aula6
-
Upload
angelika-lima -
Category
Documents
-
view
102 -
download
0
Transcript of aula6
10/08/2010
Segurança de Redes
Prof. M.Sc. Marcus Fabiano Praciano Santiago
Aula 6: Análise de Riscos
Objetivo
• Apresentar ao aluno as abordagens e atividades relacionadas a análise/avaliação de riscos, que tem o propósito de reduzir os riscos da organização a um nível aceitável.
- Atividades de Análise de riscos;
- Exercícios.
Tópicos
- É uma atividade dentro do processo de gestão de riscos;
- Compreende atividades com o propósito de reduzir os
riscos a um nível aceitável para a organização;
- É um dos requisitos necessários e exigidos pela norma
NBR 27001 para estabelecer e manter um SGSI;
- Necessidade de estabelecer o escopo e os limites em que
a gestão de riscos irá abranger.
Análise de Riscos
- Escopo:
- Necessidade de estabelecer o escopo e os limites em que
a gestão de riscos irá abranger;
- Os ativos considerados relevantes devem ser
identificados, mapeados e analisados;
- A norma ABNT NBR ISO/IEC 27005 contempla a
atividade de gestão de riscos.
Análise de Riscos
- NBR 27005:
- A NBR 27005 recomenda que a atividade de análise de
riscos deve considerar:
- A política de segurança estabelecida;
- O planejamento estratégico da organização;
- A estrutura da organização e seus processos de
negócio.
Análise de Riscos
Análise de Riscos
- NBR 27005:
- A NBR 27005 recomenda que a atividade de análise de
riscos deve considerar:
- Os ativos da informação;
- Os requisitos legais e contratuais;
- A localização geográfica e o ambiente sociocultural;
- A interação e comunicação com o ambiente externo.
Análise de Riscos
Atividades de Análise de Riscos
Definidos o escopo e os limites a análise de riscos requer outras atividades tais como:
- Identificação dos ativos e seus responsáveis;
- Identificação das ameaças;
- Identificação dos controles implementados;
- Identificação das vulnerabilidades;
- Identificação dos riscos;
- Estimativa dos riscos.
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos ativos e seus responsáveis:
- Proteção adequada ao ativo: proporcional ao seu valor e condição estratégica para a organização;
- A identificação do ativo deve ser precisa e detalhada;
- O responsável pelo ativo deve ser identificado: pessoa indicada para estabelecer o valor do ativo;
- Mapeamento dos processos de negócio que são sustentados por esses ativos.
Análise de Riscos
10
É o perigo ou a possibilidade de perigo.É o perigo ou a possibilidade de perigo.
É a probabilidade de que AMEAÇAS É a probabilidade de que AMEAÇAS explorem as VULNERABILIDADES dos explorem as VULNERABILIDADES dos
ATIVOS, gerando IMPACTO e perdas nos ATIVOS, gerando IMPACTO e perdas nos negócios !negócios !
Riscos
Atividades de Análise de Riscos
Identificação das ameaças:
- Ameaças: condições, eventos ou agentes que podem se aproveitar de falhas e vulnerabilidades para explorar os ativos;
- Mapear todas as ameaças para analisar suas probabilidades de ocorrência, grau de severidade e impacto para a organização;
Análise de Riscos
12
Naturais ou não-naturais; voluntárias ou Naturais ou não-naturais; voluntárias ou involuntárias; internas ou externasinvoluntárias; internas ou externas
erroerro
hackerhackersabotadorsabotador
colaboradorcolaboradorinsatisfeitoinsatisfeito
acidentesacidentes naturaisnaturais
vírusvírusengenhariaengenhariasocialsocial
Riscos
Atividades de Análise de Riscos
Identificação das ameaças:
Análise de Riscos
14
RISCO = AMEAÇA X VULNERABILIDADE X IMPACTORISCO = AMEAÇA X VULNERABILIDADE X IMPACTO
AMEAÇA:AMEAÇA: aquilo que tem potencial para causar perda/dano
VULNERABILIDADE:VULNERABILIDADE: uma fraqueza de um ativo que pode ser explorada
CONSEQUENCIA OU IMPACTO:CONSEQUENCIA OU IMPACTO: resultado negativo da exploração de uma vulnerabilidade
Riscos
Atividades de Análise de RiscosIdentificação dos controles implementados:
- Ação realizada para estimar o efeito do controle e o seu grau de proteção:
- O quanto o controle reduz a probabilidade de uma ameaça explorar uma vulnerabilidade;
- Evita a aplicação de controles redundantes;
- Possibilita a sua avaliação quanto a efetividade e necessidade de aplicação de controles complementares.
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos controles implementados:
Análise de Riscos
Atividades de Análise de Riscos
Identificação das vulnerabilidades:
- Todo processo, produto ou serviço pode apresentar falhas ou vulnerabilidades;
- Tais falhas podem propiciar a ação de agentes ou condições que afetem os ativos da organização;
Análise de Riscos
18
Física, hardware, software, mídias, Física, hardware, software, mídias, comunicação, pessoalcomunicação, pessoal
problemas de infra-estrutura (carência de problemas de infra-estrutura (carência de mecanismos de controle, acesso físico)mecanismos de controle, acesso físico)
tecnológicas (configuração inadequada, falha de tecnológicas (configuração inadequada, falha de projetos)projetos)
em mídias (fitas de em mídias (fitas de backupbackup impróprias) impróprias)
humanas (falta de conscientização)humanas (falta de conscientização)
Vulnerabilidades
19
• Instalações inadequadas ( incêndios – falta de equipamento, Instalações inadequadas ( incêndios – falta de equipamento, cabos desorganizados, etc.)cabos desorganizados, etc.)
• Não-identificação de pessoasNão-identificação de pessoas• Locais próximos a rios propensos a inundaçõesLocais próximos a rios propensos a inundações• Ausência de atualizações dos programas utilizados (Ausência de atualizações dos programas utilizados (patchespatches))• Conservação inadequada dos equipamentosConservação inadequada dos equipamentos• Configuração e instalação indevidas de programasConfiguração e instalação indevidas de programas• Meios de armazenamento (prazo de validade, defeito de Meios de armazenamento (prazo de validade, defeito de
fabricação, uso incorreto, guarda em locais impróprios)fabricação, uso incorreto, guarda em locais impróprios)• Ausência de sistemas de criptografia nas comunicaçõesAusência de sistemas de criptografia nas comunicações• Desconhecimento das medidas de segurança adequadasDesconhecimento das medidas de segurança adequadas• Falta de capacitação específica para execução das atividadesFalta de capacitação específica para execução das atividades• Falta de consciência de segurança da informação (ex: senhas Falta de consciência de segurança da informação (ex: senhas
fracas)fracas)
Vulnerabilidades
Atividades de Análise de Riscos
Identificação das vulnerabilidades:
- A existência de uma vulnerabilidade não significa necessariamente que os ativos serão afetados:
- É preciso que haja uma ameaça que explore uma vulnerabilidade;
- Ainda que não haja a necessidade de implementar controles convém que as vulnerabilidades sejam mapeadas, pois essa condição poderá ser tornar dinâmica.
Análise de Riscos
Atividades de Análise de Riscos
Identificação das vulnerabilidades:
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos riscos:
- É a determinação dos eventos que possam afetar os ativos da organização;
- É a possibilidade de uma ameaça conseguir explorar uma vulnerabilidade existente;
- Os eventos devem ser mapeados e detalhados quanto ao modo, local e circunstâncias em que podem ocorrer.
Análise de Riscos
Atividades de Análise de Riscos
Identificação dos riscos:
Análise de Riscos
Atividades de Análise de Riscos
Identificação das consequências:
- Para a identificação das consequências já devem estar mapeadas:
- Os processos de negócio da organização e a sua associação aos ativos que os sustentam;
- As vulnerabilidade e as ameaças vinculadas;
- Relevância dos ativos.
Análise de Riscos
Atividades de Análise de Riscos
Identificação das consequências:
Análise de Riscos
26
Consequencia:Consequencia: financeiro, material, humanofinanceiro, material, humano
prejuízo financeiro causado por incêndioprejuízo financeiro causado por incêndio
pichação de página causando prejuízos à pichação de página causando prejuízos à imagem da empresa. imagem da empresa.
Consequências
Atividades de Análise de RiscosEstimativa de riscos:
- Adota-se duas abordagens:- Qualitativa;- Quantitativa.
- Estimativa qualitativa:
- Utiliza-se de escalas descritivas para estimar as
consequências e suas probabilidades de ocorrência;
- Vantagem: fácil compreensão;
- Desvantagem: muito subjetiva.
Análise de Riscos
Atividades de Análise de Riscos
Estimativa de riscos:
- Estimativa quantitativa:
-Utiliza-se de escalas numéricas e técnicas
matemáticas;
- Necessita de dados de várias fontes:
- Dados do registro histórico de incidentes de
segurança;
- Dados estatísticos de outras variáveis relacionadas
a segurança.
Análise de Riscos
Atividades de Análise de Riscos
Estimativa de riscos:
- Estimativa quantitativa:
- Vantagem: baseada em dados sólidos
-Desvantagem: a ausência de informação pode torná-la inadequada ou não exata.
Análise de Riscos
Atividades de Análise de Riscos
Estimativa de riscos:
Análise de Riscos
31
CONTROLE: medida de segurança que CONTROLE: medida de segurança que minimiza, evita, transfere ou ignora o riscominimiza, evita, transfere ou ignora o risco
- operacionais- operacionais- técnicos- técnicos- gerenciamento- gerenciamento- prevenção- prevenção- detecção- detecção- correção- correção- recuperação- recuperação
Controle
32
• BackupBackup• Plano de recuperaçãoPlano de recuperação• Controle de acessoControle de acesso• Termo de responsabilidadeTermo de responsabilidade• Teste de aceiteTeste de aceite• Gerência de mudançaGerência de mudança• AntivírusAntivírus• Política de SegurançaPolítica de Segurança• Treinamento/conscientizaçãoTreinamento/conscientização• MonitoraçãoMonitoração• ProcedimentosProcedimentos• ManutençãoManutenção• Segurança físicaSegurança física
Exemplos de Controles
33
OUTROS COMPONENTES
ATIVO: ATIVO: recursorecurso que suporta um processo de que suporta um processo de Tecnologia da Informação e da Comunicação, que Tecnologia da Informação e da Comunicação, que tem tem valorvalor e requer e requer proteção.proteção.
Elementos:Elementos:1. Informação (meio eletrônico ou físico)1. Informação (meio eletrônico ou físico)2. Equipamentos de suporte:2. Equipamentos de suporte:
2.1. 2.1. SoftwareSoftware (programas de computador) (programas de computador)2.2. 2.2. HardwareHardware (infra-estrutura tecnológica) (infra-estrutura tecnológica)2.3. Organização (ambiente físico / estrutura)2.3. Organização (ambiente físico / estrutura)
3. Usuários3. Usuários
34
METODOLOGIA DE ANÁLISE DE RISCOS
A metodologia exemplificada se baseia nos seguintes A metodologia exemplificada se baseia nos seguintes documentos: documentos:
FRAP – Facilitated Risk Analysis Process, de Tom Peltier;FRAP – Facilitated Risk Analysis Process, de Tom Peltier;
BS7799 – Guide to Risk Assessment and Risk Management,BS7799 – Guide to Risk Assessment and Risk Management,
Risk Management Guide – NISTRisk Management Guide – NIST
A metodologia exemplificada é A metodologia exemplificada é qualitativa.qualitativa.
35
METODOLOGIA DE ANÁLISE DE RISCOS
7 PASSOS:7 PASSOS:1.1. Definição do EscopoDefinição do Escopo2.2. Identificação dos AtivosIdentificação dos Ativos3.3. Levantamento das AmeaçasLevantamento das Ameaças4.4. Identificação das Vulnerabilidades existentesIdentificação das Vulnerabilidades existentes5.5. Avaliação do nível de Risco (tabela)Avaliação do nível de Risco (tabela)6.6. Identificação dos Controles existentesIdentificação dos Controles existentes7.7. Recomendação dos Controles necessáriosRecomendação dos Controles necessários
36
RESULTADO: Relatório de Análise de RiscosRESULTADO: Relatório de Análise de Riscos
Relação de ativosRelação de ativos
Relação dos ParticipantesRelação dos Participantes Conteúdo:Conteúdo:
Planilha de Análise de RiscosPlanilha de Análise de Riscos AmeaçasAmeaças VulnerabilidadesVulnerabilidades Níveis de Impacto, Vulnerabilidade e RiscoNíveis de Impacto, Vulnerabilidade e Risco Controles Existentes e NecessáriosControles Existentes e Necessários
Descrição do Escopo - ProcessosDescrição do Escopo - Processos
METODOLOGIA DE ANÁLISE DE RISCOS
37
PASSO 1/7: DEFINIÇÃO DO ESCOPOPASSO 1/7: DEFINIÇÃO DO ESCOPO
O escopo deve ser bem definido para o O escopo deve ser bem definido para o sucesso de qualquer forma de análise de sucesso de qualquer forma de análise de riscosriscos
A delimitação do escopo garante que a análise A delimitação do escopo garante que a análise seja direcionada para um foco específico e seja direcionada para um foco específico e determinado, evitando erro de entendimento e determinado, evitando erro de entendimento e futuro retrabalhofuturo retrabalho
São relacionados os processos relativos ao São relacionados os processos relativos ao escopo definidoescopo definido
METODOLOGIA DE ANÁLISE DE RISCOS
38
PASSO 2/7: IDENTIFICAÇÃO DOS ATIVOSPASSO 2/7: IDENTIFICAÇÃO DOS ATIVOS
Devem ser identificados todos os ativos Devem ser identificados todos os ativos relacionados ao escoporelacionados ao escopo
São relacionados os ativos de São relacionados os ativos de softwaresoftware, físicos , físicos ( (hardwarehardware e outros equipamentos), de e outros equipamentos), de serviços, de informação e as pessoasserviços, de informação e as pessoas
A partir dessa relação é que são consideradas A partir dessa relação é que são consideradas as vulnerabilidadesas vulnerabilidades
METODOLOGIA DE ANÁLISE DE RISCOS
39
PASSO 3/7: LEVANTAMENTO DAS AMEAÇASPASSO 3/7: LEVANTAMENTO DAS AMEAÇAS
Utilizar uma relação de ameaças previamente Utilizar uma relação de ameaças previamente definida e considerar quais dessas se aplicam definida e considerar quais dessas se aplicam ao escopo do trabalhoao escopo do trabalho
Outras ameaças surgirão durante o trabalho Outras ameaças surgirão durante o trabalho ((brainstormingbrainstorming) )
Para cada ameaça dessa relação é que serão Para cada ameaça dessa relação é que serão avaliados os níveis de impacto, avaliados os níveis de impacto, vulnerabilidades e riscos vulnerabilidades e riscos
METODOLOGIA DE ANÁLISE DE RISCOS
40
PASSO 4/7: IDENTIFICAÇÃO DAS PASSO 4/7: IDENTIFICAÇÃO DAS VULNERABILIDADESVULNERABILIDADES
As vulnerabilidades variam em função do As vulnerabilidades variam em função do escopo, do ambiente, dos processos e dos escopo, do ambiente, dos processos e dos ativosativos
A identificação das vulnerabilidades é feita em A identificação das vulnerabilidades é feita em conjunto com o responsável do escopo conjunto com o responsável do escopo definido. O condutor da Análise de Riscos definido. O condutor da Análise de Riscos deve conhecer o ambiente e questionar o deve conhecer o ambiente e questionar o responsávelresponsável
METODOLOGIA DE ANÁLISE DE RISCOS
41
PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCOPASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO
Para cada ameaça detectada, avaliar pela tabela, Para cada ameaça detectada, avaliar pela tabela, o nível de vulnerabilidade e de impacto, para o nível de vulnerabilidade e de impacto, para finalmente encontrar o nível do risco.finalmente encontrar o nível do risco.
Impacto Alto Médio Baixo
A - Alta 1 2 3 Vulnerabilidade M - Média 2 2 3
B - Baixa 3 3 4 BB – Muito Baixa 4 4 4 Risco
METODOLOGIA DE ANÁLISE DE RISCOS
42
PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCOPASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO
Impacto Alto Médio Baixo
A - Alta 1 2 3 Vulnerabilidade M - Média 2 2 3
B - Baixa 3 3 4 BB – Muito Baixa 4 4 4 Risco
Para cada ameaça detectada, avaliar pela tabela, Para cada ameaça detectada, avaliar pela tabela, o nível de vulnerabilidade e de impacto, para o nível de vulnerabilidade e de impacto, para finalmente encontrar o nível do risco.finalmente encontrar o nível do risco.
METODOLOGIA DE ANÁLISE DE RISCOS
43
PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCOPASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO
Impacto Alto Médio Baixo
A - Alta 1 2 3 Vulnerabilidade M - Média 2 2 3
B - Baixa 3 3 4 BB – Muito Baixa 4 4 4 Risco
Para cada ameaça detectada, avaliar pela tabela, Para cada ameaça detectada, avaliar pela tabela, o nível de vulnerabilidade e de impacto, para o nível de vulnerabilidade e de impacto, para finalmente encontrar o nível do risco.finalmente encontrar o nível do risco.
METODOLOGIA DE ANÁLISE DE RISCOS
44
PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCOPASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO
Impacto Alto Médio Baixo
A - Alta 1 2 3 Vulnerabilidade M - Média 2 2 3
B - Baixa 3 3 4 BB – Muito Baixa 4 4 4 Risco
Para cada ameaça detectada, avaliar pela tabela, Para cada ameaça detectada, avaliar pela tabela, o nível de vulnerabilidade e de impacto, para o nível de vulnerabilidade e de impacto, para finalmente encontrar o nível do risco.finalmente encontrar o nível do risco.
METODOLOGIA DE ANÁLISE DE RISCOS
45
PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCOPASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO
Para cada risco detectado (1 a 4), verificar na Para cada risco detectado (1 a 4), verificar na tabela abaixo, qual a ação recomendadatabela abaixo, qual a ação recomendada
Riscos Tipo Descrição
1 Ações corretivas de implementação imediata 2 Ações corretivas necessárias 3 Exige monitoramento 4 Não exige ação
METODOLOGIA DE ANÁLISE DE RISCOS
46
PASSO 6/7: IDENTIFICAÇÃO DOS CONTROLES PASSO 6/7: IDENTIFICAÇÃO DOS CONTROLES EXISTENTESEXISTENTES
Levantar, juntamente com o responsável pelo Levantar, juntamente com o responsável pelo escopo e com o grupo que está realizando a escopo e com o grupo que está realizando a Análise de Riscos, por meio de Análise de Riscos, por meio de questionamentos e verificações, quais os questionamentos e verificações, quais os controles que já estão implantados e que controles que já estão implantados e que reduzem os riscos.reduzem os riscos.
METODOLOGIA DE ANÁLISE DE RISCOS
47
PASSO 7/7: IDENTIFICAÇÃO DOS CONTROLES PASSO 7/7: IDENTIFICAÇÃO DOS CONTROLES NECESSÁRIOSNECESSÁRIOS
Levantar, juntamente com o responsável pelo Levantar, juntamente com o responsável pelo escopo e com o grupo que está realizando a escopo e com o grupo que está realizando a Análise de Riscos, quais os controles que são Análise de Riscos, quais os controles que são necessários e que devem ser implementados.necessários e que devem ser implementados.
METODOLOGIA DE ANÁLISE DE RISCOS
48
PLANILHA DE ANÁLISE DE RISCOPLANILHA DE ANÁLISE DE RISCO
Ameaças Vulnerabilidades I V RControles Existentes
Controles Necessários
Ameaças Vulnerabilidades I V RControles Existentes
Controles Necessários
METODOLOGIA DE ANÁLISE DE RISCOS
Gerenciamento da Segurança da Informação
Exercícios:
Estudo de caso:
Considere o departamento de pesquisa e desenvolvimento de uma empresa do ramo industrial da área de telefonia. Durante atendimento da equipe de suporte técnico em informática, um dos técnicos reportou a chefia que em um de seus atendimentos observou que alguns funcionários do departamento de pesquisa mantinham suas senhas de acesso aos sistemas sob o teclado.
Análise de Riscos
Gerenciamento da Segurança da Informação
Exercícios:
Estudo de caso:
Observou ainda, que as mesmas variavam desde nomes próprios a datas do calendário. Considerando esse contexto simples, realize uma análise de risco da situação realizando a identificação das ameaças, os riscos, as vulnerabilidades, as conseqüências e o impacto para a organização, utilizando a metodologia exemplificada.
Análise de Riscos