Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Seg Inf 3 Aula

    Enviado por

    Veronica Macumbafy
    6 visualizações17 páginas
    O documento discute riscos e ameaças à segurança da informação, incluindo vulnerabilidades, tipos de ameaças, impactos e como gerenciar riscos através de análise de riscos qualitativa e quantitativa e implementação de medidas de prevenção, detecção, repressão, correção e aceitação.

    Descrição original:

    Título original

    Seg_Inf_3_Aula

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    O documento discute riscos e ameaças à segurança da informação, incluindo vulnerabilidades, tipos de ameaças, impactos e como gerenciar riscos através de análise de riscos qualitativa e quantitativa e implementação de medidas de prevenção, detecção, repressão, correção e aceitação.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    6 visualizações17 páginas

    Seg Inf 3 Aula

    Enviado por

    Veronica Macumbafy
    O documento discute riscos e ameaças à segurança da informação, incluindo vulnerabilidades, tipos de ameaças, impactos e como gerenciar riscos através de análise de riscos qualitativa e quantitativa e implementação de medidas de prevenção, detecção, repressão, correção e aceitação.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 17

    Segurança da Informação

    3ª Aula
    Risco e Ameaça

    Antes de iniciarmos a implantação de medidas de segurança, precisamos fazer


    uma análise de risco para saber contra o quê precisamos nos proteger;

    Um risco, dano ou perda, é determinado pela chance de ameaças ocorrerem e


    suas consequências impactarem a organização.
    Analise de Risco
    Risco e Ameaça

    Vulnerabilidades

    Fraquezas associadas aos ativos da organização.

    Exemplos:

    • Recursos Humanos/Parceiros:
    • Contratação inadequada.
    • Falta de consultores

    • Instalação:
    • Falta de mecanismo de monitoramento.
    • Proteção física inadequada.
    • Energia elétrica instável.
    • Rede sem fio desprotegida.

    • Banco de Dados:
    • Falta de backup.
    • Armazenamento inadequado
    Risco e Ameaça

    Tipo de Ameaças
    • Funcionários descontentes ou desmotivados;

    • Baixa conscientização nos assuntos de segurança;

    • Crescimento do processamento distribuído e das


    relações entre profissionais e empresas;

    • Aumento da complexidade e eficácia das


    ferramentas de hacking e de vírus;

    • E-mail;

    • Inexistência de planos de recuperação a desastres;

    • Desastres ( naturais ou não, como incêndio,


    inundação, terremoto, terrorismo );

    • Falta de políticas e procedimentos implementados.


    Risco e Ameaça

    Impactos de Ameaças
    • Perda de clientes e contratos.

    • Danos à imagem.

    • Perda de produtividade.

    • Aumento no custo do trabalho para conter,


    reparar e recuperar.

    • Aumento de seguros.

    • Penalidades e multas.
    Risco e Ameaça

    Incidente: Ameaça manifestada sem


    interrupção da operação da empresa.

    Desastre: Ameaça manifestada


    impedindo a continuidade das
    atividades da empresa.
    Gestão de Risco

    Gestão do Risco
    Análise de Risco

    Analise de Risco • Identificar ativos e seus valores.

    • Determinar vulnerabilidades e
    ameaças.

    • Determinar os riscos e as
    ameaças que podem realmente
    causar danos aos processos
    operacionais.

    • Determinar o equilíbrio entre


    custos de um incidente e custos
    das medidas de segurança.
    Análise de Risco

    Análise Risco Qualitativa

    Avaliar a relativa probabilidade ou plausibilidade de ocorrência de um risco e


    os impactos incorridos sobre aspectos organizacionais pertinentes (por
    exemplo, financeiro, reputação, etc).

    É uma analise subjetiva realizada com base na percepção (sentimento) das


    pessoas em relação ao risco.
    Análise de Risco

    Análise Risco Qualitativa – Matriz deRisco


    Análise de Risco

    Análise Risco Quantitativa

    Analisar numericamente o efeito dos riscos nos objetivos do negócio.

    Normalmente o risco é calculado monetariamente facilitando o processo


    avaliação e tomada de decisão no mundo dos negócio (perda de dinheiro é
    compreensível para qualquer unidade de negócio).
    Análise de Risco

    Os conceitos abaixo facilitam na apuração do


    resultado monetário de um risco:

    •SLE (Single Loss Expectancy – Expectativa


    de uma única perda): dinheiro que se espera
    perder caso um risco ocorra uma vez.

    •ARO (Annual Rate of Occurrence – Taxa


    anual de ocorrência): quantas vezes dentro de
    um período de um ano se espera que o risco
    ocorra.

    •ALE (Annual Loss Expectancy – Expectativa


    de perda anual): dinheiro que se espera perder
    em um ano considerando o SLE e o ARO (ALE =
    SLE * ARO)
    Análise de Risco

    Resposta aos Riscos

    • Aceitar

    • Transferir

    • Mitigar

    • Descontinuar/evitar
    Análise de Risco

    Medidas de Segurança

    • Medida para redução da chance do incidente/desastre ocorrer; ou

    • Medida de redução das consequências do incidente/desastre


    ocorrido; ou

    • Combinação das duas medidas.


    Análise de Risco

    Medidas de Segurança

     Medidas de redução são usadas para reduzir as


    ameaças.

     Medidas preventivas são usadas para prevenir


    incidentes.

     Medidas de detecção são usadas para detectar


    incidentes.

     Medidas repressivas são usadas para parar as


    consequências de um incidente.

     Medidas corretivas são usadas para recuperação dos


    danos causados por um incidente.
    Análise de Risco

    Prevenção
     Prevenção impossibilita a ocorrência da ameaça ou reduz sua
    possibilidade. Um exemplo de prevenção é colocar informações
    sensíveis em um local seguro.

    Detecção
     Se as consequências de um incidente não forem demasiada grande, ou
    se após o incidente há tempo suficiente para minimizar os dados, então
    garantir que o incidente seja detectado tão rápido quanto possível e que
    todos sejam informados do que está ocorrendo pode ser uma boa
    opção. Um exemplo disso é o uso de câmeras de vigilância. O fato de
    instalar já causa um impacto às pessoas dissuadindo de realizar
    atividades impróprias.

    Repressão
     Determinar que algo está ocorrendo não é suficiente, é necessário
    minimizar as consequências. Por exemplo, se houver um pequeno
    incêndio e houver um extintor à mão, este incêndio pode ser apagado
    por alguém. Medidas repressivas são aquelas que apagam o incêndio e
    também minimizam os danos causados. Fazer um backup é um exemplo
    de medida repressiva.
    Análise de Risco

    Correção (Recuperação)
     Se um incidente ocorreu, há sempre algo que deve ser
    recuperado. A extensão dos danos vai depender das medidas
    repressivas tomadas. Por exemplo, se um colega fez um banco
    de dados e sobrepôs acidentalmente ao banco de dados original,
    a extensão do dano vai depender do backup.

    Garantia
     Para eventos que não tem prevenção total e para os quais as
    consequências não são aceitáveis, deve-se procurar métodos
    que reduzam as consequências. Isso é chamado de mitigação.
    Seguro contra fogo e contra as consequências do fogo é um
    exemplo.

    Aceitação
     Quando as medidas necessárias são conhecidas, mas decide-se
    aceitar o risco porque o custo para implantação da medida não é
    aceitável ou porque não há medidas possíveis.

    Você também pode gostar