Segurana e Auditoria de Sistemas de Informao - 4 GTI

__________________________________________________________________________

Assunto: ANLISE DE RISCO - CONCEITOS

O objetivo da anlise de riscos medir ameaas, vulnerabilidades e impactos em
um determinado ambiente, de forma a proporcionar a adoo de medidas
apropriadas tanto s necessidades de negcio da instituio, ao proteger seus
recursos de informao, como aos usurios, que precisam utilizar esses recursos,
levando em considerao justificativas de custos, nvel de proteo e facilidade de
uso. (DIAS, 2000, p.54).
Portanto, de uma forma bem simplificada, anlise de risco o processo de avaliar
em que medida um certo contexto ou no aceitvel para uma organizao.
S devemos aceitar correr um risco, quando a anlise de riscos demonstrar
que o custo do controle aplicado para reduzir este risco, for maior do que o
custo do prprio risco.
Passos iniciais para uma anlise de risco Voc no consegue se proteger de algo que voc no conhea.
Na medida em que a organizao conhece os riscos e as ameaas que
colocam em perigo o alcance dos seus objetivos de negcios, mais chances
essa organizao ter de alcanar esses objetivos.
Com o conhecimento dos riscos possvel planejar as polticas e
procedimentos que podero ser implementados para a reduo destes riscos.
necessrio fazer uma anlise custo-benefcio antes de tomar qualquer
medida: quando o custo de se proteger mais alto que o dano que a ameaa
pode provocar, essa ameaa no merece ser combatida.
Existem muitas formas de se avaliar risco, porm como segurana um
sentimento e no um dado exato, cada empresa dever encontrar sua prpria
frmula de sucesso.
Ter Risco significa ter uma Chance
o Quando montamos uma rede poderemos ter os servios paralisados.
o Quando atravesso uma rua longe do farol posso ser atropelado.
RISCOS Risco a probabilidade de que agentes, que so ameaas, explorem fragilidades,
que so vulnerabilidades, expondo os ativos a perdas de confidencialidade,
integridade e disponibilidade, e causando impactos nos negcios. (SMOLA, 2003,
p.55).
Estes impactos so limitados por medidas de segurana que protegem os ativos,
impedindo que as ameaas explorem as vulnerabilidades, diminuindo, assim, o
risco. (SMOLA, 2003, p.56).
Risco um perigo ou possibilidade de perigo. a probabilidade de acontecer algo,
pela explorao dos pontos fracos de um determinado ambiente, provocando
possveis problemas financeiros e impactos nos negcios.
_________________________________________________________________________
Notas de aula do prof. Moreira Anlise de Riscos - conceitos
1
(6)

Segurana e Auditoria de Sistemas de Informao - 4 GTI

__________________________________________________________________________
EX PL ORA M

A M EA A S

V U L N ERA B I L I DA DES

TA

CON T ROL ES

M
A
IC

IM

PA

T EM
C

D
IN
M EDI DA S DE
SEGU RA N A

A T I V OS

RI SCOS

I M PL EM EN T A DAS
COM

EX PEM

EN

TA

PROT EGEM
CON T RA

EX I GEM

TA

M
V A L ORES A SEREM
PROT EGI DOS

AMEAAS
Evento ou atitude indesejvel (roubo, incndio, vrus, etc.) que potencialmente
remove, desabilita, danifica ou destri um recurso. (DIAS, 2000, p.55)
algo que pode resultar em incidentes inesperados que podem causar danos e
prejuzos a uma organizao. Normalmente difcil evitar a ocorrncia de tais
eventos, porm eles geralmente podem ser facilmente detectados.
o Acesso e/ou uso no autorizado
o Vazamento de informaes
o Softwares mal intencionados
o Falhas de software
o Desvio de mensagens
o Fenmenos de natureza
o Uma data no calendrio
o Invaso, roubo, etc.
o Outras
Ameaas naturais
So aquelas ameaas representadas por fenmenos da natureza: enchentes,
aquecimento, poluio, incndios naturais, vendavais, terremotos, etc.
Ameaas intencionais
So aquelas ameaas representadas por aes propositais causadas por agentes
humanos internos ou externos organizao. Exemplos: hackers, invasores,
espies, ladres, criadores e disseminadores de vrus de computador, incendirios.
Obteno fsica de arquivos, discos, fitas e listagens, por roubo, cpia ou
pirataria.
Ao de estranhos, na tentativa de identificao ou autenticao mascarada
como usurio legtimo.
_________________________________________________________________________
Notas de aula do prof. Moreira Anlise de Riscos - conceitos
2
(6)

Segurana e Auditoria de Sistemas de Informao - 4 GTI

__________________________________________________________________________
Ao do operador, revelando medidas de proteo.
Ao do pessoal de manuteno, sabotando ou utilizando de forma indevida,
utilitrios ou equipamentos.
Ao de programadores, explorando o sistema, desarmando protees,
forando acessos atravs de gatilhos colocados dentro do sistema
operacional.
Grampos nos canais de comunicao.
Os crimes digitais facilitados pela amplitude ilimitada da Internet e pela quase
inexistncia de legislao prpria para inibi-los ou puni-los, na maioria dos
pases.
Ameaas no intencionais Este tipo de ameaa, geralmente ocorre pela ignorncia dos envolvidos. Pode ser
causada por acidentes, erros, falta de energia, etc.
Falta de treinamento do usurio ou mesmo do Administrador da Rede.
No entendimento de um manual ou documentao.
Arquivos enviados por engano.
Arquivos ou anotaes esquecidas em micro, mesa etc.
Mquina aberta com login e sem o usurio presente.
Listagens abandonadas em cestas de lixo ou em impressoras compartilhadas.
VULNERABILIDADES
Fraquezas associadas aos ativos que manipulam e/ou processam informaes, que
caso sejam exploradas por uma ameaa representam riscos para a organizao.
Vulnerabilidade representada pelo ponto fraco onde o sistema poder ser
suscetvel a ataque.
As vulnerabilidades, por si s, no provocam incidentes, pois so elementos
passivos, necessitando para tanto de um agente causador ou condio favorvel,
que so as ameaas. (SMOLA, 2003, p.48).
o
o
o
o
o
o
o
o
o

Localizao fsica inadequada das instalaes.

Falta de equipamentos contra incndio.
Desgaste, obsolescncia ou m utilizao do hardware.
Erros na instalao ou configurao do software.
Falta de cuidados com a mdia.
Acessos no autorizados ou perda de comunicao.
No execuo de rotinas de segurana.
Falta de treinamento adequado.
Compartilhamento de informaes confidenciais.

Mesmo que as ameaas paream

vulnerabilidades devem ser identificadas.

insignificantes,

todas

as

possveis

oportuno observar que novas tecnologias trazem consigo novas vulnerabilidades.

o que est acontecendo, por exemplo, com a recente tecnologia wireless que cria
_________________________________________________________________________
Notas de aula do prof. Moreira Anlise de Riscos - conceitos
3
(6)

Segurana e Auditoria de Sistemas de Informao - 4 GTI

__________________________________________________________________________
situaes novas para as quais no havia sido pensado ainda qualquer mecanismo
de defesa.
IMPACTO
o resultado de uma vulnerabilidade ter sido explorada por uma ameaa. o que
acontece aps uma ameaa ter se concretizado. o tamanho dos danos causados
aos negcios de uma organizao por um incidente de segurana.
O impacto depende diretamente do grau de importncia daquilo que foi prejudicado
pelo incidente. Por exemplo, observemos o impacto visto pelo dono de uma casa
que corre o risco de ser roubada:
Rico da cidade na minha cidade acontecem muitos roubos e se minha casa
for roubada, mando minha secretria comprar tudo de novo.
O risco grande mas o impacto pequeno.
Pobre da cidade na cidade ocorrem muitos roubos e se minha casa for
roubada, vai ser impossvel comprar tudo de novo.
O risco e o impacto so grandes.
ATIVOS
Ativo todo elemento que compe os processos que manipulam e processam a
informao, a contar a prpria informao, o meio em que ela armazenada, os
equipamentos em que ela manuseada, transportada e descartada. (SMOLA,
2003, p.45).
A norma ISO/IEC 17799 trouxe a expresso ativo, da rea financeira, por considerlo um elemento que tem um valor para a organizao e que, portanto, tem que ser
protegido atravs de mecanismos adequados.
Valor do Ativo
Deve considerar tambm:
Valor da reposio.
Valor da informao no mercado.
Valor da perda dos negcios.
Valor da perda da credibilidade.
Identificao dos ativos
Ativos fsicos
o Equipamentos computacionais (processadores, monitores, laptops,
modems).
o Equipamentos de comunicao (roteadores, PABXs, fax, secretrias
eletrnicas, celulares).
o Mdias magnticas (fitas, discos, CD, DVD, pen-drive).
o Outros equipamentos tcnicos (no-breaks, ar condicionado).
o Equipamentos de proteo.
o Moblia e acomodaes.
Ativos de servios
o Computao e servios de comunicao
o Utilidades gerais
_________________________________________________________________________
Notas de aula do prof. Moreira Anlise de Riscos - conceitos
4
(6)

Segurana e Auditoria de Sistemas de Informao - 4 GTI

__________________________________________________________________________
o Climatizao
o Iluminao
o Eletricidade
o Refrigerao
Ativos de software
Aplicativos
Sistemas
Ferramentas de desenvolvimento
Utilitrios
INFORMAO
A informao representa a inteligncia competitiva dos negcios e reconhecida
como ativo crtico para a continuidade operacional e sade da empresa. (SMOLA,
2003, p.39). o ativo cada vez mais valorizado nas empresas na era do
conhecimento e, portanto, o que mais preocupa a segurana de uma organizao
hoje em dia.
O valor da informao deve ser avaliado em funo de sua importncia, utilidade e
valor financeiro. Saber avaliar ser de fundamental importncia, quando for feita uma
anlise de riscos. Diferentes tipos de informao devem ser protegidos de maneiras
diferentes.
Todas as informaes da Empresa podem ser classificadas em um dos quatro tipos
definidos a seguir, de acordo com a criticidade que representam para o negcio da
Empresa:
SECRETA - Seu conhecimento, uso e acesso so restritos a um grupo
especfico da alta administrao da Empresa e aos usurios por ela
designados nominalmente, no podendo ser divulgada total ou parcialmente,
em qualquer formato a outros usurios no designados. Qualquer acesso
indevido extremamente crtico para a organizao. Exemplo: dados
militares, dados de segurana nacional.
CONFIDENCIAL - Trata-se da informao cujo acesso deve estar restrito aos
usurios que dela necessitam para cumprir suas tarefas. Sua revelao
externa causaria danos Empresa. Exemplo: dados pessoais de clientes e
funcionrios, senhas, contratos, balanos, etc.
INTERNA - a informao de uso restrito a assuntos pessoais, tcnicos ou
organizacionais que tornam seu uso possvel somente dentro da empresa.
Acessos indevidos no traro conseqncias crticas. Exemplo: servios de
informao interna ou documentos de trabalho corriqueiros que s interessam
aos funcionrios.
PBLICA - Refere-se informao que pode estar disponvel para os
usurios externos ao ambiente da Empresa, incluindo clientes e fornecedores,
sem que exista qualquer restrio em assuntos pessoais, tcnicos ou
organizacionais e cuja divulgao indevida no acarrete impacto Empresa.
Exemplo: servios de informao ao pblico em geral, informaes divulgadas
imprensa ou pela Internet.

_________________________________________________________________________
Notas de aula do prof. Moreira Anlise de Riscos - conceitos
5
(6)

Segurana e Auditoria de Sistemas de Informao - 4 GTI

__________________________________________________________________________
MEDIDAS DE SEGURANA
So algumas providncias preventivas desenvolvidas e colocadas em prtica para
combater ameaas identificadas. Como no possvel eliminar todos os riscos, as
medidas de segurana servem para minimizar o risco das ameaas. Por exemplo:
Padronizao Utilizao de polticas, normas, procedimentos e instrues.
Recursos Controle de acesso fsico e lgico, backup automtico.
Culturais Palestras, treinamento, capacitao.
Administrativas Auditoria, aes preventivas, aes corretivas.
EXEMPLO DOS CONCEITOS VISTOS AT AGORA
Imaginemos o risco de uma residncia ter todos os seus objetos roubados:
Risco: roubo.
Ativo: objetos existentes na casa.
Ameaa: ladro.
Vulnerabilidade: dormir de janela aberta.
Impacto: perda de conforto, comprar tudo de novo.
Medidas de segurana a serem adotadas: fechar janelas, colocar alarme,
comprar cachorro, fazer seguro.

BIBLIOGRAFIA UTILIZADA

APPARECIDO, Edison R. Notas de aula do curso de TGSI, da UNINOVE,

So Paulo. 2004
DIAS, Cludia. Segurana e Auditoria da Tecnologia da Informao. Rio
de Janeiro: Axcel Books, 2000.
NAKAMURA, Emlo T., GEUS, P. L. Segurana de Redes em Ambientes
Cooperativos. So Paulo: Futura, 2004.
SMOLA, Marcos. Gesto da Segurana da Informao: uma viso
executiva. Rio de Janeiro: Ed. Elsevier, 2003.

_________________________________________________________________________
Notas de aula do prof. Moreira Anlise de Riscos - conceitos
6
(6)