Probabilidade de concretiza¸c˜ao de uma amea¸ca

Paralelamente `a estimativa do valor de cada grupo gen´erico de informa¸c˜ao, tendo em conta a equa¸c˜ao de c´alculo do risco ´e necess´ario tamb´em estimar a probabilidade de concretiza¸c˜ao das amea¸cas a que cada grupo est´a sujeito.

Processos Gen´ericos

As organiza¸c˜oes da ´area das TI tˆem como principal actividade desenvolver sistemas, garantindo a sua instala¸c˜ao, bom funcionamento, suporte e manuten¸c˜ao ao longo do tempo. Isto tudo suportado por uma forte estrutura hier´arquica (figura 4.5).

Figura 4.5 – Organigrama standard de uma organiza¸c˜ao de TI

Visto isto, cada n´ıvel de actividade tem a necessidade de gerar, aceder, processar e armazenar informa¸c˜ao quer para o exercer das suas actividades, quer para responder a solicita¸c˜oes dos outros n´ıveis, gerando-se assim fluxos de informa¸c˜ao, dentro de departamentos, entre departamentos, e entre a organiza¸c˜ao e o ambiente exterior.

Deste fluxo de informa¸c˜ao e ap´os uma an´alise cuidada, ´e poss´ıvel identificar um conjunto de processos gen´ericos a que a informa¸c˜ao est´a sujeita, ao longo do seu ciclo de vida, nomeadamente:

• Consultar - processo que permite, a quem de direito, aceder a um determinado documento e conhecer o seu conte´udo;

• Criar - processo que permite que uma entidade origine um documento; • Editar - processo que permite alterar o conte´udo de um documento;

• Organizar - processo que, ao ser executado, permite organizar um conjunto de documentos em suporte de papel;

• Eliminar - processo que permite eliminar parte ou a totalidade da informa¸c˜ao; • Comunicar - processo que permite a transferˆencia de informa¸c˜ao;

• Armazenar - processo que re´une os procedimentos inerentes `a conserva¸c˜ao e guarda da informa¸c˜ao num determinado local.

Neste sentido, as amea¸cas a um determinado grupo gen´erico de informa¸c˜ao derivam das amea¸cas associadas aos diversos processos, descritos acima, a que a informa¸c˜ao est´a sujeita durante a sua existˆencia.

Identifica¸c˜ao de amea¸cas

O passo seguinte consiste na identifica¸c˜ao das amea¸cas associadas a cada processo, por forma a poder determinar a probabilidade de concretiza¸c˜ao de cada uma delas. Este processo, normalmente, ´e constitu´ıdo pelas seguintes fases:

1. An´alise de vulnerabilidades;

2. Identifica¸c˜ao das amea¸cas de acordo com essas vulnerabilidades; 3. Classifica¸c˜ao e descri¸c˜ao das amea¸cas;

No entanto, esta fase ´e bastante problem´atica, pois n˜ao ´e f´acil identificarmos as vulnerabilidades do sistema analiticamente, sem recurso a ferramentas inform´aticas, como vulnerability scanners ou audit tools. Por´em, podemos socorrer-nos

de outros factores para conseguir identificar algumas amea¸cas `a informa¸c˜ao. Nesse sentido, recorrendo `a an´alise das sec¸c˜oes3.2e3.3, podemos assumir duas abordagens:

• Recorrer a estudos estat´ısticos

Ao longo dos anos, tˆem sido feitos v´arios estudos pontuais, primeiro para determinar as amea¸cas mais comuns presentes no ambiente empresarial e posteriormente, estimar a probabilidade de ocorrˆencia da cada uma delas (tabela 4.3).

Tabela 4.3 – Probabilidade de ocorrˆencia de amea¸cas

No

Amea¸cas Probabilidade de Ocorrˆencia

1 V´ırus 78%

2 Abuso de Acesso `a Internet 59% 3 Acesso n˜ao autorizado `a Informa¸c˜ao 39%

4 Invas˜ao de Sistema 37%

5 Nega¸c˜ao de Servi¸co 17%

6 Roubo de Informa¸c˜ao Propriet´aria 10%

7 Fraude Financeira 5%

Por´em, este tipo de abordagem ´e demasiado espec´ıfica, considerando apenas amea¸cas comuns que nem sempre se adequam a determinados ambientes empresariais. Para al´em disso, consideram frequentemente aspectos referentes a amea¸cas f´ısicas, como roubo e/ou destrui¸c˜ao de hardware, que n˜ao interessam a este estudo.

Por outro lado, este tipo de estudos nem sempre fornecem o n´umero de amostras consideradas, para que possamos ter ideia do n´ıvel de rigor e fiabilidade da an´alise. Assim, os resultados acabam por variar de estudo para estudo, de an´alise para an´alise, sendo desta forma, dif´ıcil usar esses dados com confian¸ca, sem correr o risco do resultado final sair deturpado ou distante da realidade.

• Abordagem subjectiva

A alternativa aos estudos estat´ısticos, feitos por entidades externas, ´e a realiza¸c˜ao do nosso pr´oprio estudo, num ˆambito particular e interno `a organiza¸c˜ao, tomando em conta apenas dados que lhe digam respeito.

A primeira fase desta abordagem deve preocupar-se em dividir todas as amea¸cas conhecidas, em categorias.

Se consultarmos a sec¸c˜ao 3.3, verificamos que as amea¸cas podem ser divididas em quatro classes principais: interrup¸c˜ao, intercep¸c˜ao, modifica¸c˜ao e fabrica¸c˜ao. Utilizando apenas estas quatro categorias conseguimos englobar todo o tipo de amea¸cas `a informa¸c˜ao e diminuir o tempo de c´alculo necess´ario para a estimativa da probabilidade de concretiza¸c˜ao de cada uma delas. Para al´em disso podemos tamb´em criar uma correspondˆencia entre estas classes de amea¸cas e as quatro dimens˜oes de seguran¸ca em aprecia¸c˜ao (figura 4.6).

Figura 4.6 – Identifica¸c˜ao de amea¸cas

Nota: Considerando que os dados resultantes de estudos estat´ısticos ficam obsoletos rapidamente, que nem sempre s˜ao fi´aveis nem podem, em muitos dos casos, ser adaptados a casos particulares, sugere-se a utiliza¸c˜ao da abordagem subjectiva.

Contudo, neste caso particular, n˜ao h´a registos sobre as ocorrˆencias de ataques que permitam inferir o valor da probabilidade que se pretende calcular. Assim, tal como no calculo do valor da informa¸c˜ao, o valor da probabilidade ser´a estimado de forma subjectiva, com base na opini˜ao de um conjunto de peritos (modelo de Delphi).