180 likes | 507 Views
Ameaças, Vulnerabilidades e Análise de Risco. Políticas de Auditoria e Segurança. Qualidades da Informação. Integridade Continuidade Confidencialidade. Ameaças Acidentais. Falhas de equipamento Erros humanos Falhas do Software Falhas de alimentação
E N D
Ameaças, Vulnerabilidades e Análise de Risco Políticas de Auditoria e Segurança
Qualidades da Informação • Integridade • Continuidade • Confidencialidade
Ameaças Acidentais • Falhas de equipamento • Erros humanos • Falhas do Software • Falhas de alimentação • Problemas causados pelas forças da natureza
Ameaças Causadas por Pessoas • Espionagem • Crimes • Empregados insatisfeitos • Empregados “doentes” • Empregados desonestos • Vandalismo • Terrorismo • Erros dos Utilizadores
Vulnerabilidades dos Computadores • Pequenos suportes guardam grandes volumes de dados • Os dados são invisíveis • Os suportes podem falhar • Copiar não anula a informação • Dados podem ficar inadvertidamente retidos • Avanços Tecnológicos • Sistemas Distribuídos • Normas de Segurança
Avaliação dos Riscos • O que é um risco? • É um contexto que inclui as ameças, vulnerabilidades e o valor a proteger • O que é a análise de risco? • É o processo de avaliar em que medida é que um certo contexto é ou não aceitável para uma organização
Técnicas de Análise de Risco • Prever cenários de: • Ameaças • Vulnerabilidades • Para cada cenário: • Prever os prejuízos / Recursos a envolver para evitar a concretização dos cenários • Fazer uma análise de custo/benefício
Técnicas de Análise de Risco • Análise subjectiva • Documentos escritos com vários cenários como base para sessão de “brainstorming” • Análise Quantitativa • Para cada ameaça quantificar a sua incidência • Estimar o valor dos prejuízos que pode causar • Estimar o custo de combater a ameaça • Pesar as várias ameaças para obter um valor final (que algoritmo?)
Técnicas de Análise de Risco • Técnicas Automatizadas • Uso de ferramentas informáticas que implementam UM algoritmo específico • CRAMM no Reino Unido • CCTA Risk Analysis and Management Method • CCTA - Central Computer Telecommunications Agency
CRAMM • 3 Etapas • Etapa 1 - Identificação dos recursos a proteger, seu custo, grau de criticalidade da sua indisponibilidade, ... • Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças) • São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas
CRAMM • Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.
Vulnerabilidades do Software • Bugs do sistema operativo • Especificações com erros • Implementação com erros • Bugs das aplicações • Especificações com erros • Implementação com erros
CERT • CERT - Computer Emergency Response Team • Estrutura organizativa que recolhe e divulga debilidades de segurança • Cadeia segura de troca de informação • Bugs de sistema operativo • Bugs de aplicativos comuns • Vírus