1 / 13

Ameaças, Vulnerabilidades e Análise de Risco

Ameaças, Vulnerabilidades e Análise de Risco. Políticas de Auditoria e Segurança. Qualidades da Informação. Integridade Continuidade Confidencialidade. Ameaças Acidentais. Falhas de equipamento Erros humanos Falhas do Software Falhas de alimentação

saad
Download Presentation

Ameaças, Vulnerabilidades e Análise de Risco

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ameaças, Vulnerabilidades e Análise de Risco Políticas de Auditoria e Segurança

  2. Qualidades da Informação • Integridade • Continuidade • Confidencialidade

  3. Ameaças Acidentais • Falhas de equipamento • Erros humanos • Falhas do Software • Falhas de alimentação • Problemas causados pelas forças da natureza

  4. Ameaças Causadas por Pessoas • Espionagem • Crimes • Empregados insatisfeitos • Empregados “doentes” • Empregados desonestos • Vandalismo • Terrorismo • Erros dos Utilizadores

  5. Vulnerabilidades dos Computadores • Pequenos suportes guardam grandes volumes de dados • Os dados são invisíveis • Os suportes podem falhar • Copiar não anula a informação • Dados podem ficar inadvertidamente retidos • Avanços Tecnológicos • Sistemas Distribuídos • Normas de Segurança

  6. Avaliação dos Riscos • O que é um risco? • É um contexto que inclui as ameças, vulnerabilidades e o valor a proteger • O que é a análise de risco? • É o processo de avaliar em que medida é que um certo contexto é ou não aceitável para uma organização

  7. Técnicas de Análise de Risco • Prever cenários de: • Ameaças • Vulnerabilidades • Para cada cenário: • Prever os prejuízos / Recursos a envolver para evitar a concretização dos cenários • Fazer uma análise de custo/benefício

  8. Técnicas de Análise de Risco • Análise subjectiva • Documentos escritos com vários cenários como base para sessão de “brainstorming” • Análise Quantitativa • Para cada ameaça quantificar a sua incidência • Estimar o valor dos prejuízos que pode causar • Estimar o custo de combater a ameaça • Pesar as várias ameaças para obter um valor final (que algoritmo?)

  9. Técnicas de Análise de Risco • Técnicas Automatizadas • Uso de ferramentas informáticas que implementam UM algoritmo específico • CRAMM no Reino Unido • CCTA Risk Analysis and Management Method • CCTA - Central Computer Telecommunications Agency

  10. CRAMM • 3 Etapas • Etapa 1 - Identificação dos recursos a proteger, seu custo, grau de criticalidade da sua indisponibilidade, ... • Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças) • São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas

  11. CRAMM • Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.

  12. Vulnerabilidades do Software • Bugs do sistema operativo • Especificações com erros • Implementação com erros • Bugs das aplicações • Especificações com erros • Implementação com erros

  13. CERT • CERT - Computer Emergency Response Team • Estrutura organizativa que recolhe e divulga debilidades de segurança • Cadeia segura de troca de informação • Bugs de sistema operativo • Bugs de aplicativos comuns • Vírus

More Related