Continuando a sequência de posts sobre segurança da informação, resumo preparatório para a realização do Exame de Certificação da ISO 27002.
2 – Ameaças e Riscos
2.1 – Ameaça
Fatores / situações que podem levar a um dano ou perda de informação
2.2 – Risco
É a chance que uma ameaça irá de fato ocorrer e suas consequências
2.3 – Incidente de Segurança
2.3.1 - Conceito
• Quando uma ameaça se manifesta
2.3.2 – Alguns Exemplos
• Hacker conseguiu invadir a rede
• Informações confidenciais vazaram no mercado
• Um documento importante foi perdido
• Usuário esqueceu um documento na impressora
• A porta de acesso à sala de servidores foi esquecida aberta
• O monitor está apresentando mensagens estranhas
2.4 – Análise de Risco
2.4.1 - Conceito
• Metodologia empregada para ajudar a identificar riscos e medidas
• É uma etapa do Gerenciamento de riscos
2.4.2 – Meta Principal
• Assegurar que medidas de segurança são implementadas a um custo-efetivo e em tempo hábil e consequentemente fornecer respostas efetivas para as ameaças
2.4.3 - Objetivos
• Identificar os ativos de informação e seus valores
• Determinar vulnerabilidades e ameaças
• Determinar o risco de ameaças se tornarem uma realidade e impactar os processos operacionais da empresa
• Determinar um equilíbrio entre custos de um incidente os custos de uma medida de segurança
2.4.4 – Tipos
2.4.4.1 – Análise Quantitativa
• Calcula, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameaça pode se tornar um incidente
• Serve para determinar os custos de medidas de segurança e os custos do objeto a ser protegido
2.4.4.2 – Análise Qualitativa
• É baseada em cenários e situações
• As chances de uma ameaça se tornar real são examinadas com base em julgamentos subjetivos (experiência das pessoas)
2.5 – Gerenciamento de Riscos
2.5.1 - Conceito
• É o processo contínuo que identifica, examina e reduz os riscos a um nível aceitável.
2.5.2 – Responsáveis
• Information Security Officer (ISO)
• Chief Information Security Officer (CISO)
2.6 – Medidas para Reduzir o Risco
2.6.1 - Redutiva
• Reduz a ameaça antes dela se manifestar.
2.6.2 – Preventiva
• Torna a ameaça impossível antes dela se manifestar
• Exemplo: evitar acessar os sistemas internos via internet
2.6.3 - Detectiva
• Garante que cada incidente possa se detectado o mais rápido possível e que todo mundo seja informado do que está acontecendo.
• Exemplo: vigilância por vídeo
2.6.4 – Repressiva
• Para minimizar as consequências de um incidente após ele ocorrer
• Exemplo: usar extintor de incêndio
2.6.5 – Corretiva
• Recuperar algo após um incidente ter ocorrido
• Exemplo: restaurar o banco de dados usando o backup
2.7 – Tipos de Ameaças
2.7.1 –Humana Intencional
• Danos à informação causados por pessoas de forma proposital.
• Exemplos: hackers, empregados revoltados, engenharia social.
2.7.1.1 – Engenharia Social
• Quando alguém tenta ganhar confiança de um funcionário se passando por colega, cliente ou fornecedor, mas está tentando obter informação confidencial.
2.7.2 – Humana Não Intencional
• Danos causados por pessoas de forma involuntária
• Exemplos: pressionar botão delete sem querer, pendrive com vírus, uso inadequado de extintor de incêndio
2.7.3–Não humana
• São normalmente influências externas.
• Exemplos: raios, incêndio, inundação, tempestade.
2.8 – Tipos de Danos
2.8.1 – Conceito
• Dano resultante da manifestação de ameaças
2.8.2 – Tipos de Danos
2.8.2.1 – Dano Direto
• Danos diretos provocados pela manifestação de uma ameaça
• É a primeira perda provocada pelo incidente de segurança
2.8.2.1.1 – Exemplos
• Roubo de laptops
• Dados perdidos devido a ataques de hackers
• Servidor foi danificado após usar o extintor de incêndio
2.8.2.2 – Dano Indireto
• É o dano consequente que pode ocorrer após uma ameaça se manifestar
2.8.2.2.1 – Exemplo
• O incêndio destrói a infraestrutura de TI e com isto a empresa perde o contrato com um cliente importante.
• Perda de reputação no mercado devido a um incidente de segurança que deixou o site da empresa indisponível por horas.
• Perda de vendas no site devido a este ter ficado fora do arapós um ataque de hackers
2.8.2.3 – Expectativa de Perda Anual
• É a quantia da perda/prejuízo - expressa em valores monetários - que pode resultar de um incidente em um ano
• Exemplo: Se a empresa tem uma média de 10 laptops roubados a cada ano, a expectativa de perda anual é o valor dos 10 laptops, incluindo os dados e softwares instalados neles.
2.8.2.4 – Expectativa de Perda Única
• Prejuízo causado por um único incidente de segurança
• Diferente da Expectativa de Perda Anual que considera a perda durante um ano
2.9 - Tipos de Estratégias para Riscos
2.9.1 - Suportar / Aceitar (Riskbearing)
• Quando a empresa aceita os riscos e não adota medidas preventivas
• É usada quando os custos das medidas de segurança excedem o dano possível
• Neste tipo de estratégia, a organização pode adotar medidas repressivas somente quando a ameaça de fato se manifestar.
2.9.2 - Neutralizar / Reduzir (Risk neutral)
• Medidas de segurança são tomadas de forma que as ameaças não se manifestem mais, ou se manifestarem, o dano resultante será minimizado
• A maioria das medidas tomadas são uma combinação de medidas preventivas, detectivas e repressivas
2.9.3 - Evitar (Riskavoiding)
• Medidas são tomadas para que a ameaça seja eliminada de forma que a ameaça não conduza a um incidente (não se manifeste)
• Exemplo: para evitar a ferrugem em vez de usar material de ferro, usa-se material plástico.
• A maioria das medidas tomadas são preventivas
Bons estudos e até o próximo post!
Assinar:
Postar comentários (Atom)
Postagens
Nenhum comentário:
Postar um comentário