em correr riscos, pensa-se logo em perdas ou sacrifícios financeiros, mas este é apenas um tipo de risco. • Muitos riscos fazem parte de nosso dia a dia de tal forma, que mal os levamos em consideração e análise, tomando ações inconscientes ou até instintivas. Vejamos um exemplo: • Ao atravessar uma rua, o pedestre deve olhar para ambos os lados e quando não houver tráfego, atravessará. Caso esteja com pressa, pode assumir riscos e atravessar entre os veículos, quando aparecer uma chance. • Se o trânsito estiver pesado, prudentemente, deve se dirigir às áreas de cruzamento de pedestre, garantindo sua passagem com segurança. 23.08.2015 2
bom lembrar alguns conceitos. • Ativo: qualquer coisa que tenha valor para a organização. •O que vale a pena ser protegido. • Ameaça: causa potencial de um incidente indesejável, que pode resultar em dano para um sistema ou organização. •O que pode comprometer a segurança do ativo, danificando-o ou causando prejuízo de alguma forma. • Vulnerabilidade: fraqueza em um grupo de ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaça. •Característica que insere fragilidade em um ativo ou sistema. • Risco é a combinação da probabilidade de um evento e sua consequência no sentido do potencial que dada ameaça tem de explorar as vulnerabilidades de um ativo ou grupo de ativos para causar perdas ou danos aos ativos. • Todas as atividades de uma organização envolvem risco! 23.08.2015 3
incerto, vejamos um exemplo: • O homem que se atira à rua do trigésimo andar de um edifício não corre nenhum risco, pois conhece as consequências antes de fazê-lo. • O efeito é altamente previsível e as consequências também. • O paraquedista convive com o risco do seu equipamento falhar, porque o acidente é só uma possibilidade que pode acontecer e ter seu impacto associado. • Neste caso o acidente pode acontecer, mas não há precisão para dizer se irá ou não. • No contexto empresarial há inúmeros riscos e as empresas hoje adotam práticas para tentar gerenciá-los de alguma forma. 23.08.2015 4
de medidas que busquem o equilíbrio entre riscos e custos. • Segundo o ISO/IEC Guide 73* Risco é a combinação da probabilidade de um evento e de seus impacto (consequências). R = P X I • Geralmente, o termo “risco” é utilizado em segurança apenas quando há a possibilidade de consequências negativas. *Gestão de riscos -Vocabulário - Recomendações para uso em normas 23.08.2015 5 Custo Risco Segurança Ideal Custo de tratar o risco X Custo de um Incidente
Conhecidos: Podem ser descobertos após uma avaliação cuidadosa do plano do projeto, ambiente técnico e do negócio: • Prazos irreais, escopo mal definido, ambiente de desenvolvimento ruim. • Previsíveis: são percebidos a partir de experiências em projetos anteriores. • Rotatividade de pessoal, comunicação ruim com o cliente, canalização excessiva de esforços para manutenção. • Imprevisíveis: são aqueles difíceis de serem identificados, mas que podem ocorrer. 23.08.2015 6
Processo de Gestão de Riscos em Segurança da Informação ocorre conforme a ISO 27005. • Nela são detalhadas atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. 23.08.2015 8
de Contexto • Avalia os objetivos de segurança organizacional e considera a exposição da organização a riscos em termos amplos. • Estabelece o escopo de ativos que será analisado. • Identificação de ameaças • Validar ameaças potenciais que podem atrapalhar ou impedir um ativo de prover níveis adequados de segurança, comprometendo a confidencialidade, integridade ou disponibilidade. • Deve-se avaliar a motivação, capacidade, recursos, probabilidade de ataque e técnicas de dissuasão existentes para entender melhor as potenciais ameaças. • Identificação deVulnerabilidades • Envolve identificar falhas ou fraquezas no escopo analisado que poderiam ser exploradas por uma ameaça para ajudar a determinar a aplicabilidade de uma dada ameaça à organização e a sua severidade. 23.08.2015 9
os riscos • O objetivo desse estágio é identificar riscos para os ativos, respondendo a duas perguntas básicas: • Quem ou o que poderia causar dano ao ativo? • Como isso poderia ocorrer? Qual a probabilidade disto acontecer? • Devem ser usadas diversas técnicas, como análise histórica, brainstorming, opinião de arquitetos de segurança, etc. • Analisar Controles de Segurança • Antes de poder especificar a probabilidade de uma ameaça é preciso identificar os controles existentes usados pela organização para tentar minimizar as ações de uma dada ameaça. • Determinar Probabilidade e Impacto (consequências). • Determinar o risco resultante – risco residual. • Avaliar os riscos. • Tratar os riscos de acordo com os critérios de risco da empresa. • Monitorar os riscos. 23.08.2015 10
empresa: • Identificar os eventos que podem causar perdas, ou seja, as ameaças. • Identificar os controles existentes e a sua eficácia em evitar que uma ameaça explore uma vulnerabilidade. • Com a informação das ameaças e da efetividade dos controles, podemos identificar o nível de risco. • Conhecendo o nível de risco, a organização tem a oportunidade de decidir o que vai fazer em relação a cada um deles. 23.08.2015 11
a visualização dos riscos e a tomada de decisões. • Deve-se estabelecer critérios para os eixos X e Y para permitir a correta inserção dos riscos e criar um “mapa de riscos” para o contexto analisado. 23.08.2015 12
controles ou aprimoramento dos atuais para diminuir a probabilidade ou a consequência). • Aceitar o risco; • Evitar (descontinuar o processo ou atividade); ou • Transferir (terceirizar a administração do risco). • Antes de considerar o tratamento de um risco convém definir os critérios para determinar se os riscos podem ser ou não aceitos. • Os critérios de riscos são particulares de cada organização e é a régua de classificação que cada empresa irá possuir para decidir o que fazer com os riscos identificados. 23.08.2015 13 Risco Intolerável Risco Tolerável Risco Aceitável
em conta: • Objetivos organizacionais; • Requisitos e restrições de legislações e regulamentações; • Requisitos e restrições operacionais; • Custo de implementação e a operação em relação aos riscos; • Necessidade de balancear o investimento na Implementação de controles. • Segurança deve ser algo que gere oportunidades e vantagens para uma empresa e não um custo impensado! 23.08.2015 14
completa. • Os recursos são finitos, eliminar todos os riscos pode ser impraticável. • Segurança normalmente é inversamente proporcional a conveniência. • Normalmente no desenvolvimento de sistemas você escolhe 2 de 3 (segurança, funcionalidade ou desempenho). 23.08.2015 15 LEMBRE-SE: NÃO EXISTE SEGURANÇA 100%
a diferença entre uma ameaça e uma vulnerabilidade? • Dica: ConsulteThreat xVulnerability no Oráculo! 2. Dos itens abaixo, quais são vulnerabilidades e quais são ameaças? Justifique: • Grupo Hacktivista com idealismo contra uma empresa. • Incêndio na Filial da Empresa. • Radicais do Estado Islâmico. • Descarte de relatórios gerenciais na lata de lixo. • Aplicação não valida comandos enviados pelo usuário. 3. Por que uma empresa deve gerenciar seus riscos? 4. O que são riscos de segurança da informação? 5. Cite e defina brevemente as quatro abordagens para tratamento de riscos. 6. Por que uma empresa deve estabelecer critérios para o tratamento de riscos? O que é apetite de risco e como ele influencia nas decisões de gestão de riscos? 23.08.2015 18
nicholsjasper
uhyo
miyakemito
inductor
emiki
mitsuzono
wmsbill
macloud
manarobot
tetsuyaooooo
egmc
smt7174
lmi
eileencodes
lara
revolveconf
tmm1
aleyda
sugarenia
philnash
destraynor
chriscoyier
csswizardry
addyosmani
