A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Análise de Risco. Qualidades da Informação Integridade Continuidade Confidencialidade.

Apresentações semelhantes


Apresentação em tema: "Análise de Risco. Qualidades da Informação Integridade Continuidade Confidencialidade."— Transcrição da apresentação:

1 Análise de Risco

2 Qualidades da Informação Integridade Continuidade Confidencialidade

3 Análise de Risco Leva em consideração: –Ameaças; –Vulnerabilidades; –Valor do Ativo; –Probabilidade de acontecimento;

4 Avaliação dos Riscos O que é um risco? –É um contexto que inclui as ameças, vulnerabilidades e o valor a proteger O que é a análise de risco? –É o processo de avaliar em que medida é que um certo contexto é ou não aceitável para uma organização

5 Técnicas de Análise de Risco Prever cenários de: –Ameaças –Vulnerabilidades Para cada cenário: –Prever os prejuízos / Recursos a envolver para evitar a concretização dos cenários –Fazer uma análise de custo/benefício

6 Técnicas de Análise de Risco Análise subjectiva –Documentos escritos com vários cenários como base para sessão de “brainstorming” Análise Quantitativa –Para cada ameaça quantificar a sua incidência –Estimar o valor dos prejuízos que pode causar –Estimar o custo de combater a ameaça –Pesar as várias ameaças para obter um valor final

7 Técnicas de Análise de Risco Técnicas Automatizadas –CRAMM no Reino Unido; Vunerabilidades: –LanGuard; –Nmap; –Nessus; –Satan; –COPs

8 Técnica Qualitativa Baseada na política de investimentos: –Eliminar riscos gradualmente; –Prioridades para a organização; –% de investimento sobre o valor da informação;

9 Técnica Qualitativa Critério de aceitação de risco: –Define o nível de aceitação de risco; –Ex. Risco de até 30% é aceitável;

10 Técnica Qualitativa Critério para Ameaças: –Deve ser atribuído um grau às ameaças; –Considerar o impacto sobre os ativos; –Ex.: Mínimo, baixo, médio, alto e máximo; Até 20, 40, 60, 80 e 100% –Ameaça: invasor externo; –Ativo: firewall (100%), servidor (30%);

11 Técnica Qualitativa Critério para Vulnerabilidades: –Deve ser atribuído um grau às vulnerabilidades; –Ex.: Mínimo, baixo, médio, alto e máximo; Até 20, 40, 60, 80 e 100% –Vulnerabilidade de portas TCP IP; –No servidor de arquivos 5% (poucas portas abertas); –No servidor de 50% (mais portas abertas);

12 Técnica Qualitativa Critério para Impacto: –Deve ser atribuído um grau ao Impacto; –Considerar o impacto sobre processos da empresa; –Pode ser baseado no tempo que um processo por ficar parado sem prejuízo; –Pode ser baseado no prejuízo financeiro sobre um processo; –Montar uma tabela com distribuição em %; –Exemplo: Comunicação Segura X ;

13 Técnica Qualitativa Critério para Ocorrência: –Determinar quantas vezes determinado incidente ocorre; –Normalmente considera-se a quantidade de dias no ano; –Ex: Queda de energia = 36 dias = 9,86%; Invasão = 3 dias = 0,82%; Vírus = 15 dias = 4,11%

14 Técnica Qualitativa Passo 1: identificar ativos –Ex: Firewall, servidor de Passo 2: identificar ameaças –Ex: invasor interno, externo, vírus Passo 3: identificar vulnerabilidades –Ex: portas tcp, acesso físico, anti-vírus; Passo 4: identificar impacto do ativo: –Firewall = médio; –Servidor de correio = alto;

15 Técnica Qualitativa Avaliação do RISCO: –Montar uma tabela com: Ativo; Impacto; Incidentes para o ativo; Vulnerabilidades para o incidente; Grau de vulnerabilidade (GE); Ameaças para o incidente; Grau de Ameaça (GA); Ocorrência para cada ameaça – vulnerabilidade;

16 Técnica Qualitativa Calcular a probabilidade por ameaça – vulnerabilidade: –Probabilidade = (GV + GA) / 2; Calcular o risco por ameaça – vulnerabilidade: –Risco = (Probabilidade + Ocorrencias + Impacto) / 3;


Carregar ppt "Análise de Risco. Qualidades da Informação Integridade Continuidade Confidencialidade."

Apresentações semelhantes


Anúncios Google