Segurança da Informação

Analise de Risco e método GUT

Professor Fabio de Jesus Souza

 Analise de Risco

Risco é a probabilidade de que agentes, que são ameaças, explorem fragilidades, que são
vulnerabilidades, expondo os ativos a perdas de confidencialidade, integridade e disponibilidade, e
causando impactos nos negócios. Estes impactos são limitados por medidas de segurança que
protegem os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo, assim,o
risco.
 Analise de Risco
Após estabelecidos os ativos e suas prioridades, procura-se associá-los aos processos de
negócio, para que a análise possa ser feita à luz de impactos nos negócios, dado que não
necessariamente o valor patrimonial de um ativo seria diretamente proporcional ao impacto nos
negócios a ele relacionados, seja em valores financeiros, operacionais ou de imagem.

• Faz-se, então, um conjunto de avaliações tal que se estabeleçam níveis de risco para cada ativo.
Dentre as várias formas de classificação, define-se que Risco é função dos componentes conforme a
equação geral
 Analise de Risco
RISCO = f (Valor, Ameaças, Vulnerabilidades, Probabilidade, Impacto)

onde:

• Valor: o valor financeiro do ativo

• Ameaças: grandeza que traduz a quantidade ou nível de ameaças
• Vulnerabilidades: grandeza que traduz a existência e eficiência das defesas
• Probabilidade: probabilidade de ocorrência das ameaças, geralmente obtida
por um histórico estatístico da empresa ou do mercado
• Impacto: Perda ou ganho na ocorrência de uma ameaça
 Método GUT – Gravidade / Urgência / Tendência

O método GUT é um modelo utilizado para mapeamento de

análise de risco. Este modelo se mostra muito eficiente devido
atacar diretamente os pontos que precisam ser analisados.
 Gravidade (G)
• A análise da gravidade é onde se devem
considerar quais são as conseqüências que
possam ocorrer e os impactos que um risco pode
causar para o negócio de uma empresa.
• Exemplo: O que pode acontecer se as senhas dos
clientes de um banco forem descobertas?
 Urgência (U)
A análise da Urgência se dá em relação ao impacto que um
risco poderá causar se não for feito algo no tempo correto. Estes é
onde as análise de riscos mais se encaixam, pois aqui é avaliado o
que deve ser feito em primeiro lugar e em qual situação.
Exemplo: Se as senhas dos clientes do banco forem
descobertas, as ações devem ser feitas o mais rápido possível,
para diminuir os impactos.
 Tendência (T)
A análise da tendência é onde verifica o andamento das ações
que estão ocorrendo ou não para mitigar um risco. Se algo que é
urgente não for feito, poderá piorar as coisas e até chegar a um
estado crítico.
Exemplo: Se as senhas dos clientes do banco que foram
descobertas, e que algo está sendo feito não tiver ações rápidas,
as coisas podem piorar, como desvio de dinheiro.
 Matriz GUT
Com a utilização da matriz GUT, podemos encontrar quais são os
pontos de maior necessidade de atenção através de uma tabela com
indicadores de cores, que são obtidas através de uma multiplicação
dos resultados obtidos.
 Resultados
Por exemplo:
Se a gravidade de um ponto for 5, o sua urgência for 5 e a
sua tendência também for 5, multiplicando estes resultados,
teremos a maior pontuação da matriz GUT, que é 125
(5X5X5=125)
Desta forma temos a seguinte tabela:

1 a 42 Pontos Baixo Impacto Cor verde

43 a 83 Pontos Médio Impacto Cor amarela

84 a 125 Pontos Alto Impacto Cor vermelha

EXEMPLO
 Segurança da Informação
Planos, procedimentos e políticas de segurança da
informação

Professor Fabio de Jesus Souza

 Desafios na Implementação
Existem muitos desafios para que os profissionais
alocados no processo de Gestão da Segurança da
Informação possam implantar a segurança dentro das
organizações.
 Desafios na Implementação
Esses desafios estão ligados a diversos fatores de ordem cultural,
administrativa, temporal, obtenção de verbas, gerenciamento de atividades e
até mesmo a implantação de novas tecnologias. Dentre esses desafios,
podemos citar:

• Ausência de responsáveis direta e falta de orçamento

• Pessoas-chave no apoio
• Profissionais capacitados
• Escopo muito abrangente
• Definições de prioridade
• Conscientização
• Organização da empresa
 Aspectos a se considerar
Para as implementações de políticas de segurança da
informação, devemos considerar alguns aspectos importantes:

• Tamanho da organização.
• Qual é o nível técnico e de decisão das pessoas que participaram
dessa comissão.
• Qual será a sua abrangência.
• Quem são as pessoas-chave dos processos da organização.
• Hierarquia dentro da organização.
 Medidas de segurança
Podem ser estabelecidas em função do parâmetro de tempo e
necessidade, podendo ser de 4 tipos e sendo geralmente
conhecidas como medidas PDCR:

Preventivas: ação de tentar evitar que o problema ocorra.

– Exemplo: antivírus.
Detectivas: ação de detectar um determinado problema.
– Exemplo: vshield na memória.
Corretivas: ação de corrigir algo que as outras duas ações não
conseguiram evitar.
– Exemplo: clean no arquivo.
Restauradoras: recuperar algo perdido.
– Exemplo: restore do arquivo danificado.
 Política de Segurança
A idéia da palavra política está relacionada à ação de colocar ordem
em uma determinada situação por meio da implementação de um
conjunto de leis, regras e práticas que ajudarão nas situações comuns à
coexistência de ideias diferentes e quase sempre conflitantes, de forma
que a empresa consiga gerenciar e proteger os seus ativos de
informação.
 Política de Segurança
É um conjunto de regras e diretrizes com intuito
de proteger as informações, os ativos da empresa,
definindo normas técnicas, melhores práticas para a
assegurar o CIDAL
 Políticas de Segurança
A Política de Segurança define o conjunto de
normas, métodos e procedimentos utilizados
para a manutenção da segurança da
informação, devendo ser formalizada e
divulgada a todos os usuários que fazem uso
dos ativos de informação.
FERREIRA, Fernando Nicolau Freitas
 Filosofia
Fechado: tudo aquilo que não é permitido é explicitamente proibido.

Aberto: tudo aquilo que não é proibido explicitamente é permitido.

A documentação da política de segurança apresenta uma série de

dificuldades, tais como:

– elaborar;
– imprimir;
– distribuir;
– implementar (colocar em execução);
– ensinar (educar);
– atualizar.
 Os 4 Ps
Existem diversas filosofias para planos de segurança, mas podemos
citar os principais tipos:

Paranóico: tudo é proibido, mesmo aquilo que deveria ser permitido.

Proibitivo: tudo aquilo que não é permitido é explicitamente proibido.

Permissivo: oposto ao proibitivo. Tudo aquilo que não é proibido é

explicitamente permitido.

Promíscuo: tudo é permitido, incluindo aquilo que deveria ser proibido.

 Processos para a PSI
Uma PSI deverá possuir as características a seguir:

• Ser fácil de entender ou não será posto em prática;

• Ter sua finalidade explicada ou será ignorado;
• Ser implementado com energia ou exceções serão criadas e virarão
regras;
• Possuir sanções para os violadores;
• Cada colaborador deverá conhecer apenas os procedimentos de
segurança que lhe dizem respeito;
• Deve estar documentado formalmente e incluir diretivas claras.
 Formatos
• O procedimento de segurança deverá possuir as seguintes características:
• Ser aprovado pelo mais alto nível da hierarquia da empresa.
• Ser claro.
• Ser conciso.
• Ser elaborado por um responsável direto.
• Ser dirigido para atingir o nível de segurança adequado aos bens que se quer
proteger.
• Causar o mínimo de alterações no funcionamento da organização.
• Ser possível executar.
• Deve quantificar os recursos necessários para seu funcionamento.
• Deve prever as ações concretas e quem as realiza.
• Deve prever o que fazer em casos de falha na execução dos procedimentos
 Os 3 Blocos da PSI
No caso da política de segurança a mesma pode ser
subdividida em três blocos (Diretrizes, Normas e Procedimentos)

CAMADA ESTRATÉGICA

CAMADA TÁTICA

CAMADA OPERACIONAL
 Diretrizes
São orientações, guias, rumos. São linhas
que definem e regulam um traçado ou um
caminho a seguir. Instruções ou indicações
para se estabelecer um plano, uma ação, um
negócio, etc.
 Normas
São descrições de baixo nível de como
a organização aplicará a política. Em
outras palavras, são usados ​para manter
um nível mínimo de segurança da
informação.
 Procedimentos
São documentos detalhados que descrevem
as etapas necessárias em tarefas específicas,
como a criação de um novo usuário ou
a redefinição de senha . Cada passo é
obrigatório. Esses procedimentos devem estar
alinhados com as políticas da organização.
 O Rumo a ser Seguido

Padronização para melhor

controlar e fazer todos
os pontos da empresa tenha
o mesmo nível de segurança
Detalhamento se a configuração
está documentada e detalhada
em uma instrução escrita,
não há como ser realizada
de forma diferente
 Exercício
• Criar uma descrição que represente a política no
nível estratégico, para um determinado serviço.

• Criar uma descrição que represente a política no

nível tático, para um determinado serviço.

• Criar uma descrição que represente a política no

nível operacional, para um determinado serviço.
 Exemplo
Exemplo: servidor de e-mail.

• Os colaboradores não deverão enviar anexos

maiores que 5 MB.
• Os anexos maiores que 5 Mb serão
automaticamente retirados das mensagens.
• Caso autorizado pelo superior do departamento
o envio de anexo maior que 5 MB, contatar o
setor responsável pela liberação do envio
munido dos documentos necessários...
NORMAS – ELABORAÇÃO
 Foco da abordagem
• Levantamento de informações para conhecimento das políticas
existentes, processos de negócios, ambiente tecnológico,
entendimento das necessidades e uso dos recursos de TI

• Desenvolvimento do conteúdo das Políticas e Normas de

Segurança com a atribuição de regras, responsabilidades e
classificação da informação

• Elaboração de procedimentos e padrões, para discussão com a

Alta Administração, aderentes às melhores práticas de mercado e
contemplando as necessidades e metas da organização
 Produtos previstos
• Documentação, de fácil entendimento, contendo as especificações
das diretrizes de segurança e normas para os usuários e
administradores de TI acerca das obrigações durante a manipulação das
informações

• Realização de palestras para divulgação e conscientização da Política

de Segurança tendo como público-alvo a Alta Administração, Diretoria,
Gerências e demais colaboradores da organização.

• Elaboração de um Guia rápido de Segurança da Informação contendo

um sumário das principais diretrizes de segurança.
 Principais benefícios
• Envolvimento da Alta Administração com relação à Segurança da
Informação

• Aderência e responsabilidade formal dos colaboradores

• Definição de padrões para a gestão da segurança

• Descrição e fundamentação formal das penalidades e sanções para o

descumprimento das normas de Segurança

• Redução de indefinições e dúvidas quanto às regras a serem seguidas

 Fatores para o sucesso
• A política de segurança deverá ter o aval da pessoa mais graduada (CEO, Presidente,
etc.), a fim de evitar tentativas de coação / pressão dos administradores.
• Possuir cultura organizacional (consciência coletiva).
• A alta direção deve estar comprometida e dar amplo apoio aos seus
implementadores.
• Deve ter bom entendimento dos requisitos de segurança, avaliação e gestão de
riscos.
• A presença de um marketing interno eficaz para a segurança dentro da organização.
• Divulgação para todos os funcionários e contratados (Guia da Política de Segurança
da Informação).
• Treinamento.
• Alocação de recursos pessoais e financeiros.
• Procurar embasamento jurídico, principalmente no tocante a ações / punições
eventuais a serem aplicadas.
• E muita cooperação.
 Dicas
Para criar uma boa política, devemos responder a 5 perguntas
básicas:

1. Os colaboradores têm usado serviços de armazenamento não

autorizado?
2. Quais as ameaças internas e como proteger a organização delas?
3. Minha política de BYOD (Bring Your Own Device) é segura?
4. Há um plano de gerenciamento de incidente de segurança?
5. Quais as principais limitações em segurança da informação?
 Divulgação da PSI
É obrigação da empresa divulgar a todos os seus funcionários a política de
segurança. A divulgação será feita através da publicação de uma cópia fixada no
mural de cada setor.

A divulgação da política deve ser clara e ampla, para que todos os usuários
tenham acesso a elas e possam compreendê-las.

Todo funcionário que entrar na empresa e os já existentes devem assinar um

termo de responsabilidade e de conhecimento da política de segurança da
empresa a fim de se evitar alegações de desconhecimento.

As alterações das políticas de segurança devem ser comunicadas aos

usuários um período antes da mesma ser implementada, para que os usuários
possam adaptar-se a mesma. Fazendo com que os usuários assinem o termo de
responsabilidade e de conhecimento das novas políticas de segurança.
 Exercício
• Os alunos deverão se reunir em grupos e criar com no
mínimo 15 linhas uma sugestão de como os mesmos
divulgariam a política de segurança dentro da
empresa.

• Deverá ser indicada e citada qualquer ajuda extra dos

outros departamentos da empresa.

• Poderá ser utilizado exemplo prático vivenciado pelo

aluno.