Análise de Riscos. Por que as empresas devem fazer uma análise de risco? Durante o planejamento do...
Transcript of Análise de Riscos. Por que as empresas devem fazer uma análise de risco? Durante o planejamento do...
Análise de Riscos
Análise de Riscos
• Por que as empresas devem fazer uma análise de risco?
• Durante o planejamento do futuro da empresa, a alta administração deve garantir que todos os cuidados foram tomados para que seus planos se concretizem.
• A formalização de uma análise de risco provê um documento indicador de que este cuidado foi observado.
Análise de Riscos
• O resultado da análise de risco dá à organização o controle sobre seu próprio destino – por meio do relatório final, pode-se identificar quais controles devem ser implementados em curto, médio e longo prazo.
• Há então uma relação de valor, ativos serão protegidos com investimentos adequados ao seu valor e ao seu risco.
Análise de Riscos
• A análise de risco é o processo de identificar os riscos de segurança aos quais a organização pode ser exposta.
• Ou seja, é o processo pelo qual são identificados os riscos a que estão sujeitos os dados, os sistemas de informações e as redes de comunicação.
• Essa análise é realizada por meio de uma avaliação sistemática, mapeando as ameaças e vulnerabilidades físicas, processuais, tecnológicas e humanas.
• A análise de risco fornece à organização uma visão clara dos riscos a que o negócio está exposto, por isso é de fundamental importância para a gestão da empresa.
Análise de Riscos
• A verificação dos riscos e os possíveis danos que os mesmos podem causar ajudam, principalmente, na definição da estratégia para criar um ambiente seguro.
• Planos de atualização, necessidade de reconfiguração, definição de mudanças e inserções de novos recursos no ambiente são resultantes desse método.
Etapas da Análise de Riscos• A análise de risco se divide em quatro
etapas de igual importância, isoladas, essas etapas representam muito pouco ou quase nada. Alinhadas e geridas de forma adequada, podem apontar caminhos seguros na busca do nível adequado de segurança de uma organização.
• Essas etapas são:– Modelagem do negócio.– Análise do impacto.– Análise da dependência.– Análise das ameaças e vulnerabilidades.
Etapas da Análise de Riscos• Modelagem do negócio: determinar que
sistemas de informação dão suporte a quais processos corporativos. Mostrar, claramente o que a organização está tentando alcançar e mapeia os sistemas de informação nesse contexto.
• Análise de impacto: determinar a sensibilidade de funções chave da organização a falhas quanto à privacidade, integridade e disponibilidade dos sistemas e dados. Serve para identificar os sistemas para os quais se justifica a implantação de proteção excepcional e auxilia a identificar os sistemas para os quais uma análise de risco completa é necessária.
Etapas da Análise de Riscos• Análise de dependência: determinar os
pontos de acesso aos sistemas de informação e os recursos que precisam estar disponíveis para que sejam mantidos os serviços associados às funções chaves.
• Análise de ameaças e vulnerabilidades: determinar os pontos fracos da configuração do sistema e a probabilidade de ocorrência de eventos que possam explorar as debilidades identificadas, causando impactos em termos de quebra de privacidade, integridade e disponibilidade dos dados e sistemas.
Análise de Riscos
• O risco é, assim uma combinação de ameaça, vulnerabilidade, impacto e probabilidade.– Ameaça: corresponde a um incidente indesejado
(fogo, dano proposital, roubo, etc.) que pode remover, danificar ou destruir um recurso de TI (software ou hardware).
– Vulnerabilidade: equivale ao ponto fraco no sistema, que poderia ser explorado por uma ameaça.
– Impacto: é a consequência, para a organização, da concretização de uma ameaça.
– Probabilidade: nesse contexto, diz respeito à expectativa de que uma ameaça consiga atacar o sistema com sucesso.
Componentes de Riscos
Ameaça Vulnerabilidade Impacto Probabilidade
Risco
Análise de Riscos
• Quando se deve fazer uma análise de riscos?Uma análise de riscos deve ser realizada sempre antecedendo um investimento. Antes de a organização iniciar um projeto, um novo processo de negócio, o desenvolvimento de uma ferramenta ou até mesmo uma relação de parceria deve-se mapear, identificar e assegurar os requisitos do negócio. Em situações as quais a organização nunca realizou uma análise de risco, recomendamos uma validação de toda estrutura.
Análise de Riscos
• Quem deve participar de análise de riscos?O processo de análise de riscos deve envolver especialistas em segurança e especialistas no negócio da empresa – esta sinergia possibilita o foco e a qualidade do projeto.Um projeto de análise de risco sem o envolvimento das pessoas certas, em todos os níveis da empresa, muito dificilmente retratará a real situação da operação.
Análise de Riscos
• Quanto tempo o projeto deve levar?A execução do projeto deve ser realizada em tempo mínimo. Em ambientes dinâmicos, a tecnologia muda muito rapidamente.Um projeto com mais de um mês em determinados ambientes, ao final pode estar desatualizado e não corresponder ao estado atual da organização.
Análise de Riscos• Conhecer o risco é ganhar mobilidade. Esse
diagnóstico, que até há pouco tempo ocultava-se sobre pequenas e isoladas iniciativas do grupo de tecnologia da informação, quase sempre relacionado a aspectos técnicos da análise de vulnerabilidades tecnológicas, já é reconhecido como ferramenta de suporte estratégico.
• A análise de riscos deve ser revista periodicamente, considerando as mudanças nos requisitos do negócio e suas prioridades, e as novas ameaças e vulnerabilidades que surgem.
Situações de Insegurança• A insegurança está associada a situações
voluntárias ou involuntárias que podem atentar contra a segurança dos SI e, portanto, devem ser cobertas por sistemáticas de proteção. As ameaças podem ser oriundas das diversas fontes e situações. Eis algumas:– Catástrofes.– Problemas ambientais.– Interrupção de serviços.– Ação criminosa.– Outros tipos de incidentes.– Contaminação eletrônica.
Situações de Insegurança• Catástrofes
– Incêndio acidental ou intencional;– Alagamento por inundação de porões ou salas
com risco potencial, por vazamento dos encanamentos ou por goteiras;
– Explosão intencional ou provocada por vazamento de gás;
– Sobrecarga na rede elétrica ou relâmpagos que causam queima total de equipamentos;
– Terremotos, que normalmente provocam uma combinação dos itens acima;
– Guerras e revoluções.
Situações de Insegurança• Problemas ambientais
– Grandes variações térmicas – excesso de calor causa travamentos e destrói mídias. Excesso de frio congela fisicamente dispositivos mecânicos, como discos rígidos.
– Umidade nos dispositivos elétricos e eletrônicos e nas mídias magnéticas;
– Poeira, depositada nas cabeças de leitura e gravação dos drivers, pode destruir fisicamente um disquete ou uma fita;
– Poluição sonora (irritação de pessoas);– Fumaça – a fumaça do cigarro deposita uma camada de
componentes químicos nas cabeças de leitura e gravação dos drives, que pode inviabilizar a utilização de disquetes e fitas. Fumaça de incêndios próximos é muito mais perigosa.
– Magnetização – grande inimigo das mídias magnéticas, pode desgravar disquetes, fitas e discos rígidos.
– Trepidação – pode afrouxar placas e componentes e geral, além de destruir discos rígidos.
Situações de Insegurança• Interrupção de serviços
– Falha de energia elétrica – grande risco potencial, à medida que paralisa totalmente as funções relacionadas à informática;
– Queda nas comunicações – isolamento do site de e-commerce do resto do mundo, risco de perdas de dados;
– Pane nos equipamentos – problema bastante comum, resolvido com backup de informações e de hardware;
– Pane nas redes de computadores – isola um ou mais computadores de um mesmo site, risco potencial de perda de dados;
– Problemas nos sistemas operacionais – risco potencialmente explosivo, pois pode comprometer a integridade de todos os dados do sistema e até mesmo inviabilizar a operação, eliminam a confiança da equipe;
– Parada dos sistemas de informação – um grande risco para o funcionamento das empresas.
Situações de Insegurança• Comportamento anti-social
– Paralisações e greves – impedindo o livre trânsito das pessoas;
– Hackers – indivíduos que conhecem profundamente computadores e sistemas operacionais e invade os sistemas para se divertirem;
– Disputas exacerbadas entre pessoas podem levar à sabotagem e alteração ou destruição de dados ou de cópias de segurança;
– Falta de espírito de equipe – falta de coordenação, onde cada funcionário trabalha individualmente, risco de omissão ou duplicação de procedimentos.
Situações de Insegurança• Ação criminosa
– Furtos e roubos – consequências imprevisíveis, podem inviabilizar completamente os negócios da empresa;
– Fraudes – modificação de dados, com vantagens para o elemento agressor;
– Sabotagem – modificação deliberada de qualquer ativo da empresa;
– Atentados – ação terrorista com a finalidade de prejudicar pessoas ou a empresa;
– Espionagem industrial – captação não autorizada de software, dados ou comunicações;
– Crackers – indivíduos que conhecem profundamente computadores e sistemas operacionais e invadem sistemas com finalidade destrutiva.
Situações de Insegurança• Outros tipos de incidentes
– Erros involuntários de usuários – de consequências imprevisíveis, desde problemas insignificantes até a perda de um faturamento inteiro. Erros de usuários costumam contaminar as cópias de segurança (backup) quando não detectados a tempo;
– Erros nas cópias dos dados – risco sério de perda de dados, o backup sempre deve ser verificado;
– Uso inadequado dos sistemas – normalmente ocasionado por falta de treinamento, falta de documentação adequada do sistema ou falta de capacidade utilizando o sistema de forma inadequada;
Situações de Insegurança• Outros tipos de incidentes
– Manipulação errada de arquivos – costuma causar perda de arquivos e pode contaminar as cópias de segurança;
– Treinamento insuficiente – inevitavelmente causa erros e uso inadequado;
– Ausência/demissão de funcionários – é problemático se a pessoa ausente for a única que conhece determinados procedimentos;
– Estresse/sobrecarga de trabalho – uma pessoa sobrecarregada é mais propensa a cometer erros e adotar atitudes anti-sociais;
– Equipe de limpeza – deve receber o treinamento adequado sobre segurança.
Situações de Insegurança
• Contaminação eletrônica– Vírus – programa que insere uma cópia sua em
outros programas executáveis ou no setor de boot;
– Worm – programa que se reproduz através da rede;
– Cavalo de Tróia – programa aparentemente inofensivo e útil, mas que contém um código oculto indesejável ou danoso.
Muito agradecido.