Analisando Riscos –

Aula 02

Profa Paulo Lopes da Silva Junior

Segurança e Auditoria de Sistemas

 ANALISANDO
RISCOS
●
Risco é a combinação de componentes, tais como
ameaças, vulnerabilidades e impactos
● Os riscos podem ser reduzidos
● É o ponto chave da política de segurança
● Identifica os componentes críticos e o custo potencial ao usuário do
sistema

2
ANALISANDO
RISCOS

O objetivo da análise de riscos é medir ameaças,

vulnerabilidades e impactos em um determinado ambiente
de forma a proporcionar a adoção de medidas apropriadas
tanto às necessidades do negócio da instituição, ao proteger
seus recursos de informação, como aos usuários que
precisam utilizar esse recurso

3
 ANALISANDO
RISCOS
● Análise de riscos pode ser traduzida em termos
● Qualitativos: atende às necessidades de negócios e dos usuários
●
Quantitativos: garantem que as medidas preventivas e corretivas não
custem mais do que o próprio recurso protegido, no contexto
patrimonial e de continuidade de negócios

4
 DEFINIÇÕES
TÉCNICAS
Recurso Componente de um sistema computacional, podendo ser recurso
físico, software, hardware ou informação
Ameaça Evento ou atitude indesejável que potencialmente remove, desabilita,
danifica ou destrói um recurso
Vulnerabilidade Fraqueza ou deficiência que pode ser explorada por uma ameaça
Ataque Ameaça concretizada
Impacto Consequência de uma vulnerabilidade do sistema ter sido explorada
por uma ameaça
Probabilidade Chance de uma ameaça atacar com sucesso o sistema
computacional
Risco Medida da exposição a qual o sisema computacional está sujeito, o
risco envolve três componentes: ameaças, vulnerabilidades
associadas e impactos

5
 ANALISANDO
AMEAÇAS
● É preciso levar em consideração todos os eventos
adversos que podem explorar as fragilidades de
segurança do ambiente e acarretar danos
● Ameaças acidentais
● Ameaças deliberadas

6
 ANALISANDO
AMEAÇAS
● É preciso levar em consideração todos os eventos
adversos que podem explorar as fragilidades de
segurança do ambiente e acarretar danos
● Ameaças acidentais
● Ameaças deliberadas

falha de hardware, erros de usuário,

erros de programação, desastres naturais...

7
 ANALISANDO
AMEAÇAS
● É preciso levar em consideração todos os eventos
adversos que podem explorar as fragilidades de
segurança do ambiente e acarretar danos
● Ameaças acidentais
● Ameaças deliberadas

roubo, espionagem, fraude, sabotagem,

Invasão de hackers...

8
 ANALISANDO
AMEAÇAS
●
Ameaças consideradas fundamentais em um ambiente
informatizado
● Vazamento de informações
● Violação de integridade
● Indisponibilidade de serviços
● Acesso e uso não autorizado

9
 ANALISANDO
AMEAÇAS
●
As ameaças exploram as vulnerabilidades do sistema
para causar impactos

 A análise dessas ameaças e vulnerabilidades tenta

definir a probabilidade de ocorrência de cada evento
adverso e as consequências da quebra de segurança

 A análise de impactos identifica os recursos críticos do

sistema, os que sofrerão impactos na ocorrência de uma quebra
de segurança
 A combinação desses dois tipos de análises compõe a análise
de riscos

10
 AMEAÇAS, RECURSOS E TIPOS DE
OBJETIVOS DE SEGURANÇA
AFETADOS
Ameaça Recurso Confidencialidade Integridade Disponibilidade
Desastres Instalação Durante o desastre os Serviços não
naturais física controles de acesso físico disponíveis e
podem ser esquecidos e dados perdidos
alguns recursos com
informações confidenciais
podem ser violados com
facilidade
Falhas de Hardware Hardware
fornecimento danificado e
de energia serviços não
disponíveis
Roubo Recursos Os recursos robados Serviços não
portáteis, podem conter informações disponíveis e
valiosos confidenciais dados perdidos

11
 AMEAÇAS, RECURSOS E TIPOS DE
OBJETIVOS DE SEGURANÇA
AFETADOS
Ameaça Recurso Confidencialidade Integridade Disponibilidade

Vírus Computador Dados Computadores

corrompidos infectados podem
deixar de funcionar,
danificar ou apagar
dados importantes

Hackers Rede Conseguem acessar informações protegidas, mas também

podem decidir modificar ou destruir os dados acessados
Ameaças Qualquer Códigos não As funções Programas podem
programadas software autorizados podem nesses ser projetados para
revelar programas destruir dados ou
informações podem negar acesso a
sensitivas como manipular usuários
senhas dados autorizados
12
 AMEAÇAS, RECURSOS E TIPOS DE
OBJETIVOS DE SEGURANÇA
AFETADOS
Ameaça Recurso Confidencialidade Integridade Disponibilidade
Falha de Qualquer O equipamento pode ser Dados Serviços não
Hardware hardware descartado ou enviado corrompidos disponíveis
para manutenção sem o pela falha
cuidado de se apagar de hardware
informação confidencial
nele contida
Falha de Qualquer Dados Serviços não
software software corrompidos disponíveis
pela falha
de software
Erro humano Qualquer Inadvertidamente podem Entrada de Acidentalmente
sistema ser reveladas dados dados podem ser
informações incorretos destruídos,
confidenciais. sistemas podem
se tornar
indisponíveis, etc
13
 ANALISANDO IMPACTOS E
CALCULANDO RISCOS

● Ameaças programadas
●
Programas passam a ter um comportamento estranho, não por
acidente, mas pela execução de códigos gerados com intuito de
danificar ou adulterar o comportamento normal dos softwares

14
 ANALISANDO IMPACTOS E
CALCULANDO RISCOS

● Tipos de ameaças programadas

 Vírus: projetados para se replicarem e se espalharem de um
computador a outro, atacando programas ou o setor de boot do disco
rígido e não são programas que são ativados por si mesmo.
 Worms: se propagam de um computador a outro em uma rede, sem
necessariamente modificar programas, mas podem carregar
programas que o façam (vírus)
 Bactéria: programas que gera cópias de si mesmo com intuito de
sobrecarregar um sistema de computador
 Bomba lógica: ameaças programadas, camufladas em programas,
que é ativada quando certas condições são satisfeitas e executam
funções que alteram o comportamento do software
 Cavalo de troia: parece ter uma função, mas na realidade executa
15 outras funções
 ANALISANDO IMPACTOS E
CALCULANDO RISCOS

● Tipos de Virus
● Vírus de setor de boot
● Vírus parasitas
● Vírus camuflados
● Vírus polimórficos
● Vírus de macro

16
 ANALISANDO IMPACTOS E
CALCULANDO RISCOS

● Alguns exemplos de vírus

● Beijing : no 129o boot e a cada 6o boot, a tela apresenta a mensagem “Bloody June 4 1989”,
menção ao massacre ocorrido na Praça da Paz Celestial em Pequim
● Dark Avenger: vírus identificado inicialmente em 1989 com a intenção de infectar
arquivos .com, .exe e .ovl, é um vírus destrutivo que encolhe aleatoriamente áreas do disco
rígido cujos dados são apagados gradativamente
● Melissa: aparição em 1999, infecta documentos do Word e envia cópias de arquivos
infectados aos 50 primeiros endereços do diretório do outlook
● Conficker: aparição em 2008, explora uma velha vulnerabilidade do Windows para se
espalhar pela internet por mídias removíveis e por redes desprotegidas, criados para
bloquear acesso a sites de empresas de segurança e atualizações de antivírus, além de
impedir a restauração do sistema
● Majava: explora vulnerabilidades na plataforma de desenvolvimento Java, dependendo do
nível podem dar ao invasor controle total da máquina
● Browlock: aparição em 2014, bloqueia o acesso do usuário a arquivos em seu computador

17
 ANALISANDO IMPACTOS E
CALCULANDO RISCOS

● Alguns outros exemplos de ameaças

● Golpes no WhatsApp: após acessar o link um vírus poderia ser
instalado no dispositivo oferecendo acesso a seus dados e
propagando ainda mais o link para outros contatos
●
Ovos de páscoa prometidos pelas lojas Kopenhagen (o nome da
empresa foi usada pelos atacantes)
●
Golpes do FGTS: em 2017 cresceu o número de domínios falsos
com o objetivo de roubar o dinheiro de quem tinha direito ao
benefício
●
Ataque homográfico: a URL de um site parece de um forma para
o usuário mas na verdade é outro

18
 ANALISANDO IMPACTOS E
CALCULANDO RISCOS

●
Impactos normalmente são analisados sob dois
aspectos
● Curto prazo
● Longo prazo

19
 ANALISANDO IMPACTOS E
CALCULANDO RISCOS

● Impactos podem ser classificados em uma escala de 0 a 5

● 1 – impacto irrelevante
●
2– efeito pouco significativo, sem afetar a maioria dos processos de
negócios da instituição
●
3– sistemas não disponíveis por um determinado período de tempo,
podendo causar perda de credibilidade junto aos clientes e pequenas
perdas financeiras
●
4– perdas financeiras de maior vulto e perda de clientes para a
concorrência
●
5– efeitos desastrosos, porém sem comprometer a sobrevivência da
instituição
●
6 – efeitos desastrosos, comprometendo a sobrevivência da instituição

20
 ANALISANDO IMPACTOS E
CALCULANDO RISCOS

●
Impactos que podem ser identificados pela alta
gerência
● 1 – modificação de dados
● 2 – sistemas vitais não disponíveis
● 3– divulgação de informações confidenciais
● 4 – fraude
●
5 – perda de credibilidade
● 6– possibilidade de processo legal contra a instituição
● 7 – perda de clientes para a concorrência

21
 ANALISANDO IMPACTOS E
CALCULANDO RISCOS

●
A probabilidade de uma ameaça ocorrer pode ser
classificada em uma escala de 0 a 5
● 1 – ameaça completamente improvável de ocorrer
● 2 – probabilidade de a ameaça ocorrer menos de uma vez por ano
● 3 – probabilidade de a ameaça ocorrer pelo menos uma vez por ano
● 4– probabilidade de a ameaça ocorrer pelo menos uma vez por
mês
●
5– probabilidade de a ameaça ocorrer pelo menos uma vez por
semana
●
6 – probabilidade de a ameaça ocorrer diariamente

22
 ANALISANDO IMPACTOS E
CALCULANDO RISCOS

●
Matriz de relacionamento entre ameaças impactos e
probabilidades
●
Agrupa as ameaças em categorias de acordo com os objetivos de
segurança que tentam burlar ou comprometer
Ameaças Tipo Impacto Probabilidade
impacto 0-5 0-5
Ameaças associadas à disponibilidade
Desastres naturais
Desastres causados por pessoas
Falha de equipamento
Ameaças associadas à confidencialidade
Grampo de linhas telefônicas
23
 RETORNO EM INVESTIMENTO DE
SEGURANÇA
● ROSI (Return on Security Investiment) é a equação
tradicional do ROI (Return on Investiment) que se
aplica a investimentos de segurança
ROSI = ( Risk Exposure * Risk Mitigated%) - Solution Cost
Solution Cost

24
 RETORNO EM INVESTIMENTO DE
SEGURANÇA
● Exemplo
● É estimado que uma empresa tenha um dano financeiro de $25.000,00
relacionados a cada exposição a um determinado tipo de vírus. A
empresa pega esse vírus aproximadamente 4 vezes por ano. Sendo
assim , ela quer implantar um antivírus que custa $25.000,00. Este
antivírus consegue inibir 3 de 4 ataques que a empresa sofre por ano.
● Risk Exposure (risco de exposição): $25.000,00 * 4 = $100.000,00
● Risk Mitigated (redução do risco): 0.75 (75%)
●
Custo da solução: $25.000,00
ROSI = ( 100.000,00 * 0.75) – 25.000,00 = 2 (200%)
25.000,00

25
GRUPOS DE SEGURANÇA –
CERT.BR

26
 GRUPOS DE SEGURANÇA –
CERT.BR

Entidade civil, de direito privado, sem fins

lucrativos, que desde 2005 tem a atribuição
das funções administrativas e operacionais
relativas ao domínio .br.

27
 GRUPOS DE SEGURANÇA –
CERT.BR

Centro de Estudo, Resposta e Tratamento

de Incidentes de Segurança no Brasil

28
CARTILHA DE SEGURANÇA PARA A
INTERNET – CERT.BR

29
 EXERCÍCIO

● Suponha que você saiba que os servidores de arquivos têm pastas compartilhadas
contendo arquivos com informações confidenciais que podem ser acessadas por
todos na sua empresa. Você sabe que essa superexposição de dados aumenta o risco
de comprometimento e perda de dados, mas você não sabe o número exato ou a
localização das pastas. Para reduzir esse risco, sua empresa está pensando em
investir em uma solução para descobrir dados confidenciais. Para determinar se esse
investimento é justificado, você precisa fazer as contas.
●
Você prevê que, se não tiver a solução, terá uma média de 10 incidentes de
segurança por ano. Cada incidente pode levar a uma violação que custa cerca de US
$ 40.000 em perda de dados, multas, perda de produtividade e perda de negócios.
●
Espera-se que a solução de descoberta de dados proposta reduza esse risco em 94%.
O custo estimado de compra e gerenciamento da solução é de US $ 60.000.
● Avalie se é viável fazer o investimento em segurança.

30
 BIBLIOGRAFIA
BÁSICA

●
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação.
Rio de Janeiro: Axcel Books, c2000.
●
NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em
ambientes cooperativos. 3a edição. Editora Novatec.

31