Você está na página 1de 12

AMEAÇAS E RISCOS

Conceito de ameaça = potencial de causar de um incidente indesejado que pode


resultar em dano a um sistema ou organização, pode ser um atacante ou um evento
que explora uma vulnerabilidade (será algo que sempre vai explorar uma fraqueza)
Agente de ameaça = entidade que tira vantagem de uma vulnerabilidade (ex: a mãe
diz que o filho não brincará se não arrumar a cama, ameaça que explora a fraqueza)
Vulnerabilidade = sempre será uma fraqueza ex: falha de update do antivírus
Tipos de danos:
1. Diretos = Tem consequência sobre o negócio quando uma ameaça ocorre
2. Indiretos = São consequentemente perdas que podem ocorrer após a ameaça
ocorrer
3. Lei GDPR = Quando a empresa possui uma filial na Europa

Avaliação do risco
AVALIACAO DE RISCO TEM 4 PONTOS =

1. IDENTIFICAR ATIVOS DE INFORMACAO E SEU VALOR


2. DETERMINAR AMEAÇAS E VULNERABILIDADES
3. DETERMINAR O RISCOS DE QUE AS AMEAÇAS SE TORNEM UMA REALIDADA E
INTERERROMPAM O PROCESSO OPERACIONAL
4. DETERMINAR O EQUILIBRIO ENTRE OS CUSTOS DE UM INCIDENTE E OS CUSTOS DE
UMA MEDIDA DE SEGURANÇA

(OS RISCOS QUE ESTAO ATRELADOS AOS ATIVOS DA INFORMAÇÃO)

COMPREENDER A NATURESA E DETERMINAR O NIVEL DO RISCO

1. IDENTIFICAR OS RISCOS
2. ANALISAR OS RISCOS
3. AVALIAR OS RISCOS (TRATAMENTO)

Gerenciamento de risco
Atividade coordenadas para dirigir e controlar uma organização em relação aos riscos

É o processo de planejar, organizar, liderar, controlar as atividades de uma organização a fim


de minimizar os efeitos dos riscos sobre o lucro e o capital da organização

Analise de riscos
QUALITATIVO = PROBABILIDADE DE ALGO OCORRER

QUANTITATIVO = SÃO RISCO DE QUANTIDADE EX: DE UM A 10 QUAL A PROBABILIDADE DE


CHOVER HOJE? USA ESCALA COM VALORES NUMERICOS
Avaliação dos riscos
TODO O RISCO PRECISA SER AVALIADO E GERENCIADO, DURANTE AVALIAÇÃO LEVANTADA,
IDENTIFICA E CLASSIFICADA PARA VER O QUE SERÁ PRIORIZADO, ETAPA DE TRATAMENTO E
ETAPA DE IMPLEMENTAR CONTRAMEDIDAS

APLICANDO CONTRAMEDIDA A PROBABILIDADE OU IMPACTO PODE SER AMPLIADO OU


REDUZIDO

Composição do risco
1. AMEAÇA
2. VULNERABILIDADE
3. PROBABILIDADE DO IMPACTO
4. PONTENCIAL DE DANOS PARA ORGANIZAÇÃO

Tipos de estratégias
1. EVITAR = CONHECIDA COMO PREVENIR OU ELIMINAR O RISCO
2. NEUTRALIZAR = CONHECIDA COMO REDUZIR OU MITIGAR O RISCO,
3. TRANSFERIR O RISCO = TERCEIRIZAR, TIRAR A RESPONSABILIDADE MIM E PASSAR
PARA OUTRA PESSOA EX: SEGURO
4. ACEITAR O RISCO = CONHECIDA COMO SUPORTAR OU RETER O RISCO

Estratégia para lidar com riscos (ISO 27005)


1. EVITAR = decisão de não envolver ou se retirar
2. MODIFICAÇÃO = ações tomadas para reduzir a probabilidade, as consequências
negativas associadas a um risco
3. COMPARTILHAMENTO = compartilhar com outra entidade a perda ou o beneficio do
ganho associado ao risco
4. RETENÇÃO = aceitação da perda ou do benefício ganho associado
MEDIDAS DE SEGURANÇA
CATEGORIAS DE MEDIDAS
1. Preventivas = prevenir incidentes de segurança (ex: fechar as portas)
2. Redutivas = reduzir a probabilidade de uma ameaça ocorrer (ex: cerca elétrica)
3. Detectivas = busca detectar os incidentes (ex: câmeras)
4. Repressivas = limita um incidente (ex: apagar o fogo após um incêndio
detectado)
5. Corretivas = trocar a cerca elétrica após ser danificada
6. Contratar seguro = Minimizar os impactos que envolvam perdas
7. Aceitação = se alguém roubar meu celular eu assumo o prejuízo, não existe
razão para investir em medidas

TIPOS DE MEDIDAS(CLASSIFICAÇÃO)
FISICAS = Portas, trancas
TECNICA = Firewall, AV, backup, replicação de datacenter
ORGANIZACIONAIS = Relacionado a políticas

Medida de segurança
1. AÇÕES PREVENTIVAS = DETECÇÃO DE INTRUSAO, FIREWALL
2. AÇÕES DETECTIVAS = CAMERAS DE SEGURANÇA
3. AÇÕES REPRESSIVAS = APAGAR O INCENDIO APÓS O ALARME TER ACIONADO

CLASSIFICAÇÃO DAS INFORMAÇÕES


Toda informação deve ter um tipo de classificação para que seja assegurado um nível
adequado de proteção de acordo com a importância para a organização
Classificar é = Ação de atribuir um nível de sensibilidade apropriada a uma informação
O proprietário é quem classifica a informação
Como criar a informação
1. Sensibilidade
2. Valor da informação
3. Requisitos legais
4. Importância estratégicas

ANEL DE PROTEÇÃO
1. Anel externo = ex: grade de segurança
2. Área em torno das instalações = Guarita quem vai estacionar no edifício
3. Local de trabalho =
4. Objeto = computador, papel (onde a informação se encontra)

TIPOS DE CRIPTOGRAFIA
1. Simétrica = algoritmo e chave secreta que é compartilhada ex: entre Joao e
maria, uma única chave trocada) Falha = se uma terceira pessoa tiver acesso a
chave secreta ela consegue abrir a mensagem
2. Assimétrico = Chaves diferentes são usadas para criptografia e descriptografia
(Falha = se a chave for violada deverá apenas ser revogada)
• Chave privada = faz a descriptografia
• Chave publica = faz a criptografia

ASSINATURA DIGITAL
Quando é realizado a assinatura significa que ele está garantindo os itens abaixo:
1. Integridade = quando a mensagem é alterada no meio do envio
2. Autenticidade = Quando a mensagem sai de mim ela é assinada
3. Não-repúdio = não poder dizer que foi ele que assinou o documento já que
apenas ele tem o certificado
Ex: Laudo médico é uma assinatura digital
SOFTWARES MALICIOSOS
Tudo isso abaixo é um malware
1. Phishing = normalmente recebido por e-mail, clicar em link para infectar o pc.
2. Spam = Envio e recebimento de mensagens de email indesejáveis (ex:
propagandas)
3. Hoax = Boatos, fakenews
4. Malware/Virus = Ataca as vulnerabilidades que tem em sua maquinas e se
propaga para outras na rede
5. Worm = Degrada a performance do computador
6. Trojan = cavalo de troia que abre portas para um invasor (sistemas piratas)
7. Bomba relógio = software inativo que em uma hora ele inicia ataques e etc...
8. Botnet = zumbis, redes de computadores infectadas
9. Rootkit = Ransomware
10. Spyware = programa espião, keylogger

GESTÃO DE ACESSO
Server para impedir ou autorizar o acesso a um ambiente ou sistema, deve ter o
registro de todos os usuários
Gerenciamento de acessos =
Provisionamento de acessos = departamento de TI precisar solicitar o gestor imediato
Revisão de acessos = quem ainda está na empresa ou foi demitido (desativar usuários)

CONCESSÃO DE ACESSO
1. Identificação =
2. Autenticação =
3. Autorização =
TIPOS DE ACESSOS LOGICOS
1. Discricionário =
2. Acesso mandatório =
3. Baseado em papéis =
4. Baseado em requisitos =

LEGISLAÇÃO E REGULAMENTOS
1. LGPD =
2. LEI DE REGISTRO PUBLICO = regulamenta o armazenamento de registro
públicos pelas entidades publicas
3. LEI DE CRIMES CIBERNETICOS = lidar com crimes de tecnologia
4. LEI DE ACESSO PUBLICO A INFORMAÇÕES GOVERNAMENTAL = regulamenta as
ao cidadão as informações públicas de um país
5. LEI SARBANES-OXLEY = Regulamenta práticas para capital aberto

Registros devem ser classificados por tipos:


1. Retenção de dados
2. Armazenamento
3. Processamento
4. Descarte

ABORDAGEM ORGANIZACIONAL
Gerenciamento de incidentes de segurança da informação
1. Detectar
2. Relatar
3. Avaliar
4. Responder
5. Tratar
6. Aprender com o erro
INFORMAÇÃO E SEGURANÇA
1. Informação é o conjunto de dados e possui significado (integração de dados)
2. Definição da informação é tudo que tem um contexto, um significado e que
pode tomar uma ação com base nessa informação.
3. Conceito de dados é algo que não tem como tomar uma decisão.

Ciclo de vida da informação:


1. criada
2. armazenada
3. processada
4. transmitida
5. usada
6. atualizada
7. descartada
Componentes de um sistema de informação:
1. Meios
2. Procedimentos
3. Regras
4. Pessoas
Exemplos de tecnologia da informação
1. Servidor
2. Celular
Sistema de informação tem a finalidade de realizar a transferência da informação; ex:
telefone meio por onde trafega a informação.

Confiabilidade = CID
1. Confidencialidade
2. Disponibilidade
3. integridade
SIMULADO
1. Qual a melhor maneira de descrever o objetivo da política de
segurança da informação?
R = A política fornece orientação e apoio a gestão em matéria da
segurança da informação
2. O acesso à sala de computadores está bloqueado por um leitor de
crachás. Somente o Departamento de Gerenciamento de Sistemas tem
um crachá.
Que tipo de medida de segurança é essa?
R = Uma medida de segurança física

3. Uma análise de risco bem executada oferece uma grande quantidade


de informações úteis. A análise de risco tem quatro principais
objetivos.
Qual das opções abaixo não é um dos quatro principais objetivos da
análise de risco?
R = Implementação de contramedidas

4. Qual é o propósito do gerenciamento de risco?


R = Utilizar medidas para reduzir os riscos para um nível aceitável

5. Você é o proprietário de uma companhia de correio (courier),


SpeeDelivery. Você realizou uma análise de risco e agora quer
determinar sua estratégia de risco. Você decide tomar medidas contra
os grandes riscos, mas não contra os pequenos riscos.
Como é chamada a estratégia de risco adotada neste caso?
R = Retenção de riscos

6. A fim de ter uma apólice de seguro de incêndio, o departamento


administrativo deve determinar o valor dos dados que gerencia.
Qual fator não é importante para determinar o valor dos dados para
uma organização?
R = o conteúdo dos dados

7. Um incêndio interrompe os trabalhos da filial de uma empresa de


seguros de saúde. Os funcionários são transferidos para escritórios
vizinhos para continuar seu trabalho. No ciclo de vida do incidente,
onde são encontrados os acordos stand-by (plano de contingência)?
R = entre o incidente e o dano

8. Há alguns anos você começou sua empresa, que já cresceu de 1 para


20 empregados. As informações de sua empresa valem mais e mais e
já passaram os dias em que você podia manter tudo em suas próprias
mãos. Você está ciente de que precisa tomar medidas, mas quais?
Você contrata um consultor, que o aconselha a começar com uma
análise de risco qualitativa.
O que é uma análise de risco qualitativa?
R = Esta analise é baseada em cenários e situações e produz uma
visão subjetiva de possíveis ameaças

9. Em uma organização, o agente de segurança detecta que a estação de


trabalho de um funcionário está infectada com software malicioso. O
software malicioso foi instalado como resultado de um ataque
direcionado de phishing.
Qual ação é a mais benéfica para evitar esses incidentes no futuro?
R = Iniciar um programa de conscientização de segurança

10. Um departamento administrativo vai determinar os riscos aos quais


está exposto. Como denominamos um possível evento que possa
comprometer a confiabilidade da informação?
R = Ameaça

11. Um funcionário nega o envio de uma mensagem específica.


Qual o aspecto de confiabilidade da informação está em risco aqui?
R = Integridade

12. Como se chama o processo de “definir se a identidade de alguém é


correta”?
R = Autenticação

13. A autenticação forte é necessária para acessar áreas altamente


protegidas. Em caso de autenticação forte a identidade de uma pessoa
é verificada através de três fatores.
Qual fator é verificado quando é preciso mostrar um crachá de
acesso?
R = algo que vc tem
14. Qual é o objetivo da classificação da informação?
R = estruturar as informações de acordo com sua confidencialidade

15. Qual é a legislação ou ato regulatório relacionado à segurança da


informação que pode ser imposto a todas as organizações (em países
onde a lei é aplicável)?
R = LGPD

16. Qual é o nome do sistema que garante a coerência da segurança da


informação na organização?
R = SGSI

17. Com base em qual legislação alguém pode pedir para inspecionar
seus dados pessoais que tenham sido registrados (em países onde a
lei é aplicável)?
R = LGPDP

18. O que é um exemplo de uma medida de segurança física?


R = extintores de incêndio especiais com gas inerte como argônio

19. Que tipo de segurança é oferecida por uma infraestrutura de chave


pública (PKI)?
R = ao fornecer acordos, procedimentos e estrutura organizacional,
uma PKI define quais pessoas ou qias sistemas pertencem a qual
chave publica

20. Você acabou de começar a trabalhar na Solus International


Corporation. Você foi solicitado a assinar um código de conduta, bem
como um contrato. O que a organização deseja alcançar com isso?
R = Um condigo de conduta ajuda a evitar o mau uso das instalações
de TI

21. Por que as organizações possuem uma política de segurança da


informação?
R = Para orientar como a segurança da informação é conduzida dentro
de uam organização
22. Qual é o maior risco para uma organização se nenhuma política de
segurança da informação tiver sido definida?
R = Não é possível para uma organização implementar a segurança da
informação de maneira consistente

23. Para que uma análise de risco é usada?


R = Uma analise de risco é usada para garantir que medidas de
segurança sejam implantadas de forma oportuna

24. Um funcionário do departamento administrativo da Solus Consultoria.


descobre que a data de vencimento de um contrato com um dos
clientes é anterior à data de início. Que tipo de medida poderia evitar
esse erro?
R = Uma medida técnica

25. Uma análise de risco bem executada fornece uma grande quantidade
de informações úteis. Uma análise de risco tem quatro principais
objetivos. O que não é um dos quatro principais objetivos de uma
análise de risco?
R = determinar os custos das ameaças

26. Qual destes não é um exemplo de código malicioso?


R = Phishing

27. Por que a conformidade é importante para a confiabilidade das


informações?
R = atendendo as exigências legislativas e as regulamentos do
governo e gestão interna, uma organização demosntra que gerencia e
protege suas informações de maneira efetiva

28. Na maioria das organizações, o acesso ao computador ou à rede é


concedido somente após o usuário ter digitado um nome de usuário e
senha corretos. Este processo consiste em 3 etapas: identificação,
autenticação e autorização. Qual é o objetivo da segunda etapa,
autenticação?
R = O sistema determina se o acesso pode ser concedido
determindando se a autenticação fornecida é autentica
29. Podemos adquirir e fornecer informações de várias maneiras. O valor
da informação depende de sua confiabilidade. Quais são os aspectos
de confiabilidade da informação?
R = CID

30. Qual é o objetivo de classificar informações?


R = Deinição de diferentes níveis de sensibilidade nos quais a
informação pode ser organizada e protegida conforme requisitos
estabelecidos

31. Qual é a definição da expectativa de perda anual?


R = A expectativa de perda anual é a quantidade de dano que pode
ocorrer como resultado de um incidente durante o ano

Você também pode gostar