Analise Riscos

Faculdade de Tecnologia Senac-DF Gestão de T.I.
Infra-estrutura de Software
Análise de Riscos em S.I.
Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Faculdade de Tecnologia Senac-DF Gestão de T.I. Infra-estrutura de Software
Termos e definições
 Ativo: tudo que tem valor e necessita de proteção.

Podem ser pessoas, processos, tecnologias e
ambientes.
 Escopo: conjunto de ativos que serão cobertos pelo
processo de GR
 Perímetro: fronteiras físicas ou lógicas que
delimitam um grupo de ativos
 Parte envolvida: quem será afetado pelo risco
 Parte interessada (stakeholder): quem está
interessado no desempenho da instituição
 Ameaça (ambiental ou humana): tudo aquilo que
tem potencial para causar danos aos ativos
 Incidente: uma ameaça que foi concretizada
 Proteção: práticas, procedimentos ou mecanismos que

visam livrar os ativos de ameaças, reduzir ou eliminar
vulnerabilidades, limitar o impacto de incidente ou ajudar
na sua detecção, possibilitando a correção e recuperação
dos danos causados
 Vulnerabilidade: ausência ou falha em mecanismo de
proteção
 Análise de vulnerabilidades: levantamento de falhas
ou ausências de proteções
 Risco: métrica que mostra a noção de segurança em
termos da probabilidade de ocorrência de ameaças e do
impacto causado em um ativo
 Critério de risco: limites aceitáveis para o risco adotado
pela instituição

 Encadeamento de riscos
 Curto circuito (ameaça)
 Falta de sistema de detecção de incêndio
(vulnerabilidade)
 Fogo (impacto/ameaça 2)
 Falta de extintor automático (vulnerabilidade)
 Incêndio (impacto/ameaça 3)
 Ausência de brigada, sala-cofre (vulnerabilidade)
 Perda de informação (impacto final)

Encadeamento

Encadeamento

Encadeamento

Encadeamento

Encadeamento

Encadeamento

Encadeamento

Encadeamento

Encadeamento

Gestão de Riscos (GR)
 Um série de atividades relacionadas à forma como a

organização lida com o risco
 Cobre todo o ciclo de vida do risco
 Análise e avaliação
 Tratamento do risco
 Aceitação do risco
 Comunicação do risco

Frameworks GR – ISO Guia 73 - Vocabulário

Frameworks GR – AS\NZS 4360 - Modelo geral

Frameworks GR – ISO 27005 – GR em TI

Análise e Avaliação de Riscos
 Processo dividido em duas partes

 Análise de riscos
 Identificação das ameaças
 Buscas em bases de dados sobre tipos de ameaças
 Ex: lista de discussão especializadas, boletins de centros
de respostas especializadas
 Estimativa do risco
 Atribui valor ao risco por meio dos impactos e
probabilidades das ameaças
 Avaliação de riscos
 Cruzamento dos riscos identificados e estimados com os
critérios de riscos adotados pela organização

Análise e Avaliação de Riscos

Tratamento do Risco
 Seleção e implementação de medidas que reduzam

os riscos previamente identificados
 Visa trazer os níveis de riscos para patamares
aceitáveis ou diminuir os impactos
 Medidas de tratamento de risco
 Evitar: Não se expor a situação de risco
 Transferir: fazer um seguro para cobrir eventuais
prejuízos
 Reter: fazer um auto-seguro
 Reduzir: implementar uma proteção que reduza o
risco
 Mitigar: tomar medidas que diminuam apenas o
impacto
Aceitação do Risco
 Ocorre quando o custo de proteção contra um

determinado risco não vale a pena pois vale mais
que o próprio ativo
 Ocorre também quando os riscos identificados estão
em patamares aceitáveis
 Aceitar um risco também é uma forma de tratá-lo

Comunicação do Risco
 É o ato de divulgação das informações sobre os

riscos que foram identificados a todas as partes
envolvidas
 Visa fornecer um cenário claro dos riscos existentes
e compartilhar as responsabilidades
 Nem todos os riscos precisam ser comunicados
 Uma boa oportunidade de divulgar os riscos é por
meio de campanhas de conscientização de
segurança

Implementação da Análise e Avaliação de
Riscos
 Definição do escopo
 Identificação das ameaças
 Estimativa da probabilidade de ocorrência e
estimativa do impacto
 Identificação dos ativos de maior risco

Definição do Contexto (Escopo e Perímetros)

Categorizaçã Implementaç Vantagem Desvantage
o ão m
Por processo Mapeamento do Alinhamento com Não pode ser
processo e o negócio em executado se a
depois questão empresa não
identificação dos possui seus
ativos. Ex.: processos bem
Venda on-line documentados
Por local físico Seleção dos Simplicidade Ativos pouco

ativos de um importantes para
local. Ex.: CPD o negócio podem
ser selecionados
Por tipo de Foco nos ativos Eficaz para o Menor

ativo de determinado departamento de alinhamento com
tipo. Ex.: de TI TI o negócio
Híbrida Combinação dos Pode otimizar as Pode minimizar

anteriores vantagens dos as desvantagens
anteriores dos anteriores

Identificação das Ameaças
 Trabalhe com ameaças mais genéricas, pois são

muito diversificadas.
 Ex.: Erro do usuário, falha no sistema, contaminação
por vírus  Indisponibilidade do sistema
 Tenha foco nas ameaças mais comuns que
representam 80% dos incidentes e trabalhe com
listas prontas
 Exemplos de fontes
 CSI/FBI
 Gartner
 Ernest Young
 ISS
 Security Focus
Identificação das Ameaças
(Source: Global Information Security Survey 2007, Ernst&Young)

Estimativa do Risco
 Método PSR
 O valor do risco se dá pela fórmula:
Risco = Probabilidade x Severidade x Relevância
 Deve ser feito o cálculo para cada ameaça em cada
ativo do perímetro
 O cálculo da probabilidade está relacionado à ausência
de proteções e presença de vulnerabilidades
 Baseado em tabelas subjetivas de níveis que serão
atribuídos a cada ameaça
Níveis MB BA ME AL MA
Probabilidade 1 2 3 4 5
Severidade 1 2 3 4 5
Relevância 1 2 3 4 5

Estimativa do Risco
 Exemplo
 Call Center
 Escopo da AR: Processo de atendimento
 Ativosenvolvidos: estação do usuário, servidor de banco
de dados, operador do call center, log da chamada
(dado)
 Ativo a ser analisado: Servidor de banco de dados
 Ameaças

Acesso não autorizado
 Fraude ou sabotagem
 Ação de código malicioso
 Indisponibilidade
 Cálculo
do risco depende do contexto: rotina da
empresa, estrutura organizacional, ambiente físico,
ambiente lógico, proteções instaladas, etc ...  PSR
 Deve ser definido o valor do critério do risco
Estimativa do Risco
 Ativos mais comuns

 Servidores
 Estações de trabalho
 Banco de dados
 Instalações prediais
 Recursos humanos
 Aplicativos
 Dados e informações

Estimativa do Risco
 Vulnerabilidades mais comuns

 Erro de sistema
 Erro de aplicativo
 Ataque de malwares
 Queda de energia
 Panes de hardware
 Inconsistências
 Backups mal agendados
 Estouro de capacidade de disco
 Apagamento acidental de dados
 Apagamento acidental de programas

Estimativa do Risco
 Vulnerabilidades mais comuns

 Problemas em permissões e privilégios
 Ausência de monitoramento
 Ambiente físico de fácil acesso
 Falta de controle das chaves
 Funcionários susceptíveis à engenharia social
 Desatualização tecnológica
 Concentração de funções em um único funcionário
 Ausência ou desatualização de antivírus
 Softwares piratas ou não autorizados
 Erros de incompatibilidade

Avaliação e Implementação de Proteções
 Após a fase de análise de riscos devem ser avaliadas

as e implementadas as proteções
 Também deve ser feita uma nova análise de riscos
residuais
 Os novos riscos devem estar abaixo do critério de risco
adotado
 Caso contrário as proteções devem ser revistas

Exemplo

Exemplo

Exemplo

Exemplo

Analise Riscos

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Analise Riscos

Enviado por

Direitos autorais:

Formatos disponíveis

Faculdade de Tecnologia Senac-DF Gestão de T.I.

Análise de Riscos em S.I.

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

 Ativo: tudo que tem valor e necessita de proteção.

 Proteção: práticas, procedimentos ou mecanismos que

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Gestão de Riscos (GR)

 Um série de atividades relacionadas à forma como a

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Frameworks GR – ISO Guia 73 - Vocabulário

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Frameworks GR – AS\NZS 4360 - Modelo geral

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Frameworks GR – ISO 27005 – GR em TI

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Análise e Avaliação de Riscos

 Processo dividido em duas partes

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Análise e Avaliação de Riscos

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

 Seleção e implementação de medidas que reduzam

 Ocorre quando o custo de proteção contra um

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

 É o ato de divulgação das informações sobre os

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Definição do Contexto (Escopo e Perímetros)

Por local físico Seleção dos Simplicidade Ativos pouco

Por tipo de Foco nos ativos Eficaz para o Menor

Híbrida Combinação dos Pode otimizar as Pode minimizar

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Identificação das Ameaças

 Trabalhe com ameaças mais genéricas, pois são

Identificação das Ameaças

(Source: Global Information Security Survey 2007, Ernst&Young)

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

 Ativos mais comuns

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

 Vulnerabilidades mais comuns

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

 Vulnerabilidades mais comuns

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Avaliação e Implementação de Proteções

 Após a fase de análise de riscos devem ser avaliadas

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Prof. Luiz Fernando Sirotheau Serique Junior  serique@gmail.com http://www.facsenac.com.br

Você também pode gostar