Escolar Documentos
Profissional Documentos
Cultura Documentos
20
ho
ra
s
Ameaças e Riscos
Informação e Segurança
Arquitetura da informação
• A Segurança da Informação pode ajudar a garantir que os requisitos de provisão de informações definidos
sejam realizados na Arquitetura de Informações
• Processos orientadores
• Planejando a estratégia da empresa
• Processos de apoio
• Compras, Vendas ou RH
Processo operacionais e informações
• Um dos métodos para determinar o valor da informação é verificar o papel da informação nos vários
processos operacionais.
• A análise da informação fornece uma visão clara de como uma organização lida com as informações - como as
informações "fluem" através da organização. Por exemplo:
• Os resultados de uma análise da informação podem ser usados para projetar um Sistema de Informações
Gerenciamento da informação
• Dentro deste sistema, um Gerente de Informações pode fazer uso da Arquitetura da Informação e uma
Análise da Informação.
• Em muitos casos, a comunicação externa e a comunicação com a mídia fazem parte da estratégia de
Gerenciamento da Informação.
Informática
• O termo se relaciona com a ciência da lógica usada em trazer estrutura para informação e sistemas.
• É importante entender que a informática pode ser usada para desenvolver programas
O que aprendemos hoje?
• O trio:
• Confidencialidade
• Integridade
• Disponibilidade
• No caso de efeitos indesejados de segurança da informação, as ameaças são mapeadas sempre que possíveis
• Em Segurança da Informação, é determinado se algo deve ser feito para evitar esses efeitos
• Segurança da Informação determina quais medidas de segurança devem ser tomadas para evitar esses efeitos
Risco
• O risco à segurança das informações está associado ao potencial de que as ameaças explorem
vulnerabilidades de um ativo de informações ou grupo de ativos de informações e, assim, causem danos a
uma organização.
Análise de Risco
• A metodologia/processo para nos ajudar a adquirir percepção/compreensão dos riscos que uma organização
está enfrentando e precisa se proteger.
Nota: Os riscos têm proprietários designados que também devem estar envolvidos na Análise de Risco e nas
avaliações.
Ameaças, Riscos e Análise dos Riscos
Risk
Analysis
Risco
Risk Contra-medida
Management
Quando uma ameaça se materializa, surge um risco para a organização. Tanto a extensão do risco quanto a avaliação da
administração determinam se as medidas devem ser tomadas para minimizar o risco e o que elas podem ser.
Avaliação de Riscos
A avaliação de riscos deve incluir a abordagem sistemática de estimar a magnitude dos riscos (análise de riscos) e
o processo de comparação dos critérios estimados de riscos contra riscos para determinar a significância dos
riscos (avaliação de riscos).
Gerenciamento de riscos:
O processo de
Ameaças
Para Riscos
Uma ferramenta para esclarecer quais ameaças são relevantes para os processos operacionais e para identificar os
riscos associados. O nível de segurança apropriado, junto com as medidas de segurança associadas, pode ser
determinado.
Análises de Riscos
Objetivos:
1. Identificar ativos e seu valor
2. Determinar vulnerabilidades e ameaças
3. Determinar o risco de que as ameaças se tornem realidade e interrompam o processo operacional
4. Determinar um equilíbrio entre os custos de um incidente e os custos de uma medida de segurança
Medidas de segurança
são rentáveis,
Medidas de segurança Medidas de segurança
oportuna e eficaz
são muito rigorosos são ineficazes
Análise de custo-benefício
Análise de custo-benefício:
• Parte do processo de Análise de Riscos à Segurança da Informação
• Questão:
• Um servidor custa US$ 100.000.
• As medidas de segurança da informação para este servidor custam US $ 150.000.
• Conclusão: Nossas medidas de segurança da informação são muito caras…
• Conclusão certa ou errada?
Tipos de análises de riscos
• Tem como objetivo calcular um valor de risco com base no nível da perda financeira e na probabilidade de
que uma ameaça possa se tornar um incidente de segurança da informação
• Estes valores podem ser compostos pelos custos das Medidas de Segurança da Informação, bem como pelo
Valor da propriedade em si, incluindo itens como edifícios, hardware, software, informações e impacto nos
negócios.
• O tempo se estende antes que uma Ameaça apareça, a eficácia das Medidas de Segurança da Informação e o
risco de que uma vulnerabilidade será explorada também são elementos a serem considerados
• As chances de que uma ameaça se torne realidade são examinadas com base em sentimentos viscerais.
• A análise examina então o processo operacional ao qual a ameaça se relaciona e as medidas de segurança da
informação que já foram tomadas.
• O melhor resultado é alcançado realizando a análise em uma sessão de grupo, pois isso leva a uma discussão
que evita a visão de uma única pessoa ou departamento que domina a análise.
Tipos de medidas de segurança
Medidas preventivas:
• Destinado a prevenir incidentes de segurança
Medidas de detetive:
• Destinado a detectar incidentes de segurança
Medidas Repressivas:
• Com o objetivo de impedir as consequências dos incidentes de segurança
Medidas corretivas:
• Destinado a recuperar dos danos causados por incidentes de segurança
Comprar seguro:
• Destina-se a comprar seguro contra certos incidentes de segurança, porque
• implementar as medidas de segurança pode ser muito caro
Tipos de medidas de segurança
Re
du
cti
Ri
Prevention
on
sk
Incident
Repression
Recovery
Tipos de ameaças
Ameaças Humanas:
• Intencional
• Hacking, Propriedade danosa, Destruindo e-mails após ser demitido
• Não intencional
• Excluindo dados e descuidadamente confirmando isso com OK
• Engenharia social
• Enganando as pessoas a fornecer voluntariamente informações confidenciais: phishing
Dano Direto
• Roubo
Dano Indireto
• A perda consequencial que pode ocorrer
• Por exemplo: devido a um datacenter inundado, nenhum serviço de TI pode ser fornecido, causando
perda de receita para o negócio.
hY
Tipos de estratégias de riscos
Rolamento de risco:
• Certos riscos são aceitos
• Medidas de segurança são muito caras
• Medidas de segurança excedem o possível dano
• As medidas de segurança tomadas são repressivas por natureza
Risco neutro:
• Os resultados das medidas de segurança tomadas são
• A Ameaça não mais ocorre
• O dano resultante é minimizado
• As medidas de segurança tomadas são uma combinação de Preventivo, Detetive e Repressivo
Evitar o risco:
• As Medidas de Segurança tomadas são tais que a ameaça é neutralizada a ponto de a ameaça não mais levar
a um Incidente.
• Por exemplo: A adição de novo software que faz com que os erros no software antigo não sejam mais
uma ameaça. As medidas de segurança tomadas são preventivas por natureza
Tratar riscos de segurança da informação
d) Evitar Riscos ao não permitir ações que causariam a ocorrência dos Riscos;
Os controles devem assegurar que os riscos sejam reduzidos a um nível aceitável, levando em consideração:
b) Objetivos organizacionais;
• Termos:
• Ameaças
• Riscos
• Medidas de segurança
• Análise de risco
• Avaliação de risco
www.centraldesk.com.br
Facebook/centraldesk linkedin.com/centraldesk twitter.com/centraldesk