aula6

10/08/2010

Segurança de Redes

Prof. M.Sc. Marcus Fabiano Praciano Santiago

Aula 6: Análise de Riscos

Objetivo

• Apresentar ao aluno as abordagens e atividades relacionadas a análise/avaliação de riscos, que tem o propósito de reduzir os riscos da organização a um nível aceitável.

- Atividades de Análise de riscos;

- Exercícios.

Tópicos

- É uma atividade dentro do processo de gestão de riscos;

- Compreende atividades com o propósito de reduzir os

riscos a um nível aceitável para a organização;

- É um dos requisitos necessários e exigidos pela norma

NBR 27001 para estabelecer e manter um SGSI;

- Necessidade de estabelecer o escopo e os limites em que

a gestão de riscos irá abranger.

Análise de Riscos

- Escopo:

- Necessidade de estabelecer o escopo e os limites em que

a gestão de riscos irá abranger;

- Os ativos considerados relevantes devem ser

identificados, mapeados e analisados;

- A norma ABNT NBR ISO/IEC 27005 contempla a

atividade de gestão de riscos.

Análise de Riscos

- NBR 27005:

- A NBR 27005 recomenda que a atividade de análise de

riscos deve considerar:

- A política de segurança estabelecida;

- O planejamento estratégico da organização;

- A estrutura da organização e seus processos de

negócio.

Análise de Riscos

Análise de Riscos

- NBR 27005:

- A NBR 27005 recomenda que a atividade de análise de

riscos deve considerar:

- Os ativos da informação;

- Os requisitos legais e contratuais;

- A localização geográfica e o ambiente sociocultural;

- A interação e comunicação com o ambiente externo.

Análise de Riscos

Atividades de Análise de Riscos

Definidos o escopo e os limites a análise de riscos requer outras atividades tais como:

- Identificação dos ativos e seus responsáveis;

- Identificação das ameaças;

- Identificação dos controles implementados;

- Identificação das vulnerabilidades;

- Identificação dos riscos;

- Estimativa dos riscos.

Análise de Riscos


Identificação dos ativos e seus responsáveis:

- Proteção adequada ao ativo: proporcional ao seu valor e condição estratégica para a organização;

- A identificação do ativo deve ser precisa e detalhada;

- O responsável pelo ativo deve ser identificado: pessoa indicada para estabelecer o valor do ativo;

- Mapeamento dos processos de negócio que são sustentados por esses ativos.

Análise de Riscos

10

É o perigo ou a possibilidade de perigo.É o perigo ou a possibilidade de perigo.

É a probabilidade de que AMEAÇAS É a probabilidade de que AMEAÇAS explorem as VULNERABILIDADES dos explorem as VULNERABILIDADES dos

ATIVOS, gerando IMPACTO e perdas nos ATIVOS, gerando IMPACTO e perdas nos negócios !negócios !

Riscos


Identificação das ameaças:

- Ameaças: condições, eventos ou agentes que podem se aproveitar de falhas e vulnerabilidades para explorar os ativos;

- Mapear todas as ameaças para analisar suas probabilidades de ocorrência, grau de severidade e impacto para a organização;

Análise de Riscos

12

Naturais ou não-naturais; voluntárias ou Naturais ou não-naturais; voluntárias ou involuntárias; internas ou externasinvoluntárias; internas ou externas

erroerro

hackerhackersabotadorsabotador

colaboradorcolaboradorinsatisfeitoinsatisfeito

acidentesacidentes naturaisnaturais

vírusvírusengenhariaengenhariasocialsocial

Riscos


Identificação das ameaças:

Análise de Riscos

14

RISCO = AMEAÇA X VULNERABILIDADE X IMPACTORISCO = AMEAÇA X VULNERABILIDADE X IMPACTO

AMEAÇA:AMEAÇA: aquilo que tem potencial para causar perda/dano

VULNERABILIDADE:VULNERABILIDADE: uma fraqueza de um ativo que pode ser explorada

CONSEQUENCIA OU IMPACTO:CONSEQUENCIA OU IMPACTO: resultado negativo da exploração de uma vulnerabilidade

Riscos

Atividades de Análise de RiscosIdentificação dos controles implementados:

- Ação realizada para estimar o efeito do controle e o seu grau de proteção:

- O quanto o controle reduz a probabilidade de uma ameaça explorar uma vulnerabilidade;

- Evita a aplicação de controles redundantes;

- Possibilita a sua avaliação quanto a efetividade e necessidade de aplicação de controles complementares.

Análise de Riscos


Identificação dos controles implementados:

Análise de Riscos


Identificação das vulnerabilidades:

- Todo processo, produto ou serviço pode apresentar falhas ou vulnerabilidades;

- Tais falhas podem propiciar a ação de agentes ou condições que afetem os ativos da organização;

Análise de Riscos

18

Física, hardware, software, mídias, Física, hardware, software, mídias, comunicação, pessoalcomunicação, pessoal

problemas de infra-estrutura (carência de problemas de infra-estrutura (carência de mecanismos de controle, acesso físico)mecanismos de controle, acesso físico)

tecnológicas (configuração inadequada, falha de tecnológicas (configuração inadequada, falha de projetos)projetos)

em mídias (fitas de em mídias (fitas de backupbackup impróprias) impróprias)

humanas (falta de conscientização)humanas (falta de conscientização)

Vulnerabilidades

19

• Instalações inadequadas ( incêndios – falta de equipamento, Instalações inadequadas ( incêndios – falta de equipamento, cabos desorganizados, etc.)cabos desorganizados, etc.)

• Não-identificação de pessoasNão-identificação de pessoas• Locais próximos a rios propensos a inundaçõesLocais próximos a rios propensos a inundações• Ausência de atualizações dos programas utilizados (Ausência de atualizações dos programas utilizados (patchespatches))• Conservação inadequada dos equipamentosConservação inadequada dos equipamentos• Configuração e instalação indevidas de programasConfiguração e instalação indevidas de programas• Meios de armazenamento (prazo de validade, defeito de Meios de armazenamento (prazo de validade, defeito de

fabricação, uso incorreto, guarda em locais impróprios)fabricação, uso incorreto, guarda em locais impróprios)• Ausência de sistemas de criptografia nas comunicaçõesAusência de sistemas de criptografia nas comunicações• Desconhecimento das medidas de segurança adequadasDesconhecimento das medidas de segurança adequadas• Falta de capacitação específica para execução das atividadesFalta de capacitação específica para execução das atividades• Falta de consciência de segurança da informação (ex: senhas Falta de consciência de segurança da informação (ex: senhas

fracas)fracas)

Vulnerabilidades



- A existência de uma vulnerabilidade não significa necessariamente que os ativos serão afetados:

- É preciso que haja uma ameaça que explore uma vulnerabilidade;

- Ainda que não haja a necessidade de implementar controles convém que as vulnerabilidades sejam mapeadas, pois essa condição poderá ser tornar dinâmica.

Análise de Riscos



Análise de Riscos


Identificação dos riscos:

- É a determinação dos eventos que possam afetar os ativos da organização;

- É a possibilidade de uma ameaça conseguir explorar uma vulnerabilidade existente;

- Os eventos devem ser mapeados e detalhados quanto ao modo, local e circunstâncias em que podem ocorrer.

Análise de Riscos


Identificação dos riscos:

Análise de Riscos


Identificação das consequências:

- Para a identificação das consequências já devem estar mapeadas:

- Os processos de negócio da organização e a sua associação aos ativos que os sustentam;

- As vulnerabilidade e as ameaças vinculadas;

- Relevância dos ativos.

Análise de Riscos


Identificação das consequências:

Análise de Riscos

26

Consequencia:Consequencia: financeiro, material, humanofinanceiro, material, humano

prejuízo financeiro causado por incêndioprejuízo financeiro causado por incêndio

pichação de página causando prejuízos à pichação de página causando prejuízos à imagem da empresa. imagem da empresa.

Consequências

Atividades de Análise de RiscosEstimativa de riscos:

- Adota-se duas abordagens:- Qualitativa;- Quantitativa.

- Estimativa qualitativa:

- Utiliza-se de escalas descritivas para estimar as

consequências e suas probabilidades de ocorrência;

- Vantagem: fácil compreensão;

- Desvantagem: muito subjetiva.

Análise de Riscos


Estimativa de riscos:

- Estimativa quantitativa:

-Utiliza-se de escalas numéricas e técnicas

matemáticas;

- Necessita de dados de várias fontes:

- Dados do registro histórico de incidentes de

segurança;

- Dados estatísticos de outras variáveis relacionadas

a segurança.

Análise de Riscos



- Estimativa quantitativa:

- Vantagem: baseada em dados sólidos

-Desvantagem: a ausência de informação pode torná-la inadequada ou não exata.

Análise de Riscos



Análise de Riscos

31

CONTROLE: medida de segurança que CONTROLE: medida de segurança que minimiza, evita, transfere ou ignora o riscominimiza, evita, transfere ou ignora o risco

- operacionais- operacionais- técnicos- técnicos- gerenciamento- gerenciamento- prevenção- prevenção- detecção- detecção- correção- correção- recuperação- recuperação

Controle

32

• BackupBackup• Plano de recuperaçãoPlano de recuperação• Controle de acessoControle de acesso• Termo de responsabilidadeTermo de responsabilidade• Teste de aceiteTeste de aceite• Gerência de mudançaGerência de mudança• AntivírusAntivírus• Política de SegurançaPolítica de Segurança• Treinamento/conscientizaçãoTreinamento/conscientização• MonitoraçãoMonitoração• ProcedimentosProcedimentos• ManutençãoManutenção• Segurança físicaSegurança física

Exemplos de Controles

33

OUTROS COMPONENTES

ATIVO: ATIVO: recursorecurso que suporta um processo de que suporta um processo de Tecnologia da Informação e da Comunicação, que Tecnologia da Informação e da Comunicação, que tem tem valorvalor e requer e requer proteção.proteção.

Elementos:Elementos:1. Informação (meio eletrônico ou físico)1. Informação (meio eletrônico ou físico)2. Equipamentos de suporte:2. Equipamentos de suporte:

2.1. 2.1. SoftwareSoftware (programas de computador) (programas de computador)2.2. 2.2. HardwareHardware (infra-estrutura tecnológica) (infra-estrutura tecnológica)2.3. Organização (ambiente físico / estrutura)2.3. Organização (ambiente físico / estrutura)

3. Usuários3. Usuários

34

METODOLOGIA DE ANÁLISE DE RISCOS

A metodologia exemplificada se baseia nos seguintes A metodologia exemplificada se baseia nos seguintes documentos: documentos:

FRAP – Facilitated Risk Analysis Process, de Tom Peltier;FRAP – Facilitated Risk Analysis Process, de Tom Peltier;

BS7799 – Guide to Risk Assessment and Risk Management,BS7799 – Guide to Risk Assessment and Risk Management,

Risk Management Guide – NISTRisk Management Guide – NIST

A metodologia exemplificada é A metodologia exemplificada é qualitativa.qualitativa.

35


7 PASSOS:7 PASSOS:1.1. Definição do EscopoDefinição do Escopo2.2. Identificação dos AtivosIdentificação dos Ativos3.3. Levantamento das AmeaçasLevantamento das Ameaças4.4. Identificação das Vulnerabilidades existentesIdentificação das Vulnerabilidades existentes5.5. Avaliação do nível de Risco (tabela)Avaliação do nível de Risco (tabela)6.6. Identificação dos Controles existentesIdentificação dos Controles existentes7.7. Recomendação dos Controles necessáriosRecomendação dos Controles necessários

36

RESULTADO: Relatório de Análise de RiscosRESULTADO: Relatório de Análise de Riscos

Relação de ativosRelação de ativos

Relação dos ParticipantesRelação dos Participantes Conteúdo:Conteúdo:

Planilha de Análise de RiscosPlanilha de Análise de Riscos AmeaçasAmeaças VulnerabilidadesVulnerabilidades Níveis de Impacto, Vulnerabilidade e RiscoNíveis de Impacto, Vulnerabilidade e Risco Controles Existentes e NecessáriosControles Existentes e Necessários

Descrição do Escopo - ProcessosDescrição do Escopo - Processos


37

PASSO 1/7: DEFINIÇÃO DO ESCOPOPASSO 1/7: DEFINIÇÃO DO ESCOPO

O escopo deve ser bem definido para o O escopo deve ser bem definido para o sucesso de qualquer forma de análise de sucesso de qualquer forma de análise de riscosriscos

A delimitação do escopo garante que a análise A delimitação do escopo garante que a análise seja direcionada para um foco específico e seja direcionada para um foco específico e determinado, evitando erro de entendimento e determinado, evitando erro de entendimento e futuro retrabalhofuturo retrabalho

São relacionados os processos relativos ao São relacionados os processos relativos ao escopo definidoescopo definido


38

PASSO 2/7: IDENTIFICAÇÃO DOS ATIVOSPASSO 2/7: IDENTIFICAÇÃO DOS ATIVOS

Devem ser identificados todos os ativos Devem ser identificados todos os ativos relacionados ao escoporelacionados ao escopo

São relacionados os ativos de São relacionados os ativos de softwaresoftware, físicos , físicos ( (hardwarehardware e outros equipamentos), de e outros equipamentos), de serviços, de informação e as pessoasserviços, de informação e as pessoas

A partir dessa relação é que são consideradas A partir dessa relação é que são consideradas as vulnerabilidadesas vulnerabilidades


39

PASSO 3/7: LEVANTAMENTO DAS AMEAÇASPASSO 3/7: LEVANTAMENTO DAS AMEAÇAS

Utilizar uma relação de ameaças previamente Utilizar uma relação de ameaças previamente definida e considerar quais dessas se aplicam definida e considerar quais dessas se aplicam ao escopo do trabalhoao escopo do trabalho

Outras ameaças surgirão durante o trabalho Outras ameaças surgirão durante o trabalho ((brainstormingbrainstorming) )

Para cada ameaça dessa relação é que serão Para cada ameaça dessa relação é que serão avaliados os níveis de impacto, avaliados os níveis de impacto, vulnerabilidades e riscos vulnerabilidades e riscos


40

PASSO 4/7: IDENTIFICAÇÃO DAS PASSO 4/7: IDENTIFICAÇÃO DAS VULNERABILIDADESVULNERABILIDADES

As vulnerabilidades variam em função do As vulnerabilidades variam em função do escopo, do ambiente, dos processos e dos escopo, do ambiente, dos processos e dos ativosativos

A identificação das vulnerabilidades é feita em A identificação das vulnerabilidades é feita em conjunto com o responsável do escopo conjunto com o responsável do escopo definido. O condutor da Análise de Riscos definido. O condutor da Análise de Riscos deve conhecer o ambiente e questionar o deve conhecer o ambiente e questionar o responsávelresponsável


41

PASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCOPASSO 5/7: AVALIAÇÃO DO NÍVEL DE RISCO

Para cada ameaça detectada, avaliar pela tabela, Para cada ameaça detectada, avaliar pela tabela, o nível de vulnerabilidade e de impacto, para o nível de vulnerabilidade e de impacto, para finalmente encontrar o nível do risco.finalmente encontrar o nível do risco.

Impacto Alto Médio Baixo

A - Alta 1 2 3 Vulnerabilidade M - Média 2 2 3

B - Baixa 3 3 4 BB – Muito Baixa 4 4 4 Risco


42







43







44







45


Para cada risco detectado (1 a 4), verificar na Para cada risco detectado (1 a 4), verificar na tabela abaixo, qual a ação recomendadatabela abaixo, qual a ação recomendada

Riscos Tipo Descrição

1 Ações corretivas de implementação imediata 2 Ações corretivas necessárias 3 Exige monitoramento 4 Não exige ação


46

PASSO 6/7: IDENTIFICAÇÃO DOS CONTROLES PASSO 6/7: IDENTIFICAÇÃO DOS CONTROLES EXISTENTESEXISTENTES

Levantar, juntamente com o responsável pelo Levantar, juntamente com o responsável pelo escopo e com o grupo que está realizando a escopo e com o grupo que está realizando a Análise de Riscos, por meio de Análise de Riscos, por meio de questionamentos e verificações, quais os questionamentos e verificações, quais os controles que já estão implantados e que controles que já estão implantados e que reduzem os riscos.reduzem os riscos.


47

PASSO 7/7: IDENTIFICAÇÃO DOS CONTROLES PASSO 7/7: IDENTIFICAÇÃO DOS CONTROLES NECESSÁRIOSNECESSÁRIOS

Levantar, juntamente com o responsável pelo Levantar, juntamente com o responsável pelo escopo e com o grupo que está realizando a escopo e com o grupo que está realizando a Análise de Riscos, quais os controles que são Análise de Riscos, quais os controles que são necessários e que devem ser implementados.necessários e que devem ser implementados.


48

PLANILHA DE ANÁLISE DE RISCOPLANILHA DE ANÁLISE DE RISCO

Ameaças Vulnerabilidades I V RControles Existentes

Controles Necessários

Ameaças Vulnerabilidades I V RControles Existentes

Controles Necessários


Gerenciamento da Segurança da Informação

Exercícios:

Estudo de caso:

Considere o departamento de pesquisa e desenvolvimento de uma empresa do ramo industrial da área de telefonia. Durante atendimento da equipe de suporte técnico em informática, um dos técnicos reportou a chefia que em um de seus atendimentos observou que alguns funcionários do departamento de pesquisa mantinham suas senhas de acesso aos sistemas sob o teclado.

Análise de Riscos

Gerenciamento da Segurança da Informação

Exercícios:

Estudo de caso:

Observou ainda, que as mesmas variavam desde nomes próprios a datas do calendário. Considerando esse contexto simples, realize uma análise de risco da situação realizando a identificação das ameaças, os riscos, as vulnerabilidades, as conseqüências e o impacto para a organização, utilizando a metodologia exemplificada.

Análise de Riscos

aula6

Documents

Transcript of aula6