Análise de Riscos

Análise de Riscos Por que as empresas devem fazer uma análise de risco? Durante o planejamento do futuro da empresa, a alta administração deve garantir que todos os cuidados foram tomados para que seus planos se concretizem. A formalização de uma análise de risco provê um documento indicador de que este cuidado foi observado.

Análise de Riscos O resultado da análise de risco dá à organização o controle sobre seu próprio destino – por meio do relatório final, pode-se identificar quais controles devem ser implementados em curto, médio e longo prazo. Há então uma relação de valor, ativos serão protegidos com investimentos adequados ao seu valor e ao seu risco.

Análise de Riscos A análise de risco é o processo de identificar os riscos de segurança aos quais a organização pode ser exposta. Ou seja, é o processo pelo qual são identificados os riscos a que estão sujeitos os dados, os sistemas de informações e as redes de comunicação. Essa análise é realizada por meio de uma avaliação sistemática, mapeando as ameaças e vulnerabilidades físicas, processuais, tecnológicas e humanas. A análise de risco fornece à organização uma visão clara dos riscos a que o negócio está exposto, por isso é de fundamental importância para a gestão da empresa.

Análise de Riscos A verificação dos riscos e os possíveis danos que os mesmos podem causar ajudam, principalmente, na definição da estratégia para criar um ambiente seguro. Planos de atualização, necessidade de reconfiguração, definição de mudanças e inserções de novos recursos no ambiente são resultantes desse método.

Etapas da Análise de Riscos A análise de risco se divide em quatro etapas de igual importância, isoladas, essas etapas representam muito pouco ou quase nada. Alinhadas e geridas de forma adequada, podem apontar caminhos seguros na busca do nível adequado de segurança de uma organização. Essas etapas são: Modelagem do negócio. Análise do impacto. Análise da dependência. Análise das ameaças e vulnerabilidades.

Etapas da Análise de Riscos Modelagem do negócio: determinar que sistemas de informação dão suporte a quais processos corporativos. Mostrar, claramente o que a organização está tentando alcançar e mapeia os sistemas de informação nesse contexto. Análise de impacto: determinar a sensibilidade de funções chave da organização a falhas quanto à privacidade, integridade e disponibilidade dos sistemas e dados. Serve para identificar os sistemas para os quais se justifica a implantação de proteção excepcional e auxilia a identificar os sistemas para os quais uma análise de risco completa é necessária.

Etapas da Análise de Riscos Análise de dependência: determinar os pontos de acesso aos sistemas de informação e os recursos que precisam estar disponíveis para que sejam mantidos os serviços associados às funções chaves. Análise de ameaças e vulnerabilidades: determinar os pontos fracos da configuração do sistema e a probabilidade de ocorrência de eventos que possam explorar as debilidades identificadas, causando impactos em termos de quebra de privacidade, integridade e disponibilidade dos dados e sistemas.

Análise de Riscos O risco é, assim uma combinação de ameaça, vulnerabilidade, impacto e probabilidade. Ameaça: corresponde a um incidente indesejado (fogo, dano proposital, roubo, etc.) que pode remover, danificar ou destruir um recurso de TI (software ou hardware). Vulnerabilidade: equivale ao ponto fraco no sistema, que poderia ser explorado por uma ameaça. Impacto: é a consequência, para a organização, da concretização de uma ameaça. Probabilidade: nesse contexto, diz respeito à expectativa de que uma ameaça consiga atacar o sistema com sucesso.

Componentes de Riscos Ameaça Vulnerabilidade Impacto Probabilidade

Análise de Riscos Quando se deve fazer uma análise de riscos? Uma análise de riscos deve ser realizada sempre antecedendo um investimento. Antes de a organização iniciar um projeto, um novo processo de negócio, o desenvolvimento de uma ferramenta ou até mesmo uma relação de parceria deve-se mapear, identificar e assegurar os requisitos do negócio. Em situações as quais a organização nunca realizou uma análise de risco, recomendamos uma validação de toda estrutura.

Análise de Riscos Quem deve participar de análise de riscos? O processo de análise de riscos deve envolver especialistas em segurança e especialistas no negócio da empresa – esta sinergia possibilita o foco e a qualidade do projeto. Um projeto de análise de risco sem o envolvimento das pessoas certas, em todos os níveis da empresa, muito dificilmente retratará a real situação da operação.

Análise de Riscos Quanto tempo o projeto deve levar? A execução do projeto deve ser realizada em tempo mínimo. Em ambientes dinâmicos, a tecnologia muda muito rapidamente. Um projeto com mais de um mês em determinados ambientes, ao final pode estar desatualizado e não corresponder ao estado atual da organização.

Análise de Riscos Conhecer o risco é ganhar mobilidade. Esse diagnóstico, que até há pouco tempo ocultava-se sobre pequenas e isoladas iniciativas do grupo de tecnologia da informação, quase sempre relacionado a aspectos técnicos da análise de vulnerabilidades tecnológicas, já é reconhecido como ferramenta de suporte estratégico. A análise de riscos deve ser revista periodicamente, considerando as mudanças nos requisitos do negócio e suas prioridades, e as novas ameaças e vulnerabilidades que surgem.

Situações de Insegurança A insegurança está associada a situações voluntárias ou involuntárias que podem atentar contra a segurança dos SI e, portanto, devem ser cobertas por sistemáticas de proteção. As ameaças podem ser oriundas das diversas fontes e situações. Eis algumas: Catástrofes. Problemas ambientais. Interrupção de serviços. Ação criminosa. Outros tipos de incidentes. Contaminação eletrônica.

Situações de Insegurança Catástrofes Incêndio acidental ou intencional; Alagamento por inundação de porões ou salas com risco potencial, por vazamento dos encanamentos ou por goteiras; Explosão intencional ou provocada por vazamento de gás; Sobrecarga na rede elétrica ou relâmpagos que causam queima total de equipamentos; Terremotos, que normalmente provocam uma combinação dos itens acima; Guerras e revoluções.

Situações de Insegurança Problemas ambientais Grandes variações térmicas – excesso de calor causa travamentos e destrói mídias. Excesso de frio congela fisicamente dispositivos mecânicos, como discos rígidos. Umidade nos dispositivos elétricos e eletrônicos e nas mídias magnéticas; Poeira, depositada nas cabeças de leitura e gravação dos drivers, pode destruir fisicamente um disquete ou uma fita; Poluição sonora (irritação de pessoas); Fumaça – a fumaça do cigarro deposita uma camada de componentes químicos nas cabeças de leitura e gravação dos drives, que pode inviabilizar a utilização de disquetes e fitas. Fumaça de incêndios próximos é muito mais perigosa. Magnetização – grande inimigo das mídias magnéticas, pode desgravar disquetes, fitas e discos rígidos. Trepidação – pode afrouxar placas e componentes e geral, além de destruir discos rígidos.

Situações de Insegurança Interrupção de serviços Falha de energia elétrica – grande risco potencial, à medida que paralisa totalmente as funções relacionadas à informática; Queda nas comunicações – isolamento do site de e-commerce do resto do mundo, risco de perdas de dados; Pane nos equipamentos – problema bastante comum, resolvido com backup de informações e de hardware; Pane nas redes de computadores – isola um ou mais computadores de um mesmo site, risco potencial de perda de dados; Problemas nos sistemas operacionais – risco potencialmente explosivo, pois pode comprometer a integridade de todos os dados do sistema e até mesmo inviabilizar a operação, eliminam a confiança da equipe; Parada dos sistemas de informação – um grande risco para o funcionamento das empresas.

Situações de Insegurança Comportamento anti-social Paralisações e greves – impedindo o livre trânsito das pessoas; Hackers – indivíduos que conhecem profundamente computadores e sistemas operacionais e invade os sistemas para se divertirem; Disputas exacerbadas entre pessoas podem levar à sabotagem e alteração ou destruição de dados ou de cópias de segurança; Falta de espírito de equipe – falta de coordenação, onde cada funcionário trabalha individualmente, risco de omissão ou duplicação de procedimentos.

Situações de Insegurança Ação criminosa Furtos e roubos – consequências imprevisíveis, podem inviabilizar completamente os negócios da empresa; Fraudes – modificação de dados, com vantagens para o elemento agressor; Sabotagem – modificação deliberada de qualquer ativo da empresa; Atentados – ação terrorista com a finalidade de prejudicar pessoas ou a empresa; Espionagem industrial – captação não autorizada de software, dados ou comunicações; Crackers – indivíduos que conhecem profundamente computadores e sistemas operacionais e invadem sistemas com finalidade destrutiva.

Situações de Insegurança Outros tipos de incidentes Erros involuntários de usuários – de consequências imprevisíveis, desde problemas insignificantes até a perda de um faturamento inteiro. Erros de usuários costumam contaminar as cópias de segurança (backup) quando não detectados a tempo; Erros nas cópias dos dados – risco sério de perda de dados, o backup sempre deve ser verificado; Uso inadequado dos sistemas – normalmente ocasionado por falta de treinamento, falta de documentação adequada do sistema ou falta de capacidade utilizando o sistema de forma inadequada;

Situações de Insegurança Outros tipos de incidentes Manipulação errada de arquivos – costuma causar perda de arquivos e pode contaminar as cópias de segurança; Treinamento insuficiente – inevitavelmente causa erros e uso inadequado; Ausência/demissão de funcionários – é problemático se a pessoa ausente for a única que conhece determinados procedimentos; Estresse/sobrecarga de trabalho – uma pessoa sobrecarregada é mais propensa a cometer erros e adotar atitudes anti-sociais; Equipe de limpeza – deve receber o treinamento adequado sobre segurança.

Situações de Insegurança Contaminação eletrônica Vírus – programa que insere uma cópia sua em outros programas executáveis ou no setor de boot; Worm – programa que se reproduz através da rede; Cavalo de Tróia – programa aparentemente inofensivo e útil, mas que contém um código oculto indesejável ou danoso.

Muito agradecido.