para fornecer as informaes mais
atualizadas. O registro de conhecimentos sobre segurana concentra-se nestes
trs objetivos principais:
O registro de lies aprendidas, especialmente aquelas que esto relacionadas

identificao de riscos de segurana e s estratgias de atenuao bem-
sucedidas, para o benefcio de outras equipes, contribuindo assim com a base
de conhecimento de segurana.
O aumento da eficcia da prontido operacional no que se refere capacidade

da organizao de executar planos de resposta a incidentes e reutiliz-los em
outras reas.
O aperfeioamento do processo de avaliao de risco de segurana, por meio

do registro de comentrios da equipe.
Registrando o aprendizado dos riscos de segurana
A classificao de riscos de segurana um mtodo poderoso de garantir que as
lies aprendidas em experincias anteriores sejam disponibilizadas a equipes
que executaro futuras avaliaes de risco de segurana. Estes so trs
importantes aspectos da aprendizagem que so freqentemente registrados com
as seguintes classificaes de risco:
1. Novos riscos. Se encontrar um problema que no tenha sido identificado
anteriormente como risco de segurana, a equipe dever rever se algum sinal
(ameaas, exploraes, vulnerabilidades ou outros indicadores) poderia ter
previsto o risco de segurana. possvel que as listas de riscos de segurana
existentes precisem ser atualizadas para ajudar na futura identificao da
condio do risco de segurana. Tambm possvel que a equipe tenha
identificado um novo risco de segurana que deva ser adicionado ao
knowledge base de segurana existente.
2. Estratgias de atenuao bem-sucedidas. Registre a experincia de
estratgias bem e malsucedidas para atenuar riscos de segurana. O uso de
uma classificao padro de riscos de segurana oferece uma maneira
significativa de agrupar riscos relacionados para que as equipes possam
encontrar com facilidade detalhes de estratgias de gerenciamento de riscos
de segurana aplicadas com xito no passado.
3. Estratgias de contingncia bem-sucedidas. Se um plano de contingncia
funcionar para proteger um ativo contra um tipo especfico de
vulnerabilidade, ele poder ser til para proteger outro ativo.
Gerenciando o aprendizado dos riscos de segurana
As organizaes que usam tcnicas de gerenciamento de riscos de segurana
freqentemente descobrem que precisam criar uma abordagem estruturada para
o gerenciamento de riscos de segurana. Para facilitar essa tarefa com xito,
estas trs condies devem ser atendidas:
1. Compartilhe a responsabilidade com indivduos da sua equipe de segurana
definindo os proprietrios de reas especficas de classificao de riscos de
segurana com aprovao para alteraes. A deciso de quem ser o
proprietrio est relacionada ao tipo e classificao do ativo.
2. Procure equilibrar as classificaes de riscos de segurana, a necessidade de
contramedidas abrangentes, a complexidade e a facilidade de uso. s vezes,
a criao de classificaes de riscos diferentes para tipos de projeto
diferentes pode melhorar drasticamente a facilidade de uso.
3. Mantenha a uma base de conhecimento de segurana para armazenar
classificaes, definies e testes de riscos de segurana, critrios de eficcia
de monitoramento e medidas para registrar experincias operacionais e de
usurios das novas medidas de segurana.
Classificaes de riscos de segurana especficas do contexto
A identificao de riscos de segurana pode ser aperfeioada com o
desenvolvimento de classificaes de risco para implementaes de solues
especficas. Por exemplo, em um projeto de desenvolvimento de aplicativo pode
haver classificaes especficas de riscos de segurana para esse projeto e
classificaes de riscos de segurana de um projeto de implantao de infra-
estrutura. Com a aquisio de mais experincia em relao ao contexto de
segurana, os procedimentos e as diretivas de segurana podem se tornar mais
especficos e podem ser associados a estratgias de atenuao bem-sucedidas.
Base de conhecimento de segurana
A base de conhecimento de segurana um mecanismo formal ou informal
usado para arquivar lies a fim de auxiliar futuras avaliaes de segurana.
Sem algum tipo de base de conhecimento, sua organizao pode enfrentar
dificuldades para adotar uma abordagem proativa para o gerenciamento de
segurana.
Se houver um conjunto conhecido de ameaas, exploraes e vulnerabilidades
registradas na base de conhecimento, ser mais fcil desenvolver um plano de
atenuao contra elas devido pesquisa registrada. O knowledge base de
segurana diferente do banco de dados de gerenciamento de riscos de
segurana, que usado para armazenar e controlar itens, planos e status de
riscos de segurana individuais.
Desenvolvendo o gerenciamento de conhecimento sobre riscos de segurana
A base de conhecimento de riscos de segurana o principal mecanismo de
aperfeioamento contnuo do gerenciamento de riscos de segurana.
A princpio, provvel que as equipes de processos e projetos de segurana da
organizao no tenham uma base de conhecimento. As equipes precisam
comear do zero sempre que empreendem uma avaliao de risco de segurana.
Nesse ambiente, a abordagem do gerenciamento de riscos de segurana
geralmente reativa, ocorrendo aps uma violao ou um evento que dispare
um projeto. Nessa situao, o objetivo fazer que a organizao eleve seu nvel
de gerenciamento ativo de riscos de segurana.
Posteriormente, a organizao pode desenvolver uma base de conhecimento
informal de segurana usando o aprendizado implcito adquirido de membros
mais experientes que esto familiarizados com as questes de segurana
relacionadas a pessoas, processos e tecnologias ou de membros que so
especialistas no assunto. Geralmente, isso conseguido com a implementao
de um grupo de discusso de segurana. Essa abordagem encoraja o
gerenciamento ativo de avaliao de risco de segurana e pode levar a um
gerenciamento proativo por meio da introduo de diretivas de segurana.
O primeiro nvel de desenvolvimento da base de conhecimento atingido com o
fornecimento de uma abordagem mais estruturada para a identificao de riscos
de segurana. Com a indexao e o registro formal de questes de segurana, a
organizao ser capaz de realizar um gerenciamento muito mais proativo
medida que as causas subjacentes dos riscos de segurana comearem a ser
identificadas.
Por fim, as organizaes maduras registram no somente indicadores que
possivelmente levaro a riscos de segurana, mas tambm as estratgias
adotadas para gerenciar esses riscos de segurana e suas taxas de xito. Com
esse tipo de base de conhecimento, a identificao de segurana e as etapas de
planejamento do processo de riscos de segurana podem ser baseados na
experincia compartilhada de muitas equipes e sua organizao pode comear a
otimizar os custos do gerenciamento de riscos de segurana.
Ao considerar o modo como a base de conhecimento de riscos de segurana
deve ser implementado na organizao, lembre-se que a experincia mostra que:
O valor da base de conhecimento de riscos de segurana aumenta medida que

uma maior parte do trabalho torna-se repetitiva (como a concentrao em
outros projetos que afetam processos operacionais contnuos ou de segurana).
Quando a organizao est executando uma reviso de segurana semelhante,

mais fcil manter uma base de conhecimento menos complexa.
O gerenciamento de riscos de segurana no deve se tornar um processo

automatizado que impea a equipe de pensar sobre os riscos de segurana.
Mesmo em situaes repetitivas, o ambiente de negcios, a habilidade dos
atacantes e a tecnologia esto sempre mudando. A equipe de segurana deve
avaliar as estratgias adequadas de gerenciamento de riscos de segurana para o
ambiente com base nas pessoas, nos processos e nas tecnologias existentes.

Concluso
Este mdulo explica a prticas comprovadas derivadas de mtodos de anlise de
segurana e processos formulados na MSF e na MOF. Ele detalhou os processos
usados na SRMD para determinar os custos necessrios para proteger os ativos
da organizao. Por fim, mostrou as etapas recomendadas para a formao de
uma equipe de segurana para criar e executar planos de ao de segurana que
impediro ataques contra o ambiente da organizao e permitiro que haja uma
reao contra esses ataques.
Referncias
Para obter informaes sobre a MSF, consulte:
http://www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx.
Para obter informaes sobre a MOF, consulte:
http://www.microsoft.com/technet/itsolutions/techguide/mof/default.mspx.
Para obter informaes sobre crimes de informtica, consulte:
http://www.gocsi.com/press/20020407.html.
Para obter informaes sobre avaliao de ameaas, consulte: "Threat
Assessment of Malicious Code and Human Threats", de Lawrence E. Bassham
& W. Timothy Polk: National Institute of Standards and Technology Computer
Security Division, em: http://csrc.nist.gov/publications/nistir/threats/index.html.
Para obter informaes recomendaes de segurana de informaes, consulte:
http://www.iso-17799.com/.
Para obter informaes sobre hackers, consulte:
http://www.hackingexposed.com/.
Para obter informaes sobre ameaas segurana na Microsoft TechNet,
consulte:
http://www.microsoft.com/technet/security/bestprac/bpent/sec1/secthret.mspx.
Para obter informaes sobre atribuio de valores de ativos do National
Institute of Standards and Technology, consulte: http://csrc.nist.gov/asset/

Gerenciamento de Riscos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gerenciamento de Riscos

Enviado por

Direitos autorais:

Formatos disponíveis

Material disponvel em:

Leia o mdulo"Definindo o cenrio de segurana do Windows 2000", antes

Aps ler o mdulo atual, consulte os recursos listados na seo "Mais

Diretivas de segurana fsica de computadores, como controles de acesso fsico

Diretivas de segurana de dados (controle de acesso e controles de integridade)

Planos e testes de contingncia e recuperao de desastres

Reconhecimento e treinamento de segurana de computadores

Diretivas de gerenciamento e coordenao de segurana de computadores

Senhas de BIOS de computador

Senhas de configurao de roteador

Documentos de controle de acesso

Outras senhas de gerenciamento de dispositivos

Uma simulao de ataque de vrus de email em um sistema de laboratrio,

Um teste para determinar se os funcionrios esto sujeitos a ataques de

Uma simulao de desastre em um centro de dados. Medir o tempo de

Uma simulao de um ataque de vrus mal-intencionado. Medir o tempo

Ser ensaiados periodicamente para manter a equipe atualizada com as etapas de

Englobar a atualizao de software antivrus, service packs e hotfixes.

Abordar os procedimentos de mudana dos servidores de produo para outro

Incluir uma reviso de fechamento das diretivas de segurana e dos planos de

Avaliar as diretivas e os controles de segurana da organizao para aproveitar

Avaliar os procedimentos de respostas de emergncia atuais e seus efeitos nas

Desenvolver respostas planejadas para ataques e integr-las aos planos de

Avaliar procedimentos de backup, incluindo as documentaes e os testes de

Avaliar os planos de recuperao de desastres a fim de determinar se as etapas

Criar um documento detalhado descrevendo as descobertas necessrias para

Detalhes sobre cenrios de usurios para testar os planos de contingncia.

Detalhes sobre o impacto que dependncias, como obter ajuda externa e

Uma lista de prioridades observadas nas operaes de recuperao e a lgica

Detalhes sobre caminhos de escalao para que, quando um plano de

Desenvolver diretrizes para lidar com incidentes.

Preparar caminhos e procedimentos de escalao para a aplicao de leis

Identificar ferramentas de software para resposta a incidentes e eventos.

Pesquisar e desenvolver outras ferramentas de segurana de computadores.

Realizar atividades de treinamento e percepo.

Realizar pesquisas sobre vrus.

Realizar estudos sobre ataques ao sistema.

Qual o valor do ativo para a empresa?

Quanto custa a manuteno ou a proteo do ativo?

Quanto o ativo gera de lucros para a empresa?

Quanto o ativo valeria para os concorrentes?

Quanto custaria a recriao ou a recuperao do ativo?

Quanto custou a aquisio ou o desenvolvimento do ativo?

O valor geral do ativo para a organizao. Calcule ou estime o valor do ativo em

O impacto financeiro imediato da perda do ativo. Se o mesmo site ficar

O impacto de negcios indireto da perda do ativo. Neste exemplo, a empresa

Valores monetrios atribudos aos ativos.

Uma lista abrangente de ameaas significativas.

A probabilidade de ocorrncia de cada ameaa.

Salvaguardas, contramedidas e aes recomendadas.

Dependncias entre riscos de segurana

Proprietrios dos ativos da empresa

Identificao de aes crticas.

Concentrar-se em riscos de segurana de exposio alta.

Abordar a condio de ameaa (ameaa, exploraes) para reduzir a

Procurar causas razes da questo de segurana em vez de sintomas.

Abordar as conseqncias sobre o ativo (vulnerabilidade e ativo) para

Determinar a causa raiz da questo de segurana e procurar situaes

Ficar atento s dependncias e interaes de ameaas, exploraes e

Para riscos de projeto fora do controle da equipe, encontre uma possvel

Para riscos de projeto fora do controle da equipe que no possam ser

Pesquisa. A equipe de segurana sabe o bastante sobre o risco de segurana?

Aceitao. Voc est disposto a aceitar o risco e no executar nenhuma ao

Evitar Riscos. H uma maneira de evitar riscos eliminando a fonte do risco ou