PLANO DE SEGURANÇA

OBJETIVOS

Possibilitar uma visão macro
dos requisitos de segurança e
descrever os controles
necessários e adequados para
cada situação.
ANÁLISE DA SITUAÇÃO ATUAL

 PONTOS VULNERÁVEIS

 AMEAÇAS

 ANÁLISE DE RISCOS
CLASSIFICAÇÃO DAS VULNERABILIDADES


físicas;
 naturais;
 de hardware e software;

 de mídia;
 de comunicação; e
 humanas.
AMEAÇAS

Para encontrar a resposta

preciso fazer 3 perguntas:

Quem?

Por que?

Como?
ANÁLISE DOS RISCOS

Uma vez tendo sido identificadas as

vulnerabilidades do sistema e as
ameaças potenciais, é possível
quantificar a probabilidade de ocorrência
dos riscos existentes.

A complexidade desta atividade é função

do nível de detalhamento desejado.
REVISÃO CONSTANTE DOS RISCOS

 O trabalho de análise de risco deve ser feito

constantemente.
 Novas ameaças podem surgir,
vulnerabilidades não identificadas em
primeiras análises podem ser notadas em
revisões futuras, e as probabilidades de
ocorrência das ameaças podem ser
alteradas.
 Sempre que forem feitas mudanças
significativas no sistema, uma nova análise
de risco deve ser feita.
 RISCOS NÃO PODEM SER ELIMINADOS

Os riscos podem ser identificados,

quantificados e então reduzidos, mas não é
possível eliminá-los completamente.

 Não importa quão seguro se faça um

sistema, sua segurança sempre poderá ser
quebrada dados suficientes recursos,
tempo, motivação e dinheiro.
 ANÁLISE DE CUSTO/BENEFÍCIO
 Após se completar a análise de risco, é necessária a
realização de uma Análise de Custo-Benefício.

 Esta análise consiste na determinação do custo gerado

caso uma ameaça se concretize, denominado Custo da
Perda, e
na determinação do custo do estabelecimento de
mecanismos de defesa contra a ameaça, denominado
Custo da Proteção.
POLÍTICAS DE
SEGURANÇA

 Visível ao longo da organização.

 Suportada pelos níveis gerenciais da

organização.

 Consistentes com outros direcionamentos

da organização.
PONTOS IMPORTANTES

 A simples utilização de mecanismos de

segurança para a proteção dos recursos de
um sistema de informação não é suficiente
para garantir que os serviços de segurança
desejados sejam alcançados.
 Sem a compreensão de todos os aspectos
envolvidos na segurança de um sistema, todo
o trabalho pode estar comprometido.