Análise de Risco

Antes de investir capital em segurança o ideal é que se promova um levantamento

da situação atual, identificar e definir prioridades de ação são fundamentais no
processo de conquista da excelência em Segurança da Informação.

A NECESSIDADE
Os riscos de segurança são identificados através de uma
avaliação metódica dos processos, pessoas e tecnologia.
Os gastos com controles precisam ser pesados contra os
prováveis prejuízos resultantes de falhas na segurança.
Técnicas de avaliação de riscos podem ser aplicadas a toda
a organização ou apenas a partes dela, bem como a sistemas
de informação individuais, componentes de sistemas específicos
ou serviços onde isto for praticável, realístico e útil.

Dentre diversas necessidades destacamos:

● Levantar e classificar dos riscos relacionados a segurança
da informação e consequentemente ao negócio;
● Atuar de forma estratégica na solução dos problemas rela-
cionados a sistemas e processos vulneráveis;
● Minimizar ao máximo os riscos de parada nos serviços de TI;
● Minimizar as perdas em casos de incidentes relacionados
ao negócio.
A SOLUÇÃO ALERTA SECURITY
A avaliação de riscos é a consideração sistemática de:
● O provável prejuízo ao negócio resultante de uma falha de
segurança levando em conta as conseqüências potenciais
de uma perda de confiabilidade, integridade ou disponibi-
lidade das informações e outros ativos;
● A probabilidade realística de tais falhas ocorrerem sob a
luz de ameaças e vulnerabilidades prevalecentes em con-
troles atualmente implementados.
Os resultados desta avaliação aju-
darão a guiar e determinar a ação
gerencial adequada e as prioridades
para gerir os riscos de segurança e
implementar controles selecionados
para proteger contra esses riscos.
O processo de avaliar riscos e se-
lecionar controles pode precisar ser
executado diversas vezes para cobrir diferentes partes da organi-
zação ou sistemas de informação individuais. É importante exe-
cutar revisões periódicas dos riscos de segurança e dos controles
implementados para:
● Levar em conta as mudanças nas prioridades e necessida-
des do negócio;
● Considerar novas ameaças e vulnerabilidades;
● Confirmar que os controles permanecem eficazes e apropriados.
As revisões devem ser executadas em diferentes níveis de profun-
didade, dependendo dos resultados das avaliações anteriores e
das mudanças nos níveis de riscos que a gerência está preparada
para aceitar. As avaliações de riscos frequentemente são execu-
tadas primeiro em um nível superior, como uma forma de priorizar
recursos nas áreas de alto risco e depois em um nível mais deta-
lhado, para tratar riscos específicos. Toda vulnerabilidade é defini-
da como uma falha no projeto ou implementação de um software,
sistema operacional ou até a física dos ativos de rede, que quando
explorada resulta na violação da segurança em uma corporação.
Essa violação pode ser feita remotamente ou presencialmen-
te (física). É indispensável que os trabalhos sejam realizados
para reduzir ao máximo essas vulnerabilidades e diminuir os
riscos ao seu negócio.

ALERTA SECURITY SOLUTIONS

Rua Boa Vista 254 | 11ºandar | São Paulo | SP
Fone 55 11 3105 8655 | www.alertasecurity.com.br
Análise de Risco
iz ação
ent
i Tre
in

c
A Alerta Security é capaz de levantar e ● Teste de intrusão agressivo;

ns
analisar todos os itens relacionados à AVALI ● Realização de testes em ambientes

Co
RTE

am
AÇ
segurança da informação com o objetivo PO Ã
de pré-produção com o objetivo

e
SU

O
de gerar um diagnóstico do ambiente de mensurar o nível de segurança

nto
POLÍTICAS

PRO
IAMENTO
corporativo, levando em consideração PADRÕES, NORMAS (não recomendado em ambientes
as rotinas do negócio e a classificação de produção);

JETO
E RECOMENDAÇÕES

dos riscos. GUIAS E ● Avaliação do ambiente: análise de

PROCEDIMENTOS
NC configurações e processos;

IM
RE

O Serviço é composto dos seguintes
LE
ME
NTAÇÃO G
módulos e seguem as normas de clas-
sificação e procedimentos descritos na
ISO IEC NBR 17799.
Alocação de Pessoal:
Objetivo: Reduzir os riscos de erros humanos,
roubos, fraudes ou uso indevido das facilidades.
As responsabilidades de segurança devem ser tratadas no
estágio de recrutamento incluídas em contratos e monitora-
das durante o tempo que o colaborador estiver no emprego.
Os candidatos em potencial devem ser adequadamente se-
lecionados especialmente para funções sensíveis. Todos os
empregados e usuários terceirizados das facilidades de pro-
cessamento de informações devem assinar um contrato de
confidencialidade (não divulgação).
Treinamento dos usuários:
Objetivo: Assegurar que os usuários se conscientizem das
preocupações e ameaças à segurança das informações, e
estejam equipados para apoiar a política de segurança
organizacional no curso de seu trabalho normal.
Os usuários devem ser treinados nos procedimentos de segu-
rança e no uso correto das facilidades de processamento de
informações para minimizar os possíveis riscos de segurança.
Segurança Física e Ambiental:
Objetivo: Impedir acesso não autorizado, danos ou interfe-
rência às instalações físicas e às informações da organização
e impedir perda, danos ou comprometimento de ativos e
interrupção das atividades do negócio.
P
● Avaliação física do ambiente: visa
E
avaliar os riscos nas instalações dos
equipamentos e o acesso físico.
Análise do ambiente Privado (rede local):
Os computadores e servidores são utilizados
em uma corporação para realizar inúmeras tare-
fas que a princípio são divididas em duas categorias:
Missão Crítica:
Nessa categoria são enquadrados os servidores, roteadores,
firewalls ou todo o ativo de rede que tem atuação sistêmica.
São equipamentos e serviços que devem sempre estar
disponíveis a todos os usuários da empresa e sua parada
resulta em prejuízos.
● Avaliação das instalações do Centro de Processamento de
Dados (CPD) da empresa;
● Avaliação dos sistemas de backup e gerenciamento de mídias;
● Avaliação da proteção contra códigos maliciosos;
● Avaliação da política de controle de acesso ao ambiente de
missão crítica;
● Manutenção de logs;
● Gerenciamento de redes e serviços;
● Gerenciamento de acesso dos usuários e privilégios;
● Análise do plano de continuidade do negócio;
Missão Operacional:
Aqui são enquadrados todas as estações e ativos de rede
distribuídos pela empresa e seus respectivos usuários e
colaboradores, bem como terceiros, parceiros e clientes.

Análise do ambiente de rede Público (ambiente de internet):
Objetivo: Impedir que aplicações voltadas à internet estejam
vulneráveis, através de correções e ajustes no ambiente de
rede, políticas de controle de acesso físico e lógico.
Nesse módulo são realizadas as seguintes análises:
● Teste cego remoto - Levantamento de vulnerabilidades das
aplicações expostas;
Concretizando grandes negócios, evoluindo
com as necessidades do mercado e obtendo
aprovação pelos seus clientes
Brasil Telecom | Honda | Bombril | JVC | Rolls Royce | EDS | Comgás
Thyssen Krupp | Prada | Ericsson Gestão e Serviços | Santos Brasil
Telmex | Bireme OMS | Grupo DA - Laboratório Delboni Auriemo
- Laboratório Lavoisier | Partage - Aché Laboratórios | Tegma Logística
Ice Cards | Lojas Colombo | Mattos Filho Advogados | Mambo | Davó
Usina Santa Adélia | Ipsos Brasil | entre outros.
● Avaliação do controle de acesso físico e lógico às estações;
● Avaliação do controle de acesso ao sistema operacional;
● Avaliação do controle de acesso às aplicações;
● Avaliação da proteção contra códigos maliciosos;
● Avaliação das políticas de acesso à web;
● Avaliação das políticas de correio eletrônico;
● Políticas de acesso à rede;
● Avaliação dos métodos de autenticação dos usuários;
● Política de utilização de computadores portáteis.
Como resultado desse processo seguirá um relatório completo
de todas as avaliações realizadas com todas as recomendações
para que a empresa se enquadre nas normas de segurança da
ISO IEC NBR 17799.
ALERTA SECURITY SOLUTIONS
Rua Boa Vista 254 | 11ºandar | São Paulo | SP
Fone 55 11 3105 8655 | www.alertasecurity.com.br