Ameaças, Vulnerabilidades e Análise de Risco

Políticas de Auditoria e Segurança

Qualidades da Informação

• Integridade

• Continuidade

• Confidencialidade

Ameaças Acidentais

• Falhas de equipamento

• Erros humanos

• Falhas do Software

• Falhas de alimentação

• Problemas causados pelas forças da natureza

Ameaças Causadas por Pessoas

• Espionagem• Crimes• Empregados insatisfeitos• Empregados “doentes”• Empregados desonestos• Vandalismo• Terrorismo

• Erros dos Utilizadores

Vulnerabilidades dos Computadores

• Pequenos suportes guardam grandes volumes de dados• Os dados são invisíveis• Os suportes podem falhar• Copiar não anula a informação• Dados podem ficar inadvertidamente retidos• Avanços Tecnológicos• Sistemas Distribuídos• Normas de Segurança

Avaliação dos Riscos

• O que é um risco?– É um contexto que inclui as ameças,

vulnerabilidades e o valor a proteger

• O que é a análise de risco?– É o processo de avaliar em que medida é que

um certo contexto é ou não aceitável para uma organização

Técnicas de Análise de Risco

• Prever cenários de:– Ameaças– Vulnerabilidades

• Para cada cenário:– Prever os prejuízos / Recursos a envolver para

evitar a concretização dos cenários– Fazer uma análise de custo/benefício

Técnicas de Análise de Risco

• Análise subjectiva– Documentos escritos com vários cenários como

base para sessão de “brainstorming”

• Análise Quantitativa– Para cada ameaça quantificar a sua incidência– Estimar o valor dos prejuízos que pode causar– Estimar o custo de combater a ameaça– Pesar as várias ameaças para obter um valor

final (que algoritmo?)

Técnicas de Análise de Risco

• Técnicas Automatizadas– Uso de ferramentas informáticas que

implementam UM algoritmo específico– CRAMM no Reino Unido

• CCTA Risk Analysis and Management Method– CCTA - Central Computer Telecommunications Agency

CRAMM

• 3 Etapas– Etapa 1 - Identificação dos recursos a proteger, seu

custo, grau de criticalidade da sua indisponibilidade, ...

– Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças)

• São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas

CRAMM

– Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.

Vulnerabilidades do Software

• Bugs do sistema operativo– Especificações com erros– Implementação com erros

• Bugs das aplicações– Especificações com erros– Implementação com erros

CERT

• CERT - Computer Emergency Response Team

• Estrutura organizativa que recolhe e divulga debilidades de segurança

• Cadeia segura de troca de informação– Bugs de sistema operativo– Bugs de aplicativos comuns– Vírus