Post on 25-Jan-2016
description
Ameaças, Vulnerabilidades e Análise de Risco
Políticas de Auditoria e Segurança
Qualidades da Informação
• Integridade
• Continuidade
• Confidencialidade
Ameaças Acidentais
• Falhas de equipamento
• Erros humanos
• Falhas do Software
• Falhas de alimentação
• Problemas causados pelas forças da natureza
Ameaças Causadas por Pessoas
• Espionagem• Crimes• Empregados insatisfeitos• Empregados “doentes”• Empregados desonestos• Vandalismo• Terrorismo
• Erros dos Utilizadores
Vulnerabilidades dos Computadores
• Pequenos suportes guardam grandes volumes de dados• Os dados são invisíveis• Os suportes podem falhar• Copiar não anula a informação• Dados podem ficar inadvertidamente retidos• Avanços Tecnológicos• Sistemas Distribuídos• Normas de Segurança
Avaliação dos Riscos
• O que é um risco?– É um contexto que inclui as ameças,
vulnerabilidades e o valor a proteger
• O que é a análise de risco?– É o processo de avaliar em que medida é que
um certo contexto é ou não aceitável para uma organização
Técnicas de Análise de Risco
• Prever cenários de:– Ameaças– Vulnerabilidades
• Para cada cenário:– Prever os prejuízos / Recursos a envolver para
evitar a concretização dos cenários– Fazer uma análise de custo/benefício
Técnicas de Análise de Risco
• Análise subjectiva– Documentos escritos com vários cenários como
base para sessão de “brainstorming”
• Análise Quantitativa– Para cada ameaça quantificar a sua incidência– Estimar o valor dos prejuízos que pode causar– Estimar o custo de combater a ameaça– Pesar as várias ameaças para obter um valor
final (que algoritmo?)
Técnicas de Análise de Risco
• Técnicas Automatizadas– Uso de ferramentas informáticas que
implementam UM algoritmo específico– CRAMM no Reino Unido
• CCTA Risk Analysis and Management Method– CCTA - Central Computer Telecommunications Agency
CRAMM
• 3 Etapas– Etapa 1 - Identificação dos recursos a proteger, seu
custo, grau de criticalidade da sua indisponibilidade, ...
– Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças)
• São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas
CRAMM
– Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.
Vulnerabilidades do Software
• Bugs do sistema operativo– Especificações com erros– Implementação com erros
• Bugs das aplicações– Especificações com erros– Implementação com erros
CERT
• CERT - Computer Emergency Response Team
• Estrutura organizativa que recolhe e divulga debilidades de segurança
• Cadeia segura de troca de informação– Bugs de sistema operativo– Bugs de aplicativos comuns– Vírus