Anlise de Riscos de

Segurana da Informao

Prof. Paulo Silva

UCEFF
 Roteiro
1. Conceitos Fundamentas de Seg. Informao

2. Identificao e Avaliao de Ativos

3. Identificao e Avaliao de Ameaas
4. Identificao e Avaliao de Vulnerabilidades

5. Avaliao do Risco e Conseqncias

6. Tratamento dos Riscos
 Metodologia
Apresentao dos contedos

Estudos de caso em grupos

Discusso dos estudos de caso

Correes a partir das discusses

Elaborao de Trabalho Final

Apresentao de Trabalho Final

1.Conceitos Fundamentas de
Segurana da Informao
 Conceitos Bsicos
A informao fundamental para os
Processos de Negcio da empresa

Este cenrio traz risco para as empresas!

Quais so riscos?
 Conceitos Bsicos
Desperdcio de recursos tecnolgicos
Roubo ou Vazamento de informaes

Parada de processos (prejuzo operacional)

Perda de informaes (retrabalho)

Processos judiciais
Prejuzos para a imagem da empresa

PERDAS FINANCEIRAS!!!
 Conceitos Bsicos
As empresas tm grande ateno aos seus
ativos fsicos e financeiros

E como ficam seus ativos de informao?

Ativos de informao:
A prpria informao
Todos os recursos de suporte
 Conceitos Bsicos
Trs propriedades bsicas de Segurana da
Informao:

Confidencialidade;
Integridade;
Disponibilidade;
 Conceitos Bsicos
A Segurana da Informao mantida por um:

SGSI Sistema de Gesto de Segurana da

Informao
Gesto de Segurana...
Gesto de Segurana...
A Anlise de Risco
2. Identificao e Avaliao de
Ativos
 O que um Ativo de Info.?

qualquer informao que tem valor para a

organizao.

qualquer informao onde um incidente

possa causar prejuzos:
Perda de confidencialidade
Perda de integridade
Perda de disponibilidade
 Inventrio de Ativos de Inf.
Listagem dos Principais ativos de informao.

Define responsvel pela informao

Define a localizao da informao

Define a classificao da informao

 Inventrio de Ativos de Inf.
O inventrio dinmico

Deve ser constantemente atualizado

Gera melhoria contnua nos processos de

segurana da informao

Serve de base para polticas e anlises

 Identificao dos Ativos
Relacione as principais informaes envolvidas
com seu trabalho ou setor
Fsicas e lgicas

A informao possui:
Algum grau de disponibilidade?
Algum grau de confidencialidade?
Algum grau de integridade?
 Posso agrupar ativos?
Sempre que um conjunto de ativos tiver o
mesmo:
Objetivo de negcio
Responsvel e localizao
Classificao de segurana
Exemplo:
Documentos de RH do colaborador.
Documentos fiscais.
Certificados de software.
 Tipos de Ativos de Inf.
Processos de Negcio
Informao (lgica ou fsica)

Hardware de suporte
Software de suporte
Ambientes fsicos
Pessoas
Etc...
 Definio de Responsabilidades
O inventrio prev trs tipos de responsveis:

Proprietrio
Custodiante
Administrador
 Definio de Responsabilidades
Proprietrio
Toma decises pelo ativo
Responsvel pela classificao
Responde pelo ativo na organizao

Deve ser o gestor de nvel mais alto envolvido com

o ativo
 Definio de Responsabilidades
Custodiante
Recebe a responsabilidade do proprietrio
Responde pelo ativo, aps o proprietrio
Est mais diretamente relacionado com o ativo em
questo

Geralmente um subordinado direto do

proprietrio
 Definio de Responsabilidades
Administrador
Faz a manuteno do ativo
Responsvel por manter o ativo funcionando
No decide ou responde pelo ativo

um usurio do ativo, porm com mais

responsabilidades

Geralmente o setor de TI
 Atividade 1 Identificao de Ativos
Definir dois ativos de cada tipo:
Informao lgica
Informao fsica
Hardware
Software
Ambiente fsico
 Avaliao de Ativos
Deve-se determinar o impacto do ativo para a
organizao

Pode ser feito segundo vrios parmetros:

Custo de reparo
Custo de reposio
Tempo previsto de parada, etc
 Avaliao de Ativos
Estratgia muito usada avaliar o impacto sob
os aspectos de:
Confidencialidade
Integridade
Disponibilidade
 Avaliao de Ativos
Deve-se determinar uma escala:
 Avaliao de Ativos
Deve-se definir critrios para avaliao dos
ativos

Exemplo de critrios:
Imagem da organizao no mercado
Parada de processos operacionais
Prejuzos financeiros
Abrangncia dos efeitos
Ex.: processo, setor, organizao, mercado
 Avaliao de Ativos
Exemplo de critrios:
Efeitos legais e contratuais
Custo de reposio
Perda confiana

Perda vantagem competitiva

Etc, etc, etc....
 Classif. Confidencialidade
Qual o impacto para a organizao caso o
ativo seja acessado por algum no
autorizado?

Crtico: efeitos negativos extremos

Alta: efeitos negativos severos
Moderada: efeitos negativos srios
Baixa: efeitos negativos limitados
Nula: sem efeitos negativos
 Classif. Integridade
Qual o impacto para a organizao caso o
ativo seja alterado (fraudado, corrompido)
indevidamente?

Crtico: efeitos negativos extremos

Alta: efeitos negativos severos
Moderada: efeitos negativos srios
Baixa: efeitos negativos limitados
Nula: sem efeitos negativos
 Classif. Disponibilidade
Qual o impacto para a organizao caso o
ativo seja perdido ou fique fora do ar por
tempo indeterminado?

Crtico: efeitos negativos extremos

Alta: efeitos negativos severos
Moderada: efeitos negativos srios
Baixa: efeitos negativos limitados
Nula: sem efeitos negativos
 Atividade 2 Avaliao dos Ativos
Definir trs critrios para avaliao de ativos

Avaliar os ativos sob as variveis de:

Confidencialidade
Integridade
Disponibilidade

Justificar a avaliao sob algum critrio

3. Identificao e Avaliao de
Ameaas
O papel das Ameaas
 Identificao de Ameaas
Ameaas so:
Agentes ou condies
Exploram vulnerabilidades

Causam incidentes
Perda de confidencialidade, integridade e
disponibilidade

Causam impacto nos negcios da organizao.

 Identificao de Ameaas
Ameaas exploram vulnerabilidades para
realizar incidentes.

Tentativa de quebras as propriedades de:

Confidencialidade
Integridade
Disponibilidade
 Identificao de Ameaas
As ameaas sempre existiro:

Independente dos controles de segurana

Os controles atuam sobre as vulnerabilidades

Para neutralizar as ameaas
 Identificao de Ameaas

Classificao das ameaas:

Intencionais;
Acidentais;
Internas;
Externas;
 Identificao de Ameaas
As ameaas internas so importantes:
Procedimento inadequado de funcionrios;
Funcionrios mal treinados;
Contaminao por vrus;
Pirataria;
Roubo de informaes;
Fraudes de funcionrios;
Outras aes intencionais;
Exemplos...
Exemplos...
Atividade 3 Ident. Ameaas
Definir ameaas de
diferentes tipos

Para os ativos da
organizao
 Avaliao de Ameaas
Deve-se avaliar as ameaas sob determinado
critrio e escala.

Grau de exposio:
Determina o quanto a organizao est exposta
ameaa.
 Avaliao de Ameaas
Critrios de avaliao:
Histrico de incidentes
Experincia do analista
Natureza do negcio
Catlogo de ameaas
Fontes diversas
 Avaliao de Ameaas
Critrios de ameaas intencionais:
Motivaes do atacante
Competncias do atacante
Poder atrativo dos ativos
 Avaliao de Ameaas
Critrios de ameaas acidentais:
Proximidade com fbricas e depsitos
Possibilidade de eventos climticos
Fatores causadores de erros humanos
Ex. insalubridade
Fatores causadores de falha em equipamentos
 Atividade 4 Avaliao de Ameaas

Determinar o Grau de Exposio para as

ameaas de seu grupo.

Justificar com critrios.

4. Identificao e Avaliao de
Vulnerabilidades
O papel das Vulnerabilidades
 Ident. de Vulnerabilidades
So fragilidades ou falhas nos ativos

So exploradas por ameaas para realizao

de incidentes

Afetam confidencialidade, integridade e

disponibilidade
 Ident. de Vulnerabilidades
Vulnerabilidades so passivas
So problemas em potencial
A vulnerabilidade sozinha no um problema

Vulnerabilidade precisa ser explorada

Agente causador ou condio favorvel:
A Ameaas!!!
 Ident. de Vulnerabilidades
Classificao das Vulnerabilidades:

Fsicas;
Naturais;
De hardware;
De software;
Humanas;
Organizacionais;
Etc...
 Ident. de Vulnerabilidades
Vulnerabilidades Fsicas:
Instalaes prediais fora do padro;
CPD mal planejado;
Falta de extintores de incndio;
Detectores de fumaa;
Proximidade com depsitos;
Manutenes mal feitas
Etc...
 Ident. de Vulnerabilidades
Vulnerabilidades Naturais:
Falta de preveno para:
Enchentes;
Terremotos;
Acmulo de poeira;
Umidade;
Temperatura;
 Ident. de Vulnerabilidades
Vulnerabilidades de Hardware:
Desgaste de peas;
Falha de recurso;
Erro de instalao;
M utilizao;
Falta de manuteno;
Etc...
 Ident. de Vulnerabilidades
Vulnerabilidades de Software:
Erros de instalao;
Erros de configurao;
Defeitos de software;
Falta de requisitos de segurana;
 Ident. de Vulnerabilidades
Vulnerabilidades Humanas:
Falta de treinamento;
Falta de conscientizao;
No executar procedimentos de segurana;
Erros ou omisses;
Greves;
 Ident. de Vulnerabilidades
Vulnerabilidades de organizao:
Inexistncia de controles fsicos
Inexistncia de monitoramentos
Inexistncia de Poltica de Segurana
Inexistncia de Plano de Continuidade
Inexistncia de auditorias
Inexistncia de anlises crticas
Indefinio de responsabilidades
Etc...
 Ident. de Vulnerabilidades
Tcnicas de identificao (tecnologia):
Ferramentas automatizadas de vulnerabilidades
Testes de invaso
Anlise da segurana de sistemas
Etc...
 Ident. de Vulnerabilidades
Tcnicas de identificao (gesto):
Entrevistas com gerentes e usurios
Questionrios de segurana
Inspeo fsica
Anlise de documentos
Anlise GAP ISO 27001
Etc...
 Avaliao de Vulnerabilidades
Critrios de avaliao de checklist:

Atendimento total
Atendimento parcial
Atendimento informal
No atendimento
Controle no relevante
 Avaliao de Vulnerabilidades
Critrios de avaliao de boas prticas:

Faz sempre
Faz freqentemente
Faz raramente
No faz
Prtica no relevante
 Avaliao de Vulnerabilidades
Critrios de avaliao de tecnologias:

Controle total do ativo

Permite alterar informaes
Permite copiar informaes
Permite indisponibilizar o ativo
Falha no relevante
 Atividade 5 Ident. Vulnerabilidades

Definir
vulnerabilidades de
diferentes tipos

Para as ameaas
definidas por seu
grupo
 Avaliao de Vulnerabilidades
Deve-se avaliar as vulnerabilidades sob
determinado critrio e escala.

Grau de Deficincia:
Determina o tamanho da deficincia gerada pela
vulnerabilidade
 Atividade 6 Avaliao de
Vulnerabilidades
Determinar o Grau de Deficincia para as
vulnerabilidades de seu grupo

Justificar com critrios.

5. Avaliao do Risco e
Consequncias
Avaliao do Risco
Parmetros de Risco
Parmetros de Risco
Parmetros de Risco
Clculo do Risco
Matriz de Risco
Matriz de Risco
Matriz de Risco
Matriz de Risco
 Critrios para Prtica
Impacto sobre o ativo = (Conf + Int + Disp)/3

Probabilidade = (GE + GV)/2

Risco = (Impacto + Probabilidade)/2

Critrios para Prtica
 Atividade 7 Clculo do Risco
Calcular o risco para os ativos, ameaas e
vulnerabilidades de seu grupo.

Enquadrar o risco na matriz de risco.

Determinar as conseqncias para risco.

6. Tratamento dos Riscos
Tratamento dos Riscos
 Tratamento dos Riscos
Modificar atravs da implantao de
controles.

Aceitar o risco.

Evitar o risco: ex. mudar a empresa de local

geogrfico

Compartilhar: ex. contratar seguros.

 Controles da ISO 27001
5. Poltica de Segurana;
6. Organizando a Segurana da Informao;

7. Gesto de Ativos;
8. Segurana em Recursos Humanos;

9. Segurana Fsica e do Ambiente;

10. Gerenciamento das Operaes e Comunic.
 Controles da ISO 27001
11. Controle de Acesso;
12. Aquisio, Desenvolvimento e Manuteno de
Sistemas de Informao;

13. Gesto de Incidentes de Segurana;

14. Gesto de Continuidade do Negcio;

15. Conformidade;
Atividade 8 Tratamento do Risco
Determine o tratamento para cada um dos
riscos identificados.

Para os riscos a serem modificados, determine

os controles a serem implementados.
 Anlise de Riscos de
Segurana da Informao

Paulo Silva
Tracker Segurana da Informao

PauloSilva@TrackerTI.com