Escolar Documentos
Profissional Documentos
Cultura Documentos
Aula 02
2
ANALISANDO
RISCOS
3
ANALISANDO
RISCOS
● Análise de riscos pode ser traduzida em termos
● Qualitativos: atende às necessidades de negócios e dos usuários
●
Quantitativos: garantem que as medidas preventivas e corretivas não
custem mais do que o próprio recurso protegido, no contexto
patrimonial e de continuidade de negócios
4
DEFINIÇÕES
TÉCNICAS
Recurso Componente de um sistema computacional, podendo ser recurso
físico, software, hardware ou informação
Ameaça Evento ou atitude indesejável que potencialmente remove, desabilita,
danifica ou destrói um recurso
Vulnerabilidade Fraqueza ou deficiência que pode ser explorada por uma ameaça
Ataque Ameaça concretizada
Impacto Consequência de uma vulnerabilidade do sistema ter sido explorada
por uma ameaça
Probabilidade Chance de uma ameaça atacar com sucesso o sistema
computacional
Risco Medida da exposição a qual o sisema computacional está sujeito, o
risco envolve três componentes: ameaças, vulnerabilidades
associadas e impactos
5
ANALISANDO
AMEAÇAS
● É preciso levar em consideração todos os eventos
adversos que podem explorar as fragilidades de
segurança do ambiente e acarretar danos
● Ameaças acidentais
● Ameaças deliberadas
6
ANALISANDO
AMEAÇAS
● É preciso levar em consideração todos os eventos
adversos que podem explorar as fragilidades de
segurança do ambiente e acarretar danos
● Ameaças acidentais
● Ameaças deliberadas
7
ANALISANDO
AMEAÇAS
● É preciso levar em consideração todos os eventos
adversos que podem explorar as fragilidades de
segurança do ambiente e acarretar danos
● Ameaças acidentais
● Ameaças deliberadas
8
ANALISANDO
AMEAÇAS
●
Ameaças consideradas fundamentais em um ambiente
informatizado
● Vazamento de informações
● Violação de integridade
● Indisponibilidade de serviços
● Acesso e uso não autorizado
9
ANALISANDO
AMEAÇAS
●
As ameaças exploram as vulnerabilidades do sistema
para causar impactos
10
AMEAÇAS, RECURSOS E TIPOS DE
OBJETIVOS DE SEGURANÇA
AFETADOS
Ameaça Recurso Confidencialidade Integridade Disponibilidade
Desastres Instalação Durante o desastre os Serviços não
naturais física controles de acesso físico disponíveis e
podem ser esquecidos e dados perdidos
alguns recursos com
informações confidenciais
podem ser violados com
facilidade
Falhas de Hardware Hardware
fornecimento danificado e
de energia serviços não
disponíveis
Roubo Recursos Os recursos robados Serviços não
portáteis, podem conter informações disponíveis e
valiosos confidenciais dados perdidos
11
AMEAÇAS, RECURSOS E TIPOS DE
OBJETIVOS DE SEGURANÇA
AFETADOS
Ameaça Recurso Confidencialidade Integridade Disponibilidade
● Ameaças programadas
●
Programas passam a ter um comportamento estranho, não por
acidente, mas pela execução de códigos gerados com intuito de
danificar ou adulterar o comportamento normal dos softwares
14
ANALISANDO IMPACTOS E
CALCULANDO RISCOS
● Tipos de Virus
● Vírus de setor de boot
● Vírus parasitas
● Vírus camuflados
● Vírus polimórficos
● Vírus de macro
16
ANALISANDO IMPACTOS E
CALCULANDO RISCOS
17
ANALISANDO IMPACTOS E
CALCULANDO RISCOS
18
ANALISANDO IMPACTOS E
CALCULANDO RISCOS
●
Impactos normalmente são analisados sob dois
aspectos
● Curto prazo
● Longo prazo
19
ANALISANDO IMPACTOS E
CALCULANDO RISCOS
20
ANALISANDO IMPACTOS E
CALCULANDO RISCOS
●
Impactos que podem ser identificados pela alta
gerência
● 1 – modificação de dados
● 2 – sistemas vitais não disponíveis
● 3– divulgação de informações confidenciais
● 4 – fraude
●
5 – perda de credibilidade
● 6– possibilidade de processo legal contra a instituição
● 7 – perda de clientes para a concorrência
21
ANALISANDO IMPACTOS E
CALCULANDO RISCOS
●
A probabilidade de uma ameaça ocorrer pode ser
classificada em uma escala de 0 a 5
● 1 – ameaça completamente improvável de ocorrer
● 2 – probabilidade de a ameaça ocorrer menos de uma vez por ano
● 3 – probabilidade de a ameaça ocorrer pelo menos uma vez por ano
● 4– probabilidade de a ameaça ocorrer pelo menos uma vez por
mês
●
5– probabilidade de a ameaça ocorrer pelo menos uma vez por
semana
●
6 – probabilidade de a ameaça ocorrer diariamente
22
ANALISANDO IMPACTOS E
CALCULANDO RISCOS
●
Matriz de relacionamento entre ameaças impactos e
probabilidades
●
Agrupa as ameaças em categorias de acordo com os objetivos de
segurança que tentam burlar ou comprometer
Ameaças Tipo Impacto Probabilidade
impacto 0-5 0-5
Ameaças associadas à disponibilidade
Desastres naturais
Desastres causados por pessoas
Falha de equipamento
Ameaças associadas à confidencialidade
Grampo de linhas telefônicas
23
RETORNO EM INVESTIMENTO DE
SEGURANÇA
● ROSI (Return on Security Investiment) é a equação
tradicional do ROI (Return on Investiment) que se
aplica a investimentos de segurança
ROSI = ( Risk Exposure * Risk Mitigated%) - Solution Cost
Solution Cost
24
RETORNO EM INVESTIMENTO DE
SEGURANÇA
● Exemplo
● É estimado que uma empresa tenha um dano financeiro de $25.000,00
relacionados a cada exposição a um determinado tipo de vírus. A
empresa pega esse vírus aproximadamente 4 vezes por ano. Sendo
assim , ela quer implantar um antivírus que custa $25.000,00. Este
antivírus consegue inibir 3 de 4 ataques que a empresa sofre por ano.
● Risk Exposure (risco de exposição): $25.000,00 * 4 = $100.000,00
● Risk Mitigated (redução do risco): 0.75 (75%)
●
Custo da solução: $25.000,00
ROSI = ( 100.000,00 * 0.75) – 25.000,00 = 2 (200%)
25.000,00
25
GRUPOS DE SEGURANÇA –
CERT.BR
26
GRUPOS DE SEGURANÇA –
CERT.BR
27
GRUPOS DE SEGURANÇA –
CERT.BR
28
CARTILHA DE SEGURANÇA PARA A
INTERNET – CERT.BR
29
EXERCÍCIO
● Suponha que você saiba que os servidores de arquivos têm pastas compartilhadas
contendo arquivos com informações confidenciais que podem ser acessadas por
todos na sua empresa. Você sabe que essa superexposição de dados aumenta o risco
de comprometimento e perda de dados, mas você não sabe o número exato ou a
localização das pastas. Para reduzir esse risco, sua empresa está pensando em
investir em uma solução para descobrir dados confidenciais. Para determinar se esse
investimento é justificado, você precisa fazer as contas.
●
Você prevê que, se não tiver a solução, terá uma média de 10 incidentes de
segurança por ano. Cada incidente pode levar a uma violação que custa cerca de US
$ 40.000 em perda de dados, multas, perda de produtividade e perda de negócios.
●
Espera-se que a solução de descoberta de dados proposta reduza esse risco em 94%.
O custo estimado de compra e gerenciamento da solução é de US $ 60.000.
● Avalie se é viável fazer o investimento em segurança.
30
BIBLIOGRAFIA
BÁSICA
●
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação.
Rio de Janeiro: Axcel Books, c2000.
●
NAKAMURA, Emílio T.; de GEUS, Paulo L. Segurança de redes em
ambientes cooperativos. 3a edição. Editora Novatec.
31