Baseado no curso “An Introduction to Information
         Security” da Open University
   Já estudamos anteriormente que a informação
    é um ativo de grande importância para as
    organizações.
   Entreta...
   Ameaça: Forma em que um ativo de informação
    pode ter seus requisitos de segurança violado. Ex:
    ◦ Acesso não-au...
   Ações deliberadas das pessoas
    ◦ Ações pensadas das pessoas para tentar comprometer os
      ativos da organização:...
   Vazamento das informações do ativo
    ◦ Afeta a confidencialidade do ativo.
    ◦ Ex: Vazamento das informações dos c...
   Um hacker black hat que ameaça seus ativos
    de informação se aproveita das
    vulnerabilidades nas mídias e nos si...
Ameaça
                                       Ameaça


                                                   Ataque com
Ataqu...
   Risco é o produto da quantidade que pode ser perdido (o
    impacto) e a probabilidade de perdê-lo, a probabilidade.
 ...
   Por esta definição de risco, tanto o impacto
    quanto a probabilidade podem ser expressos
    em números.
   No ent...
   Impacto:
    ◦ Baixo: tem um efeito insignificante sobre a organização.
    ◦ Médio: tem um efeito considerável sobre ...
   A organização deve definir CLARAMENTE na
    documentação do SGSI o que é baixo, médio ou alto para
    os critérios a...
   Após a avaliação dos riscos, a organização pode
    definir os critérios de aceitação de risco, como por
    exemplo:
...
   Análise de Riscos em Projetos Uma Abordagem
    Qualitativa ou Quantitativa -
    http://www.slideshare.net/gustavosan...
   http://openlearn.open.ac.uk/mod/oucontent/vie
    w.php?id=397613&section=1.6.2




                       Quer ajudar...
ISI  6 - Parte I - Avaliação de Riscos
Upcoming SlideShare
Loading in …5
×

ISI 6 - Parte I - Avaliação de Riscos

2,642 views
2,525 views

Published on

6ª Parte do curso de Introdução à Segurança da Informação.

Published in: Technology
1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total views
2,642
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
0
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide

ISI 6 - Parte I - Avaliação de Riscos

  1. 1. Baseado no curso “An Introduction to Information Security” da Open University
  2. 2.  Já estudamos anteriormente que a informação é um ativo de grande importância para as organizações.  Entretanto, sem uma mídia de armazenamento como um papel, um disco rígido ou a memória humana, a informação é totalmente efêmera.  Porém, assim que a informação é armazenada em um meio e pode ser manipulada, ela se torna sujeita as vulnerabilidades desse meio e dos sistemas que acessam esse meio.  E onde há vulnerabilidades, há ameaças à segurança das informações.
  3. 3.  Ameaça: Forma em que um ativo de informação pode ter seus requisitos de segurança violado. Ex: ◦ Acesso não-autorizado à informações; ou ◦ Escalação de Privilégios.  Impacto: Conseqüências de um incidente de segurança, da concretização da ameaça através de uma vulnerabilidade (uma fraqueza ou deficiência do sistema). Ex: ◦ Vazamento de informações secretas de guerra (alguém se lembra de algo?); ◦ Indisponibilidade dos servidores.  Ataque: tentativa de violar os requisitos de segurança de um ativo. ◦ Injeção de código SQL em bases de dados; ou ◦ Quebra das senhas do usuários via força bruta.
  4. 4.  Ações deliberadas das pessoas ◦ Ações pensadas das pessoas para tentar comprometer os ativos da organização:  Um funcionário picotando relatórios da empresa;  Ações acidentais das pessoas ◦ Ações involuntárias das pessoas que podem comprometer os ativos.  Um funcionário derramando café em seu laptop;  Problemas de Sistemas ◦ Problemas de hardware (superaquecimento), software (bugs de programação); ou código malicioso (vírus), que podem comprometer os ativos.  Outros eventos ◦ Outros eventos, como uma inundação ou um blecaute, que podem comprometer os ativos.
  5. 5.  Vazamento das informações do ativo ◦ Afeta a confidencialidade do ativo. ◦ Ex: Vazamento das informações dos cartões de crédito dos clientes.  Modificação do Ativo ◦ Afeta a integridade do ativo. ◦ Ex: Aumento fraudulento do balanço da empresa.  Destruição ou perda do ativo ◦ Afeta a disponibilidade do ativo. ◦ Ex: Perda de um arquivo ou pen drive.  Interrupção do acesso ao ativo ◦ Afeta a disponibilidade do ativo. ◦ Ex: Upgrade da base de dados de fornecedores.  É bom ressaltar que os impactos também afetam os ativos intangíveis da organização!
  6. 6.  Um hacker black hat que ameaça seus ativos de informação se aproveita das vulnerabilidades nas mídias e nos sistemas que lidam com elas.  Vulnerabilidades e ameaças claramente andam de mãos dadas: cada ameaça é dirigida a uma vulnerabilidade.  Muitas vezes um ativo de informação é apenas parcialmente protegido pelas defesas das mídias e dos sistemas que a manipulam, o que permite que algumas ameaças tirem vantagem das vulnerabilidades desprotegidas e, na pior das hipóteses, comprometam o ativo.
  7. 7. Ameaça Ameaça Ataque com Ataques sem sucesso sucesso (Há defesas que Ativo de (Não há defesas mitigam tais Informação que mitigam ameaças) totalmente tais ameaças) Defesas existentes Logo, o sistema está vulnerável Ameaça Ameaça
  8. 8.  Risco é o produto da quantidade que pode ser perdido (o impacto) e a probabilidade de perdê-lo, a probabilidade. R=P X I  Segundo esta definição, então, o risco é composto por duas quantidades - impacto e probabilidade - combinados de alguma forma.  A probabilidade da ameaça é a probabilidade de que a ameaça resulte em um ataque bem sucedido.
  9. 9.  Por esta definição de risco, tanto o impacto quanto a probabilidade podem ser expressos em números.  No entanto, estimar valores numéricos para estes atributos é, como você pode imaginar, repleto de dificuldades, havendo várias abordagens para tal, como*: ◦ Qualitativa: em que o impacto e a probabilidade pode levar apenas três valores: baixa, média ou alta.  Estes valores são melhores interpretados na sua relação um ao outro: por exemplo, um evento de baixo impacto custará a organização menos de um evento de impacto médio, e um evento com probabilidade média será ocorrerá com menos freqüência do que um evento com alta probabilidade. * Para a abordagem quantitativa, consulte as referências!
  10. 10.  Impacto: ◦ Baixo: tem um efeito insignificante sobre a organização. ◦ Médio: tem um efeito considerável sobre a organização, mas as operações principais de negócio não estão ameaçadas. ◦ Alto: as operações principais de negócio estão ameaçadas.  Probabilidade: ◦ Baixa: praticamente nunca. ◦ Média: na ordem de uma vez por ano. ◦ Alta: da ordem de uma vez por semana, ou mais freqüentemente.  Pode se usar análises históricas do negócio para definir a probabilidade e o impacto
  11. 11.  A organização deve definir CLARAMENTE na documentação do SGSI o que é baixo, médio ou alto para os critérios adotados.  A escolha deve se basear no ambiente e na experiência da organização.  Após essa definição, pode se medir o risco através da combinação dos critérios. Baixa Probabilidade Média Probabilidade Alta Probabilidade Baixo Impacto Baixo Risco Baixo Risco Médio Risco Médio Impacto Baixo Risco Médio Risco Alto Risco Alto Impacto Médio Risco Alto Risco Alto Risco
  12. 12.  Após a avaliação dos riscos, a organização pode definir os critérios de aceitação de risco, como por exemplo: ◦ Nenhum risco é aceitável: todos os riscos, sejam baixos, médios ou altos, devem ser tratados. ◦ Riscos baixos são aceitáveis: só médios e altos devem ser tratados. ◦ Riscos baixos e médios aceitáveis: apenas os riscos de altos devem ser tratados.  Para qualquer organização, a escolha será baseada em vários fatores inter-relacionados, incluindo os recursos (dinheiro, pessoal, etc) disponíveis para a implementação do ISMS, as experiência passadas com violações da segurança da informação e a maturidade do SGSI atual (se já existir).
  13. 13.  Análise de Riscos em Projetos Uma Abordagem Qualitativa ou Quantitativa - http://www.slideshare.net/gustavosantosbhz/anlise-de- riscos-em-projetos-uma-abordagem-qualitativa-ou- quantitativa  Gerenciamento de Risco - http://www.mlaureano.org/aulas_material/gst/gst_cap_0 9_v1.pdf  Como elaborar uma análise de riscos? – http://www.testexpert.com.br/?q=node/235  Risk Analysis - http://www.wiley.com/bw/journal.asp?ref=0272-4332
  14. 14.  http://openlearn.open.ac.uk/mod/oucontent/vie w.php?id=397613&section=1.6.2 Quer ajudar a melhorar o material? Lord_dagonet http://www.istf.com.br

×