Abordagens para avaliação de risco e de conformidade

Nesta seção são apresentadas sínteses de trabalhos que buscam avaliar riscos e conformidade de segurança.

Uma abordagem de identificação de ameaça em que é construído um modelo quantitativo de risco de segurança para sistemas de informação é proposta por Jouini et al. (2015) com o objetivo de ajudar os gerentes a avaliar com precisão as ameaças de segurança. Um método para complementar o processo de seleção de serviços, derivando quantitativamente o grau de conformidade com o CCM (Cloud Controls Matrix) para diferentes serviços da nuvem é proposto por Pumvarapruek & Senivongse (2014). O objetivo principal é aplicar a classificação de texto na classificação de informações publicadas nas páginas Web dos provedores para determinar quais práticas e diretrizes de segurança os provedores seguiram ao fornecer seus serviços. As melhores práticas e diretrizes de segurança do CCM e do CAIQ (Consensus Assessments Initiative Questionnaire) (CSA, 2015) são usadas como base para classificar por nível de conformidade as páginas Web dos provedores. Um Processo de Certificação (SBIS-CFM) para Sistemas de Registro Eletrônico em Saúde (S-RES) é proposto por Leão, Giulliano, Lúcio, & Galvão (2013); o processo destina-se a avaliar sistemas que coletam, armazenam, apresentam, transmitem ou imprimem informações pessoais sobre a saúde de pacientes. A certificação possui 2 manuais, a saber: Manual de Certificação S-RES (CM); Manual Operacional de Testes e Análises para Certificação S-RES (OM) (Giulliano, Lúcio, & Galvão, 2014). OM apresenta um método para avaliar a conformidade com requisitos de segurança, por meio de um conjunto de casos de teste (chamados de scripts); os scripts são divididos em níveis de segurança.

No que diz respeito ao gerenciamento de riscos, métodos e modelos conceituais visam a aprimorar a segurança. Um método para gerenciamento de risco e um modelo conceitual expresso por meio de ontologia são apresentados por Pereira & Santos (2010); o trabalho baseia-se numa abordagem ontológica para estruturar e organizar informações de segurança. O modelo conceitual definido é composto de 8 conceitos, com base nos padrões de segurança ISO/IEC_JCT1, e é representado em uma estrutura de ontologia. Os 8 conceitos descritos são: (i) Incidente; (ii) Evento de Segurança; (iii) Ativo; (iv) CIA (confidencialidade, integridade e autenticidade); (v) Ameaça; (vi) Ataque; (vii) Controle; e (viii) Vulnerabilidade.

Processos e padrões de segurança para desenvolvimento de software com o objetivo de minimizar riscos e apoiar engenheiros no processo de desenvolvimento são propostos por Moradian, Håkansson, & Andersson (2012). O projeto dos padrões de software baseia-se em ontologias, que fornecem conhecimento estruturado que pode ser

reutilizado e combinado. Além disso, é apresentada uma visão geral da ontologia de segurança proposta. Um processo baseado em reuso e centrado no padrão Common Criteria (ISO/IEC, 2008a, 2008b, 2009) é apresentado por Mellado et al. (2007); este trabalho trata dos requisitos de segurança nos estágios iniciais do desenvolvimento de software de forma sistemática. A principal contribuição é fornecer um repositório de recursos de segurança no ciclo de vida do software, além da integração de Common Criteria e SSE-CMM (ISO/IEC, 2008c).

Uma abordagem orientada por modelo para avaliar e medir os sistemas de segurança é apresentada por Rieke, Schütte, & Hutchison (2012) com o objetivo de fornecer um modelo extensível para todas as partes do processo de monitoramento e suporte à decisão, a saber: (i) detectar eventos ameaçadores; (ii) inserir eventos ameaçadores no contexto do estado atual do sistema; (iii) explicar o seu potencial impacto; e (iv) tomar as ações apropriadas. Os autores definem como “Arquitetura” a proposta de um Meta-Modelo (Security Information Meta-Model – SIMM – and Security Strategy Meta-Model – SSMM) e um Framework (Security Strategy Processing Components – components of conceptual framework). Segundo os autores, o SSMM fornece uma maneira de modelar políticas de segurança em nível abstrato, e pode ser compilado em regras específicas para monitoramento, suporte a decisão e imposição de aplicação (enforcement). O modelo de implantação proposto abrange todas as partes do processo de gerenciamento de segurança em tempo de execução, que geralmente são fornecidos por diferentes sistemas, tais como IDS/IPS, SIEM, e sistemas de gerenciamento de risco e conformidade. A estrutura fornece um mecanismo para coletar informações sobre sistemas operacionais para verificar se o sistema atinge os objetivos de segurança.

Diretrizes para a criação de uma política de avaliação de segurança são propostas no Guia para Avaliação de Segurança do NIST (NIST, 2008). A metodologia proposta apresenta requisitos mínimos e melhores práticas para o processo de avaliação de segurança. As recomendações são apresentadas nas seguintes fases: planejamento, teste e pós-teste. É apresentada uma lista de verificação para selecionar o melhor método ou abordagem para realizar a avaliação de segurança. Não é objetivo apresentar um programa abrangente de avaliação ou teste de segurança da informação, mas sim uma visão geral dos elementos-chave dos testes e avaliações de segurança com ênfase em técnicas específicas, seus benefícios, limitações e recomendações para seu

uso. Este trabalho não propõe métricas ou medidas para seleção ou priorização de controles durante a fase de planejamento.

O estudo apresentado por Vibhandik & Bose (2015) busca mostrar como a combinação de ferramentas (ou técnicas), pode aumentar a cobertura de testes de vulnerabilidade para aplicações Web, considerando a modelagem de ameaças baseada em OWASP Top 10 (OWASP, 2015). Neste trabalho, foram combinados dois scanners de vulnerabilidades conhecidas (W3AF (W3AF.ORG, 2017) e Nikto (CIRT.NET, 2017)) para apoiar a avaliação na fase de execução. Não são apontados no trabalho quais os critérios usados para selecionar os casos de teste nas ferramentas.

Um modelo de medição para avaliação dos níveis de implementação da segurança da informação em organizações é proposto por Stambul & Razali (2011). O modelo consiste em três níveis de maturidade que determinam os graus em que a segurança da informação é abordada em uma organização. Os níveis contêm vários fatores que são necessários para garantir a segurança da informação. O estudo utilizou revisão sistemática de literatura como instrumento para determinar os parâmetros de medição apropriados. Os parâmetros identificados foram combinados com modelos gerais e padrões de medição de segurança da informação. O modelo pode ser usado por organizações para determinar seus níveis de maturidade para garantir a segurança de suas informações.