Ameaças, Vulnerabilidades e Análise de Risco Políticas de Auditoria e Segurança
Qualidades da Informação Integridade Continuidade Confidencialidade
Ameaças Acidentais Falhas de equipamento Erros humanos Falhas do Software Falhas de alimentação Problemas causados pelas forças da natureza
Ameaças Causadas por Pessoas Espionagem Crimes Empregados insatisfeitos Empregados “doentes” Empregados desonestos Vandalismo Terrorismo Erros dos Utilizadores
Vulnerabilidades dos Computadores Pequenos suportes guardam grandes volumes de dados Os dados são invisíveis Os suportes podem falhar Copiar não anula a informação Dados podem ficar inadvertidamente retidos Avanços Tecnológicos Sistemas Distribuídos Normas de Segurança
Avaliação dos Riscos O que é um risco? O que é a análise de risco? É um contexto que inclui as ameças, vulnerabilidades e o valor a proteger O que é a análise de risco? É o processo de avaliar em que medida é que um certo contexto é ou não aceitável para uma organização
Técnicas de Análise de Risco Prever cenários de: Ameaças Vulnerabilidades Para cada cenário: Prever os prejuízos / Recursos a envolver para evitar a concretização dos cenários Fazer uma análise de custo/benefício
Técnicas de Análise de Risco Análise subjectiva Documentos escritos com vários cenários como base para sessão de “brainstorming” Análise Quantitativa Para cada ameaça quantificar a sua incidência Estimar o valor dos prejuízos que pode causar Estimar o custo de combater a ameaça Pesar as várias ameaças para obter um valor final (que algoritmo?)
Técnicas de Análise de Risco Técnicas Automatizadas Uso de ferramentas informáticas que implementam UM algoritmo específico CRAMM no Reino Unido CCTA Risk Analysis and Management Method CCTA - Central Computer Telecommunications Agency
CRAMM 3 Etapas Etapa 1 - Identificação dos recursos a proteger, seu custo, grau de criticalidade da sua indisponibilidade, ... Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças) São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas
CRAMM Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.
Vulnerabilidades do Software Bugs do sistema operativo Especificações com erros Implementação com erros Bugs das aplicações
CERT CERT - Computer Emergency Response Team Estrutura organizativa que recolhe e divulga debilidades de segurança Cadeia segura de troca de informação Bugs de sistema operativo Bugs de aplicativos comuns Vírus