Gerenciamento de riscos de segurança da informação - MOD02

Introdução a Segurança da Informação Faculdade Ruy Barbosa

Por Fernando Palma

MOD 2 – Gerenciamento de Riscos de SI

Introdução a Segurança da Informação

Professor Fernando Palma([email protected])

(71) 8837-0007http://portalgsti.com.br

Pós Graduação em Qualidade e Governança de TI

mailto:[email protected]

http://portalgsti.com.br/


Agenda

● Conceitos de riscos

● Análise de Riscos

● Estratégias para lhe dar com riscos


Conceitos de riscos

Ameaça:É o que provoca um risco, um dano ou uma perda.


Conceitos de riscos

Vulnerabilidade:A fragilidade ativo em relação a uma possível ameaça.


Conceitos de riscos

Exemplos de ameaças e vulnerabilidades:

Ameaças• Ataque de hacker• Incêndio• Inundação

Vulnerabilidades• Falta de contigência• Firewall desatualizado• Falta de no brake• Controles de segurança inadequados


Conceitos de riscos

Incidente de Segurança da Informação: quando uma ameaça de manifesta.


Conceitos de riscos

Risco: um risco de segurança é o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou danos a um ativo ou um grupo de ativos.

Probabilidade da ameaça

Vu

lnera

bili

dad

e

Baixa Média Alta

Baixa

Média

Alta


Conceitos de riscos

Exemplos de riscos de Segurança da Informação:

Perda de disponibilidade da informação Perda de credibilidade da empresa Perda de integridade da informação Parada do processo de negócio por conta de falhas em TI


Agenda





Análise de Riscos

Análise de riscos

• É uma ferramenta usada no Gerenciamento de Riscos, ou pode ser vista como uma etapa. • Visa identificar quais ameaças são relevantes no processo operacional e identificar os riscos associados. • Compreende 04 principais objetivos:• Identificar ativos e seus valores• Determinar vulnerabilidades e ameaças• Determintar quais ameaças e riscos tem maior impacto• Equilibrar o custo de um incidente e o custo das

medidas de segurança


Análise de Riscos

Gerenciamento de Riscos

• O Gerenciamento de Riscos é um processo no qual os riscos são identificados, analisados e reduzidos a um nível aceitavel.


Análise de Riscos

Análise de Riscos Quantitativa

• Envolve calculo de impacto numericamente • Focado na perda financeira• Comparar o custo das medidas com o custo da perda financeira envolvida com o ativo

• Exemplos: quantos clientes podemos perder? Qual prejuízo financeiro envolve este risco?


Análise de Riscos

Análise de Riscos Qualitativa

• A chance de que a ameaça se torne realidade é analisada baseada nos sentimentos das pessoas• A análise então avalia o processo operacional envolvido com qual a ameaça se relaciona e verifica quais medidas precisasm ser aplicadas


Agenda





Estratégias para lhe dar com riscos

Para conviver com riscos, existem medidas que podem ser aplicadas para a redução da probabilidade deste evento acontecer, redução do impacto caso ele aconteça, ou uma combinação as duas.




Estratégias

Aceitar o risco

Evitar o risco

Tornar o risco neutro



Tipos de medidas de Segurança

PrevençãoUma prevenção impossibilita a ocorrência de uma ameaça, ou minimiza essa possibilidade. Ex: controle de acesso.

DetecçãoPara incidentes que tem danos com menor imapcto ou para aqueles que exite tempo hábil para tratar caso ocorram, a medida de detecção pode ser utilizada. Ex: monitoramento de eventos.

RepressãoMinimizar as consequências, após detecçãpo do incidente .



Tipos de medidas de Segurança

Correção ou RecuperaçãoRealizar o reparo após ocorrência do incidente e minimização do seu impacto. Ex: restaurar backup.

GarantiaPara eventos quais não existem métodos de prevenção ou para quais existem altos níveis de impacto, devem ser procurados métodos que reduzem as consequências. Ex: seguro contra fogo.

AceitaçãoSimplesmente aceitar o risco, já que as medidas requerem um custo inaceitável ou custo maior do que os danos.



Tipos de ameaças

Ameaças

Humanas

Não Humanas

Tipos de danos

Danos

Diretos

Indiretos


Verdadeiro ou Falso?

1. ( ) O conceito de ameaça pode ser definido como uma fragilidade de um ativo.

2. ( ) Um incidente de Segurança da Informação ocorre quando uma ameaça de manifesta.

3. ( ) A análise de reiscos pode ser considerada uma etapa do processo de gerenciamento de riscos.

4. ( ) O Gerenciamento de Riscos é um processo no qual os riscos são identificados, analisados e reduzidos a um nível aceitavel.

5. ( ) As estratégias para lhe dar com riscos são duas: aceitar o risco ou evitar o risco

6. ( ) Os tipos de ameaças possíveis são as diretas e indiretas.7. ( ) A análise de riscos qualitativa é focada na perda

financeira.


Verdadeiro ou Falso?

1.( F ) O conceito de ameaça pode ser definido como uma fragilidade de um ativo. 2.( V ) Um incidente de Segurança da Informação ocorre quando uma ameaça de

manifesta. 3.( V ) A análise de reiscos pode ser considerada uma etapa do processo de

gerenciamento de riscos.4.( V ) O Gerenciamento de Riscos é um processo no qual os riscos são identificados,

analisados e reduzidos a um nível aceitavel. 5.( F ) As estratégias para lhe dar com riscos são duas: aceitar o risco ou evitar o

risco6. ( F ) Os tipos de ameaças possíveis são as diretas e indiretas.7. ( F ) A análise de riscos qualitativa é focada na perda financeira.

Fim do módulo 02

Dúvidas?

[email protected] (71) 8837-0007

http://portalgsti.com.br

mailto:[email protected]

http://portalgsti.com.br/

Documents

Gerenciamento de riscos de segurança da informação - MOD02