Segurança e Auditoria de Sistemas

Transcrição

1 Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC Análise, Avaliação e Tratamento de Riscos 1

2 Roteiro (1/1) Definições Análise e Avaliação de Riscos Tratamento de Riscos Matriz de Análise de Riscos Considerações 2

3 Definições (1/4) Algumas definições do item 2 da norma são importantes para a análise, avaliação e tratamento dos riscos: Risco: combinação da probabilidade de um evento e de suas conseqüências. Análise de riscos: uso sistemático de informações para identificar fontes e estimar o risco. 3

4 Definições (2/4) Análise/avaliação de riscos: processo completo de análise e avaliação de riscos. Avaliação de riscos: processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco. Gestão de riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. 4

5 Definições (3/4) Tratamento do riscos: processo de seleção e implementação de medidas para modificar um risco. Ameaça: causa potencial de um incidente indesejado, que pode resultar em um dano para um sistema ou organização. Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. 5

6 Análise e Avaliação de Riscos (1/6) Convém que: as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização; 6

7 Análise e Avaliação de Riscos (2/6) Convém que: os resultados orientem e determinem as ações de gestão e as prioridades para o gerenciamento dos riscos de segurança da informação, para a implementação dos controles selecionados de maneira a proteger contra estes riscos; 7

8 Análise e Avaliação de Riscos (3/6) Convém que: a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para a significância do risco (avaliação do risco); 8

9 Análise e Avaliação de Riscos (4/6) Convém que: as análises/avaliações de riscos sejam realizadas periodicamente de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis; 9

10 Análise e Avaliação de Riscos (5/6) Convém que: a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 10

11 Análise e Avaliação de Riscos (6/6) Exemplos de metodologias de análise/avaliação de riscos são discutidas em: ISO/IEC TR Guidelines for the Management of IT Security: Techniques for the Management of IT Security. 11

12 Tratamento de Riscos (1/7) Convém que: antes de considerar o tratamento de um risco; a organização defina os critérios para determinar se os riscos podem ou não ser aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não seja economicamente viável. 12

13 Tratamento de Riscos (2/7) Para cada risco identificado, uma decisão sobre o tratamento do mesmo deve ser tomada. Possíveis tratamentos para riscos: aplicar controles apropriados para reduzir os riscos; conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco; evitar riscos; transferir os riscos associados para outras partes. 13

14 Tratamento de Riscos (3/7) Convém que os controles, quando aplicáveis aos riscos, sejam selecionados e implementados para atender aos requisitos identificados na análise/avaliação dos riscos. Convém que os controles reduzam os riscos a um nível aceitável, levando-se em conta: as leis e regulamentos; os objetivos organizacionais; os requisitos e restrições operacionais; (continua...) 14

15 (...continuação) Tratamento de Riscos (4/7) custo de implementação e operação em relação aos riscos que estão sendo reduzidos e que permanecem proporcionais às restrições e requisitos da organização; a necessidade de balancear o investimento na implementação e operação de controles contra probabilidade de danos que resultem em falhas de segurança da informação. 15

16 Tratamento de Riscos (5/7) Os controles podem: ser selecionados desta norma ou; de outros conjuntos de controles ou; novos controles podem ser considerados para atender especificidades da organização. 16

17 Tratamento de Riscos (6/7) Alguns controles podem não ser utilizáveis em todas as organizações. Convém que os controles de segurança da informação sejam considerados na especificação dos requisitos e nos estágios iniciais dos projetos de sistemas. 17

18 Tratamento de Riscos (7/7) Convém que seja sempre lembrado que nenhum conjunto de controles garante segurança total. Não existe segurança total. POR QUÊ??? 18

19 Matriz de Análise de Risco (1/6) A matriz de análise de risco é um dos meios de analisar os riscos de uma organização. Ela é uma tabela composta pelas seguintes colunas: ativos; - vulnerabilidades; ameaças; - probabilidade; impacto; - medidas. 19

20 Matriz de Análise de Risco (2/6) Todos os ativos dentro do escopo analisado devem ser listados na tabela. Cada ativo tem um conjunto de vulnerabilidades. Cada vulnerabilidade pode sofrer uma determinada ameaça. 20

21 Matriz de Análise de Risco (2/6) Existe uma probabilidade de ocorrência para cada ameaça. As probabilidades podem ser discretizadas. 21

22 Matriz de Análise de Risco (3/6) Valores para probabilidade de ameaça: 0: improvável de ocorrer, menos de uma vez por ano; 1: pelo menos de uma vez por ano; 2: pelo menos uma vez por semestre; 3: pelo menos uma vez por mês; 4: pelo menos uma vez por semana; 5: diariamente. 22

23 Matriz de Análise de Risco (4/6) Cada ameaça tem um impacto, caso ocorra. Este impacto também pode ser discretizado. Cada ameaça deve ser tratada (ou não), conforme as diretrizes de tratamento de riscos. 23

24 Matriz de Análise de Risco (5/6) Valores para impacto de ameaça: 0: irrelevante; 1: efeito pouco significativo, sem afetar a maioria dos processos de negócios; 2: sistemas não disponíveis por um determinado período de tempo, pode causar perda de credibilidade e pequenas perdas financeiras; (continua...) 24

25 Matriz de Análise de Risco (6/6) (...continuação) 3: perda de credibilidade; 4: efeitos desastrosos, sem comprometer a imagem; 5: efeitos desastrosos, comprometem a imagem. 25

26 Considerações (1/2) A análise de riscos deve ser uma das fontes de requisitos de segurança da informação. A avaliação de riscos serve para que os riscos sejam, por exemplo, comparados com riscos existentes em outros contextos ou épocas. 26

27 Considerações (2/2) O tratamento dos riscos é uma tarefa que pode ou não ser realizada, pois depende da análise/avaliação dos riscos. A matriz de análise de riscos é uma ferramenta que pode ser utilizada para realizar as três tarefas supracitadas. 27