em correr riscos, pensa-se logo em perdas ou sacrifícios financeiros, mas este é apenas um tipo de risco. • Muitos riscos fazem parte de nosso dia a dia de tal forma, que mal os levamos em consideração e análise, tomando ações inconscientes ou até instintivas. Vejamos um exemplo: • Ao atravessar uma rua, o pedestre deve olhar para ambos os lados e quando não houver tráfego, atravessará. Caso esteja com pressa, pode assumir riscos e atravessar entre os veículos, quando aparecer uma chance. • Se o trânsito estiver pesado, prudentemente, deve se dirigir às áreas de cruzamento de pedestre, garantindo sua passagem com segurança. 23.08.2015 2
bom lembrar alguns conceitos. • Ativo: qualquer coisa que tenha valor para a organização. •O que vale a pena ser protegido. • Ameaça: causa potencial de um incidente indesejável, que pode resultar em dano para um sistema ou organização. •O que pode comprometer a segurança do ativo, danificando-o ou causando prejuízo de alguma forma. • Vulnerabilidade: fraqueza em um grupo de ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaça. •Característica que insere fragilidade em um ativo ou sistema. • Risco é a combinação da probabilidade de um evento e sua consequência no sentido do potencial que dada ameaça tem de explorar as vulnerabilidades de um ativo ou grupo de ativos para causar perdas ou danos aos ativos. • Todas as atividades de uma organização envolvem risco! 23.08.2015 3
incerto, vejamos um exemplo: • O homem que se atira à rua do trigésimo andar de um edifício não corre nenhum risco, pois conhece as consequências antes de fazê-lo. • O efeito é altamente previsível e as consequências também. • O paraquedista convive com o risco do seu equipamento falhar, porque o acidente é só uma possibilidade que pode acontecer e ter seu impacto associado. • Neste caso o acidente pode acontecer, mas não há precisão para dizer se irá ou não. • No contexto empresarial há inúmeros riscos e as empresas hoje adotam práticas para tentar gerenciá-los de alguma forma. 23.08.2015 4
de medidas que busquem o equilíbrio entre riscos e custos. • Segundo o ISO/IEC Guide 73* Risco é a combinação da probabilidade de um evento e de seus impacto (consequências). R = P X I • Geralmente, o termo “risco” é utilizado em segurança apenas quando há a possibilidade de consequências negativas. *Gestão de riscos -Vocabulário - Recomendações para uso em normas 23.08.2015 5 Custo Risco Segurança Ideal Custo de tratar o risco X Custo de um Incidente
Conhecidos: Podem ser descobertos após uma avaliação cuidadosa do plano do projeto, ambiente técnico e do negócio: • Prazos irreais, escopo mal definido, ambiente de desenvolvimento ruim. • Previsíveis: são percebidos a partir de experiências em projetos anteriores. • Rotatividade de pessoal, comunicação ruim com o cliente, canalização excessiva de esforços para manutenção. • Imprevisíveis: são aqueles difíceis de serem identificados, mas que podem ocorrer. 23.08.2015 6
Processo de Gestão de Riscos em Segurança da Informação ocorre conforme a ISO 27005. • Nela são detalhadas atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. 23.08.2015 8
de Contexto • Avalia os objetivos de segurança organizacional e considera a exposição da organização a riscos em termos amplos. • Estabelece o escopo de ativos que será analisado. • Identificação de ameaças • Validar ameaças potenciais que podem atrapalhar ou impedir um ativo de prover níveis adequados de segurança, comprometendo a confidencialidade, integridade ou disponibilidade. • Deve-se avaliar a motivação, capacidade, recursos, probabilidade de ataque e técnicas de dissuasão existentes para entender melhor as potenciais ameaças. • Identificação deVulnerabilidades • Envolve identificar falhas ou fraquezas no escopo analisado que poderiam ser exploradas por uma ameaça para ajudar a determinar a aplicabilidade de uma dada ameaça à organização e a sua severidade. 23.08.2015 9
os riscos • O objetivo desse estágio é identificar riscos para os ativos, respondendo a duas perguntas básicas: • Quem ou o que poderia causar dano ao ativo? • Como isso poderia ocorrer? Qual a probabilidade disto acontecer? • Devem ser usadas diversas técnicas, como análise histórica, brainstorming, opinião de arquitetos de segurança, etc. • Analisar Controles de Segurança • Antes de poder especificar a probabilidade de uma ameaça é preciso identificar os controles existentes usados pela organização para tentar minimizar as ações de uma dada ameaça. • Determinar Probabilidade e Impacto (consequências). • Determinar o risco resultante – risco residual. • Avaliar os riscos. • Tratar os riscos de acordo com os critérios de risco da empresa. • Monitorar os riscos. 23.08.2015 10
empresa: • Identificar os eventos que podem causar perdas, ou seja, as ameaças. • Identificar os controles existentes e a sua eficácia em evitar que uma ameaça explore uma vulnerabilidade. • Com a informação das ameaças e da efetividade dos controles, podemos identificar o nível de risco. • Conhecendo o nível de risco, a organização tem a oportunidade de decidir o que vai fazer em relação a cada um deles. 23.08.2015 11
a visualização dos riscos e a tomada de decisões. • Deve-se estabelecer critérios para os eixos X e Y para permitir a correta inserção dos riscos e criar um “mapa de riscos” para o contexto analisado. 23.08.2015 12
controles ou aprimoramento dos atuais para diminuir a probabilidade ou a consequência). • Aceitar o risco; • Evitar (descontinuar o processo ou atividade); ou • Transferir (terceirizar a administração do risco). • Antes de considerar o tratamento de um risco convém definir os critérios para determinar se os riscos podem ser ou não aceitos. • Os critérios de riscos são particulares de cada organização e é a régua de classificação que cada empresa irá possuir para decidir o que fazer com os riscos identificados. 23.08.2015 13 Risco Intolerável Risco Tolerável Risco Aceitável
em conta: • Objetivos organizacionais; • Requisitos e restrições de legislações e regulamentações; • Requisitos e restrições operacionais; • Custo de implementação e a operação em relação aos riscos; • Necessidade de balancear o investimento na Implementação de controles. • Segurança deve ser algo que gere oportunidades e vantagens para uma empresa e não um custo impensado! 23.08.2015 14
completa. • Os recursos são finitos, eliminar todos os riscos pode ser impraticável. • Segurança normalmente é inversamente proporcional a conveniência. • Normalmente no desenvolvimento de sistemas você escolhe 2 de 3 (segurança, funcionalidade ou desempenho). 23.08.2015 15 LEMBRE-SE: NÃO EXISTE SEGURANÇA 100%
a diferença entre uma ameaça e uma vulnerabilidade? • Dica: ConsulteThreat xVulnerability no Oráculo! 2. Dos itens abaixo, quais são vulnerabilidades e quais são ameaças? Justifique: • Grupo Hacktivista com idealismo contra uma empresa. • Incêndio na Filial da Empresa. • Radicais do Estado Islâmico. • Descarte de relatórios gerenciais na lata de lixo. • Aplicação não valida comandos enviados pelo usuário. 3. Por que uma empresa deve gerenciar seus riscos? 4. O que são riscos de segurança da informação? 5. Cite e defina brevemente as quatro abordagens para tratamento de riscos. 6. Por que uma empresa deve estabelecer critérios para o tratamento de riscos? O que é apetite de risco e como ele influencia nas decisões de gestão de riscos? 23.08.2015 18