Essentials Modulo2

Curso Bsico de Segurana da Informao
Academia Latino-Americana de Segurana da Informao
Conceitos de Anlise de Risco
Mdulo 2
Academia Latino-Americana de Segurana da Informao Curso Bsico Mdulo 2 Conceitos de Anlise de Risco - Microsoft TechNet
Pgina 1
Apostila desenvolvida pelo Mdulo Security e revisada pelo captulo Brasil da ISSA, em parceria com a Microsoft Informtica
www.modulo.com.br
http://www.issabrasil.org
Reviso 1.1 Dezembro de 2006
COORDENADOR TCNICO Fernando Srgio Santos Fonseca EQUIPE DE REVISO Anchises de Paula Augusto Paes de Barros Dimitri Abreu Luciana Vartuli Luciano Barreto
Pgina 2
COMO USAR ESSE MATERIAL

Este um material de apoio para o curso Conceitos de Anlise de Risco ministrado pela Academia de Segurana Microsoft. Um vdeo explicando os conceitos deste material estar disponvel na academia para auxiliar no entendimento dos conceitos aqui explicados.
VDEO
Indica que ser apresentado um filme para ilustrar as prticas ou conceitos.
CONCEITO-CHAVE
Indica um ponto importante para se assimilar melhor a matria.
PERGUNTAS PARA PENSAR

Indica uma pergunta que estimula um raciocnio lgico para auxiliar o aprendizado
VULNERABILIDADES
Indica uma vulnerabilidade atribuda a um conceito sendo estudado
Pgina 3
NDICE
INTRODUO................................................................................................................................ 7
Notcias pelo Mundo ...................................................................................................................................................................... 8 Objetivos ...................................................................................................................................................................................... 10 Contedo da unidade: .................................................................................................................................................................. 10
ANLISE DE RISCOS ................................................................................................................... 11 1.1 Introduo ............................................................................................................. 11 1.2 Objetivos ............................................................................................................... 13 1.3 O que a anlise de riscos ................................................................................... 14 1.4 - Definio de anlise de risco .............................................................................. 16 1.5 Lies aprendidas ................................................................................................. 17 MOMENTO E ESCOPOS DA ANLISE DE RISCOS ............................................................................. 18 2.1 Introduo ............................................................................................................. 18
Notcias pelo Mundo .................................................................................................................................................................... 19
2.2 Objetivos ............................................................................................................... 21 2.3 - Momento da anlise de risco ............................................................................. 22

Poltica de segurana ................................................................................................................................................................... 23
2.4 - Escopos da anlise de riscos .............................................................................. 24 2.5 - Lies aprendidas ............................................................................................. 27 AMEAAS E PONTOS FRACOS ...................................................................................................... 28 3.1 Introduo ............................................................................................................. 28
3.2 - Objetivos ............................................................................................................. 30 3.3 - A Importncia da implementao ........................................................................ 31 3.4 Exemplo da anlise dos riscos .............................................................................. 32
Pgina 4
3.5 Lioes Aprendidas ................................................................................................ 34 RELEVNCIA DOS PROCESSOS DO NEGCIO E SEUS ATIVOS NA ANLISE DA SEGURANA ............... 35 4.1 Introduo ............................................................................................................. 35 4.2 - Objetivos ............................................................................................................. 36
4.3 Identificao da relevncia dos processos para conduzir as aes de segurana da informao .................................................................................................................. 38 4.4 - Raio X de uma ameaa ...................................................................................... 40 4.5 - Identificao da relevncia dos ativos para dirigir as aes de segurana da informao .................................................................................................................. 43 4.6 Lies aprendidas ................................................................................................. 45 DEFINIO DA EQUIPE ENVOLVIDA E DAS ENTREVISTAS AOS USURIOS.......................................... 46 5.1 Introduo ............................................................................................................. 46
5.2 - Objetivos ............................................................................................................. 51 5.3 Definio da equipe envolvida .............................................................................. 52 5.4 Entrevista com os usurios ................................................................................ 53 5.5 Lies aprendidas ................................................................................................. 55 ANLISE TCNICA DE SEGURANA............................................................................................... 56 6.1 Introduo ............................................................................................................. 56
6.2 - Objetivos ............................................................................................................. 58 6.3 Anlise tcnica de segurana ............................................................................... 59 6.4 Lies aprendidas ................................................................................................. 63 ANLISE DE SEGURANA FSICA .................................................................................................. 64 7.1 Introduo ............................................................................................................. 64
Pgina 5
7.2 - Objetivos ............................................................................................................. 66 7.3 Anlise de segurana fsica .................................................................................. 67 7.4 Lies aprendidas ................................................................................................. 70 RELEVNCIA DOS ATIVOS PARA A ANLISE DE RISCOS E RESULTADOS ........................................... 71 8.1 Introduo ............................................................................................................. 71 8.2 - Objetivos ............................................................................................................. 72 8.3 Relevncia dos ativos para a anlise de riscos ..................................................... 73 8.4 Os resultados da anlise de riscos ........................................................................ 74 8.5 Lies Aprendidas ................................................................................................ 76
Pgina 6
INTRODUO
A cada dia vemos um aumento na quantidade de incidentes relacionados com a segurana dos sistemas de informao, que acabam comprometendo os ativos das empresas.. O que antes era fico agora , em muitos casos, realidade. As ameaas ao negcio sempre existiram, a diferena que agora a tecnologia tornou o inimigo mais rpido, mais difcil de detectar e muito mais atrevido. por isso que toda organizao deve estar sempre alerta e saber exatamente como devem ser implementados os sistemas de segurana necessrios. Esta deciso deve ser baseada em uma anlise de riscos para evitar ou minimizar as conseqncias indesejadas. Contudo importante ressaltar que, antes de implementar qualquer medida de segurana, fundamental conhecer com detalhes o ambiente que oferece suporte aos processos de negcio das organizaes, no que se refere a sua composio e seu carter crtico. Isso permite priorizar as aes de segurana para os processos empresariais mais urgentes e vinculados aos objetivos da organizao.
Pgina 7
NOTCIAS PELO MUNDO
Crescimento de ataque a sistemas via Internet cresce e atinge setor de petrleo/gs Uma pesquisa do British Columbia Institute of Technology estima que, entre 1998 e 2000, a fonte de 31% das ameaas contra os sistemas computacionais estaria fora das empresas envolvidas. Entre 2000 e 2003, este ndice subiu para 70%. Segundo o estudo, os problemas relacionados Internet podem indiretamente gerar impacto em um sistema que no usa totalmente a rede. Por conta disso, as empresas de software empresarial comearam a pensar em solues de gerenciamento centralizado de polticas que regem as operaes de Web Services, como acesso e balanceamento de carga, monitoramento de estatsticas para garantir a qualidade dos servios, tempo de operao e ameaas segurana. Outra soluo para aumentar o nvel de segurana a aplicao da criptografia de dados e rede a um sistema de autenticao robusto que garante privacidade. S que medida que as plataformas de TI tornam-se mais complexas, as empresas pedem um maior acompanhamento de dados e eventos para facilitar a identificao de riscos computacionais, eliminar problemas entre a execuo e a superviso. Em fevereiro deste ano, o ataque com explosivos maior instalao de processamento de petrleo da cidade de Abqaiq, na Arbia Saudita, revelou que a segurana uma das grandes prioridades do setor de petrleo. As empresas petrolferas que fizeram vultosos investimentos para configurar seus bancos de dados em sistemas de computador. Mas, ironicamente, essa enorme rede computacional pode representar um risco se no for gerenciada com eficincia e segurana, afirmam os especialistas. Entretanto, h uma outra ameaa, os ataques infra-estrutura de TI (tecnologia da informao), que podem ter efeitos ainda mais devastadores s empresas que atuam na extrao, processamento e distribuio de petrleo e gs.
Pgina 8
Fonte: http://www.modulo.com.br/arquivoboletins/2k6/msnews_no445.htm
Pgina 9
OBJETIVOS
Conhecer os conceitos referentes atividade de anlise de riscos, para se ter o fundamento que oferece suporte administrao da segurana da informao; Identificar os processos de negcios da organizao para distinguir os ativos que os suportam, considerando toda a infra-estrutura tecnolgica, organizacional e humana; Descrever as ameaas potenciais que podem causar incidentes de segurana; Determinar as vulnerabilidades presentes nos ativos para que sejam devidamente corrigidas.
CONTEDO DA UNIDADE:
Conceito de anlise de riscos; Momento e escopo da anlise de riscos; Atividades da anlise de riscos; Relevncia dos processos de negcio e seus ativos; Definio da equipe envolvida em entrevistas com usurios; Anlise tcnica da segurana; Anlise da segurana fsica; Relevncia dos ativos para a anlise de riscos e resultados.
Pgina 10
Captulo
1
ANLISE DE RISCOS
1.1 INTRODUO
So muitos os cenrios que podem ser avaliados em termos de segurana da informao e da anlise de riscos. A seguir, apresentamos alguns exemplos, nos quais difcil distinguir a fico da realidade:
A Senha a) Depois de 60 segundos de tentativas, um hacker consegue entrar no sistema de segurana do Departamento de Defesa dos Estados Unidos. Voc considera esse cenrio fico ou realidade? Talvez tenha pensado que uma situao que realmente aconteceu, mas estamos apenas citando uma cena do filme "A Senha" (Sword Fish). Portanto, neste caso, um intruso que tem acesso no-autorizado ao sistema de informaes do Departamento de Defesa s fico. Entretanto, os cenrios que enfrentamos diariamente so cada vez mais parecidos com esse tipo de fico. Conseqentemente, importante agir e estar consciente com relao
Pgina 11
s possveis falhas de segurana da empresa que podem permitir um acesso indevido aos seus sistemas e suas informaes estratgicas.
Worm Blaster b) Vinte e cinco dias depois de detectar uma vulnerabilidade em um aplicativo de uso comum na rede, criado um vrus para aproveitar essa fragilidade. Quatorze dias depois, ele se espalha pela Internet e milhares de computadores de usurios em todo o mundo que tm esse aplicativo vulnervel so infectados. Ser realidade ou fico? Claro que estamos diante de um caso que, embora no parea ser possvel, uma realidade e ocorreu de verdade. a histria da criao do vrus do tipo worm (verme) conhecido como Blaster. Hoje em dia, as vulnerabilidades de software so exploradas rapidamente, em uma velocidade muito maior pelas pessoas com inteno de danificar os computadores de terceiros ou ativos das empresas. Essa velocidade implica que devemos estar mais alertas do que nunca, no s reagindo, como tambm prevenindo possveis riscos e problemas de segurana. Poucos dias podem fazer a diferena entre ter seu sistema invadido (ou paralizado) ou estar imune a um novo tipo de vrus de computador.
Pgina 12
1.2 OBJETIVOS
Descrever o conceito de anlise de riscos para determinar as implicaes que representa para a segurana da empresa; Identificar os possveis impactos das ameaas em nossos sistemas de informao para, assim, agir e reduzi-los, elimin-los ou transfer-los; Compreender que a segurana da informao no um luxo, e sim uma necessidade para a sobrevivncia da empresa.
Pgina 13
1.3 O QUE A ANLISE DE RISCOS

A Anlise de risco um dos passos mais importantes para implementar a segurana da informao em uma empresa. Como o prprio nome indica, realizada para identificar os riscos aos quais esto submetidos os ativos de uma organizao, ou seja, para saber qual a probabilidade de que as ameaas se concretizem e o impacto que elas causaro ao negcio.
As ameaas podem se tornar realidade atravs de falhas de segurana, que conhecemos como vulnerabilidades e que devem ser eliminadas ao mximo para que o ambiente que desejamos proteger esteja livre de riscos de incidentes de segurana. Portanto, a relao ameaa-vulnerabilidade-impacto a principal condio que deve ser levada em conta no momento de priorizar aes de segurana para a proteo dos ativos mais importantes para empresa. A Figura acima demonstra o esquema da relao ameaa-incidente-impacto
Pgina 14
A seguir, apresentaremos exemplos especficos da relao entre os conceitos de ameaa, vulnerabilidade e impacto. Exemplos da relao ameaa-vulnerabilidade-impacto Comecemos com o caso da ameaa de perda de um documento confidencial que tenha a lista dos principais devedores de uma empresa. O incidente da perda dessa informao em si pode ser pequeno, mas o impacto que pode causar para a empresa imenso, caso sejam divulgados os nomes dos devedores. No caso da ameaa de um fenmeno meteorolgico como um furaco, o incidente pode ser muito grande, mas se a empresa possui a proteo adequada na sua infraestrutura, o impacto pode ser pequeno.
Como possvel perceber at agora, somente fizemos referncia ao que voc j sabe: a tecnologia essencial para seu negcio e, com o aumento da possibilidade de ocorrerem ataques, sua segurana se vital para a sobrevivncia da empresa. Uma vez visto isso, podemos propor uma definio de anlise de riscos.
Pgina 15
1.4 - DEFINIO DE ANLISE DE RISCO

A anlise de riscos ... uma atividade voltada para a identificao de falhas de segurana que evidenciem vulnerabilidades que possam ser exploradas por ameaas, provocando impactos nos negcios da organizao. uma atividade de anlise que pretende identificar os riscos aos quais os ativos se encontram expostos. alm disso, uma atividade que tem como resultado: Encontrar o conjunto de vulnerabilidades que podem afetar o negcio, para identificar os passos que devem ser seguidos para sua correo; Identificar as ameaas que podem explorar essas vulnerabilidades e, dessa maneira, elaborar estratgias de proteo; Identificar os impactos potenciais que poderiam ter os incidentes; Determinar as recomendaes para que as ameaas sejam corrigidas ou reduzidas Outro ponto importante a ser considerado na realizao da anlise de riscos a relao custo-benefcio. Esse clculo permite que sejam avaliadas as medidas de segurana em relao sua aplicabilidade e o benefcio que poder ser agregado ao negcio. Assim, essa viso orienta a implantao das medidas de segurana somente em situaes em que a relao custo-benefcio se justifique. No entanto fundamental que a relao custo-benefcio esteja clara para a organizao. Em outras palavras, todos os envolvidos na implementao da segurana (a equipe de execuo do projeto, a alta administrao e todos os usurios) devem estar conscientes dos benefcios trazidos pelas medidas de segurana para os indivduos e para a organizao como um todo.
Pgina 16
1.5 LIES APRENDIDAS

Compreendemos agora que os riscos sempre existiram, e nossa tarefa reduzi-los ao mximo; Reconhecemos a anlise de riscos como uma atividade voltada para descobrir as possveis vulnerabilidades em nossos sistemas, alm de considerar as ameaas e os impactos causados pela concretizao das mesmas; Vimos que, com a importncia atual da tecnologia nos processos essenciais de negcios das empresas, a anlise de riscos se torna uma atividade de alta prioridade e importncia.
Pgina 17
Captulo
2
MOMENTO E ESCOPOS DA ANLISE DE RISCOS
2.1 INTRODUO
Em uma entrevista recente, Gabriel Gordon, gerente de Iniciativas de Segurana da Computao da Microsoft para o Cone Sul, salientou que "as pessoas tm que ter incorporado em sua cultura a questo da segurana", pois enquanto a tecnologia tenta frear o crescente ataque de vrus e hackers, as empresas podem implementar mecanismos para sensibilizar a necessidade de segurana nos seus sistemas de informtica. A observao a seguir nos permite ter uma idia da importncia para a empresa de conhecer os possveis riscos a que esto expostos seus ativos e, portanto, a empresa em si. Neste captulo, conheceremos o momento adequado para realizar a anlise de riscos, assim como seus diferentes escopos e enfoques. No apenas os vrus e os hackers constituem uma ameaa para as empresas. A tecnologia pode ser um apoio, mas para aplic-la de maneira eficiente necessrio ter conscincia de sua necessidade e avaliar os riscos em potencial. Tais aes podem envolver aperfeioamentos tecnolgicos, a implantao de processos dentro da empresa ou simplesmente investir na capacitao do pessoal. Gabriel Gordon conversou com a Mundo Online sobre a necessidade das empresas tomarem conscincia do problema da falta de segurana e sobre a forma que a empresa est enfrentando a questo. A seguir apresentamos alguns trechos dessa entrevista sobre segurana na perspectiva da Microsoft.
Pgina 18
NOTCIAS PELO MUNDO
De que maneira a Microsoft aborda o tema da segurana na informtica? Para ns, a segurana no somente tecnologia; vemos a segurana na informtica como algo fundamentado sobre trs pilares: de um lado, a tecnologia; de outro, todos os processos de administrao e operao; e, por ltimo, o treinamento das pessoas, para que conheam os processos, saibam como implement-los, conheam a tecnologia e a configurem, administrem e operem de forma eficiente. Com esses trs pilares, acreditamos que se consiga obter uma infra-estrutura muito mais segura do que se contssemos apenas com uma boa tecnologia.
Quais so os passos que as empresas devem dar para implementar a segurana na informtica? O primeiro passo identificar o risco. Conhecendo o risco a que se expem as empresas, fica mais fcil para elas aplicar as solues de segurana. Se no conhecerem o risco, dificilmente sabero que mecanismos devem aplicar. Assim, a primeira coisa que recomendamos fazer uma anlise dos riscos e classific-los segundo sua prioridade. Depender da prioridade e dos recursos exigidos que os riscos sejam atenuados, eliminados ou assumidos, caso o impacto no seja maior. Sempre h uma faixa dentro da qual tenho um risco que inaceitvel e um risco aceitvel; tento ficar em uma faixa no meio, que a "administrao do risco".
Pgina 19
Quais so esses riscos que afetam as empresas e em relao aos quais elas deveriam se manter alertas? H vrios tipos de riscos do ponto de vista tecnolgico e outros riscos que no so tecnolgicos. Um risco tecnolgico, por exemplo, no ter um servidor bem configurado para ter senhas seguras. Em muitos casos, o servidor aceita uma senha que seja simplesmente 123. Se configuro o servidor de forma a me exigir uma senha que contenha nmeros, letras e smbolos, estou automaticamente aumentando a segurana. O risco que, se no tenho senhas completas, qualquer pessoa pode acessar documentos, informaes confidenciais ou e-mails. Os riscos no-tecnolgicos so, por exemplo, a fuga das informaes. Isso pode ocorrer no simples fato de botar um papel no cesto de lixo ou falar no celular no elevador, divulgando informaes da empresa na frente de outras pessoas. Esse um risco que tem que ver com processos, e no com tecnologias. As pessoas precisam ter incorporado em sua cultura o tema da segurana, para colocar uma senha segura, no falar no elevador sobre qualquer assunto, no atirar papis importantes no cesto de lixo. *Fonte: http://www.mundoenlinea.cl/noticia.php?noticia_id=754&categoria_id=4 Autora: Marcela Velsquez B.
Depois de revisarmos as opinies de um executivo da Microsoft sobre a anlise dos riscos, podemos comear a tratar da temtica deste captulo, fazendo-nos as seguintes perguntas: Quando devo fazer a anlise dos riscos? Que fatores devem ser considerados? Que escopos devem ser analisados?
Como primeiro passo para realizar a anlise dos riscos importante ter em conta o momento adequado para coloc-la em prtica. Alm disso, devemos considerar alguns fatores que podem afetar a prioridade dessa anlise nos diferentes escopos da empresa, como: Escopo tecnolgico; Escopo humano; Escopo dos processos; Escopo fsico.
Pgina 20
2.2 OBJETIVOS
\ Compreender o momento adequado para aplicar a anlise de riscos nas empresas; Descrever os diferentes escopos e enfoques nos quais possvel realizar uma anlise dos riscos com a finalidade de identificar as vulnerabilidades da empresa em todos os sentidos.
Pgina 21
2.3 - MOMENTO DA ANLISE DE RISCO

A anlise de riscos pode ocorrer antes ou depois da definio de uma Poltica de Segurana na empresa. Embora normalmente ela seja utilziada como base para a criao da Soltica de Segurana, segundo a norma internacional BS/ISO/IEC 17799, essa atividade pode ser feita depois da definio da poltica. O propsito de levar em considerao uma poltica de segurana na anlise se deve a vrios fatores: A poltica de segurana delimita o alcance da anlise; possvel ser seletivo na verificao dos ativos que a poltica define como prioritrios; A anlise leva em considerao a lista de ameaas em potencial que a mesma poltica contempla de forma parcial; A anlise leva em considerao os riscos e contra-medidas definidos na Poltica de Segurana. Para ter uma idia mais clara de por que afirmamos que a definio de uma poltica de segurana marca o momento de comear a anlise dos riscos, recordemos o que vem a ser uma Poltica de Segurana:
Pgina 22
POLTICA DE SEGURANA
uma medida que busca estabelecer os padres de segurana a serem seguidos por todos os envolvidos no uso e na manuteno dos ativos; uma forma de aplicar um conjunto de normas internas para conduzir a ao responsvel das pessoas na realizao de seus trabalhos. o primeiro passo para aumentar a conscientizao da segurana das pessoas, pois est orientada formao de hbitos atravs de manuais de instruo e procedimentos operacionais. possvel tambm efetuar a anlise de riscos antes do desenvolvimento da poltica de segurana. O maior benefcio que a poltica ser desenvolvida levando em considerao a priorizao que foi mapeada na anlise, melhorando sua qualidade. Porm, a anlise em si pode consumir muito tempo e os benefcios da poltica so inmeros. Por conta disso, muitas empresas optam por fazer a anlise aps o desenvolvimento da poltica. Alm de identificar o momento da anlise (antes ou depois da definio de uma poltica de segurana), existe outra srie de fatores que determinam a oportunidade dessa anlise. Essa tabela ilustra de que forma o momento de realizao da anlise de riscos afetado em razo de alguns desses fatores. Como se observa na imagem, quanto maior for a exposio feita aos bens da empresa, menor dever ser a margem de tempo para o incio da anlise de riscos e vice-versa. Para ter mais clara essa relao, revisemos alguns exemplos concretos de cada um dos fatores: Fator Ao
Alto valor ou alta Em uma empresa de assessores em contabilidade, os ativos exposio dos comumente afetados constituem os bancos de dados com as bens afetados auditorias de seus clientes e, portanto, so de alto valor para a empresa e seus negcios. Historicamente Em uma empresa h estatsticas de que os servidores que foram os bens atacados atacados por vrus ou hackers sempre tm suas informaes ou so afetados configuraes danificadas, e isso gera prejuzos nas operaes da empresa. Fatores atenuantes Se, por exemplo, soubermos que os ativos geralmente atacados na empresa no possuem um alto valor para os negcios dela.
Pgina 23
2.4 - ESCOPOS DA ANLISE DE RISCOS

Alm de conhecer o momento e a durao adequada para realizar nossa anlise de riscos, importante tambm estar consciente dos diferentes escopos nos quais podemos aplicar a anlise. Esta seo tem como propsito apresentar os estes escopos. Escopo da anlise de riscos A anlise de riscos pode ser realizada de acordo com diferentes escopos. Em geral todos so considerados, j que a implentao da segurana pretende corrigir o ambiente em que se encontram as informaes. Ou seja, envolve atividades relacionadas ao ciclo de vida da informao: Gerao; Trfego; Processamento; Armazenamento.
Aspecto Tecnolgico Descrio A anlise de riscos realizada no ambiente tecnolgico pretende alcanar o conhecimento das configuraes e da disposio topolgica dos ativos de tecnologia que compem toda a infraestrutura de suporte das informaes para comunicao, processamento, trfego e armazenamento. Aspectos a analisar Os tipos de aplicativos e equipamentos que compe os ativos, sem deixar de considerar tambm a sensibilidade das informaes que so manipuladas por eles; Os usurios que os utilizam; A infra-estrutura suporte. que lhes oferece
Pgina 24
Aspecto Humano Descrio A anlise de riscos tambm se destina compreenso da maneira como as pessoas se relacionam com os ativos. Assim, possvel detectar as vulnerabilidades provenientes de aes humanas, sendo igualmente possvel fazer recomendaes para aumentar a segurana no trabalho humano e garantir a continuidade dos negcios da organizao. Essa anlise pretende inicialmente identificar vulnerabilidades no usurio e organizao. Aspectos a analisar O nvel de acesso que as pessoas tm na rede ou nos aplicativos; As restries e as permisses que devem ter para realizar suas tarefas com os ativos; O nvel de capacitao e a formao educacional que precisam ter para manipul-los.
Aspecto Processual Descrio A anlise dos fluxos de informaes da organizao e a maneira como elas transitam de um lado para outro, como so administrados os recursos em relao organizao e manuteno. Dessa forma, ser possvel identificar os links entre as atividades e os insumos necessrios para sua realizao com o objetivo de identificar as vulnerabilidades que podem afetar a confidencialidade, a disponibilidade e a integridade das informaes e, conseqentemente, do negcio da empresa. Aspectos a analisar Identificar as pessoas envolvidas no fluxo de informaes; possvel avaliar a necessidade real de acesso aos ativos que elas tm; Avaliar o impacto proveniente do uso indevido das informaes por pessoas no-qualificadas.
Pgina 25
Aspecto Fsico Descrio A anlise fsica de segurana busca identificar, na infraestrutura fsica do ambiente em que os ativos se encontram, vulnerabilidades que possam trazer algum prejuzo s informaes e a todos os outros ativos. O enfoque principal desse escopo de anlise so os ativos do tipo organizao, pois so os que fornecem o suporte fsico ao ambiente em que esto sendo manipuladas as informaes. Aspectos a analisar Identificar possveis falhas na localizao fsica dos ativos tecnolgicos; Avaliar o impacto de acessos indevidos s reas nas quais se encontram os ativos tecnolgicos; Avaliar o impacto dos desastres naturais na infra-estrutura tecnolgica da empresa.
Pgina 26
2.5 - LIES APRENDIDAS

Determinamos que nossa anlise de riscos deve considerar fatores que podem afetar sua durao e tempo de realizao, o qual permitir que dimensionemos corretamente essa atividade.; Conhecemos os escopos em que podemos realizar nossa anlise de riscos, alm de descrever outra srie de fatores que podem ser levados em conta durante sua realizao. Isso nos permitir que a anlise seja implementada nas reas que representam maior impacto positivo para a empresa.
Pgina 27
Captulo
3
AMEAAS E PONTOS FRACOS
3.1 INTRODUO
Na nota apresentada a seguir, alerta-se para vulnerabilidades em um navegador de pginas da Web como um exemplo de como, atravs de aplicativos de uso to comum e aparentemente inofensivo, as informaes da empresa podem estar expostas a possveis ataques. Por este motivo importante que, a todo momento e com a finalidade de melhor nos protegermos, saibamos quais vulnerabilidade so mais comuns para os principais ativos dentro da organizao.
Pgina 28
NOTCIAS PELO MUNDO
US-CERT alerta para vulnerabilidade no Internet Explorer

Baseado em seu monitoramento de incidentes reportados, o US-CERT, centro governamental para combate, preveno e respostas aos incidentes de segurana relacionados internet, lanou alerta nesta semana sobre a vulnerabilidade de "Buffer Overflow" no Internet Explorer. As verses 6.0 em Windows XP com Service Pack 1 e 6.0 em Windows 2000 foram afetadas pelo problema. Esta vulnerabilidade j foi discutida anteriormente em alerta do US-CERT, que alertava para os perigos da execuo de cdigo arbitrrio em sistemas. Segundo o Centro de Atendimento a Incidentes de Segurana da Rede Nacional de Ensino e Pesquisa (CAIS/RNP), o presente alerta tem a inteno de avisar sobre a existncia de cdigo malicioso explorando esta vulnerabilidade. Acredita-se que as novas verses do vrus MyDoom (Mydoom.AG, Mydoom.AH e Mydoom.AI) e o vrus Bofra explorem esta vulnerabilidade atravs de URL contida em mensagens de e-mail. No momento, alerta o grupo, no existe uma soluo completa disponvel para corrigir este problema. A recomendao que seja utilizado o Microsoft Windows XP com SP2 aplicado. Porm, o CAIS aponta algumas medidas paliativas que podem ser adotadas: Desabilitar Active scripting e ActiveX na Zona Internet e na Zona utilizada pelo Outlook, Outlook Express e qualquer outro software que utilize o controle WebBrowser ActiveX; No abrir endereos de web (links) no solicitados; Configurar seu cliente de e-mail para abrir os e-mails em texto puro; Manter atualizado seu antivrus.
*Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=3406&pagenumber=0&idiom=0
Pgina 29
3.2 - OBJETIVOS
Interpretar a aplicao dos conceitos de anlise de riscos para o caso de uma empresa hipottica, com a finalidade de coloc-los em prtica em um contexto real; Reconhecer os diferentes escopos de aplicao da anlise de riscos, o que permitir obter caractersticas especficas de cada um deles.
Pgina 30
3.3 - A IMPORTNCIA DA IMPLEMENTAO

A seguir, e com a finalidade de ampliar um pouco mais o panorama das possveis vulnerabilidades que podem comprometer as informaes da empresa, apresentamos uma classificao concisa de alvos, tipos de ataques e o mtodo mais comum para concretiz-los. Se desejarmos analisar os diferentes escopos da nossa empresa, preciso que tenhamos conhecimento de quais so as vulnerabilidades mais comuns quando nos referimos a cada um deles. Na tabela acima vemos exemplos dos mtodos mais utilizados por pessoas mal intencionadas para o ataque ou a invaso de sistemas. importante mencionar que esses so apenas alguns dos ataques em potencial aos quais nossa empresa est exposta. Neste captulo, vamos revisar um caso hipottico de identificao dos escopos para realizao da anlise de riscos. Antes reafirmaremos o conceito de anlise de riscos que abordamos no captulo anterior:
Idias-chave
Uma anlise de riscos tradicional feita atravs de um conjunto de atividades preestabelecidas que tem como objetivo identificar os processos a serem considerados, saber quais so seus elementos ou partes constituintes e quais os equipamentos necessrios para realiz-los.
Pgina 31
3.4 EXEMPLO DA ANLISE DOS RISCOS

A seguir apresentamos uma tabela que a empresa fictcia Internet Banking utiliza para aplicar a anlise de riscos nos diferentes escopos do seu negcio e a utilizaremos para saber quais fatores voc poderia levar em conta em cada um deles. Definio do escopo da anlise de riscos A primeira tarefa na anlise de riscos identificar os processos comerciais da organizao em que se deseja implantar ou analisar o nvel de segurana da informao. Identificamos essa etapa como a definio do escopo do projeto de anlise de riscos; Isso permite a realizao da anlise onde ela seja realmente necessria, com base na relevncia do processo para a empresa no intuito de alcanar os objetivos da organizao; Surge principalmente devido necessidade de delimitar o universo dos ativos a serem analisados sobre os quais se oferecero as recomendaes. Ao definir o escopo, importante considerar que os processos podem ser uma atuao da organizao frente ao mercado, uma funcionalidade interna ou externa, uma atividade exercida ou um produto elaborado, precisando de toda a organizao para serem viveis. Nessa organizao os seguintes componentes so analisados de acordo com os quatro escopos da anlise de riscos:
Pgina 32
Humanos As pessoas que fazem uso do Internet Banking Os tcnicos que do suporte aos usurios ou que administram os ativos da organizao Os responsveis pelo planejamento e coordenao do trabalho
Tecnolgicos Os servidores de arquivos, nos quais se encontram as informaes sobre o produto Um servidor de banco de dados que armazena as informaes das contas dos clientes do Internet Banking Um roteador que permite a conectividade da empresa com a Internet Um servidor Web que permite que se faam consultas ao produto pela Internet (em suas plataformas respectivas: Windows, Unix, etc.)
De processos A estrutura organizacional humana que foi estabelecida para a realizao do processo. Podemos considerar, na Internet, a definio das equipes para a manuteno e garantia da continuidade dos ativos de tecnologia do processo; as pessoas e o fluxo de atividades relacionadas ao atendimento ao cliente; o fluxo necessrio de informaes para a realizao de uma transao realizada pelo banco virtual etc. Fsicos O ambiente operacional que inclui as atividades do produto Internet Banking, como os locais de trabalho das equipes envolvidas, os locais de armazenamento das informaes crticas, as agncias ou postos de atendimento ao cliente, as centrais de processos de informaes como os centros de processamento de dados, as salas de servidores, as centrais de processamentos por telefone, a sala do cofre-forte etc.
Pgina 33
3.5 LIOES APRENDIDAS

Utilizando um exemplo, conhecemos com mais detalhes os escopos nos quais se aplica uma anlise de riscos, permitindo-nos reconhec-los com mais facilidade em nossa empresa; Compreendemos que, para iniciar o trabalho da anlise de riscos, importante comear, como no exemplo, analisando os diferentes processos-chave para o negcio da empresa.
Pgina 34
Captulo
4
RELEVNCIA DOS PROCESSOS DO NEGCIO E SEUS
ATIVOS NA ANLISE DA SEGURANA
4.1 INTRODUO
Para que a anlise de riscos tenha, de fato, um efeito positivo na empresa, necessrio identificar as diferentes prioridades ao longo de cada um dos processos de negcios. Dessa forma podemos traar um plano estratgico baseado na importncia e no impacto de nossas aes e que beneficie a segurana das informaes de nossa empresa. Mostraremos um artigo que apresenta o caso de uma empresa que foi atacada por um intruso, causando danos enormes instituio. Mesmo nesses casos so comprometidos os princpios bsicos da segurana da informao (integridade, confidencialidade e disponibilidade), e devem ser tomados como lies do tipo de ameaas que enfrentamos hoje em dia.
Pgina 35
4.2 - OBJETIVOS
Compreender a relevncia dos processos da empresa para identificar aqueles que sero nosso foco de ateno em termos de segurana da informao; Distinguir aqueles ativos de maior valor de negcio para a empresa, com o objetivo de dirigir as aes de segurana proteo dos mesmos. .
Pgina 36
NOTCIAS PELO MUNDO
Estudante acusado de invaso de servidores de empresa no Hava O estudante americano Jason Starr, de 22 anos, est sendo julgado por corte federal do pas por invadir e tomar o controle dos servidores da empresa Ohananet, localizada no Hava. A empresa alega prejuzos de 8.400 dlares para reparao dos problemas causados. Em agosto de 2000, Starr utilizou computadores de seu colgio na Pensilvnia, Erie Business College, para invadir os servidores da Ohananet. A empresa alega prejuzos devido ao tempo de deslocamento de pessoal tcnico para identificao e resoluo do problema. As investigaes do caso esto sendo conduzidas pela agncia Cyber Crime Squad, do escritrio havaiano do FBI. Caso seja condenado, o estudante ficar preso por um ano e ter que pagar uma multa em torno de 100 mil dlares.
Fonte: http://ww.modulo.com.br/index.jsp?page=3&catid=7&objid=1885&pagenumber=0&idiom=0
Pgina 37
4.3 IDENTIFICAO DA RELEVNCIA DOS PROCESSOS PARA CONDUZIR AS AES DE

SEGURANA DA INFORMAO
Ao fazer uma anlise de riscos importante identificar a relevncia dos processos da empresa na organizao para, assim, poder priorizar as aes de segurana. Em resumo, deve-se iniciar o trabalho de implementao de segurana nas reas mais estratgicas, que possam trazer um impacto maior para a organizao caso ocorra algum incidente. A identificao da relevncia dos processos empresariais na organizao determinante para que as aes de segurana sejam dirigidas s reas mais crticas ou mais prioritrias. Esse trabalho permite dar prioridade s aes mais urgentes, dirigindo tambm os custos e otimizando os recursos para onde eles sejam realmente necessrios. Para entender melhor o que foi apresentado anteriormente, revisemos alguns exemplos: Em uma empresa de Internet Banking, as aes de segurana provavelmente deveriam se concentrar naqueles processos que envolvem transaes monetrias, que so as mais prioritrias devido natureza de seu negcio. Por outro lado, se existem reas em uma empresa que so normalmente atacadas e afetadas, talvez seja necessrio cuidar primeiro desses processos, devido aos riscos que podem representar para a segurana da informao da empresa;
Pgina 38
Ou ento, se existem reas importantes na empresa para a reduo de custos, pode ser interessante consider-las essenciais e de alta prioridade para as aes de segurana a serem empreendidas; O diagrama a seguir mostra como podemos pegar alguns dos processos importantes em nossa empresa e identificar os possveis ataques ou as reas com maior vulnerabilidade para, depois de uma anlise, saber para onde devem ser dirigidos os esforos de maior prioridade e capacidade de recursos.
A relevncia de cada um dos processos de negcio na empresa um ponto-chave que deve ser considerado durante a realizao da anlise de riscos. Essa relevncia ser de grande importncia para identificar o rumo das aes de segurana que devem ser implantadas na organizao Idias-chave .
Pgina 39
4.4 - RAIO X DE UMA AMEAA

No exemplo apresentado nesse diagrama, ilustramos o sistema de folha de pagamento de uma empresa fictcia. Nele podemos observar as diferentes vulnerabilidades identificadas em cada uma das atividades do processo. A identificao dos riscos de segurana deixa as idias mais claras e ajuda a exibir os mais provveis. A informao reunida na forma de ameaas, vulnerabilidades, pontos fracos e medidas preventivas. O modelo STRIDE proporciona uma estrutura valiosa e fcil de lembrar para identificar as ameaas e os possveis pontos fracos. STRIDE so as siglas em ingls dos diferentes tipos de ataques possveis: Spoofing identity, Tampering with data, Repudiation, Denial of Service e Elevation of privilege.
Pgina 40
Avaliao - Identificar ameaas de segurana STRIDE
A falsificao de identidade a capacidade de obter ou usar as informaes de autenticao de outro usurio. Um exemplo de substituio de identidade a utilizao do nome e da senha de outro usurio no acesso a um sistema corporativo; A alterao de dados implica na sua modificao no autorizada. Um exemplo seria alterar o contedo do cookie de um cliente; O repdio a capacidade de negar que algo tenha ocorrido. Um exemplo quando um usurio faz um pedido em um sistema depois diz no ter feito. Tambm conhecido como no-repdio e irretratabilidade; A divulgao de informao implica a exposio de informaes para usurios que supostamente no deveriam ter acesso a elas. Um exemplo de divulgao de informao a capacidade que um intruso tem de ler arquivos mdicos confidenciais aos quais no poderia ter acesso; Os ataques de negao de servio privam o usurio de acesso ao servio normal. Um exemplo de negao de servio consiste em deixar um site inacessvel ao inundlo com uma quantidade enorme de solicitaes, acima da sua capacidade de processamento;
Pgina 41
A elevao de privilgios consiste em fazer com que um usurio ou processo tenha privilgios adicionais aos que ele j possu. Por razes tcnicas e de segurana, normalmente um invasor obtm acesso a uma mquina que est tentando invadir com privilgios pequenos em muitas ocasies. O processo de elevao consiste em tentar aumentar esses privilgios, normalmente se igualando ao de administrador de sistema.
Encerraremos esta seo deixando estas perguntas sobre a mesa:
Voc sabe que processos so mais relevantes para os negcios da empresa? Tem conscincia de quais atividades dentro da empresa so mais afetadas atualmente por ataques internos e externos?
Pgina 42
4.5 - IDENTIFICAO DA RELEVNCIA DOS ATIVOS PARA DIRIGIR AS AES DE SEGURANA DA

INFORMAO
Um segundo passo considerado fundamental consiste em identificar a relevncia dos ativos que suportam o processo de negcio. Isso quer dizer que cada ativo que constitui o processo de negcio deve ser analisado em uma escala de valor crtico, ou seja, qual a sua importncia para nosso negcio em comparao com os demais ativos da empresa. Isso feito a fim de priorizar as aes de correo e proteo, indentificando as que devem ser tomadas de imediato porque so consideradas mais necessrias. Assim, evita-se investir em segurana onde no seja verdadeiramente necessrio ou, ao menos, prioritrio.
Para alcanar o objetivo de identificar a relevncia dos ativos, a anlise de riscos busca dados quantitativos e qualitativos sobre a importncia do ativo para o processo. Basicamente, as informaes buscadas visam compreender quais os impactos envolvidos na quebra da confidencialidade, da integridade e da disponibilidade das informaes. Alm disso, feita tambm uma anlise da situao atual da segurana no ambiente, o que tambm define o impacto das ameaas levando em considerao as protees existentes.
Na verdade, a anlise de segurana o reconhecimento de todo o ambiente em que se pretende implementar segurana para que sejam cumpridos os propsitos a seguir:
Pgina 43
Identificar as vulnerabilidades para que sejam corrigidas; Conhecer os elementos constituintes da infra-estrutura de comunicao, de processamento e de armazenamento da informao, a fim de dimensionar onde sero feitas as anlises e que elementos sero considerados; Conhecer o contedo da informao manipulada pelos ativos com base nos princpios de confidencialidade, integridade e disponibilidade; Dirigir aes para incrementar os fatores tecnolgicos e humanos nas reas crticas e desprotegidas; Permitir uma gesto peridica de segurana com o objetivo de identificar novas ameaas e vulnerabilidades, alm da verificao da eficcia das recomendaes fornecidas. .
importante refletir um pouco em relao a como seus profissionais identificaram a relevncia dos ativos no momento de definir as aes de segurana em sua empresa. Para isso, propomos estas perguntas: Que ativos poderiam ser mais afetados em um ataque dirigido a sua empresa? J identificou os ativos que, em caso de falha ou ataque, podem representar grandes perdas de dinheiro para sua empresa?
A relevncia dos ativos nos negcios da empresa marcar o rumo definitivo das aes de segurana na empresa. Idias-chave
Pgina 44
4.6 LIES APRENDIDAS

Compreendemos a importncia de aumentar a segurana naqueles processos que tm maior impacto na nossa empresa; assim, saberemos priorizar em que escopo devemos tomar aes que sejam mais benficas para a empresa; Reconhecemos a importncia de proteger os principais ativos do negcio com o objetivo de dar mais importncia queles que so vitais para o crescimento e sobrevivncia da empresa.
Pgina 45
Captulo
5
DEFINIO DA EQUIPE ENVOLVIDA E DAS
ENTREVISTAS AOS USURIOS
5.1 INTRODUO
Um dos aspectos importantes para a realizao da anlise dos riscos dimensionar de forma adequada o recurso humano necessrio para a sua elaborao. Isso importante dado o custo que representa para a empresa, mas da escolha que fazemos desse recurso que vai depender o xito da anlise de riscos. A entrevista realizada com os usurios nos permite conhecer cada um dos processos da empresa atravs dos olhos dos participantes que levam tais processos a cabo. Alm disso, eles tm a oportunidade de receber um feedback que nos permite conhecer com maior profundidade os possveis riscos em suas atividades dirias. No artigo seguinte vemos o fator humano como ponto-chave na segurana da informao, o que freqentemente pouco considerado,. importante observar isso no apenas para atender s necessidades de segurana nesse aspecto, como o artigo salienta, como tambm para considerar as equipes de trabalho necessrias para a formao da equipe envolvida na anlise de riscos e na entrevista aos usurios
Pgina 46
NOTCIAS PELO MUNDO
Policiais corporativos Rafael Cardoso dos Santos MCP, MCSO. Formado em redes de computadores pela Universidade Estcio de S - RJ, Ps-Graduado em Segurana da Informao pelo IBPI / UniRio. Na edio 348 do boletim Mdulo Security News, nosso colega e meu amigo, Salomo de Oliveira falou sobre os vrus como agentes digitais do crime e como o usurio tem sido manipulado para agir contra si mesmo. Afinal de contas, os cavalos de tria, worms, vrus e demais programas de cdigo malicioso sempre utilizaram a ingenuidade do usurio para se disseminar. Neste artigo vou tomar carona no artigo do Salomo e ampliar um pouco o conceito de Agente Digital do Crime e falar como o usurio tem se transformado neste agente. Como profissionais de Segurana da Informao, temos o dever de proteger as informaes das empresas onde trabalhamos. Nosso dia-a-dia consiste em analisar ferramentas, propor e implementar solues, "apagar incndios", e muitas vezes, ao vermos o resultado do final de um longo dia de trabalho nos sentimos como se nada tivssemos feito. Mas como pode? Foram horas analisando qual seria a melhor soluo de antivrus. Dias e dias implementando da melhor maneira possvel a soluo escolhida. Mais horas configurando as regras do Firewall. Outras horas implementando um sistema automtico de distribuio de correes de segurana. O que pode estar errado? Esta pergunta comea a ser respondida quando voltamos um pouco ao nosso dia-a-dia e analisamos quanto do nosso tempo foi gasto com o usurio. Muitas vezes nenhum minuto, outras vezes enviamos um simples e-mail para os funcionrios comunicando sobre uma nova ferramenta ou norma, mas s.
Pgina 47
A eficincia de seu trabalho como profissional de segurana da informao depende diretamente do tempo que voc e sua empresa investem nos seus funcionrios, conscientizando, treinando e apoiando. Hoje, um grande nmero de casas pelo mundo todo tem um computador com acesso internet. Em praticamente todas as profisses o computador uma ferramenta fundamental. Porm a cada dia podemos verificar que to rpido quanto cresce nossa dependncia dos computadores e da interligao das informaes, cresce tambm o nmero dos analfabetos e semi-analfabetos digitais. Os analfabetos digitais so aqueles que nada sabem sobre o microcomputador. No tm acesso internet e esto totalmente excludos digitalmente. Os semi-analfabetos digitais so a grande maioria dos nossos usurios corporativos. So pessoas que sabem ligar o microcomputador, abrir um editor de textos, um software de leitura de e-mails e acessar internet. Contudo, nada sabem sobre as ameaas digitais de nossos dias. Esto totalmente vulnerveis s mesmas e se tornam, sem saber, Agentes Digitais do Crime. Estes usurios so ameaas para as redes onde trabalham, para a grande rede - internet e at para si mesmos. Como? Vamos falar sobre as ameaas ao micro pessoal do usurio. Uma das mais difceis de combater, pois talvez a menos esclarecida a questo dos Spywares - softwares que se instalam na mquina do usurio e monitoram o perfil deste usurio na internet, enviando os dados coletados para um repositrio na internet. Os usurios, por total falta de conhecimento, instalam sem o menor problema estes softwares em seus computadores pessoais e se tiverem chances nas empresas onde trabalham. Alm desta ameaa bem comum hoje em dia, podemos citar os ataques de "Phishing Scam" (Termo vem da juno das palavras Password = senha e Fishing = Pescaria) onde o usurio convencido por Engenharia Social a executar um link baixando um arquivo malicioso e a fornecer dados confidenciais como suas senhas. Falando em Engenharia Social, todo e qualquer ataque que utilize alguma das suas tcnicas um ataque perigoso e muito difcil de ser combatido, pois visam ganhar a confiana de algum com privilgios no computador ou na rede alvo, passando por todas as barreiras de segurana e usando os Agentes Digitais do Crime como principal ferramenta de ataque. Mas o que Engenharia Social? Quais so as tcnicas da Engenharia Social? Engenharia Social nada mais do que conseguir influenciar pessoas pelo poder da persuaso. Fazer com que pessoas faam o que queremos que faam simplesmente pedindo ou induzindo. Para conseguir persuadir o alvo e ganhar sua confiana o Engenheiro Social deve ter algumas habilidades a saber: Ousadia, Capacidade de influenciar pessoas, Persuaso, saber como ganhar a confiana e conhecer bem o alvo. Algumas destas habilidades podem ser desconsideradas para ataques em massa como o "Phishing Scam" por exemplo. Neste tipo de ataque, o Engenheiro Social no precisar
Academia Latino-Americana de Segurana da Informao Curso Bsico Mdulo 2 Conceitos de Anlise de Risco - Microsoft TechNet Pgina 48
contato direto com o alvo. Ir sim disparar um spam para vrias caixas postais e esperar que algum acredite nas promessas feitas no texto do e-mail fraudulento. Outra caracterstica importante e fundamental para a utilizao da Engenharia Social o conhecimento de algumas caractersticas psicolgicas do ser humano. Tais como: Confiana, Solidariedade, Autoridade, Submisso e Instinto de Sobrevivncia. Como podemos ver, a Engenharia Social tem como alvo fundamental o ser humano e por isso a mais perigosa arma de ataque. Os nossos usurios hoje so semi-analfabetos digitais, pouco sabem sobre como se defender e se transformam facilmente em ameaas gravssimas para as corporaes. Agora vem mais uma pergunta: Como se defender? O que ns, profissionais de segurana da informao, podemos fazer para proteger as informaes das empresas em que trabalhamos? Como impedir que nossas defesas sejam sobrepujadas pelos ataques de Engenharia Social? Como garantir a segurana se o elo mais fraco no tecnolgico e nem processual, mas sim o usurio? Existe um velho ditado que ouvi pela primeira vez quando eu era criana e assistia ao desenho do Pica-Pau... "Se no pode venc-los, junte-se a eles". Este ditado mostra nossa principal arma para impedir que nossos usurios se transformem em Agentes Digitais do Crime. Utilizando tcnicas de Engenharia Social para transformar nossos usurios em Policiais Corporativos. Muito se fala sobre trazer os usurios para a equipe de segurana da informao, sobre como a segurana responsabilidade de todos na empresa, porm a grande dificuldade como trazer este usurio para o nosso lado. Primeiro preciso informao. Seminrios, mini-cursos, palestras precisam fazer parte do calendrio corporativo. Porm no se deve utilizar o formato convencional, preciso inovar! O usurio precisa de uma dose de Engenharia Social Corporativa. preciso usar da autoridade de algum forte na cia para influenciar os usurios a estarem no treinamento. Este algum deve sempre ser o Presidente ou equivalente. Aps conseguir influenciar os usurios a participarem do treinamento, aguando seu instinto de sobrevivncia, preciso agora ganhar sua confiana. Use exemplos de ameaas que podem estar atacando seus computadores de casa. Mesmo que estas ameaas no possam agir contra a empresa, fornecendo informaes sobre como eles podem estar vulnerveis em suas casas e como agir para se defender, ns conseguimos ganhar sua confiana e despertar o interesse pelo assunto. sempre importante que o usurio obtenha benefcios agindo e trabalhando com segurana. Programas de premiao podem ser criados para estimular os usurios a
Academia Latino-Americana de Segurana da Informao Curso Bsico Mdulo 2 Conceitos de Anlise de Risco - Microsoft TechNet Pgina 49
estarem atentos quanto segurana das informaes e buscarem cada vez mais conhecimento. E este conhecimento deve ser totalmente democrtico, deve ser exposto na intranet, em murais, mensagens peridicas, e incentivo para cursos externos. Os treinamentos devem ser amplos, no s com relao Segurana, mas que seja til para as atividades dirias e como faz-las com segurana e otimizando tempo e recursos. Com o passar do tempo e a disseminao da cultura de segurana, usurios comuns podem ser convidados para participarem dos seminrios ministrando palestras e dando testemunhos de casos. Pense em como seria oportuno e no interesse que despertaria nos ouvintes se um gerente de unidade remota demonstrasse com nmeros, como sua unidade economizou com links, por exemplo, aps ter dado seqncia no programa de treinamento, multiplicando as informaes. E o mais importante, a grande diferena entre Engenharia Social - comumente utilizada para atacar e a Engenharia Social Corporativa - usada agora para educar, treinar e ganhar os usurios que na Engenharia Social, o atacante promete e no cumpre, diz ter o apoio de um diretor que nem conhece, se faz passar por algum que no . Enquanto que a Engenharia Social Corporativa deve sempre ser verdadeira. Prometer e cumprir. Dizer ter o apoio do Presidente e envolver o presidente na conscientizao. O usurio deve ter confiana na equipe de segurana e esta confiana deve sempre ser honrada. Questionamentos feitos pelos usurios no devem nunca ficar sem respostas. Incidentes alertados por usurios devem sempre ser investigados e este deve ter retorno do que foi feito. Assim possvel transformar o usurio comum, semi-analfabeto digital, em um Policial Corporativo, muito bem informado. Investigativo, sedento por informaes, curioso e sempre disposto a ajudar. Este o segredo para fortificarmos o elo mais fraco da Segurana da Informao corporativa. Transformando os Agentes Digitais do Crime em Policiais Corporativos, transformando usurios simples e desinformados em verdadeiros sensores de segurana. Alguns sero como os detectores de intruso, outros sero como gerenciadores de antivrus, alguns sero como distribuidores de patches e outros simplesmente multiplicadores. Mas todos sero novas ferramentas, muito eficazes, para ajudar aos profissionais de Segurana. Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=2&objid=407&pagenumber=0&idiom=0
Pgina 50
5.2 - OBJETIVOS
Conhecer as tarefas relativas definio da equipe de trabalho que realiza, entre outras coisas, as entrevistas com os usurios; Conhecer, por meio de entrevistas, os diferentes processos da empresa e os seus detalhes. .
Pgina 51
5.3 DEFINIO DA EQUIPE ENVOLVIDA

No grfico acima, aparecem outras consideraes que devem ser levadas em considerao no momento de definir a equipe de trabalho envolvida na anlise de riscos. A seguir apresentamos um exemplo de por que necessrio que apenas pessoas de confiana integrem uma equipe de analistas: A equipe que voc escolher para realizar as entrevistas com os usurios deve ser de sua inteira confiana j que, em muitos casos, ela lida com informaes confidenciais e/ou fundamentais da empresa. Por exemplo, as vulnerabilidades existentes no sistema de pagamento da sua empresa. Para encerrar esta seo, vamos deixar essas perguntas para voc pensar: Voc dispe de uma equipe capacitada para realizar uma anlise de riscos? Essa equipe, se existir, conta com sua inteira confiana para gerenciar todas as informaes importantes que sero obtidas na anlise? A definio da equipe muito importante, tanto para dimensionar a fora de trabalho necessria para a realizao da anlise de riscos, como para aqueles que se encarregaram de entrevistar as pessoas envolvidas nos processos de negcio que fornecero informaes importantes para o projeto de anlise de riscos. Idias-chave .
Pgina 52
5.4 ENTREVISTA COM
OS USURIOS
Junto com a anlise tcnica de riscos da empresa, a equipe de trabalho ter a tarefa de realizar entrevistas com os funcionrios que participam dos diferentes processos de negcio. Essas entrevistas permitiro, entre outras coisas, coletar informaes que ajudaro a identificar os processos mais crticos da empresa. A entrevista com os usurios dos processos de negcio permite: Obter detalhes sobre a forma em que so gerenciados, implementados e utilizados; Fazer um mapeamento da importncia desses circunstncias organizacionais em que voc se encontra; processos diante das
Definir o nvel de capacitao necessria da equipe envolvida; Conhecer de que forma ocorre o fluxo de informao dentro dos processos.
Imagem: http://charges.uol.com.br/2005/07/23/classicos-tobby-entrevista-et-de-varginha-210103/
Pgina 53
As entrevistas com os usurios podem servir como guia das anlises tcnicas, j que rastreiam os envolvidos com a administrao dos ativos. Estes ativos sero analisados e considerados em relao s vulnerabilidades que podem Idias-chave desencadear ameaas ao processo de negcio. Tambm nessas entrevistas podem ser detectados novos elementos humanos ou tecnolgicos que fazem parte do processo de negcio e que tambm precisam ser analisados. fundamental que os usurios dos processos de negcio (tanto os administradores como os usurios e tcnicos de suporte) mostrem o grau de conscincia que tm com relao ao nvel de criticidade das informaes que gerenciam e manipulam. Dessa maneira, possvel avaliar at que ponto a equipe envolvida est consciente sobre os procedimentos de segurana necessrios para a continuidade desse processo. A seguir apresentamos um exemplo do grau de importncia que determinadas informaes podem assumir em relao a esse aspecto: Ao entrevistar os funcionrios da rea de contabilidade da empresa, voc se d conta de que os usurios que gerenciam essas informaes compartilham as contas de acesso com pessoas de outras reas da empresa. Isso indica um grave problema de segurana.
Encerramos esta seo propondo as seguintes perguntas para pensar com base em sua experincia e seu conhecimento prvio: Voc est consciente da necessidade de entrevistar os funcionrios em todos os processos importantes da empresa? Voc sabe como essas entrevistas tm que ser levadas a cabo e como deve analisar as informaes obtidas?
Pgina 54
5.5 LIES APRENDIDAS

Compreendemos a importncia da boa seleo da equipe envolvida na anlise de riscos da empresa ao distinguir no apenas a sua capacidade, como tambm o nvel de segurana das informaes que sero gerenciadas; Determinamos que as entrevistas com os usurios nos permitem receber um feedback valioso que ajuda a realizar de forma satisfatria nossos objetivos.
Pgina 55
Captulo
6
ANLISE TCNICA DE SEGURANA
6.1 INTRODUO
A anlise tcnica de segurana representa um dos pontos-chave na anlise de riscos da empresa. Como mencionamos antes, as informaes so, hoje em dia, um dos principais ativos nas empresas, e essa anlise indicar o nvel de segurana com o qual se conta dentro da empresa atualmente.
Pgina 56
NOTCIAS PELO MUNDO
Estudo da Symantec traa cenrio de ataques, ameaas e vulnerabilidades A Symantec divulgou no final de setembro os principais resultados do relatrio "Internet Security Threat Report". Segundo a apresentao oficial, esse estudo fornece uma atualizao semestral das atividades de ameaas na internet, incluindo anlises de ataques baseados na rede, um exame das vulnerabilidades conhecidas e os principais cdigos maliciosos ativos neste perodo. Os dados desse levantamento foram baseados em mais 20 mil coletores e sensores da empresa, que monitoram a atividade de rede em mais de 180 pases. Essa edio do estudo compreende o perodo de 1 de janeiro a 30 de junho de 2004. Um dos dados mais interessantes do relatrio est no espao IP comprometido por worms. No primeiro semestre de 2004, a Symantec observou o trfego de worms originado atravs das 100 organizaes listadas pela revista americana Fortune. Segundo a empresa, esses dados foram coletados no por monitoramento feito pelas prprias empresas Fortune 100, mas a partir da anlise dos dados de ataque que revelaram a fonte dos endereos IP da atividade de ataque. O propsito dessas anlises, relata a Symantec, era determinar quantos desses sistemas foram infectados por worms e quais estavam sendo ativamente usados para propag-los. O resultado preocupante: mais de 40% dessas empresas controlavam endereos IP que propagavam ataques relacionados a worms.
Fonte:http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=3339&pagenumber=0&idiom=0
Pgina 57
6.2 - OBJETIVOS
Conhecer os princpios da anlise tcnica de segurana aplicada a diferentes tipos de ativos da empresa para valorizar os riscos existentes em cada um deles e assim se aproximar mais de sua reduo; Compreender a importncia de se aprofundar nessa anlise, identificando que o melhor resultado vem do conhecimento profundo de cada um dos elementos envolvidos nos processos da empresa.
Pgina 58
6.3 ANLISE TCNICA DE SEGURANA

A anlise tcnica de segurana uma das etapas mais importantes da anlise de riscos. Atravs dela, so feitas coletas de informaes sobre a forma em que os ativos: Foram configurados; Foram estruturados na rede de comunicao; A forma como so administrados por seus responsveis. No processo de anlise tcnica da segurana, so considerados diversos tipos de ativos, de acordo com o escopo definido no incio do projeto, com o propsito de monitorar as vulnerabilidades presentes atravs de erros de configurao ou desconhecimento das possibilidades de ataque. Dentre os ativos tecnolgicos analisados, podemos listar os seguintes:
A anlise tcnica constitui a forma em que se obtm as informaes especficas de gerenciamento geral dos ativos da empresa. Dessa maneira, possvel identificar, atravs de suas configuraes, como so utilizados e manipulados, buscando-se Idias-chave encontrar vulnerabilidades de segurana.
Estaes de trabalho
Dependem da forma como esto configuradas para evitar que os usurios (com freqncia de forma inconsciente) permitam a ocorrncia das ameaas. Entre os exemplos de vulnerabilidades comuns desse tipo de ativos esto: ausncia de protetor de telas bloqueado por senha, permitindo que as mquinas sejam utilizadas por pessoas no-autorizadas quando o seu usurio no estiver por perto; ausncia de configuraes de segurana permitindo a instalao ou execuo de arquivos maliciosos; ausncia de controles que impeam a instalao de software pirata ou no homologado pela organizao; periodicidade de atualizao dos programas antivrus; presena ou ausncia de documentos confidenciais; forma de utilizao da estrutura de servidores de arquivos, que garantam de uma maneira mais eficiente o backup dos dados, ou seja, sua disponibilidade.
Pgina 59
Servidores
Uma das prioridades quando analisamos servidores a identificao e o mapeamento das permisses de acesso. So revisados os tipos de usurios e os direitos que possuem, com base na classificao e nos requisitos de confidencialidade das informaes para identificar o excesso ou a falta de privilgios para a realizao das tarefas. O enfoque principal deve ser nos arquivos de configurao e na definio de usurios que tm direitos de administrao do ambiente, uma vez que so os privilgios de administrao os que mais ameaam os ambientes de tecnologia e tambm so os mais desejados pelos invasores. A interao que esses servidores tm com as estaes de trabalho dos usurios, com os bancos de dados e com os aplicativos suportados so o objeto da anlise tcnica dos servidores, independentemente de suas funes: arquivos, email, FTP, Web e outros. Tambm deve ser avaliada a presena de softwares e aplicaes que no sejam necessrios ao equipamento, como por exemplo servidores FTP ou SMTP habilitados desnecessariamente. Eles podem ser acessados ou usados indevidamente ou possurem vulnerabilidades que permitiro a invaso do equipamento
Equipamentos de conectividade
A anlise de equipamentos de conectividade concentra-se na deteco de configuraes que pem em risco as conexes realizadas pela rede de comunicao que suporta um processo de negcios.
Deve-se identificar nessa anlise a forma como esses ativos foram configurados: Dispositivos de roteamento; Modems; Switches; Firewalls; Concentradores de VPN.
Pgina 60
Bancos de dados
Os bancos de dados representam um elemento de importncia extrema , pois armazenam informaes relativas aos processos de negcio e, com freqncia, sobre os usurios dos processos comerciais. A forma como o banco de dados conversa com os demais aplicativos um dos primeiros elementos que devem ser analisados. Tambm so avaliados os nveis de confidencialidade, integridade e disponibilidade das informaes que esto l, para que se possam identificar as necessidades de proteo e configurao de segurana e para que as informaes disponveis estejam de acordo com os princpios da segurana exigidos para as informaes. Nos bancos de dados so avaliados os privilgios dos usurios com relao s permisses de uso, principalmente no que se refere ao acesso de aplicativos que fazem leitura e gravao dessas informaes
Conexes
As conexes de comunicao entre as redes devem estar seguras: fibra ptica, satlite, rdio, antenas, etc. Para isso, importante realizar anlise da forma com que as conexes esto configuradas e dispostas na representao topolgica da rede. Isso garante que a comunicao seja realizada em um meio seguro, segregado, criptografada se for necessrio, livre de possibilidades de rastreamento de pacotes ou mensagens, e tambm livre de desvio do trfego para outros destinos indesejados.
Pgina 61
Aplicativos
Os aplicativos so os elementos responsveis pela leitura e processamento das informaes de um determinado processo de negcio ou de uma organizao. Dessa forma, constituem um elemento muito importante, posto que fazem a interface entre diversos usurios e diversos tipos de informao e acabam infuenciando a confidencialidade, integridade e disponibilidade. Considera-se, portanto, que os aplicativos devem garantir um acesso restritivo, com base nos privilgios de cada usurio, s informaes que eles manipulam. Devem garantir que estejam configurados de acordo com os princpios de segurana necessrios (muitos dos quais so reconhecidos por organismos internacionais) com relao disponibilidade das informaes, forma como as l, guarda e transmite. Tambm deve ser considerada a maneira como o aplicativo foi desenvolvido, como seu cdigo-fonte atualizado e armazenado etc.
Para desenvolver um pouco mais os conceitos j apresentados, consideremos os seguintes exemplos: Identificar a falta de atualizaes de segurana nas estaes de trabalho dos usurios da rea de contabilidade; Revisar as polticas de suporte nos servidores de bancos de dados para saber se estas so adequados para as informaes armazenadas. Finalmente, propomos uma reflexo, da sua perspectiva profissional, sobre as seguintes questes: Voc sabe se seus equipamentos de comunicao dispem da configurao necessria para que as informaes transmitidas atravs deles estejam completamente seguras? Todos os seus servidores tm controles adequados sobre as informaes e processos que gerenciam? Seus sistemas antivrus so constantemente atualizados? Essa tarefa automatizada ou os usurios a realizam manualmente? Os aplicativos que voc usa contam com as atualizaes de segurana mais recentes?
Pgina 62
6.4 LIES APRENDIDAS

Enfatizamos o processo de anlise tcnica de segurana, permitindo identificar os diferentes aspectos que devem ser abordados para os ativos na empresa; Obtivemos o conhecimento necessrio para identificar com maior facilidade os detalhes que devemos reconhecer, em termos de vulnerabilidades, nos ativos tecnolgicos da empresa.
Pgina 63
Captulo
7
ANLISE DE SEGURANA FSICA
7.1 INTRODUO
A anlise de riscos busca tambm identificar no ambiente fsico quais so as vulnerabilidades que podem comprometer os ativos que nele se encontram. Por isso so observados e considerados vrios aspectos referentes ao ambiente fsico dentro da organizao na qual so realizados os trabalhos de anlise de riscos.
Pgina 64
NOTCIAS PELO MUNDO
Pesquisa aponta resultados do blecaute de agosto na internet Estudo Impact of the 2003 Blackouts on Internet Communications, realizado pela empresa americana Renesys, revela que milhares de usurios de internet localizados nas cidades de Nova Iorque, Detroit, Toronto e Ottawa ficaram sem qualquer tipo de conexo devido a um blecaute de energia eltrica ocorrido em 14 de agosto. Apesar de no ter afetado os principais backbones de redes de comunicaes, o blecaute afetou o uso da internet em bancos, hospitais, provedores de servios de internet e milhares de empresas em diversos segmentos de mercado. Diante deste cenrio, segundo clculos da pesquisa, 9.700 usurios ficaram sem qualquer tipo de conexo em mais de 3.500 organizaes. Assim, o estudo aponta a importncia do aumento em investimentos para substituir os sistemas de telefonia como infra-estrutura primria de comunicaes web. Na poca, alguns rumores diziam que o blecaute teria sido causado pela ao do worm Blaster nos servidores das estaes de energia. No entanto, a empresa britnica de antivrus Sophos rechaou de imediato esta possibilidade. "Os computadores crticos que funcionam nessas estaes de energia provavelmente no esto nem conectados Internet e no rodam com uma segurana ineficaz", garantiu Graham Cluley, consultor snior detecnologia da Sophos.
Fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2549&pagenumber=0&idiom=0
Pgina 65
7.2 - OBJETIVOS
Compreender a importncia da anlise de segurana fsica na empresa. Isso permite nos sensibilizarmos e compreender por que necessrio realiz-la para aprimorar a segurana total da empresa; Enumerar os diferentes riscos no escopo da segurana fsica, como desastres naturais e acessos no-autorizados, entre outros. Assim, possvel valorizar a importncia de manter nossas instalaes no melhor estado possvel.
Pgina 66
7.3 ANLISE DE SEGURANA FSICA

Nosso ambiente deve estar organizado de forma a garantir a continuidade e o bom desempenho das atividades operacionais. Isso quer dizer que aspectos como o controle de acesso, a disposio das reas e dos ativos crticos, a proteo fsica e a salubridade dos ambientes de trabalho devem ser analisados sob a perspectiva da anlise de segurana fsica. Isto inclui, por exemplo, o controle de salinidade, da umidade, a iluminao do ambiente, proteo contra vento, chuva e inundaes etc. A anlise de segurana fsica se inicia com a visita tcnica nos ambientes onde so realizadas as atividades relacionadas direta ou indiretamente com os processos de negcio que esto sendo analisados. Esses ambientes devem ser observados com relao a diversos aspectos:
Disposio organizacional A disposio organizacional considerada especialmente com relao a: organizao do espao no sentido de como esto acomodados os mveis e os computadores; reas de circulao de pessoas e lugares de trnsito intenso livres de ativos valiosos; que os ativos mais importantes estejam localizados em reas de acesso controlado, isolado de pessoas que no estejam autorizadas a oper-los.
Sistemas de combate a incndio considerada a disposio dos mecanismos de combate a incndio, observando que estejam nos locais adequados: detectores de fumaa; sprinklers; extintores de incndio portteis.
Pgina 67
Controle de acesso Trata da disposio de sistemas de deteco e autorizao de acesso fsico s pessoas. Para isso, utiliza: paredes, cercas, gaiolas e racks; cmeras de vdeo; seguranas; portas e catracas de acesso com autenticao.
Continuidade de operao Envolve a garantia de condies fsicas e ambientais necessrias para operao dos ativos, tais como: proteo da rede eltrica (estabilizadores e no-breaks); suprimento ininterrupto de energia eltrica, se necessrio; controle de temperatura e umidade no ambiente.
Exposio ao clima e meio-ambiente Disposio de janelas e portas em reas crticas: Preocupao quanto sua localizao prxima a ativos crticos; Se os ativos crticos recebem luz solar ou possibilidade de ameaas causadas por fenmenos da natureza, como granizo ou chuvas fortes.
Pgina 68
Localizao geogrfica Avalia a localizao do centro de processamento de dados, da sala de computao ou do site de servidores, ou qualquer rea crtica - se esto no subsolo, ao alcance de inundaes, prximos de reas de risco como a proximidade ao mar ou rios ou reas de reteno de gua ou com possibilidade de vazamentos em tubulaes hidrulicas. Com o propsito de ilustrar ainda mais a classificao anterior, propomos estes exemplos: Revisar as plantas dos escritrios para localizar sadas de emergncia e dispositivos de preveno de incndios e verificar se cumprem com as normas de segurana vigentes; Analisar a localizao dos ativos crticos da empresa e verificar se os mesmos se encontram em reas de acesso restrito.
Algumas perguntas que podemos fazer a ns mesmos e sobre as quais devemos refletir com relao segurana de nossos ativos relacionados informao so: Os consoles dos equipamentos crticos esto livres de acessos no autorizados? Os ativos crticos esto distantes de portas de acesso ou reas de circulao de pessoas no-autorizadas? Existe um sistema contra incndios nos espaos de trabalho da empresa?
Problemas como o excesso de umidade ou calor, a disposio dos cabos de dados/eltricos e a existncia de falhas na organizao do ambiente podem exigir a reestruturao do espao fsico para permitir uma rea de trabalho segura e, portanto, que as informaes da organizao Idias-chave tambm se encontrem em segurana.
Pgina 69
7.4 LIES APRENDIDAS

Revisamos os diferentes aspectos a se considerar para nossa anlise de segurana fsica; Compreendemos que nossos ativos so vulnerveis diante de ameaas que tm a ver com fenmenos naturais e no apenas com situaes nas quais h interveno de pessoas. Isso sensibiliza nossa anlise para alcanar melhores resultados no final.
Pgina 70
Captulo
8
RELEVNCIA DOS ATIVOS PARA A ANLISE DE
RISCOS E RESULTADOS
8.1 INTRODUO
Para que uma anlise de riscos possa ser levada a cabo, importante que os processos de negcio da empresa, que constituem o objetivo da proteo, sejam considerados em relao sua importncia para a realizao dos negcios. Ou seja, necessrio que os envolvidos no processo de anlise de riscos conheam quais so os processos crticos para a empresa e quais so os ativos que fazem parte desses processos. Para isso, preciso classificar os ativos com base em sua relevncia e impacto nos processos-chave da organizao. Uma vez que os recursos so finitos, isso nos permitir identificar os ativos que tero prioridade nas aes de segurana postas em prtica pela empresa. Dessa forma, o destino final dos recursos ser diminuir os riscos existentes naqueles ativos considerados fundamentais para os negcios da empresa. Escolher uma certa direo nas nossas aes permitir, entre outras coisas, garantir que a anlise realizada nos proporcione as informaes necessrias para implementar as melhores aes de segurana possveis dentro da empresa.
Pgina 71
8.2 - OBJETIVOS
Identificar, aps a Anlise de Riscos, quais so os processos de negcio e os ativos mais relevantes e, consequentemente, quais aes de segurana devem ser priorizadasl
Pgina 72
8.3 RELEVNCIA DOS ATIVOS PARA A ANLISE DE RISCOS

Na anlise de risco ocorre a atribuio de valor e relevncia aos processos de negcio. Essa valorizao permite avaliar o impacto que um acidente de segurana pode causar no negcio ao analisar o valor estratgico que este processo possui para a empresa como um todo. Vamos revisar os seguintes exemplos, nos quais se dimensiona a relevncia dos ativos para a anlise de riscos: Para um banco dedicado ao Internet Banking, os servidores que oferecem o servio da pgina principal de operaes bancrias so muito importantes. Afinal, eles fazem parte de um dos processos-chave para o negcio desse tipo de empresa; Em uma empresa que oferece servios de Internet, os equipamentos de roteamento ou os links de comunicao desempenham um papel fundamental nos negcios da empresa e, portanto, so de alta importncia. Como forma de encerrar esta seo, gostaramos que voc se fizesse as seguintes perguntas com base na experincia de sua empresa:
Voc sabe quais so os processos mais importantes para a sua empresa? Conhece os ativos que fazem parte desses processos? A segurana desses ativos est sendo considerada?
Quanto maior relevncia tiver um processo para o negcio, maior ser a importncia crtica dos ativos que fazem parte dele e, como conseqncia, maior ser o risco que a organizao est exposta no caso de ocorrer um incidente de segurana no processo em questo. Idias-chave A considerao da relevncia tambm permite que sejam realizadas aes de correo dos problemas nos ativos de maior prioridade no momento da anlise.
Pgina 73
8.4 OS RESULTADOS DA ANLISE DE RISCOS

Uma vez feita a anlise de riscos, a empresa tem nas mos uma ferramenta poderosa para o tratamento de suas vulnerabilidades e um diagnstico geral sobre o status da segurana do seu ambiente como um todo. A partir desse momento, possvel estabelecer e priorizar polticas para a correo dos problemas detectados e o gerenciamento de segurana desses problemas ao longo do tempo para garantir que as vulnerabilidades encontradas anteriormente sejam extintas e permitir o gerenciamento de novas vulnerabilidades que possam surgir com o passar do tempo. Como as inovaes tecnolgicas so cada vez mais freqentes, constantemente aparece uma srie de novas oportunidades para que pessoas com intenes maliciosas se aproveitem dessas inovaes e realizem aes indevidas nos ambientes humano, tecnolgico e fsico. Uma vez que as recomendaes contra uma determinada vulnerabilidade esto disponveis, comeam as aes de implementao para corrigir o ambiente e reduzir os riscos a que est submetida a infra-estrutura humana, tecnolgica e fsica que suportam os processos de negcio. Dessa forma, possvel implementar nos ativos analisados, e tambm nos ativos que tm as mesmas caractersticas que os analisados, as medidas corretivas e o tratamento das vulnerabilidades.
A anlise de riscos tem como resultado os relatrios de recomendaes de segurana para que a empresa possa avaliar os riscos a que est exposta e saber quais so os ativos dos processos de negcio que esto mais susceptveis ao de ameaas confidencialidade, integridade e disponibilidade das Idias-chave informaes.
Depois que os resultados so rastreados e recebem uma pontuao com relao ao seu valor de criticidade, um dos produtos finais da anlise de riscos, a matriz de criticidade, indica, atravs de dados qualitativos e quantitativos, a situao de segurana em que se encontram os ativos analisados, listando as vulnerabilidades, as ameaas em potencial e as respectivas recomendaes de segurana para correo das vulnerabilidades.
Pgina 74
Como exemplo, vamos ver alguns dos resultados que obtiveram essas empresas: A anlise de riscos realizada por uma empresa indica que necessria a instalao de softwares antivrus em todos os equipamentos dos altos executivos da empresa, dada a importncia das informaes por eles gerenciadas; Depois de avaliar os resultados, a empresa se d conta de que as aes de segurana que vem tomando no incluem os ativos mais relevantes para o negcio da empresa e, portanto, precisa dar novo foco a suas aes. Ao realizar a anlise de riscos, o nvel de segurana da organizao aumentar quando existir uma preocupao com esse aspecto para a continuidade dos negcios, pois a partir deste momento haver conhecimento da parte dos envolvidos na anlise sobre a situao real de insegurana em que se encontra a organizao. Isso nos leva a compreender a importncia real da anlise de riscos como o primeiro passo para a implementao da segurana, permitindo que se conhea todo o ambiente onde se realiza um processo comercial do ponto de vista processual, fsico, humano e tecnolgico. A partir desse diagnstico, tanto das vulnerabilidades como o impacto que elas podem trazer para o negcio, possvel implementar medidas corretivas, preventivas e de deteco que sejam necessrias para o alcance dos objetivos da organizao. Depois dessa reviso, apresentamos uma pergunta que merece uma reflexo um pouco mais aprofundada: Se voc realizasse uma anlise de riscos hoje na sua empresa, acredita que o resultado coincidiria com as aes tomadas atualmente na organizao? Depois da anlise, vem a poltica de segurana. Esse documento, que ser estudado na prxima unidade, pretende orientar os padres de segurana que devem ser adotados em toda a empresa. No geral, ela se baseia no resultado da anlise de riscos. A poltica de segurana constitui o estabelecimento das normas de segurana que orientam a prtica diria dos usurios que manipulam os ativos
Pgina 75
8.5 LIES APRENDIDAS

Conclumos o conceito de anlise de riscos, permitindo-nos com isso abordar a importncia de avaliar as prioridades nos processos da empresa e tomar aes que representam um maior impacto positivo nos objetivos da empresa. Compreendemos a importncia de examinar adequadamente os resultados da anlise de riscos, para que seja possvel conduzir de forma apropriada as aes em termos de segurana. Aprendemos como a anlise de riscos permite priorizar as aes de segurana e os investimentos necessrios para proteger os processos e os ativos que so prioritrios ao negcio
Pgina 76

Essentials Modulo2

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Essentials Modulo2

Enviado por

Direitos autorais:

Formatos disponíveis

Curso Bsico de Segurana da Informao

Academia Latino-Americana de Segurana da Informao

Conceitos de Anlise de Risco

Reviso 1.1 Dezembro de 2006

COMO USAR ESSE MATERIAL

PERGUNTAS PARA PENSAR

2.2 Objetivos ............................................................................................................... 21 2.3 - Momento da anlise de risco ............................................................................. 22

Notcias pelo Mundo .................................................................................................................................................................... 65

NOTCIAS PELO MUNDO

1.3 O QUE A ANLISE DE RISCOS

1.4 - DEFINIO DE ANLISE DE RISCO

1.5 LIES APRENDIDAS

NOTCIAS PELO MUNDO

2.3 - MOMENTO DA ANLISE DE RISCO

2.4 - ESCOPOS DA ANLISE DE RISCOS

2.5 - LIES APRENDIDAS

NOTCIAS PELO MUNDO

US-CERT alerta para vulnerabilidade no Internet Explorer

3.3 - A IMPORTNCIA DA IMPLEMENTAO

3.4 EXEMPLO DA ANLISE DOS RISCOS

3.5 LIOES APRENDIDAS

NOTCIAS PELO MUNDO

4.3 IDENTIFICAO DA RELEVNCIA DOS PROCESSOS PARA CONDUZIR AS AES DE

4.4 - RAIO X DE UMA AMEAA

Avaliao - Identificar ameaas de segurana STRIDE

Encerraremos esta seo deixando estas perguntas sobre a mesa:

4.5 - IDENTIFICAO DA RELEVNCIA DOS ATIVOS PARA DIRIGIR AS AES DE SEGURANA DA

4.6 LIES APRENDIDAS

NOTCIAS PELO MUNDO

5.3 DEFINIO DA EQUIPE ENVOLVIDA

5.4 ENTREVISTA COM

5.5 LIES APRENDIDAS

NOTCIAS PELO MUNDO

6.3 ANLISE TCNICA DE SEGURANA

6.4 LIES APRENDIDAS

NOTCIAS PELO MUNDO

7.3 ANLISE DE SEGURANA FSICA

7.4 LIES APRENDIDAS

8.3 RELEVNCIA DOS ATIVOS PARA A ANLISE DE RISCOS

8.4 OS RESULTADOS DA ANLISE DE RISCOS

8.5 LIES APRENDIDAS

Você também pode gostar