SEGURANÇA DA INFORMAÇÃO E MÍDIAS SOCIAIS Aula 1 - A segurança da informação e a análise de...
-
Upload
pedro-barata-fonseca -
Category
Documents
-
view
241 -
download
16
Transcript of SEGURANÇA DA INFORMAÇÃO E MÍDIAS SOCIAIS Aula 1 - A segurança da informação e a análise de...
SEGURANÇA DA INFORMAÇÃO E MÍDIAS SOCIAIS
Aula 1 - A segurança da informação e a análise de risco
Prof. Ivan Fontainha de Alvarenga
Dados X Informação
Dados são fatos brutos que caso não estejam ordenados, organizados ou processados apresentam apenas partes isoladas de eventos ou situações.
Informação é criada quando temos dados que sofrem algum tipo de relacionamento, de avaliação, interpretação ou organização.
Dados X Informação
Entradaclassificar
filtrarorganizar Saída
Dados X Informação
Após termos as informações, isto é, o tratamento dos dados de um ambiente, podemos tomar decisões sobre o ambiente onde os dados foram retirados ou do ambiente que estes dados se relacionam.
Dados X InformaçãoPor analogia.....
Dados X InformaçãoExemplificando....Imaginem estes dados:
Caso estejam assim, jogados, não tem nenhum significado.
Temperatura: 15 º
10 de janeiro6:05
Belo Horizonte
2012
Dados X Informação
Se sobre eles atribuíssemos uma organização, um processamento:
Conseguiríamos ter uma informação, com um sentido para o ambiente que ele pertence.
Hoje, dia 10 de janeiro de 2012, são 6:05 horas e temos uma temperatura
de 15º em Belo Horizonte
10 de janeiro
Temperatura: 15 º
6:05
Belo Horizonte
2012
Dados X Informação•A informação (dados organizados, processados) é de suma importância para a tomada de decisões nas empresas.•Então, a informação passou a ser um bem da empresa e como qualquer outro necessitamos de resguardá-los e deixa-los sempre disponiveis a quem necessita.•A partir desta necessidade, surgiu a importância da “Segurança da Informação”.
Segurança da Informação
Segurança significa um conjunto de processos, de dispositivos, de medidas de precaução que asseguram o sucesso de um empreendimento.
No mundo informatizado, a segurança significa a proteção da informação, que como qualquer ativo importante para o negócio, tem um valor para a organização e necessita ser protegido.
Segurança da Informação
A informação pode existir de diversas formas:
Em qualquer que seja este meio, é sempre necessário que ela seja protegida adequadamente.
Escrita em papeis
Armazenada eletronicamente
Em conversas
Segurança da Informação
É a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco, maximizar o retorno sobre o investimento e as oportunidades de negócio.
Segurança da Informação
Para garantirmos esta segurança, devemos implementar um conjunto de controles como:• políticas (de utilização, de distribuição, de envio)• processos• procedimentos• estruturas organizacionais • funções a serem executadas pelos softwares e hardwares
Segurança da Informação
Estes controles precisam ser bem estabelecidos, implementados,monitorados, analisados criticamente e..... melhorados sempre que julgar necessáriogarantindo sempre que os objetivos do negocio e de segurança da organização sejam atendido.
Princípios da Segurança da Informação
A segurança da informação é fundamental e pode ser caracterizada por alguns princípios:• Confiabilidade• Autenticidade• Integridade• Disponibilidade• Conformidade• Não-repúdio
Princípios da Segurança da Informação
ConfiabilidadeProteção da informação contra a sua
revelação a alguém não autorizado (interna ou externa)
Consiste em proteger a informação contra leitura / copia por alguém não autorizado pelo proprietário da informação.
Deve-se cuidar não somente do todo, mas também de partes.
Princípios da Segurança da Informação
AutenticidadeEsta associado com a identificação
correta do usuário ou computador.O serviço de autenticação deve
assegurar ao receptor que a mensagem realmente procede da origem informada em seu conteúdo.
Realizada através de mecanismos de senha ou assinatura digital.
Princípios da Segurança da Informação
AutenticidadeSua verificação é necessária para todo o
processo de autenticação, seja de usuário para um sistema, de um sistema para usuário ou de sistema para sistema.
É a medida de proteção contra personificação por intrusos.
Princípios da Segurança da Informação
IntegridadeConsiste na proteção da informação
contra modificação sem a permissão do proprietário.
Esta modificação pode ser escrita, alteração de conteúdo, alteração de status, remoção ou criação de informações.
Princípios da Segurança da Informação
IntegridadeDeve-se considerar a proteção da
informação nas mais variadas formas, como discos ou fitas de backup e arquivos digitais em servidores.
integridade significa garantir que o dado esta lá, que não foi corrompido, que nada foi retirado, adicionado ou modificado nele, isto é, encontra-se integro.
Princípios da Segurança da Informação
Disponibilidade•Consiste na garantia que o usuário autorizado tenha acesso a informação sempre que necessário.•Para isso, devemos assegurar a proteção dos serviços prestados pelo sistema de forma que eles não sejam degradados ou se tornem indisponíveis sem autorização. •Também chamado de continuidade dos serviços.
Princípios da Segurança da Informação
ConformidadeConsiste em assegurar que as
informações estejam cumprindo as leis, regulamentos, clausulas contratuais e políticas internas.
Princípios da Segurança da Informação
Não-repúdioÉ a garantia da certeza do remetente de
uma mensagem.Deve-se garantir que o remetente não
deva ser capaz de negar que enviou uma mensagem.
Podem ser usadas criptografias ou assinaturas digitais por exemplo.
Princípios da Segurança da Informação
Para um nível de segurança aceitável, nem sempre devemos ter todos estes fatores ao mesmo tempo.
Imaginem como exemplo um site de noticias de cunho público, nele os usuários podem opinar então não temos necessidade de garantir o não-repúdio, disponibilidade e integridade.
Elementos da Segurança da Informação
Podem ocorrer que um ou mais princípios da informação sejam desrespeitados, o que chamamos de incidentes da informação.
Elementos da Segurança da Informação
Para entendermos melhor estes incidentes da informação, devemos conhecer os seguintes elementos:• Ativo da informação• Vulnerabilidades• Ameaças• Impactos• Riscos
Elementos da Segurança da Informação
Ativos de informaçãoÉ o meio que suporta, que mantém, que
permite que a informação exista, vejamos exemplos:• A informação: mensagens, textos, dados de um sistema, dados de cadastro de funcionários
Elementos da Segurança da Informação
Ativos de informação• As tecnologias que a suportam:
papel Correio eletrônico
Sistemas de informação
telefone Arquivo de aço computadores
Elementos da Segurança da Informação
Ativos de informação• Os processos e as pessoas que a utilizam: - gerentes, - vendedores, - fornecedores, - clientes, - processo de compra de matéria prima, - processo de entrega de mercadorias.
Elementos da Segurança da Informação
VulnerabilidadeOs ativos da informação, que suportam o
processo de negócio, possuem vulnerabilidades.
Vulnerabilidade é a fraqueza presente nos ativos de informação que podem causar, com ou sem intenção, a quebra de um ou mais princípios da segurança de informação.
Elementos da Segurança da Informação
VulnerabilidadePodemos relacionar algumas
vulnerabilidades mais comuns nos ativos da informação:• Tecnologias:
- Ausência de manutenção nos computadores (sistemas operacionais desatualizados)
Elementos da Segurança da Informação
Vulnerabilidade• Tecnologias:
- Computadores sem antivírus.“Relatório da empresa Panda, cerca de 220.000 vírus são criados diariamente. No ano de 2010 cerca de 67 milhões de programas e arquivos nocivos foram criados (entre janeiro e outubro de 2010)”Fonte: http://www.tecmundo.com.br/virus/15411-cerca-de-220-000-virus-sao-criados-por-dia.htm
Elementos da Segurança da Informação
Vulnerabilidade• Tecnologias:Switches não protegidos com senha ou com a senha padrão de fábrica.
Elementos da Segurança da Informação
Vulnerabilidade• Tecnologias:
- Cabos de redes ou fibra óticas expostos em áreas de passagem de público ou externas.
Elementos da Segurança da Informação
Vulnerabilidade• Tecnologias:
- Aparelhos celulares sem senha de acesso.- Rede local sem proteção de usuários ou senha de acesso pública.- Sistema de informação sem controle de acesso lógico (senha de usuários).
Elementos da Segurança da Informação
Vulnerabilidade• Tecnologias:
- Ausência de proteção de sobrecargas elétricas para os aparelhos de informação (computadores, switches, servidores).
no-break estabilizador
Elementos da Segurança da Informação
Vulnerabilidade• Pessoas e processos:
- Ausência de uma política de segurança da informação dentro da organização.- Ausência de um profissional especialista em segurança da informação ou contrato formal com este funcionário.
Elementos da Segurança da Informação
Vulnerabilidade• Pessoas e processos:
- Ausência de uma regulamentação de acesso a informação da organização por terceiros e prestadores de serviço.- Inexistência de regulamentação para o processamento fora das instalações fisicas da organização.
Elementos da Segurança da Informação
Vulnerabilidade• Pessoas e processos:
- Desconhecimento dos ativos da informação da empresa e não classificação destes ativos por nível de importância e sigilo.- Não regulamentações das atribuições e responsabilidades dos ativos, gerando falta de compromisso dos colaboradores para com estes ativos.
Elementos da Segurança da Informação
Vulnerabilidade• Pessoas e processos:
- Procedimentos ineficientes para análise e conferencia das informações fornecidas por candidatos a vaga de trabalho na organização.- Falta de treinamento dos colaboradores sobre a política de segurança da informação da organização.
Elementos da Segurança da Informação
Vulnerabilidade• Pessoas e processos:
- Ausência de procedimentos disciplinares para o tratamento das violações da política de segurança da informação.- Não mapeamento de áreas e equipamentos críticos e mais sensíveis a segurança da informação, não tendo como implementar controle de acessos a estas áreas.
Elementos da Segurança da Informação
Vulnerabilidade• Pessoas e processos:
- Ausência de procedimentos explícitos quanto ao uso de informações no desenvolvimento de sistemas (interno ou externo).- A não preocupação com o plano de contingência para incidentes de segurança que possam acontecer.
Elementos da Segurança da Informação
Vulnerabilidade• Pessoas e processos:
- Não adequação da política de segurança da informação com a legislação vigente aplicável na organização, seja ela municipal, estadual ou federal, ou ate mesmo organizacional, no que se refere a regulamento interno , estatuto ou similar.
Elementos da Segurança da Informação
Vulnerabilidade• Ambiente:
- Ausência de mecanismos contra incêndio.
Elementos da Segurança da Informação
Vulnerabilidade• Ambiente:
- Ausência de mecanismos de prevenção de enchentes.- Ausência de proteção a poluentes que prejudiquem mídias e equipamentos.
Elementos da Segurança da Informação
Vulnerabilidade• Ambiente:
- Ausência de proteção a animais que possam prejudicar equipamentos(formiga, rato, cupins).
“Já tivemos invasão de grilos nos servidores e cabos de fibra óptica roídos por ratos. O importante é entender a região, a natureza e adequar soluções”.Fonte: http://www.alcoa.com/brazil/pt/news/whats_new/2011_09_28.asp
Elementos da Segurança da Informação
Vulnerabilidade• Ambiente:
- Falta de controle de acesso a salas principais da empresa.
Elementos da Segurança da Informação
Vulnerabilidade• Ameaças:
Ameaça é um agente externo ao ativo de informação que aproveita de uma vulnerabilidade deste ativo para poder quebrar um dos princípios da segurança da informação.
Elementos da Segurança da Informação
Vulnerabilidade• Ameaças:
- Fraudadores.- Vírus de computadores.- Vândalos.- Ladrões.- Sobrecarga do sistema elétrico.- Tempestades.
Elementos da Segurança da Informação
Vulnerabilidade• Ameaças:
- Crakers
-Crakers são indivíduos que utilizam seu conhecimento para invadir computadores e roubar informações confidenciais. Geralmente essas informações são vendidas ou utilizadas para aplicar golpes na internet.-Já o hacker é um indivíduo que utiliza seu conhecimento para testar os recursos de segurança instalados na organização. Ser hacker tornou-se uma profissão.
Elementos da Segurança da Informação
Vulnerabilidade• Impacto:
Impacto é o resultado de um incidente de resultado de um incidente de segurança que poderá acarretar perdas ou danos pequenos, médios ou grandes.
Elementos da Segurança da Informação
Vulnerabilidade• Impacto:
Um exemplo: A violação de uma transação bancária de um cliente – impacto grande!A confiança dos outros clientes cairia, diminuindo a quantidade de clientes deste banco.
Elementos da Segurança da Informação
Vulnerabilidade• Risco:
A avaliação dos riscos permite identificar as ameaças dos ativos, as vulnerabilidades e a possibilidade de ocorrência, além de seus impactos para a empresa. A importância de conhecer estes riscos é que quanto mais conhecemos os riscos dos nossos ativos, mais fácil fica de neutralizá-los.
Elementos da Segurança da Informação
Vulnerabilidade• Risco:
Podemos conduzir o tratamento de riscos de quarto maneiras:• Aceitá-los.• Reduzí-los• Transferí-los.• Mistigá-los (suavizá-los).
SEGURANÇA DA INFORMAÇÃO E MIDIAS SOCIAIS
Aula 2 - A análise de risco
Prof. Ivan Fontainha de Alvarenga
Análise dos riscos
Analisar os riscos de incidentes da segurança da informação é atividade essencial para a gestão de segurança de informação.
Esta analise possibilita identificar o grau de proteção que os ativos de informação de cada processo da organização precisa.
Ela nos permite proporcionar a proteção necessária para nosso negócio e principalmente usar de maneira inteligente os recursos da organização.
Análise dos riscos
É o principal para o sistema de gestão da segurança da informação, pois sem esta analise não é possível determinar quais as medidas de segurança devem ser adotadas pela empresa.
A abordagem da analise de riscos deve ser o primeiro passo, pois nosso objetivo é definir os resultados que são esperados e os caminhos que deverão ser percorridos para alcançar este objetivo.
Análise dos riscos
Existem 2 tipos de gestão de riscos adotados pelas organizações:
• Gestão Reativa.
• Gestão Proativa.
Análise dos riscos
• Gestão Reativa:São os famosos apagadores de incêndio.Estes profissionais ficam sempre enrolados com diversas tarefas corretivas que nunca dispõe de tempo para planejar nem desenvolver.As ações serão sempre executadas mediantes incidentes de segurança (ataques de vírus, invasões a sistemas).
Análise dos riscos
• Gestão Reativa:Na maioria dos casos custa muito mais caro para a organização implementar e são mais difíceis de conter, pois o controle de segurança é quase nulo.
Análise dos riscos
• Gestão Proativa:Os benefícios são maiores que a reativa, pois a empresa já possui uma série de controle para o travamento das informações, não esperando que aconteça os eventos danosos para somente depois reagir.
Análise dos riscos
• Gestão Proativa:O fato da organização possuir uma gestão de riscos proativa não implica que a mesma não deva ter uma equipe de resposta a incidentes, pois eles podem acontecer.
Análise dos riscos
Existem vários métodos de analise de riscos, divididos em duas categorias principais:• Qualitativa• Quantitativa
Ambas envolvem cálculos, porém a qualitativa é a que utiliza cálculo mais simples e menos preciso do ponto de vista financeiro.
Análise dos riscos
Vejamos o quadro de comparação das duas categorias:
Quantitativo QualitativoResultados baseados em
valores objetivos.Resultados baseados em
valores subjetivos.
Cálculos complexos. Cálculos simples.Valores financeiros são
atribuidos ao risco.Não há valorização do risco.
Grande tempo e esforço são necessários para atribuir as
taxas de risco.
Menor trabalho para atribuir as taxas de risco.
Facilita o cálculo de custo / beneficio.
Dificulta o cálculo de custo / beneficio.
Análise dos riscos
O método quantitativo não é indicado para empresas que estão iniciando o seu trabalho de análise de riscos por ser mais complexo.
Porém uma empresa que já tem uma analise de risco e necessitam analisar seu risco a partir de uma visão financeira devem adotar o método quantitativo.
Análise dos riscos
Identificando os riscosPara identificarmos os riscos devemos:
• Identificar os ativos da informação.• Identificar as ameaças.• Identificar as vulnerabilidades.• Identificar os impactos.
Análise dos riscos
Identificando os riscos• Identificar os ativos da informação
A identificação dos ativos seria um inventário dos ativos relevantes para o processo da organização, cujo acidente de segurança resultaria em um impacto negativo para o negócio.
Análise dos riscos
Identificando os riscos• Identificar os ativos da informação
Devemos além de identificar o ativo, identificar também o seu proprietário (quem usa ou é responsável) e o processo de negocio da organização que é suportado pelo ativo, sendo assim possível atribuir um grau de relevância para o processo.
Análise dos riscos
Identificando os riscos• Identificar os ativos da informação
Vamos tomar como base o seguinte exemplo:
Tecnologia dainformação
Manter serviços de
rede
Firewall
servidor dearquivos
servidor decorreio
Proprietário Processo Ativos
Análise dos riscos
Identificando os riscos• Identificar os ativos da informação
A partir do exemplo anterior podemos elaborar o seguinte inventário:
Processo Proprietário Ativo
Manter serviços de rede TI
Firewall
Servidor de arquivos
Servidor de correio
Análise dos riscos
Identificando os riscos• Identificar os ativos da informação
-Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet). -Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados (através de regras criadas por administradores). -Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum.
Análise dos riscos
Identificando os riscos• Identificar as ameaças
Após identificar os ativos, devemos identificar as ameaças sobre eles.
Ameaças são agentes externos aos ativos e não internos.
Existem ameaças intencionais ou maliciosas (como vírus de computador) ou não intencionais (como uma enchente).
Análise dos riscos
Identificando os riscos• Identificar ameaças: exemplo
Firewall
servidor dearquivos
servidor decorreio
Invasor externo
virus
Invasor interno
variaçãode energia
Manter serviços de
rede
Tecnologia dainformação
Ameaças
Proprietário Processo Ativos
Análise dos riscos
Identificando os riscos• Identificar ameaças: planilhaProcesso Proprietário Ativo Ameaças
Manter serviços de rede TI
Firewall
Invasor externo (cracker)
Invasor internoVírus
Variação de energia
Servidor de arquivos
Invasor externo (cracker)
Invasor internoVírus
Variação de energia
Servidor de correio
Invasor externo (cracker)
Invasor internoVírus
Variação de energia
Análise dos riscos
Identificando os riscos• Identificar as vulnerabilidades
Cada ameaça poderá explorar uma vulnerabilidade especifica dos ativos listados, então devemos identificar as vulnerabilidades destes ativos que poderiam ser exploradas pela ameaça levantada.
Análise dos riscos
Identificando os riscos• Identificar as vulnerabilidades
Existe uma identificação entre a vulnerabilidade e o controle de segurança de informação, pois os pontos vulneráveis, são aqueles onde é possível a implementação de algum tipo de controle.
Análise dos riscos
Identificando os riscos• Identificar vulnerabilidades: exemplo
Proprietário Processo Ativos
Firewall
servidor dearquivos
servidor decorreio
Manter serviços de
rede
Tecnologia dainformação
Invasor externo
virus
Invasor interno
variaçãode energia
Ameaças Vulnerabilidades
PortasTCP
Acesso Físico
Sem antivirus
Sem no-break
Análise dos riscos
Identificando os riscos• Identificar as vulnerabilidades
-Portas TCP:-Ao conectar na internet , seu micro recebe um endereço IP válido. Mas, normalmente mantemos vários programas ou serviços abertos simultaneamente. Estes enviam e recebem informações para a internet. Se temos apenas um endereço IP, como todos estes serviços podem funcionar ao mesmo tempo sem entrar em conflito?-Para isso temos as portas TCP, que são as portas de comunicação de um servidor (no nosso caso firewall) com o ambiente da internet.
Análise dos riscos
Identificando os riscos• Identificar vulnerabilidades: planilha
Processo Proprietário Ativo Ameaças Vulnerabilidades
Manter serviços de rede TI
Firewall
Invasor externo (cracker) Portas TCP abertas
Invasor interno Sem controle de acesso físico
Vírus Sem sistema de antivírusVariação de energia Sem nobreak
Servidor de arquivos
Invasor externo (cracker) Portas TCP abertas
Invasor interno Sem controle de acesso físico
Vírus Sem sistema de antivírusVariação de energia Sem nobreak
Servidor de correio
Invasor externo (cracker) Portas TCP abertas
Invasor interno Sem controle de acesso físico
Vírus Sem sistema de antivírusVariação de energia Sem nobreak
Análise dos riscos
Identificando os riscos• Identificar os impactos
A ultima etapa da identificação de riscos é a definição do grau de impacto que a ocorrência de um incidente de segurança da informação acarretaria para o negocio da organização, dependendo do ativo envolvido no acidente.
Análise dos riscos
Identificando os riscos• Identificar os impactos
O impacto deve ser analisado quanto ao prejuízo potencial que pode ser gerado para a organização, levando em conta:
- o prejuízo de negócios, - tempo e custo necessário para reabilitação do ativo,- prejuízos de imagem,- prejuízos a terceiros.
Análise dos riscos
Identificando os riscos• Identificar impacto: exemplo
Proprietário Processo Ativos
Firewall
servidor dearquivos
servidor decorreio
Manter serviços de
rede
Tecnologia dainformação
Invasor externo
virus
Invasor interno
variaçãode energia
Vulnerabilidades
PortasTCP
Acesso Físico
Sem antivirus
Sem no-break
Ameaças
Médio
Médio
Alto
Análise dos riscos
Identificando os riscos• Identificar impacto: planilhaProcesso Proprietário Ativo Ameaças Vulnerabilidades Impacto
Manter serviços de rede TI
Firewall
Invasor externo (cracker) Portas TCP abertas Médio
Invasor interno Sem controle de acesso físico Médio
Vírus Sem sistema de antivírus Médio
Variação de energia Sem nobreak Médio
Servidor de arquivos
Invasor externo (cracker) Portas TCP abertas Médio
Invasor interno Sem controle de acesso físico Médio
Vírus Sem sistema de antivírus Médio
Variação de energia Sem nobreak Médio
Servidor de correio
Invasor externo (cracker) Portas TCP abertas Alto
Invasor interno Sem controle de acesso físico Alto
Vírus Sem sistema de antivírus Alto
Variação de energia Sem nobreak Alto
Análise dos riscos
Realizando análise dos riscosRealizar uma análise de riscos não é uma
atividade fácil, pois envolve muito planejamento e esforço. Dividimos esta análise em algumas partes:• Analisar processos.• Analisar pessoas.• Analisar tecnologia.• Analisar ambientes.• Definir os responsáveis.
Análise dos riscos
Realizando análise dos riscos• Analisar processos
Devemos mapear e analisar a fundo o processo de cada ativo relacionado, pois a relevância do processo é uma variável importante para a definição de um impacto de uma eventual incidente de segurança de informação em uma determinada área.
Análise dos riscos
Realizando análise dos riscos• Analisar processos
É muito importante entendermos o fluxo de informações entre os processos para podermos entender qual informação deve ser protegida.
Análise dos riscos
Realizando análise dos riscos• Analisar pessoas
Pessoas são ativos de informação e os riscos relacionados a elas precisam ser analisados.
São elas quem executam e constituem os processos, são elas quem geram e consomem as informações.
Análise dos riscos
Realizando análise dos riscos• Analisar pessoas
São as pessoas que fazem com que tudo funcione, isto é, quem executam os processos, utilizam a tecnologia e o ambiente
Tecnologias
AmbienteProcessos
Pessoas
Análise dos riscos
Realizando análise dos riscos• Analisar pessoas
Quais as vulnerabilidades podemos encontrar nas pessoas?- Desconhecimento de diretrizes, normas e procedimentos.- Não conferencia do setor de contratação a informações dadas por candidatos.- Podem ser coagidas ou subornadas para dar informações.
Análise dos riscos
Realizando análise dos riscos• Analisar tecnologias
É a mais difundida entre as quatro modalidades, principalmente tecnologias de informática como computadores e softwares.
Porém não podemos esquecer das outras como sistema de telefonia, equipamentos de mídia, gravadores.
Análise dos riscos
Realizando análise dos riscos• Analisar tecnologias
Nesta categoria podemos contar com apoio de softwares, que conseguem detectar vulnerabilidades em ativos de informática.
Exemplo: sistemas desprotegidos por firewall.
Servidor de Arquivos
Servidor de Correio
Firewall
Internet?
Análise dos riscos
Realizando análise dos riscos• Analisar ambientes
Ambientes são espaços físicos onde acontecem os processos, trabalham as pessoas ou onde são instalados os equipamentos.
Nestes ambientes contem os ativos de informação como computadores, arquivos de metal dentre outros.
Análise dos riscos
Realizando análise dos riscos• Analisar ambientes
Algumas vulnerabilidades deste ativo é o não controle de acesso e a falta de demarcação das áreas físicas.
Devemos avaliar a quantidade de pessoas que visitam estes ambientes, se são pessoas autorizadas e se sim, qual o risco de roubarem estas informações.
Análise dos riscos
Realizando análise dos riscos• Analisar ambientes
Devemos avaliar também:- Quais áreas contem informações mais criticas?- Qual a facilidade de acesso físico a esta área?- Como é feito o controle de acesso?
Análise dos riscos
Realizando análise dos riscos• Definir os responsáveis pela análise de riscos
Devem ser pessoas de total confiança da organização.
Devem assinar termos de sigilo e confidencialidade.
Deve ter diferentes tipos de profissionais, cada um voltado para uma das áreas de analise: pessoas, processos, ambiente e tecnologia.
Análise dos riscos
Planejando o tratamento de riscosApós compreendidos, temos quatro
formas de responder a estes riscos:• Evitar• Controlar• Transferir• Aceitar
Análise dos riscos
Planejando o tratamento de riscos• Evitar
Caso optemos por evitar os riscos, devemos adotar tecnologias ou processos que não ofereçam riscos ao negocio da organização.
Exemplo: não vender pela internet.Devemos lembrar que nem sempre
conseguimos atingir metas evitando riscos.
Análise dos riscos
Planejando o tratamento de riscos• Controlar
Caso optemos por controlar, devemos implementar controles para diminuir as vulnerabilidades dos ativos que suportam os processos.
Análise dos riscos
Planejando o tratamento de riscos• Transferir
Caso optemos por transferir o risco, uma forma seria contratar um seguro cujo valor garanta a cobertura dos prejuízos ou até mesmo contratar uma organização que garanta um nível mínimo do seu serviço.
Análise dos riscos
Planejando o tratamento de riscos• Aceitar
O ultimo caso seria aceitar o risco. Caso não seja decidido evitar, nem controlar, nem transferir, devemos simplesmente aceitar.
Devemos decidir por aceitar quando o risco for pequeno ou não trazer perigo para o negocio.