Vulnerabilidade, ameaa, ativo e risco

Vulnerabilidade pode ser definida de forma bem simples como sendo ausncia de
proteo ou fraqueza no sistema de proteo. a ausncia, falha ou fraqueza de
segurana em procedimentos, implementaes ou controles internos, que pode ser
experimentada (disparada acidentalmente ou explorada intencionalmente) e resulta em uma
brecha ou violao da poltica de segurana vigente. Como exemplos de vulnerabilidades,
podemos citar:

Uma porta de comunicao aberta em um Sistema Operacional.

Uma porta de firewall aberta.

Uma senha, de acesso a um servidor ou software que nunca trocada.

Um carpete inflamvel.

A ausncia de controle, em procedimentos de segurana por exemplo.

Vamos explorar um pouco mais os tipos de vulnerabilidades, conforme tabela abaixo.

Tipo de

Descrio e exemplos

Vulnerabilidade
Fsicas

So as que esto presentes nos ambientes em que esto

sendo armazenadas ou presentes s informaes. Exemplos:
instalaes inadequadas do espao de trabalho; ausncia de
recursos para o combate a incndio; disposio
desorganizada dos cabos de energia e rede;
Afetam a disponibilidade da informao.

Naturais

So relacionadas s condies da natureza que podem por

em risco as informaes. Exemplos: ambientes sem proteo
contra incndio, locais prximos a rios so propensos a
inundaes; terremotos, maremotos etc.

Hardware

Os possveis defeitos de fabricao ou configurao dos

equipamentos podem permitir o ataque ou alterao dos
mesmos. Como, por exemplo: falta de configurao de
suportes ou equipamentos de contingncia; ausncia de
atualizaes de acordo com as orientaes dos fabricantes;
conservao inadequada dos equipamentos.

Softwares

As vulnerabilidades nos softwares permitem que ocorram

acessos

indevidos.

Exemplos

de

vulnerabilidades:

configurao e instalaes indevidas dos softwares; portas

abertas dos sistemas operacionais.
Meios

de

armazenamento

Se os suportes que armazenam as informaes no forem

usados de forma correta, seu contedo pode ficar vulnervel
a uma srie de fatores que podero afetar a integridade, a
disponibilidade e a confidencialidade das informaes. Dentre
os pontos fracos, exemplificamos: defeito de fabricao, uso
incorreto, locais de armazenamento com alto ndice de
unidade ou insalubres.

Comunicao

Esse tipo de vulnerabilidade afeta todo o trfego de

informao,

seja

por

cabo,

satlite,

fibra

tica

etc.

Exemplos: m escolha dos sistemas de comunicao para

mensagens de alta prioridade; ausncia de sistemas de
criptografia nas comunicaes.
Humanas

Essa categoria de vulnerabilidades relaciona-se aos danos

que as pessoas podem causar. Como exemplos, podemos
citar: Senhas fracas, ausncia de criptografia,

Conclumos que as vulnerabilidades aumentam as ameaas

O que uma ameaa? um fato que pode ocorrer e acarretar perigo a um recurso ou
ativo da empresa. Tal fato, se acontecer, vai causar um dano, uma perda.
Uma ameaa pode ser natural, intencional ou no. As ameaas naturais so fogo,
inundao e terremotos; As intencionais so: furto de informao, vandalismo, vrus, pirataria
e utilizao de recursos, violando as medidas de segurana. Dentre s no intencionais,
podemos citar: erros humanos, falhas em equipamentos, desastres naturais e problemas em
comunicaes.
Os ativos so elementos cuja segurana visa proteger, uma vez que possuem valores
para as empresas que os detm.
A figura 1, abaixo, mostra a relao entre vulnerabilidade, ameaas e ativo. Na viso da
segurana da informao, so trs os elementos que compem os chamados ativos:

Informaes.

Hardware e Software.

Recursos humanos.

Figura 1 : Relao entre vulnerabilidade, ameaa e ativos.

A seguir, so descritos exemplos ilustrados mostrando: o grupo de ativos, suas

possveis vulnerabilidades e as respectivas ameaas.
A figura 2, a seguir, mostra para o grupo de ativo HARDWARE, uma possvel
vulnerabilidade e as ameaas decorrentes, evidenciando a fragilidade e o risco ao qual o ativo
fica submetido.

Figura 2 : Exemplo de vulnerabilidade no ativo HARDWARE e as consequentes

ameaas;

A figura 3, a seguir, mostra uma das principais vulnerabilidades que afetam as

organizaes: desatualizao tecnolgica das pessoas (ativo: RECURSO HUMANO). Por
exemplo, o desconhecimento da necessidade de criao de senhas fortes e da alterao
peridica das senhas mostra resistncia na adoo de prticas de segurana.

Figura 3 : Exemplo de vulnerabilidade no ativo RECURSO HUMANO e as consequentes

ameaas;

J a figura 4, abaixo, mostra um clssico exemplo de vulnerabilidade nos softwares,

representado pelos chamados BUGs, ou erros de lgica e programao nos softwares, que
deixam o ativo sobre diversas ameaas.

Figura 4 : Como os BUGS deixam um Software vulnervel a ameaas.

Os ativos de TI, em funo de possveis vulnerabilidades, esto em constante risco por

diversas possibilidades de ameaas a sua integridade, pondo em risco os negcios da empresa.
A avaliao de risco , portanto, uma atividade fundamental para definio das aes a
serem tomadas para garantir a segurana da TI nas empresas.
Confirmando a afirmativa de que no existem 100% de segurana no ambiente de TI,
George Kurtz, vice-presidente snior de Gerenciamento de Riscos da McAfee poca (Abril de
2008), declarou:
- Nenhuma empresa tem dinheiro e pessoal suficiente para eliminar completamente
todos os possveis riscos relacionados TI. Portanto, voc precisa ser capaz de quantificar os
riscos enfrentados e priorizar adequadamente seus investimentos em segurana.. Assem
sendo, prope um modelo no qual os riscos so medidos pela observao de trs fatores: Valor
dos ativos, Vulnerabilidade dos ativos e Ameaas reais. Analisando esses trs atributos a
equipe de segurana pode compreender onde esto os riscos aos negcios e a priorizar suas
atividades de reduo de riscos.
Veja na ntegra em: http://www.networkexperts.com.br/index.php/noticias/1-ultimasnoticias/21-medindo-os-riscos-para-analisar-a-vulnerabilidade.html,