Segurança e Auditoria de Sistemas

(1)

1

Prof. Othon M. N. Batista ([email protected])

Segurança e Auditoria de Sistemas

ABNT NBR ISO/IEC 27002

4. Análise, Avaliação e Tratamento de Riscos

(2)

2

Roteiro (1/1)

●

Definições

●

Análise e Avaliação de Riscos

●

Tratamento de Riscos

●

Matriz de Análise de Riscos

●

Considerações

(3)

3

Definições (1/4)

●

Algumas definições do item 2 da norma são

importantes para a análise, avaliação e tratamento

dos riscos:

✔

Risco

: combinação da probabilidade de um

evento e de suas conseqüências.

✔

Análise de riscos:

uso sistemático de

informações para identificar fontes e estimar o

risco.

(4)

4

Definições (2/4)

✔ Análise/avaliação de riscos: processo completo de análise e avaliação de riscos.

✔ Avaliação de riscos: processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco.

✔ Gestão de riscos: atividades coordenadas para

direcionar e controlar uma organização no que se refere a riscos.

(5)

5

Definições (3/4)

✔ Tratamento do riscos: processo de seleção e

implementação de medidas para modificar um risco.

✔ Ameaça: causa potencial de um incidente indesejado, que pode resultar em um dano para um sistema ou

organização.

✔ Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais

(6)

6

Análise e Avaliação de Riscos (1/6)

●

Convém que:

– as análises/avaliações de riscos identifiquem,

quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização;

(7)

7

Análise e Avaliação de Riscos (2/6)

●

Convém que:

– os resultados orientem e determinem as ações de gestão e as prioridades para o gerenciamento dos riscos de segurança da informação, para a

implementação dos controles selecionados de maneira a proteger contra estes riscos;

(8)

8

Análise e Avaliação de Riscos (3/6)

●

Convém que:

– a análise/avaliação de riscos inclua um enfoque

sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos

estimados contra os critérios de risco para a significância do risco (avaliação do risco);

(9)

9

Análise e Avaliação de Riscos (4/6)

●

Convém que:

– as análises/avaliações de riscos sejam realizadas periodicamente de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis;

(10)

10

Análise e Avaliação de Riscos (5/6)

●

Convém que:

– a análise/avaliação de riscos de segurança da

informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.

(11)

11

Análise e Avaliação de Riscos (6/6)

●

Exemplos de metodologias de análise/avaliação

de riscos são discutidas em:

ISO/IEC TR 13335-3 – Guidelines for the

Management of IT Security: Techniques for

the Management of IT Security.

(12)

12

Tratamento de Riscos (1/7)

●

Convém que:

– antes de considerar o tratamento de um risco;

– a organização defina os critérios para determinar se os riscos podem ou não ser aceitos.

●

Riscos podem ser aceitos se, por exemplo, for

avaliado que o risco é baixo ou que o custo do

tratamento não seja economicamente viável.

(13)

13

Tratamento de Riscos (2/7)

● Para cada risco identificado, uma decisão sobre o

tratamento do mesmo deve ser tomada.

● Possíveis tratamentos para riscos:

– aplicar controles apropriados para reduzir os riscos; – conhecer e objetivamente aceitar os riscos, sabendo

que eles atendem claramente à política da

organização e aos critérios para a aceitação do risco; – evitar riscos;

(14)

14

Tratamento de Riscos (3/7)

● Convém que os controles, quando aplicáveis aos riscos,

sejam selecionados e implementados para atender aos requisitos identificados na análise/avaliação dos riscos.

● Convém que os controles reduzam os riscos a um nível

aceitável, levando-se em conta: – as leis e regulamentos;

– os objetivos organizacionais;

(15)

15

Tratamento de Riscos (4/7)

– (...continuação)

– custo de implementação e operação em relação aos riscos que estão sendo reduzidos e que permanecem proporcionais às restrições e requisitos da

organização;

– a necessidade de balancear o investimento na implementação e operação de controles contra

probabilidade de danos que resultem em falhas de segurança da informação.

(16)

16

Tratamento de Riscos (5/7)

●

Os controles podem:

– ser selecionados desta norma ou;

– de outros conjuntos de controles ou;

– novos controles podem ser considerados para atender especificidades da organização.

(17)

17

Tratamento de Riscos (6/7)

●

Alguns controles podem não ser utilizáveis em

todas as organizações.

●

Convém que os controles de segurança da

informação sejam considerados na especificação

dos requisitos e nos estágios iniciais dos projetos

de sistemas.

(18)

18

Tratamento de Riscos (7/7)

●

Convém que seja sempre lembrado que nenhum

conjunto de controles garante segurança total.

●

Não existe segurança total.

(19)

19

Matriz de Análise de Risco (1/6)

●

A matriz de análise de risco é um dos meios de

analisar os riscos de uma organização.

●

Ela é uma tabela composta pelas seguintes

colunas:

– ativos; - vulnerabilidades; – ameaças; - probabilidade;

(20)

20

Matriz de Análise de Risco (2/6)

● Todos os ativos dentro do escopo analisado devem ser

listados na tabela.

● Cada ativo tem um conjunto de vulnerabilidades.

● Cada vulnerabilidade pode sofrer uma determinada

(21)

21

Matriz de Análise de Risco (2/6)

● Existe uma probabilidade de ocorrência para cada

ameaça.

(22)

22

Matriz de Análise de Risco (3/6)

●

Valores para probabilidade de ameaça:

– 0: improvável de ocorrer, menos de uma vez por ano; – 1: pelo menos de uma vez por ano;

– 2: pelo menos uma vez por semestre; – 3: pelo menos uma vez por mês;

– 4: pelo menos uma vez por semana; – 5: diariamente.

(23)

23

Matriz de Análise de Risco (4/6)

●

Cada ameaça tem um impacto, caso ocorra.

●

Este impacto também pode ser discretizado.

●

Cada ameaça deve ser tratada (ou não), conforme

(24)

24

Matriz de Análise de Risco (5/6)

●

Valores para impacto de ameaça:

– 0: irrelevante;

– 1: efeito pouco significativo, sem afetar a maioria dos processos de negócios;

– 2: sistemas não disponíveis por um determinado

período de tempo, pode causar perda de credibilidade e pequenas perdas financeiras;

(25)

25

Matriz de Análise de Risco (6/6)

– (...continuação)

– 3: perda de credibilidade;

– 4: efeitos desastrosos, sem comprometer a imagem; – 5: efeitos desastrosos, comprometem a imagem.