Analisando Risco e Controles para Redes e Sistemas Complexos

Adaptao de Alessandro Manotti1

Muito se fala em definio de Riscos, Criticidades, Controles e Anlise de Custo X Benefcio, premissas
indispensveis na gesto de Segurana da Informao, para qualquer CSO (Chief Security Officer
Gestor de Segurana da Informao), que se preze, mas tambm muito se pergunta:

Na prtica como isso funciona ? Vamos considerar o seguinte cenrio:

Uma rede de grande porte, com diversos pontos de acesso: Internet, Filial, Extranet
(parceiros);
Temos diversas ameaas (brechas de segurana) s quais a referida rede est exposta;
Faremos uma Anlise de Risco Operacional a estas ameaas;
Enumeraremos solues e custos envolvidos, comparando Anlise Qualitativa e de Custo X
Benefcio.

Estudo de Caso Uma Rede de Grande Porte

Figura 1 Topologia de Empresa Multinacional de Consultoria e Vendas de Mquinas

Industriais

O Escritrio Central nos Estados Unidos (Firms Home Office Network) e a Filial Brasileira (Firms
Remote Site) esto conectados Internet, cuja permite a conexo com a Extranet (Web Partners
Network) estabelecida com os Parceiros de Negcio Locais.

Existem servidores para receber conexes discadas de acesso remoto, para consultores e
representan tes de vendas se conectarem por meio de seus notebooks.

A rede do Escritrio Central possui diversas sub-redes de Engenharia, Compras, e Vendas, alm disso,
possui servidores aplicativos e de servios, dentre outros: Firewall, Banco de Dados, E-Mail, ERP
(Sistema de Gesto Empresarial), Autenticao e Autorizao, IDS (Intrusion Detection System).

A rede da nossa Filial, alm de possuir Firewall, Banco de Dados e servidor de Autenticao e
Autorizao, hospeda as sub-redes de Vendas e Contabilidade.
Alm de tudo isso, consideremos os dados envolvidos, hardware, software, instalaes e recursos
humanos, cujos esto sujeitos diversas ameaas.

Ameaas Potenciais

A rede considerada est exposta aos seguintes tipos de ameaas potenciais (previsveis ou
imprevisveis), que podem variar em termos de freqncia a seguir:

Falha Humana Intencional (Figura 2)

Falha Humana No- Intencional (Figura 3)
Acidentes (Figura 4)
Desastres Naturais e Ocorrncias Inesperadas (Figura 5)

Exemplos de Ameaas e Conseqncias

Figura 2 Ameaas e Conseqncias de Falha Humana Intencional

Ameaa s Conseqncia s

Acesso irrestrito a documentos eletrnicos Alterao, destruio indevida ou roubo de informaes

Hackers, Crackers, Scriptkiddies, Criminosos

Custos de Backup e recuperao de dados
Profissionais
Vrus Interrupo dos Negcios

Espionagem industrial Vazamento de Informaes para Concorrncia

Fraude Custo Financeiro/Legal/ Imagem
Alterao indevida de informaes Perda Financeira

Ataques de Negao de Servio DOS Informaes indisponveis/ no confiveis

Software Sniffer Analisador de Pacotes na
rede
Redes sem fio Wireless
Programas para Acesso Remoto (como
PCAnywhere, Timbuktu, NetBus, BackOrifice)
Roubo de Senhas
Roubo de Informaes via rastreamento de espectro
Busca de hosts vulnerveis na Internet e desligamento remoto de redes ou
Web Servers.

Acesso Fsico Irrestrito Equipamento danificado por pessoal no autorizado

Software para scanning de Vulnerabilidades

Descoberta e explorao das vulnerabilidades nas redes-alvo.
(como SATAN, Nessus)

War dialing Acesso a servidores discados (RAS Remote Access Service) desprotegidos.

Figura 3 Ameaas e Conseqncias de Falha Humana No Intencional

Ameaas Conseqncias
Operador, Tcnico Incapaz Paradas
Falhas no Controle de Entrada de Dados Retrabalhos
Pessoal Desmotivado Perda de Capital Intelectual
Polticas Indevidas de RH Ausncia de Responsabilidade por aes Indevidas Desconhecimento

Controle de Acesso Indevido Relatrios, Dados Imprecisos/ No Confiveis

Testes/ C ontroles inadequados, incorporados aos
Falta de confiana da Alta A dministrao na rea de TI
programas aplicativos
Anlise de Riscos realizada de forma inadequada Desperdcio de recursos
Superviso Inadequada Perda de Prazos

Falta de tica Perda de Produtividade

Atualizao Indevida/ Perda de arquivos Atrasos de Processamento
Danos aos Discos Fsicos Storage
Falta de conscientizao em riscos por parte da Alta
Administrao
Problemas nos Controles Internos

Figura 4 A meaas e Conseqncias de Acidentes

Ameaas Conseqncias
Falha no equipamento de Ar-Condicionado Paradas

Desmoronamento do Edifcio Perda dos Dados

Destruio de dados, discos, documentos, relatrios Perda Financeira
Rompimento de canos dgua ou esgoto Informaes Imprecisas

Falha do Hardware Danos de Imagem frente aos Clientes

Falha nos Alarmes de Incndio, Detectores de Fumaa Custos de reposio de hardware e software
Falha de programa aplicativo, sistema operacional Atrasos de Processamento
Incndio Perda de vidas, ferimentos

Exploses provocadas por vazamento de Gs Custos de Reconstruo de Site Fsico, CPD

Apages, Alteraes no Fornecimento de Energia

Figura 5 Ameaas e Conseqncias de Desastres Naturais e Ocorrncias

Inesperadas

Ameaas Conseqncias
Aquecimento Global Falncia
Umidade Danos a equipamentos

Enchentes Ferimentos, Perda de vidas

Troves Perda Financeira
Variao de Energia Interrupo dos Negcios

Anlise de Risco

Identifique os ativos relacionados de informao (como: sistemas e infra-estrutura de TI)

que so importantes organizao.
 Tenha foco na anlise dos riscos nos ativos considerados de maior criticidade, ou seja,
aqueles que suportam diretamente ou indiretamente a atividade-alvo da organizao.
Considere os relacionamentos entre os ativos crticos, as ameaas e vulnerabilidades
(organizacionais e tcnicas), como: Se uma senha de administrador (ativo crtico), for
divulgada ou obtida indevidamente (vulnerabilidade), cai em mos erradas (ameaa), e
permite acesso indevido ao sistema livro-caixa da organizao (impacto).
Avalie o grau de exposio dos ativos em um contexto operacional, como estes ativos
conduzem os negcios e o risco envolvido devido a estas vulnerabilidades de segurana.
Estabelea uma estratgia de proteo para melhoria dos processos, bem como criar um
plano de implementao de controles (tcnicos, operacionais) para a mitigao
(gerenciamento) deste risco a uma Razo de Custo X Benefcio, onde a implementao do
controle seja sempre inferior ao montante das perdas ocasionadas pela ausncia do
mesmo.

Fluxo de implementao - Figura 6, da Metodologia para Anlise de Risco - OCTAVE -

Operationally Critical Threat, Asset, and Vulnerability Evaluation (Avaliao de Ameaas, Ativos e
Vulnerabilidades Crticas), da Carnegie Mellon University, http://www.cert.org/octave/):

Figura 6 Fluxo de Processo de Anlise de Risco - Metodologia Octave

Depois que a populao de ameaas potenciais foi identificada, esta deve ser reduzida a um
subconjunto menor de ameaas relevantes ou "significativas" a um ambiente de TI especfico. A
identificao dos riscos significativos assegura que a firma alocar de forma adequada os seus
recursos s medidas de segurana que se dirigem aos riscos identificados.

A empresa pode usar uma combinao (ou todos) dos seguintes mtodos a seguir nesta anlise:

1. Anlise de Pareto

Faamos investimentos para implementarmos os controles necessrios para atingirmos os

80% dos principais riscos do negcio suportado por TI e os 20% dos riscos restantes mais
 caros e de baixa probabilidade seriam assumidos como risco inerente ou mesmo este risco
poderia ser transferido por meio de um Acordo de Nvel de Servio com Terceiros- SLA
(Service Level Agreement) ou mesmo a utilizao de Aplice de Seguro.

Figura 7 Anlise de Pareto

(Distribuio de Freqncia)

Ou seja, identificamos, conforme Figura 7

os 20% dos sistemas que suportam os
produtos e servios da empresa que
respondem por 80% do faturamento da
empresa, ento, estes sistemas devem ser
priorizados.

Se utilizada de forma adequada, esta metodologia pode nos ajudar a obter grande retorno em
termos de reduo do risco para uma reduzida margem total de investimentos em medidas de
segurana.

2. Pesquisas de Mercado - Benchmarking

Algumas fontes de consulta e pesquisas realizadas com empresrios de diversos setores no

Brasil e no Exterior, podem ser utilizadas como Benchmarking, para o auxlio na deciso de
criticidade das vulnerabilidades, ameaas, e impactos ao negcio, algumas destas fontes, que
podemos citar, dentre outras, so: FBI/CSI Polcia Federal Americana,
PricewaterhouseCoopers, Mdulo Security, Deloitte, KPMG, Financial Insights, IDG Now!,
Gartner Group, Ernst&Young.

3. Ranking de Ameaas disponibilizados por Empresas Seguradoras

Estas empresas disponibilizam periodicamente tabelas determinando a freqncia de

ocorrncia para diversas ameaas, estas tabelas so confeccionadas com o objetivo de
analisar o processo de anlise de risco, classificando-os conforme algumas categorias que
podemos exemplificar, na Figura 8:

Figura 8 Risco e Probabilidade

Risco Probabilidade
Risco Baixssimo Virtualmente Impossvel
Risco Baixo Pode ocorrer uma vez em 40 anos (ou a cada 4 anos, uma vez ao ano)
Risco Mdio Pode ocorrer uma vez em 100 dias (ou uma vez a cada 10 dias)
Risco Alto Pode ocorrer uma vez por dia (ou 10 vezes por dia)

4. Abordagem ao Cenrio de Risco

Ameaas como as apresentadas nas Figuras 2 a 5, devem ser mapeadas e compiladas por
especialistas em riscos, onde estas seriam classificadas pela probabilidade de ocorrncia ao
ambiente corporativo, estas devem ser avaliadas para cada empresa, face ao seu tipo de
negcio e mercado, durante reunies entre comit de riscos (que pode ser terceirizado, ex:
auditores externos) e alta administrao da empresa.
 5. Abordagem Estatstica

A viabilidade desta depende do grau de registros histricos das reais ocorrncias de ameaas
e desastres. Envolve o desenvolvimento de um grfico de freqncia dos riscos. Desde que
presumimos que esta tcnica presume o futuro a partir do passado, para obtermos maior
preciso em nossa anlise esta deve ser empregada com uma ou mais das tcnicas discutidas
anteriormente , principalmente referindo-se a Abordagem ao Cenrio de Risco.

Quando quantificamos as maiores Ameaas X Perdas P otenciais na Anlise de Risco obtivemos

os riscos de TI mais significantes ao negcio Consultoria e Vendas de Mquinas
Industriais, o que nos possibilita o mapeamento de cenrios distintos de ameaas, digamos
A1, A2 e A3.

Medindo perdas antecipadas para cada cenrio de ameaa

Estatsticas indicam que todas as estimativas de perdas so sujeitas a distribuio de

probabilidade, porm como esta distribuio pode ser difcil de mensurar, pode se utilizar a
tcnica amplamente conhecida como Anlise PERT, para substituirmos a distribuio de
probabilidade.

A frmula simples: para computarmos o valor de perda esperada para cada ocorrncia da
ameaa, calculamos:

Perda = (A + 4B + C)/6

Sendo A a menor perda, B a perda mais comum,e C a maior perda para o evento da
ocorrncia da ameaa.

Ento para o cenrio de ameaa A1, calculamos da seguinte forma (considerando valores em
milhares de reais, ou seja, multiplica-se o valor mencionado x 1.000):

Perda Antecipada A1 =
[R$ 50,00 + (R$ 500,00 x 4) + R$1.000,00]/6 = R$ 508,33

Posteriormente verificamos com base nas estimativas o nmero esperado de ocorrncias

anuais para os trs cenrios de ameaa mencionados, caso o cenrio A1, tem 1 (uma)
expectativa de ocorrncia a cada 10 anos, o nmero de ocorrncias por ano seria
1/10, ou seja, 0,10.

Por fim, a Perda Anual para os trs cenrios de ameaa so computados. Para A1 a Perda
Anual esperada pode ser calculada como R$ 508,33 x 0,10 = R$50,83.

Aps calcular as perdas estimadas para as ameaas A1, A2 e A3, deve-se implementar
medidas de segurana a fim de proteger o ambiente da nossa empresa fictcia, aos 3
respectivos cenrios de ameaa identificados.

Figura 9 Clculo de Perda Anual Esperada por Cenrio de Ameaa

Perda Mais Perda Probabilidade Perda Anual

Ameaa Perda Mxima Menor Perda
Provvel Antecipada da Perda Esperada
A1 R$ 1.000,00 R$ 500,00 R$ 50,00 R$ 508,33 0,10 R$ 50,83
A2 R$ 755,00 R$ 500,00 R$ 50,00 R$ 467,50 0,05 R$ 23,37
A3 R$ 500,00 R$ 200,00 R$ 10,00 R$ 218,33 0,03 R$ 6,55
 Soma R$ 80,75
A1-A3
Valores em Milhares de Reais (x R$ 1.000)ta f

Seleo das Medidas de Segurana

Adotando-se a estratgia de Custo x Benefcio, observemos as medidas de segurana descritas abaixo,

atentando para a mitigao das ameaas A1, A2 e A3 descritas na Figura 9 acima, com base no
julgamento, intuio e experincia profissional dos indivduos responsveis pela anlise de risco.

Figura 10 Exemplos de Medidas de Segurana com base nas Ame aas Potenciais
(descritas anteriormente)

Todas as Categorias Falha Humana Intencional

Sensores e Alarmes Antivrus
No-Break, Geradores Softwares e Hardware para Controle de Acesso
Plano de Continuidade de Negcio Biometria (digitais, ris, voz, face)
Circuito Interno de TV Modems de Callback
Backups Peridicos Patrulha com apoio Canino
Auditorias Externas Peridicas Acesso via Crach
Acompanhamento Visitantes (CPD, reas crticas) Autoridade Certificadora Cartrio Digital
Visitas de Especialistas Preveno de Incndio Punies no conformidades, funcionrios,
Dispositivos de Preveno e Supresso de colaboradores e terceiros
Incndio Monitores de contedo de mensagens/acesso web
Cofre a prova de Incndio Chaves Criptogrficas
Polticas de RH, Conscientizao e Treinamento Cercas Eletricas
Aplice de Seguro Firewall (hardware/ software)
Auditoria Interna de Tecnologia Auditoria Forense (anti-fraude)
Monitoramento de Trfego de Rede IDS Software de Monitorao de Intrusos na Rede
Armazenamento Externo de Dados IPS Software de Preveno de Intrusos na Rede
Extintores de Incndio Bloqueio de Sesso em Terminais
Grupo de Resposta a Incidentes Sensores de Movimento
Procedimentos de Contingncia Teste de Intruso Hacker tico
Administrador de Segurana Segurana Fsica a servidores de Segurana,
Segurana Patrimonial Aplicativos, Internet e Bancos de Dados
Recepcionistas
Defragmentadoras de Papel
Desmagnetizadores de fitas
Senhas
Scanners de Vulnerabilidades na Rede
Falha Humana No-Intencional Acidentes
Cdigo de tica Corporativo Acesso via Crach
Controles Ambientais (ar-condicionado, Controles Ambientais (ar-condicionado,
umidificadores de ar) umidificadores de ar)
Recepcionistas Rotinas de reincio a paradas
Sensores de Movimento
Manuteno Preventiva
Dispositivos de Deteco e Drenagem de gua
No-Break, Geradores
Desastres naturais e ocorrncias inesperadas
Controles Ambientais (ar-condicionado, umidificadores de ar)
Dispositivos de Deteco e Drenagem de gua
No-Break, Geradores
Dispositivos de Preveno e Supresso de Incndio
A Figura 11 abaixo ilustra a diferena entre duas abordagens de Implantao das Medidas de
Segurana : Qualitativa (todas) e Custo X Benefcio (parcial) e mostra que medida que o percentual
das medidas de segurana implementadas aumenta, os Custos dos Controles tambm aumenta
exponencialmente. Quanto mais medidas de segurana instaladas, maior o ndice de Qualidade da
sada dos Sistemas de Informao da empresa, mas posteriormente este ndice cai.

Esta tendncia de diminuio dos retornos de investimento na abordagem Qualitativa, se apresenta

em queda alm de um ponto de pice, onde posteriormente a eficincia e eficcia caem, por diversos
motivos, como novas necessidades de negcio, novas ameaas, novas tecnologias, etc...

Figura 11 - Abordagem Qualitativa Versus Custo X Benefcio

Se por um lado a Anlise de Custo X Benefcio implica na implantao de uma Mdia Aceitvel de
Controles (assinalado com o X), onde os custos das Medidas de Segurana se cruzam com o ponto
mximo (pice) das curvas de Qualidade dos Sistemas e Eficincia e Eficcia das Medidas.

Por outro lado, quando adotamos a Abordagem Qualitativa, implica na implantao de Todas as
Medidas Possveis para a minimizao do risco identificado, apesar da facilidade inicial de se no
mensurar o Custo X Benefcio, a mdio e longo prazo o custo da Abordagem Qualitativa pode ser
muito elevado para justificar a manuteno de um mesmo nvel de risco aceitvel.

Denominemos trs Medidas de Segurana de 1 a 3 = M1, M2 e M3, representando Controles de

preveno ou deteco de uma Ameaa significante.

Para termos uma idia de como se realizar um estudo de Custo X Beneficio, devemos ter em mente
que a empresa est desenvolvendo uma estratgia focada em ameaas j enumeradas, no nosso caso
(A1, A2 e A3). Para mantermos a simplicidade neste estudo de caso, vamos supor que j foram
escolhidas trs medidas de segurana (M1, M2 e M3) para enderear estas trs ameaas, como
representamos na Figura 12.
A probabilidade de uma medida de segurana falhar pode ser considerada pelo percentual de
confiabilidade da medida. Assumindo por exemplo que a implementao de uma medida M1 seja
responsvel pela garantia de at 99% de eficcia na mitigao da ameaa, consideramos ento como
0,01 a Probabilidade de Falha de M1.

Figur a 12 Exemplos de Trs Medidas de Segurana

Perda
Custo da Perda
Medida Ameaa Probabilidade Custo de Custo Medida Anual Residual
(Perda Anual
Mitigada de Falha Implementao Anual (?Implementao Esperada
*Probabilidade
+ Anual) (Figura 9)
Falha)
M1 A1 0,01 R$5,00 R$6,00 R$11,00 R$ 50,83 R$ 0,50
M2 A2 0,10 R$20,00 R$8,00 R$28,00 R$ 23,37 R$ 2,33
M3 A3 0,05 R$15,00 R$5,00 R$20,00 R$ 6,55 R$ 0,32
Valores em Milhares de Reais (x R$ 1.000)

A Perda Residual equivale ao valor da perda mesmo com a implantao da medida (Perda
Anual * Probabilidade de Falha), no caso desta medida falhar, ou seja para uma perda anual
estimada de R$ 50,83 para uma ameaa A1, quando se implementa uma medida M1 com
probabilidade de falha de 0,01 temos uma perda residual de R$ 0,50. .

Perda Residual = Perda Anual * Probabilidade Falha

O Valor Bruto da medida de Segurana obtido da subtrao do Valor Esperado da Perda

Aps a Implantao da Medida (considerando a perda residual) da Perda Anual Esperada

Valor Bruto = Perda Anual Esperada Perda Residual

Para obter o Valor Lquido da medida de Segurana necessrio subtrair o Custo da Medida do
Valor Bruto.

Valor Lquido = Valor Bruto - Custo da Medida

Na Figura 13, tomamos como exemplo:

A Perda Anual Esperada para a Ameaa A1 R$50,83, a empresa neste caso implementa a
contramedida M1 para proteo a esta Ameaa.

O Custo da Medida M1 R$ 11,00 (implementao+custo anual), foi definido pela gesto do

processo afetado que a contramedida 99% efetiva, sobrando 1% (0,01) de Probabilidade de
Falha , ou seja, MI proporcionar 99% de proteo contra a ameaa A1, ento:

A Perda Anual Esperada causada por A1 seria de R$ $50,83.

Tendo-se efetividade de M1 em 99%, sobra-se 1% (0,01) ou seja, com a implantao da
medida temos um residual de R$ 0,50 sobre os R$ 50,83.
O Valor Bruto de M1 igual a R$ 50,33. (Perda Anual Esperada Perda Residual).
O Custo da Medida M1 equivale a R$ 11,00.(Obtido da Figura 12)
O Valor Lquido de M1 equivale a R$39,33. (Valor Bruto Custo da Medida)

O passo final na justificativa de Custo X Benefcio a aplicao do modelo de custo, isto implica na
simulao de diversos cenrios de agrupamento das medidas de segurana. Isto demonstra diversos
cenrios de Custo Total Esperado, caso as ameaas venham a se materializar, ou seja qual o valor
final da perda caso a ameaa se concretize, conforme a(s) medida(s) escolhida(s).

Figur a 13 Custo X Benefcio das Medidas de Segurana quando aplicadas s Ameaas

(A) (B) Perda (C) Perda Residual aps (D) Valor (E) Custo (F) Valor (G) Custo
Conjunto Anual aplicao das Medidas Bruto das das Medidas Lquido das Total
de Esperada de Segurana** Medidas de Medidas de Esperado
Medidas* (A1 A3) Segurana Segurana
(Figura 9) (Figura 12) (B) (C) (Figura 12) (D) (E) (B) (F)
Sem R$80,75 R$50,83+23,37+6,55 R$0 R$0 R$0 R$80,75
Controles
M1*** R$80,75 R$0,50+23,37+6,55 R$50,33 R$11,00 R$39,33 R$41,42****

M2 R$80,75 R$50,83+2,33+6,55 R$21,04 R$28,00 R$-6,96 R$87,71

M3 R$80,75 R$50,83+23,37+0,32 R$6,23 R$20,00 R$-13,77 R$94,52
M1, M2 R$80,75 R$0,50+2,33+6,55 R$71,37 R$11,00+ R$32,37 R$48,38
R$28,00
M1, M3 R$80,75 R$0,50+23,37+0,32 R$56,56 R$11,00+ R$25,56 R$55,19
R$20,00
M2, M3 R$80,75 R$50,83+2,33+0,32 R$27,27 R$28,00+ R$-20,73 R$101,48
R$20,00
M1, M2, M3 R$80,75 R$0,50+2,33+0,32 R$77,60 R$11,00+ R$18, 60 R$62,15
R$28,00+
R$20,00
Valores em Milhares de Reais (x R$ 1.000)

Observaes

* Este modelo bsico de medidas proposto, tem foco em um planejamento anual, e ignora o valor no tempo dos recursos.
Entretanto, quanto as medidas de segurana empregadas, espera-se um retorno por perodo de mais de um ano, devendo-se
considerar o custo pelo total de anos de vida til da medida. Uma anlise mais realista deve incorporar uma anlise do valor
atual e estimar o custo do capital. Mas uma anlise como esta estaria fora do escopo deste artigo.

** A Perda Residual aps aplicao das Medidas de Segurana, considerada conforme o grau de implantao das medidas,
considerando a Perda Anual Esperada medida no considerada, ou a Perda Residual medida considerada, por padro a
efetividade de uma medida sempre ser menor que 100 (ou seja sempre ter probabilidade de falha), sendo assim a gesto do
processo afetado pode estimar este ndice a cada medida considerada na mitigao de uma ameaa.

*** Dependendo do nmero de medidas de segu rana (M1...M100...M999) consideradas esta anlise, o nmero de
combinaes de medidas cresce exponencialmente, com isso, abandonamos esta demonstrao simples e teremos de migrar
para uma anlise computadorizada das medidas de segurana.

**** A melhor combinao de medidas foi alcanada, ou seja, este seria o Melhor Custo X Benefcio pois M1 traz Baixa Perda
Residual, Custa Menos e Mitiga a Maior Perda Anual Esperada.

Alessandro Manotti, CISA alessandromanotti@hotmail.com

Profissional h dez anos na rea Auditoria de Sistemas e Segurana da Informao, atuando em

instituies financeiras e consultorias no Brasil e Exterior.

1
Adaptao baseada no artigo Treat Assessment and Security Measures Justification for Advanced IT
Networks de Michael J. Cerullo - Ph.D. ,CPA, CITP, CFE, e Virginia Cerullo, Ph.D., CPA, CIA, CFE,
publicado no ISACA - Information Systems Control Journal, Volume 1 2005.