Ameaas Vulnerabilidades e Anlise de Risco Polticas de
Ameaças, Vulnerabilidades e Análise de Risco Políticas de Auditoria e Segurança
Qualidades da Informação • Integridade • Continuidade • Confidencialidade
Ameaças Acidentais • • Falhas de equipamento Erros humanos Falhas do Software Falhas de alimentação • Problemas causados pelas forças da natureza
Ameaças Causadas por Pessoas • • Espionagem Crimes Empregados insatisfeitos Empregados “doentes” Empregados desonestos Vandalismo Terrorismo • Erros dos Utilizadores
Vulnerabilidades dos Computadores • Pequenos suportes guardam grandes volumes de dados • Os dados são invisíveis • Os suportes podem falhar • Copiar não anula a informação • Dados podem ficar inadvertidamente retidos • Avanços Tecnológicos • Sistemas Distribuídos • Normas de Segurança
Avaliação dos Riscos • O que é um risco? – É um contexto que inclui as ameças, vulnerabilidades e o valor a proteger • O que é a análise de risco? – É o processo de avaliar em que medida é que um certo contexto é ou não aceitável para uma organização
Técnicas de Análise de Risco • Prever cenários de: – Ameaças – Vulnerabilidades • Para cada cenário: – Prever os prejuízos / Recursos a envolver para evitar a concretização dos cenários – Fazer uma análise de custo/benefício
Técnicas de Análise de Risco • Análise subjectiva – Documentos escritos com vários cenários como base para sessão de “brainstorming” • Análise Quantitativa – Para cada ameaça quantificar a sua incidência – Estimar o valor dos prejuízos que pode causar – Estimar o custo de combater a ameaça – Pesar as várias ameaças para obter um valor final (que algoritmo? )
Técnicas de Análise de Risco • Técnicas Automatizadas – Uso de ferramentas informáticas que implementam UM algoritmo específico – CRAMM no Reino Unido • CCTA Risk Analysis and Management Method – CCTA - Central Computer Telecommunications Agency
CRAMM • 3 Etapas – Etapa 1 - Identificação dos recursos a proteger, seu custo, grau de criticalidade da sua indisponibilidade, . . . – Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças) • São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas
CRAMM – Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.
Vulnerabilidades do Software • Bugs do sistema operativo – Especificações com erros – Implementação com erros • Bugs das aplicações – Especificações com erros – Implementação com erros
CERT • CERT - Computer Emergency Response Team • Estrutura organizativa que recolhe e divulga debilidades de segurança • Cadeia segura de troca de informação – Bugs de sistema operativo – Bugs de aplicativos comuns – Vírus
- Slides: 13