RISCOS

Para as empresas alcançarem seus objetivos e

metas além de conhecerem muito bem seu
negócio elas precisam conhecer todos os
potenciais riscos envolvidos a fim de minimizá-los,
dentro de um custo aceitável para a organização.

Exemplos:

quando montamos uma rede, poderemos ter os serviços
paralisados.

Quando atravessamos uma rua longe do semáforo,
posso ser atropelado.
Risco X Segurança da Informação.

Para definir com maior precisão uma

classificação dos processos de segurança
realmente necessário à empresa (do mais
crítico ao menos crítico), o gestor precisará
conhecer de perto os riscos da empresa.
Visão Geral sobre Riscos

Porque adotar um gerenciamento de risco da
segurança da informação ? Quando as empresas
decidem implementá-lo ?

Normalmente essa motivação é criada por uma
necessidade de responder a um incidente de segurança
que a organização tenha identificado :

Servidores comprometidos por hackers.

Infecção maciça de vírus.

Vazamento de informações, etc.
Os três pilares da segurança

Segurança Física.

Segurança Técnica.

Segurança Lógica.

Os três são necessários e
complementares. A gerência deve ser
integrada sendo que recursos e
investimentos deverão ser cuidadosamente
distribuídos.
Tipos de Gestão de Riscos

Gestão Reativa:

São os famosos apagadores de incêndio que estão
sempre enrolados com diversas tarefas e nunca
possuem tempo para planejar e desenvolver algo.

As ações só serão executadas mediante o surgimento
de algum incidente de segurança como invasão de
sistemas, vírus, worms, etc.

Na maioria dos casos custa mais caro para a
organização implementar e geralmente é mais difícil de
conter, pois controles de segurança são praticamente
nulos.
Tipos de Gestão de Riscos

Gestão Proativa:

A organização já possui uma série de controles para o
tratamento das informações. Ela não precisa esperar um
evento danoso para reagir no sentido de minimizar
impactos sobre seu ambiente.

Existe um correto acompanhamento quanto ao
tratamento dos riscos da organização.

Mesmo com uma gestão de risco proativa a organização

precisa ter uma equipe de resposta a incidentes.
Mas o que é um risco???

Risco é perigo ou possibilidade de perigo

É a probabilidade de acontecer algo, pela exploração das

vulnerabilidades de um determinado ambiente, provocando
possíveisproblemas financeiros e impactos aos negócios. É
um contexto que inclui as ameaças, vulnerabilidades e o
valor a proteger. Tendo maior conhecimento do risco
podemos tomar atitudes melhores sobre ele.

O que é a análise de risco?

É o processo de avaliar o que é ou não aceitável para uma

organização num determinado contexto. Só devemos aceitar
um risco, quando o custo do controle aplicado para mitigá-
lo, for maior do que o custo do próprio bem em risco. O
nível de risco no qual uma organização aceita operar é
denominado de risco aceitável.
Classificação de Riscos

Qualitativos: Nesse caso atribuímos valores
relativos aos itens analisados.

Quantitativos: As informações atribuídas
visam ser o mais objetivas ou exatas
possíveis, podendo em alguns casos utilizar
bases históricas para definir valores.
Técnicas de análise de risco

A análise de risco deve ser feita considerando vários
aspectos
como:

ativos;

ameaças;

vulnerabilidades.

Para cada cenário deverão ser:

previstos os prejuízos;

recursos envolvidos para evitar a concretização do risco no
cenário;

custos;

benefícios.
 Componentes relevantes para
análise de Riscos

Fator de Risco:

Qualquer forma de comprometer o
ativo/processo analisado (Exs.: sistema
aplicativo, processo, projeto, etc.). Este
item ajudará a identificar os possíveis
impactos, dentre o escopo analisado, sobre
as diversas dimensões do risco (Exs.:
tempo, qualidade, etc.).

Descrição do Risco:

Necessário para o gestor entender de
forma clara e objetiva a que fatores de
risco ele está exposto.

Contexto:

Necessário para o gestor se situar ao
cenário como um todo, ao problema
atacado e principalmente ao negócio da
empresa.

Controle:

Fundamental para evitar prejuízos, este
item irá tratar os riscos identificados
através de ações e ou medidas corretivas /
preventivas aumentando o nível de
segurança dos sistemas.

Dimensões do Risco:

Permitem identificar quais as dimenções
relacionadas com os riscos, como por
exemplo, qualidade, política, financeira,
entre outras.

Probabilidade X Impacto

Através deste item, o gestor poderá
priorizar as ações corretivas de segurança
enumerando-as por ordem de relevância,
verificando a probabilidade de ocorrência
de cada risco e o grau dos impactos sobre
o ambiente.
Classificação dos Ativos

Os ativos podem ser classificados em tangíveis e intangíveis:

Tangíveis

Aplicações: software ou pacotes de aplicativos existente. Devemos
analisar e verificar quais deles causam maior impacto ao negócio
do cliente.

Equipamentos: máquinas, computadores e mídias, ou seja,
qualquer tipo de equipamento que manipule informações.

Informações: tecnologias, patentes, planejamentos, senhas, pastas
ou outras informações estratégicas que devam ser protegidas.

Organização: localização dos escritórios ou áreas departamentais
de
importância relevante, como por exemplo, a estrutura dos
servidores.

Usuários: alta administração, administradores de rede, operadores
de
sistemas críticos, prestadores de serviço e usuários chave.

Intangíveis

Imagem, reputação, credibilidade, habilidade de desenvolvimento
de alguma atividade.
Identificação dos ativos

Ativos físicos:

Equipamentos computacionais (processadores, monitores, laptops, modems).

Equipamentos de comunicação (roteadores, PABX’s , fax, secretárias
eletrônicas).

Mídias magnéticas (fitas e discos).

Outros equipamentos técnicos (no-breaks, ar-condicionado).

Mobília e acomodações.

Serviços:

Computação e serviços de comunicação.

Utilidades gerais

Climatização.

Iluminação.

Eletricidade.

Refrigeração.

Ativos de software:

Aplicativos.

Sistemas.

Ferramentas de desenvolvimento.

Utilitários.
Vulnerabilidades

Fraquezas associadas aos ativos da organização que caso
exploradas por uma ameaça representam riscos concretos
a organização. É o ponto onde o sistema poderá ser
suscetível a ataque.

Exemplo : A localização física dos prédios deverá ser observada

conforme:

Linhas de comunicação podem ser escutadas ou interrompidas?

Ocorre a existência de Modem’s?

Mesmo que as ameaças pareçam insignificantes, todas as

possíveis vulnerabilidades devem ser identificadas.
As ameaças

Algo que possa resultar em incidentes causando danos e
prejuízos a uma organização. Normalmente é difícil evitar a
ocorrência de tais eventos, porém eles podem ser
facilmente detectados.

Ameaças naturais: fenômenos de natureza, chuva, fogo,
furacão, terremoto, raio, tempestade, avalanche,
desmoronamento, etc.

Ameaças físicas: acesso e/ou uso não autorizado, desvio
de mensagens, roubo físico de equipamentos, acidente
aéreo, ameaça de bomba, acidente de construção,
acidente, ferroviário, acidente industrial, acidente marítimo,
acidente, nuclear, acidente químico, acidente rodoviário,
etc.
Ameaças Humanas

Ameaças não intencionais:

Este tipo de ameaça, geralmente ocorre pela ignorância
dos envolvidos. Por exemplo:

Falta de treinamento do usuário ou administrador da
rede.

Não entendimento de um manual ou documentação.

Arquivos enviados por engano.

Arquivos abandonados ou anotações esquecidas em
micro, mesa, etc.

Listagens abandonadas em cestas de lixo.
Ameaças Intencionais

Podem surgir a partir do meio interno e do meio externo,
como por exemplo:

Obtenção física de arquivos, discos, fitas, listagens, por meio de
roubo, cópia, pirataria e outros.

Ação de estranhos na tentativa de identificação ou autenticação
mascarada como usuário legítimo.

Ação do operador revelando medidas de proteção.

Ação do pessoal de manutenção sabotando ou utilizando de forma
indevida utilitários ou equipamentos.

Ação de programadores explorando o sistema, desarmando
proteções, forçando acessos através de gatilhos colocados dentro
do sistema operacional.

“Grampos” nos canais de comunicação.

NO MATERIAL DE APOIO TEMOS VÁRIOS EXEMPLOS DE

AMEAÇAS.
Atitudes

Conhecendo os riscos, ameaças e vulnerabilidades
poderemos tomar 4 atitudes :

Aceitar: só se justifica quando o custo de
implementação é maior que o impacto negativo que o
risco poderá trazer.

Diminuir: colocar em práticas ações com o objetivo de
reduzir o risco.

Ignorar: Não dar nenhum tipo de importância e
acreditar que nada irá acontecer.

Transferir: transferir o risco para um terceiro, criando
compensações, quase sempre menores, sobre as
perdas.
Técnicas de Análise de Risco

Análise subjetiva: documentos são escritos com vários cenários
como base para sessão de brainstorming”.

Análise quantitativa: orientada a mensurar os impactos financeiros
provocados por uma situação de quebra de segurança a partir da
valoração dos próprios ativos. Para cada ameaça quantificar a sua
incidência. Estimar o valor dos prejuízos que pode causar. Estimar
o custo de combater a ameaça. Pesar as várias ameaças para obter
um valor final.

Análise qualitativa: orientada por critérios que permitem estimar
os impactos aos negócios provocados pela exploração de uma
vulnerabilidade por parte de uma ameaça. Baseia-se em critérios e
classificações que podem pegar ao mesmo tempo valores tangíveis
e intangíveis. Esta tem se demonstrado com eficiência superior
pois abrange o processo como um todo.
Impacto

O que é impacto ?

É o conceito utilizado para medir os efeitos positivos ou
negativos que uma determinada atividade pode causar.

Como impactos podemos citar:

Perda financeira; Abalo na imagem; Multas ou sanções;
Perda de investidores; Prejuízo operacional; Aumento no
custo operacional; Parada no negócio da empresa;
Perda de ativos; Alteração na quantidade de pessoas
para a execução do processo; Redução da margem de
lucro e etc..
Medidas de Segurança (PDCR)

Podem ser estabelecidas em função do parâmetro de
tempo e
necessidade, podendo ser de 4 tipos e sendo geralmente
conhecidas como medidas PDCR.

Preventivas: ação de tentar evitar que o problema ocorra.
Exemplo: antivírus.

Detectivas: ação de detectar um determinado problema.
Exemplo: vshield na memória.

Corretivas: ação de corrigir algo que as outras duas ações não
conseguiram evitar.
Exemplo: clean no arquivo.

Restauradoras: recuperar algo perdido.
Exemplo: restore do arquivo danificado.
Mapeamento de processos

Identificar e mapear os processos internos é uma atitude que
ajuda a empresa a se tornar mais competitiva otimizando o
tempo e alcançando melhores resultados. Trata-se de uma
ferramenta simples, que pode ser adotada por organizações
de qualquer porte ou área de atuação, com inúmeros ganhos
principalmente na segurança da informação. Qualquer
organização é composta por um conjunto de processos tanto
de natureza técnica como social. Estes processos são as
atividades de negócio típicas que a empresa desenvolve para
gerar valor, satisfazer as necessidades dos seus clientes e criar
rendimento.
Atividade (slides 68 e 69)

Ativo: corresponde a entidade ou objeto alvo da função de
segurança. Exemplo: servidor.

Vulnerabilidade: uma fraqueza do ativo. Exemplo:
necessidade de energia elétrica.

Ameaça: ação, atitude ou situação em que a
vulnerabilidade de um ativo possa ser explorada. Exemplo:
rompimento dos cabos de energia elétrica.

Agente agressor: entidade responsável pela exploração da
ameaça. Exemplo: espião de empresa concorrente.

Perímetro de proteção: ambiente ou linha imaginária, física
ou lógica, em que uma ameaça possa atingir um ativo.
Exemplo: poste de suporte aos cabos de energia elétrica.
Atividade (slides 68 e 69)

Pense em sua casa e faça uma análise de risco

preenchendo com pelo menos 3 elementos dos
dados citados abaixo:

Ativo;

Vulnerabilidade;

Ameaça;

Controles existentes;

Aspecto básico afetado;

Impacto;

Medidas de segurança a serem adotadas.
Matriz de G.U.T (Gravidade, Urgência
e Tendência)

A prioridade das ações a serem executada pode ser encontrada utilizando a
matriz de G.U.T (gravidade, urgência e tendência). A definição da prioridade
final é composta pela análise e pelo produto das 3 dimensões do GUT
(Impacto = Gravidade X Urgência x Tendência).

Dimensão gravidade

Nesta linha de análise deve ser considerada a severidade dos impactos
relacionados ao processo do negócio analisado. Por exemplo: o que seria do
Telemarketing se toda a base de dados dos clientes fosse corrompida?

Dimensão urgência

Nesta linha de análise deve ser considerado o tempo da duração dos impactos
relacionados ao processo de negócio que esta sendo analisado. Por exemplo: o
que aconteceria com a empresa do exemplo anterior se a base continuasse
corrompida por mais de 07 dias?

Dimensão tendência

Nesta linha de análise deve ser considerado a oscilação dos impactos relacionados
ao processo analisado. Por exemplo: o que aconteceria com a empresa do
exemplo anterior se a base ficasse comprometida a curto, médio e longo prazo?
Impacto

O responsável pelo processo é que indica os
pesos.

Impacto = Gravidade x Urgência x Tendência
Sistema de coloração da matriz
G.U.T

Os valores obtidos depois da análise são multiplicados
gerando o impacto final, sendo que a faixa dos valores
possíveis vai de 1 a 125. O objetivo da matriz de GUT é
facilitar a identificação rápida dos processos e suas
prioridades. O resultado final é posicionado por cores onde
as faixa de 1 a 42, 43 a 83 e 84 a 125 devem ser
sinalizadas respectivamente pelas cores VERDE, AMARELA
e VERMELHA. Desta forma poderá ser visto qual ativo ou
processo tem maior impacto negativo em caso de
incidente.
Exercício

Cada grupo deverá escolher 3 processos, sendo estes os
principais da empresa. Para cada processo deverão ser
apontados 3 ativos. Para cada ativo deverão ser apontadas
3 vulnerabilidades. Para cada vulnerabilidade deverá ser
apontado uma ameaça que possa explorar esta
vulnerabilidade. Para cada ameaça identificar um método
de controle mitigador da mesma.

Depois aplicar o método de GUT (explicado mais adiante).
Mapeamento de processos e
análise de riscos