O documento discute conceitos de riscos de segurança da informação, incluindo ameaças, vulnerabilidades e incidentes. Também aborda análise de riscos e estratégias para lidar com riscos, como aceitar, evitar ou tornar o risco neutro. A aula apresenta exemplos de cada tópico para explicar os conceitos-chave.
Gerenciamento de riscos de segurança da informação - MOD02
1. Introdução a Segurança da Informação
Pós Graduação em Qualidade e Governança de TI
MOD 2 – Gerenciamento de
Riscos de SI
Professor Fernando Palma
(fernando.palma@gmail.com)
(71) 8837-0007
http://portalgsti.com.br
Por Fernando Palma
Introdução a Segurança da Informação Faculdade Ruy Barbosa
2. Agenda
Conceitos de riscos
Análise de Riscos
Estratégias para lhe dar com riscos
Introdução a Segurança da Informação Faculdade Ruy Barbosa
3. Conceitos de riscos
Ameaça:
É o que provoca um risco, um dano ou uma perda.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
4. Conceitos de riscos
Vulnerabilidade:
A fragilidade ativo em relação a uma possível
ameaça.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
5. Conceitos de riscos
Exemplos de ameaças e vulnerabilidades:
Ameaças
• Ataque de hacker
• Incêndio
• Inundação
Vulnerabilidades
• Falta de contigência
• Firewall desatualizado
• Falta de no brake
• Controles de segurança inadequados
Introdução a Segurança da Informação Faculdade Ruy Barbosa
6. Conceitos de riscos
Incidente de Segurança da Informação: quando uma
ameaça de manifesta.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
7. Conceitos de riscos
Risco: um risco de segurança é o potencial que uma dada
ameaça irá explorar vulnerabilidades para causar perda ou
danos a um ativo ou um grupo de ativos.
Alta
Vulnerabilidade
Média
Baixa
Baixa Média Alta
Probabilidade da ameaça
Introdução a Segurança da Informação Faculdade Ruy Barbosa
8. Conceitos de riscos
Exemplos de riscos de Segurança da Informação:
Perda de disponibilidade da informação
Perda de credibilidade da empresa
Perda de integridade da informação
Parada do processo de negócio por conta de falhas em TI
Introdução a Segurança da Informação Faculdade Ruy Barbosa
9. Agenda
Conceitos de riscos
Análise de Riscos
Estratégias para lhe dar com riscos
Introdução a Segurança da Informação Faculdade Ruy Barbosa
10. Análise de Riscos
Análise de riscos
• É uma ferramenta usada no Gerenciamento de Riscos, ou
pode ser vista como uma etapa.
• Visa identificar quais ameaças são relevantes no processo
operacional e identificar os riscos associados.
• Compreende 04 principais objetivos:
• Identificar ativos e seus valores
• Determinar vulnerabilidades e ameaças
• Determintar quais ameaças e riscos tem maior impacto
• Equilibrar o custo de um incidente e o custo das
medidas de segurança
Introdução a Segurança da Informação Faculdade Ruy Barbosa
11. Análise de Riscos
Gerenciamento de Riscos
• O Gerenciamento de Riscos é um processo no qual os
riscos são identificados, analisados e reduzidos a um nível
aceitavel.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
12. Análise de Riscos
Análise de Riscos Quantitativa
• Envolve calculo de impacto numericamente
• Focado na perda financeira
• Comparar o custo das medidas com o custo da perda
financeira envolvida com o ativo
• Exemplos: quantos clientes podemos perder? Qual
prejuízo financeiro envolve este risco?
Introdução a Segurança da Informação Faculdade Ruy Barbosa
13. Análise de Riscos
Análise de Riscos Qualitativa
• A chance de que a ameaça se torne realidade é
analisada baseada nos sentimentos das pessoas
• A análise então avalia o processo operacional envolvido
com qual a ameaça se relaciona e verifica quais medidas
precisasm ser aplicadas
Introdução a Segurança da Informação Faculdade Ruy Barbosa
14. Agenda
Conceitos de riscos
Análise de Riscos
Estratégias para lhe dar com riscos
Introdução a Segurança da Informação Faculdade Ruy Barbosa
15. Estratégias para lhe dar com riscos
Para conviver com riscos, existem medidas que podem ser
aplicadas para a redução da probabilidade deste evento acontecer,
redução do impacto caso ele aconteça, ou uma combinação as duas.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
16. Estratégias para lhe dar com riscos
Estratégias para lhe dar com riscos
Estratégias
Aceitar o risco
Evitar o risco
Tornar o risco neutro
Introdução a Segurança da Informação Faculdade Ruy Barbosa
17. Estratégias para lhe dar com riscos
Tipos de medidas de Segurança
Prevenção
Uma prevenção impossibilita a ocorrência de uma ameaça, ou
minimiza essa possibilidade. Ex: controle de acesso.
Detecção
Para incidentes que tem danos com menor imapcto ou para
aqueles que exite tempo hábil para tratar caso ocorram, a
medida de detecção pode ser utilizada. Ex: monitoramento de
eventos.
Repressão
Minimizar as consequências, após detecçãpo do incidente .
Introdução a Segurança da Informação Faculdade Ruy Barbosa
18. Estratégias para lhe dar com riscos
Tipos de medidas de Segurança
Correção ou Recuperação
Realizar o reparo após ocorrência do incidente e minimização do seu
impacto. Ex: restaurar backup.
Garantia
Para eventos quais não existem métodos de prevenção ou para
quais existem altos níveis de impacto, devem ser procurados
métodos que reduzem as consequências. Ex: seguro contra fogo.
Aceitação
Simplesmente aceitar o risco, já que as medidas requerem um custo
inaceitável ou custo maior do que os danos.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
19. Estratégias para lhe dar com riscos
Tipos de ameaças Tipos de danos
Ameaças Danos
Humanas Diretos
Não
Indiretos
Humanas
Introdução a Segurança da Informação Faculdade Ruy Barbosa
20. Verdadeiro ou Falso?
1. ( ) O conceito de ameaça pode ser definido como uma
fragilidade de um ativo.
2. ( ) Um incidente de Segurança da Informação ocorre
quando uma ameaça de manifesta.
3. ( ) A análise de reiscos pode ser considerada uma etapa do
processo de gerenciamento de riscos.
4. ( ) O Gerenciamento de Riscos é um processo no qual os
riscos são identificados, analisados e reduzidos a um nível
aceitavel.
5. ( ) As estratégias para lhe dar com riscos são duas: aceitar o
risco ou evitar o risco
6. ( ) Os tipos de ameaças possíveis são as diretas e indiretas.
7. ( ) A análise de riscos qualitativa é focada na perda
financeira.
Introdução a Segurança da Informação Faculdade Ruy Barbosa
21. Faculdade Ruy Barbosa Introdução a Segurança da Informação
1. ( F ) O conceito de ameaça pode ser definido como uma fragilidade de um ativo.
2. ( V ) Um incidente de Segurança da Informação ocorre quando uma ameaça de
manifesta.
3. ( V ) A análise de reiscos pode ser considerada uma etapa do processo de
gerenciamento de riscos.
4. ( V ) O Gerenciamento de Riscos é um processo no qual os riscos são
identificados, analisados e reduzidos a um nível aceitavel.
5. ( F ) As estratégias para lhe dar com riscos são duas: aceitar o risco ou evitar o
risco
6. ( F ) Os tipos de ameaças possíveis são as diretas e indiretas.
7. ( F ) A análise de riscos qualitativa é focada na perda financeira.
Verdadeiro ou Falso?
22. Fim do módulo 02
Dúvidas?
fernando.palma@gmail.com
(71) 8837-0007
http://portalgsti.com.br