Segurana da Informao

Gesto de Risco

Gesto de Risco conceitos iniciais

Uma das premissas bsicas da Segurana da Informao o fato de que no existe segurana total ou completa. O que torna algo seguro ou no est muito mais ligado gesto de uma srie de fatores do que compra ou implementao de uma soluo definitiva.

Gesto de Risco conceitos iniciais

Fatores a serem gerenciados: Ativos, Ameaas, Vulnerabilidades, Impacto e Risco. Porm a gesto efetiva e em larga escala desses fatores um processo extremamente trabalhoso e complicado.

Gesto de Risco conceitos iniciais

por meio deste processo que os riscos so identificados e tratados de forma sistemtica e contnua.

Gesto de Risco conceitos iniciais

Terminologias

Ativo tudo aquilo que tenha valor e que necessita de algum tipo de proteo.

Escopo Conjunto de ativos, ameaas e vulnerabilidades que sero cobertos pelo Sistema de Gesto de Risco.

Gesto de Risco conceitos iniciais

Terminologias Ameaa Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos, consequentemente a organizao.

Quando uma ameaa se concretiza, ela recebe o nome de incidente.

Vulnerabilidade As vulnerabilidades criam situaes que podem ser exploradas por uma ameaa.

Gesto de Risco conceitos iniciais

Terminologias Proteo So prticas, procedimentos ou mecanismos que podem proteger os ativos contra ameaas, reduzir ou eliminar vulnerabilidades, limitar o impacto de um incidente ou ajudar na sua deteco, facilitando a correo e a recuperao dos estragos causados.

Gesto de Risco conceitos iniciais

Terminologias Risco Probabilidade de ocorrncia de um incidente (ameaa) combinada com as consequncias (impacto) que ele causar.

Sua escala dada por meio da combinao de dois fatores:

1 - a probabilidade de ocorrncia da ameaa medida atravs da combinao da sua frequncia com a avaliao de vulnerabilidades. 2 - as consequncias trazidas pela ocorrncia do incidente (o impacto).

Gesto de Risco conceitos iniciais

Terminologias Risco A Gesto de Risco prev quatro atividades ligadas forma como lidamos com o risco, ou seja:

Avaliao de Risco
Tratamento de Risco Aceitao de Risco

Comunicao de Risco

Gesto de Risco conceitos iniciais

Os riscos no podem ser completamente eliminados, e a poro de risco excedente, aps todas as medidas tomadas, chamada de Risco Residual.

O principal objetivo da Gesto de Risco trazer o risco residual para dentro de patamares aceitveis.
Esses patamares so definidos pelo critrio de risco adotado pela organizao. o risco que a organizao definiu como sendo tolervel.

Gesto de Risco conceitos iniciais

Terminologias Gesto de Riscos Contempla uma srie de atividades relacionadas forma como a organizao lida com o risco.

Ela cobre todo o ciclo de vida de tratamento do risco, desde a sua identificao at a sua comunicao as partes envolvidas.
Anlise e Avaliao Tratamento Aceitao Comunicao

Gesto de Risco conceitos iniciais

Terminologias Gesto de Riscos Anlise e Avaliao Tratamento
Aceitao Comunicao

A Anlise um processo dividido em duas partes: Anlise de Risco (processo de identificao de ameaas) e Estimativa de Risco.
A Identificao de Ameaas feita atravs de buscas em bases de informao que possam servir como fonte sobre os diversos tipos de ameaas existentes para os ativos que estamos avaliando. A Estimativa de Risco ir atribuir valores aos componentes do risco, basicamente s consequncias (impactos) e probabilidades (ameaas + vulnerabilidades).

Gesto de Risco conceitos iniciais

Terminologias Gesto de Riscos Anlise e Avaliao Tratamento
Aceitao Comunicao

A fase seguinte, Avaliao, compreende o processo de comparar os riscos que foram previamente identificados e estimados com os critrios de risco definidos pela organizao. A partir disso, decidimos se tratamos ou aceitamos o risco em questo.

Gesto de Risco conceitos iniciais

Terminologias Gesto de Riscos
Anlise e Avaliao

Tratamento
Aceitao Comunicao

a segunda fase da G.R., onde selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Medidas que visam trazer os nveis de risco para patamares aceitveis.

Gesto de Risco conceitos iniciais

Terminologias Gesto de Riscos
Anlise e Avaliao Tratamento Aceitao Comunicao

A Aceitao ocorre quando o custo de proteo contra um determinado risco no vale a pena. Ocorre quando o custo de proteo maior que o custo do prprio ativo que est sendo protegido.

Gesto de Risco conceitos iniciais

Terminologias Gesto de Riscos
Anlise e Avaliao Tratamento Aceitao Comunicao

o ltimo componente da G.R. a ao de compartilhar informaes sobre o risco com todas as partes envolvidas.

Quando comunicamos os riscos s partes envolvidas estamos compartilhando a responsabilidade a respeito deles.

Gesto de Risco tarefas do projeto

Em linhas gerais, o projeto dividido em macro fases, ou seja:

Definio de escopo
Anlise e Avaliao De Riscos Identificao das ameaas Estimar a probabilidade de ocorrncia das ameaas

Estimar o impacto das ameaas

Identificar ativos de maior risco

Tratamento de Riscos

Avaliar as melhores protees

Implementar as protees

Gesto de Risco tarefas do projeto

Anlise e Avaliao de Risco
1. Definio do Escopo
O escopo consiste basicamente em definir a justificativa do projeto (a razo pela qual ele est sendo executado).
Quanto maior o escopo, maior a probabilidade de insucesso. Os ativos podem ser agrupados em categorias para facilitar a definio do escopo.

Por Processo de Negcio Por Localidade Fsica

Por Tipo de Ativo Mista

Gesto de Risco tarefas do projeto

Categorizao
Por Processo de negcio

Como feito
Primeiro feito um mapeamento dos processos de negcio, posteriormente, escolhemos os ativos que suportam cada um deles. Selecionam-se todos os ativos constante em um local

Vantagem
Grande alinhamento da AAR com o negcio, j que os ativos so selecionados de acordo com os processos mais importantes O levantamento de ativos pode ser feito de forma bastante rpida

Desvantagem
Impossvel de ser executado caso a empresa no possua os processos mapeados. Encarece em muito o projeto.

Por Localidade Fsica

No h alinhamento da lista de ativos com os processo de negcio

Gesto de Risco tarefas do projeto

Categorizao
Por Tipo de Ativo

Como feito
D-se focos a ativos de um determinado tipo, geralmente ativos de TI

Vantagem
Especialmente eficaz quando a AAR feita pela TI e ter foco predominantemente tcnico

Desvantagem
Negligencia ativos importantes, levando a um alinhamento menor com o negcio

Mista

Combinam-se os critrios acima, de acordo com a necessidade

Varia de acordo com a abordagem

Varia de acordo com a abordagem

Gesto de Risco tarefas do projeto

Anlise e Avaliao de Risco
2. Identificao das ameaas

Depois de fechado o escopo, o passo seguinte identificar as possveis ameaas s quais esto sujeitos cada um dos ativos. Tenha foco nas ameaas mais comuns
O conjunto de ameaas que assola um ativo tende ao infinito. No existe forma de cobrir todas as situaes, nem necessrio fazer isso.

Gesto de Risco tarefas do projeto

Anlise e Avaliao de Risco
3. Estimar a probabilidade de ocorrncia das ameaas

Essa probabilidade pode ser analisada, basicamente, atravs de dois fatores: Frequncia e Vulnerabilidade.
A Frequncia representa o nmero de vezes esperado no qual uma ameaa tentar causar algum prejuzo a um ativo. A Vulnerabilidade a ausncia de um mecanismo de proteo ou uma falha em um mecanismo de proteo existente.

Gesto de Risco tarefas do projeto

Anlise e Avaliao de Risco
4. Estimar o impacto das ameaas

Antes que possamos finalmente calcular o risco, devemos avaliar o impacto

que a concretizao da ameaa naquele determinado ativo ir causar. Diferentes ameaas causaro diferentes impactos. Quanto maior o impacto que isoladamente cada uma dessas ameaas pode causar, maior o impacto ao qual o ativo est sujeito e, maior o risco total deste ativo.

Gesto de Risco tarefas do projeto

Anlise e Avaliao de Risco
5. Identificar ativos de maior risco

Os ativos sujeitos aos maiores nveis de risco sero priorizados em termos

de recursos e protees. Entre comprar um sistema de redundncia para servidores e desenvolver uma norma de acesso fsico a um datacenter, muitas organizaes tendero a priorizar a segunda opo, no por causa do risco e sim por causa do custo.

Gesto de Risco tarefas do projeto

Tratamento de Risco
1. Avaliar as melhores protees
Todos os ativos esto sujeitos a algum tipo de risco.
Porm muito pouco provvel que uma organizao tenha recursos disponveis para trazer todos os riscos para patamares aceitveis. Por conta disso, devemos priorizar os maiores riscos.

Gesto de Risco tarefas do projeto

Tratamento de Risco
2. Implementar as protees

Nesta etapa, que na realidade pode durar vrios meses, so implementadas

as protees escolhidas. Algumas delas envolvero vrias atividades, normalmente demandando um projeto em separado para elas.

Anlise e Avaliao de Risco

Durante o processo de Anlise e Avaliao de Risco que sero feitos
todos os levantamentos em relao s ameaas, vulnerabilidades, probabilidades e impacto aos quais os ativos esto sujeitos. Torna-se o processo mais trabalhoso, mais crtico e de maior durao da G.R. Todas as informaes identificadas aqui iro embasar decises estratgicas e tticas relacionadas a segurana.

Anlise e Avaliao de Risco

Ameas Vulnerabilidades MB BA A MB 1 2 T BA 2 4 I ME 3 6 V AL 4 8 O MA 5 10 S MB BA ME AL MA ME AL MA MB BA ME AL MA MB BA ME AL MA MB BA ME AL MA MB BA ME AL MA
3 4 5 2 4 6 8 6 8 10 4 8 12 16 9 12 15 6 12 18 24 12 16 20 8 16 24 32 15 20 25 10 20 30 40 10 3 6 20 6 12 30 9 18 40 12 24 50 15 30 9 18 27 36 45 12 24 36 48 60 15 4 8 12 30 8 16 24 45 12 24 36 60 16 32 48 75 20 40 60 16 32 48 64 80 20 40 60 80 100 5 10 15 20 25 10 20 30 40 50 15 20 30 40 45 60 60 80 75 100 25 50 75 100 125

Risco = Am x Vul x Val$

Nveis Probabilidade de Ameaa Probabilidade de Vulnerabilidade Valor do Ativo

MB 1 1 1

BA 2 2 2

ME 3 3 3

AL MA 4 5 4 5 4 5

Alto Risco (45 a 125) Mdio Risco (15 a 44) Baixo Risco (0 a 14)

Tratamento do Risco
Tratamento do Risco
Uma vez finalizada a fase em que identificamos os riscos aos quais a organizao est sujeita, a fase seguinte o tratamento. O Critrio de Risco define quais so os nveis mximos que uma organizao est disposta a tolerar.

Toda vez que um determinado risco estiver acima deste nvel ele dever ser tratado.

Aceitao do Risco
Aceitao do Risco
Quando no somos capazes de encontrar formas eficazes para reduzir o risco, levando em considerao todas as questes financeiras envolvidas, devemos simplesmente aceitar o risco. A aceitao do risco implica saber que ele existe e que no foi resolvido.

Os prejuzos que podem ser trazidos por ele podem mesmo ocorrer.
Mas esses riscos tambm devem ser monitorados.

Anlise e Avaliao do Risco

Tratamento do Risco Aceitao do Risco

Comunicao do Risco
Comunicao do Risco
O ltimo passo da gesto de Risco envolve a sua comunicao.

de vital importncia para qualquer organizao conhecer os riscos aos quais ela est sujeito, bem como ter uma idia de quais riscos foram tratados.
Como vimos em Gesto de Pessoas: Conscientizar os usurios das ferramentas e sobre os riscos envolvidos em relao ao seu uso.