Você está na página 1de 5

Anlise de Risco: o que se diz, o que se faz, e o que realmente perceptvel o crescente interesse das organizaes brasileiras por

or saber qual seu grau de exposio frente s ameaas capazes de comprometer a estabilidade da sua operao. So ameaas que nos fazem suar frio: concorrentes, hackers, funcionrios insatisfeitos, que somadas ao grande nmero de vulnerabilidades nos sistemas tecnolgicos, materializam o nvel de risco de uma organizao. Arriscar faz parte da estratgia, conhecer e gerenciar os riscos administrar o futuro. Antes de detalhar o que representa uma Anlise de Risco, vamos sincronizar nossos termos. Por segurana entende-se certeza. Garantir que as suas estratgias retornaro no nvel desejado significa identificar e entender os riscos, para ento administr-los. Estar vivo, por exemplo, significa arriscar diariamente. Atravessar a rua, ir ao jogo de futebol ou dirigir so exemplos de situaes que envolvem fatores de risco; mas como j estamos acostumados a enfrent-los, formamos um instinto natural para o clculo de energia utilizada para minimizar e controlar os riscos. Podemos utilizar a mesma analogia para o mundo corporativo onde o estilo de vida a operao da empresa, a exposio o alcance da sua operao, e a energia investida para minimizar os riscos o investimento despendido para conhecer e controlar a situao. Como analisar riscos sem estudar minuciosamente os processos de negcio que sustentam sua organizao? Como classificar o risco destes processos sem antes avaliar as vulnerabilidades dos componentes de tecnologia relacionados a cada processo? Quais so os seus processos crticos? Aqueles que sustentam a rea comercial, a rea financeira ou a produo? Voc saberia avaliar quantitativamente qual a importncia do seu servidor de web? Para cada pergunta, uma mesma resposta: conhecer para proteger. A Anlise de Risco se divide em cinco partes de igual importncia: isoladas, estas partes representam muito pouco ou quase nada. Alinhados e geridos de forma adequada, estes componentes da anlise de risco podem apontar caminhos seguros na busca ao nvel adequado de segurana de uma organizao. Os cinco pontos so: Identificao e Classificao dos Processos de Negcio Identificao e Classificao dos Ativos

Anlise de Ameaas e Danos Anlise de Vulnerabilidades Anlise de Risco Utiliza-se como mtrica as melhores prticas de segurana da informao do mercado, apontadas na norma ISO/IEC 17799. A partir destas informaes faz-se possvel a elaborao do perfil de risco, que segue a frmula: (Ameaa) x (Vulnerabilidade) x (Valor do Ativo) = RISCO. Ateno: a ISO/IEC 17799 no ensina a analisar o risco, serve apenas como referncia normativa. O que mais incomoda aos consultores exigentes, o crescente nmero de empresas de segurana da informao que dizem preparar a anlise de risco, mas na verdade fazem, quando muito, uma anlise de vulnerabilidades. Coisa muito sem sentido, mas que at engana, afinal de contas os conceitos de Anlise de Risco so ainda pouco conhecidos. Analisar riscos, definitivamente no significa passar um scanner automtico na rede. Desconfie quando propuserem analisar o risco, sem mencionar como ser avaliada a ameaa e como sero valorados os ativos (tecnolgicos, humanos e processuais). So muitas as dvidas sobre o assunto. Reuni neste artigo apenas algumas, representando de maneira bastante objetiva, o que acredito ser de interesse dos gestores de tecnologia. A -Por que fazer uma anlise de risco? Durante o planejamento do futuro da empresa, a Alta Administrao deve garantir que todos os cuidados foram tomados para que seus planos se concretizem. A formalizao de uma Anlise de Risco prov um documento indicador de que este cuidado foi observado. O resultado da Anlise de Risco d organizao o controle sobre seu prprio destino atravs do relatrio final, pode-se identificar quais controles devem ser implementados em curto, mdio e longo prazo. H ento uma relao de valor; ativos sero protegidos com investimentos adequados ao seu valor e ao seu risco. B - Quando fazer uma anlise de riscos? Uma anlise de riscos deve ser realizada sempre antecedendo um investimento. Antes da organizao iniciar um projeto, um novo processo de negcio, o desenvolvimento de uma ferramenta ou at mesmo uma relao de parceria, deve-se

mapear, identificar e assegurar os requisitos do negcio. Em situaes onde a organizao nunca realizou uma Anlise de Risco, recomendamos uma validao de toda a estrutura. C. Quem deve participar da anlise de riscos? O processo de anlise de riscos deve envolver especialistas em anlise de riscos e especialistas no negcio da empresa esta sinergia possibilita o foco e a qualidade do projeto. Um projeto de Anlise de Risco sem o envolvimento da equipe da empresa, muito dificilmente retratar a real situao da operao. D. Quanto tempo o projeto deve levar? A execuo do projeto deve ser realizada em tempo mnimo. Em ambientes dinmicos a tecnologia muda muito rapidamente. Um projeto com mais de um ms em determinados ambientes , ao final, pode estar desatualizado e no corresponder ao estado atual da organizao. Ento... Conhecer o risco ganhar mobilidade. Alguns riscos como o choque de um avio contra o nosso prdio , s poderemos evitar a um alto custo; no isso que queremos. Esse diagnstico, que at bem pouco tempo ocultava-se sobre pequenas e isoladas iniciativas do grupo de tecnologia da informao, quase sempre relacionado a aspectos tcnicos da famosa anlise de vulnerabilidades tecnolgicas, j reconhecido como ferramenta de suporte estratgico. O conceito de anlise de risco est intimamente relacionado figura de Competitive Intelligence (Inteligncia Competitiva), uma vez que agrega solidez informao corporativa. Quem sabe, com a condio de controlar as ameaas, no poderemos derivar desta ferramenta o conceito de administrao de cenrios? A escolha sua: quem d as cartas?

O Relatrio Gerenciado de Anlise de Ameaas ajudar as empresas a compreender as implicaes e o impacto de um malware especfico em seus sistemas, ajudando-as tambm a delinear uma estratgia corretiva e a definir ferramentas para remover a ameaa com segurana. alm disso, sero dadas recomendaes sobre como lidar com ataques futuros e como melhorar a postura de segurana da empresa. Essa informao ajudar empresas, tais como instituies financeiras ou agncias governamentais a cumprir com normas regulamentadoras que exigem a notificao, dentro de um certo perodo de tempo, no caso de comprometimento de dados. Relatos de incidentes podero ser enviados 24 horas por dia, 7 dias por semana. O cenrio de ameaas atual marcado por ataques direcionados e sofisticados que tentam roubar propriedade intelectual e ativos digitais, o que poderia manchar a marca de uma empresa, disse Mike Mulville, diretor snior de gerenciamento de produto dos Servios de Segurana Gerenciada Symantec. Anlise Gerenciada de Ameaas fornece uma soluo pr-ativa terceirizada que complementa a capacidade de lidar com ameaas que uma empresa possua, garantindo maior confiana quanto a estar protegido contra as ameaas de hoje e os riscos de amanh. A anlise de ameaas gerenciada emprega o conhecimento do Security Response Symantec para oferecer uma anlise rpida e precisa, alm da remoo de cdigos maliciosos, a fim de ajudar nossos clientes a reduzir o tempo e os custos associados a um incidente de segurana especfico. Os especialistas do Security Response Symantec renem conhecimento sobre ameaas a partir da Rede de Inteligncia Global Symantec, uma coleo mundial de milhes de fontes de dados no exclusivos de uma nica empresa, que fornecem a base para a pesquisa especializada da Symantec. Isso possibilita a a notificao pr-ativa de riscos segurana.

De acordo com o recente Relatrio de Ameaas Segurana na Internet Symantec, criminosos virtuais passaram a visar marcas confiveis e web sites conhecidos para ter acesso a informaes confidencias. Essas informaes incluem nomes de usurios e senhas que podem ser usadas para roubo de identidade ou fraude, ou ainda para acessar sites que serviro para lanar novos ataques. Os criminosos virtuais tambm tornaram-se mais profissionais e passaram a empregar sofisticados kits de ferramentas para realizar tais ataques. Um exemplo o que acontece com o uso de kits de ferramentas de phishing, uma srie de scripts que permitem a um atacante o estabelecimento automtico de um web site de phishing que pode ser facilmente confundido com o web site real. Os trs tipos de kits de ferramentas de phishing mais largamente empregados foram responsveis por 42% de todos os ataques de phishing detectados durante o perdo do relatrio, que estendeu-se de 1 de janeiro a 30 de junho de 2007. Symantec Global Services lder no provimento de conhecimento e recursos empregveis no gerenciamento de riscos de TI, na reduo de custos e na maximizao de performance. Os Servios Globais Symantec, incluem Servios Profissionais, Servios de Gerenciamento, Hospedagem e Servios de Apoio s Empresas e Resposta de Segurana.