Baixe o app para aproveitar ainda mais
Prévia do material em texto
Vulnerabilidade, ameaça, ativo e risco Vulnerabilidade pode ser definida de forma bem simples como sendo “ausência de proteção” ou “fraqueza no sistema de proteção”. É “a ausência, falha ou fraqueza de segurança em procedimentos, implementações ou controles internos, que pode ser experimentada (disparada acidentalmente ou explorada intencionalmente) e resulta em uma brecha ou violação da política de segurança vigente”. Como exemplos de vulnerabilidades, podemos citar: Uma porta de comunicação aberta em um Sistema Operacional. Uma porta de firewall aberta. Uma senha, de acesso a um servidor ou software que nunca é trocada. Um carpete inflamável. A ausência de controle, em procedimentos de segurança por exemplo. Vamos explorar um pouco mais os tipos de vulnerabilidades, conforme tabela abaixo. Tipo de Vulnerabilidade Descrição e exemplos Físicas São as que estão presentes nos ambientes em que estão sendo armazenadas ou presentes às informações. Exemplos: instalações inadequadas do espaço de trabalho; ausência de recursos para o combate a incêndio; disposição desorganizada dos cabos de energia e rede; Afetam a disponibilidade da informação. Naturais São relacionadas às condições da natureza que podem por em risco as informações. Exemplos: ambientes sem proteção contra incêndio, locais próximos a rios são propensos a inundações; terremotos, maremotos etc. Hardware Os possíveis defeitos de fabricação ou configuração dos equipamentos podem permitir o ataque ou alteração dos mesmos. Como, por exemplo: falta de configuração de suportes ou equipamentos de contingência; ausência de atualizações de acordo com as orientações dos fabricantes; conservação inadequada dos equipamentos. Softwares As vulnerabilidades nos softwares permitem que ocorram acessos indevidos. Exemplos de vulnerabilidades: configuração e instalações indevidas dos softwares; portas abertas dos sistemas operacionais. Meios de armazenamento Se os suportes que armazenam as informações não forem usados de forma correta, seu conteúdo pode ficar vulnerável a uma série de fatores que poderão afetar a integridade, a disponibilidade e a confidencialidade das informações. Dentre os pontos fracos, exemplificamos: defeito de fabricação, uso incorreto, locais de armazenamento com alto índice de unidade ou insalubres. Comunicação Esse tipo de vulnerabilidade afeta todo o tráfego de informação, seja por cabo, satélite, fibra ótica etc. Exemplos: má escolha dos sistemas de comunicação para mensagens de alta prioridade; ausência de sistemas de criptografia nas comunicações. Humanas Essa categoria de vulnerabilidades relaciona-se aos danos que as pessoas podem causar. Como exemplos, podemos citar: Senhas fracas, ausência de criptografia, Concluímos que as vulnerabilidades aumentam as ameaças O que é uma ameaça? É um fato que pode ocorrer e acarretar perigo a um recurso ou ativo da empresa. Tal fato, se acontecer, vai causar um dano, uma perda. Uma ameaça pode ser natural, intencional ou não. As ameaças naturais são fogo, inundação e terremotos; As intencionais são: furto de informação, vandalismo, vírus, pirataria e utilização de recursos, violando as medidas de segurança. Dentre às não intencionais, podemos citar: erros humanos, falhas em equipamentos, desastres naturais e problemas em comunicações. Os ativos são elementos cuja segurança visa proteger, uma vez que possuem valores para as empresas que os detêm. A figura 1, abaixo, mostra a relação entre vulnerabilidade, ameaças e ativo. Na visão da segurança da informação, são três os elementos que compõem os chamados ativos: Informações. Hardware e Software. Recursos humanos. Figura 1 : Relação entre vulnerabilidade, ameaça e ativos. A seguir, são descritos exemplos ilustrados mostrando: o grupo de ativos, suas possíveis vulnerabilidades e as respectivas ameaças. A figura 2, a seguir, mostra para o grupo de ativo HARDWARE, uma possível vulnerabilidade e as ameaças decorrentes, evidenciando a fragilidade e o risco ao qual o ativo fica submetido. Figura 2 : Exemplo de vulnerabilidade no ativo HARDWARE e as consequentes ameaças; A figura 3, a seguir, mostra uma das principais vulnerabilidades que afetam as organizações: desatualização tecnológica das pessoas (ativo: RECURSO HUMANO). Por exemplo, o desconhecimento da necessidade de criação de senhas fortes e da alteração periódica das senhas mostra resistência na adoção de práticas de segurança. Figura 3 : Exemplo de vulnerabilidade no ativo RECURSO HUMANO e as consequentes ameaças; Já a figura 4, abaixo, mostra um clássico exemplo de vulnerabilidade nos softwares, representado pelos chamados BUGs, ou erros de lógica e programação nos softwares, que deixam o ativo sobre diversas ameaças. Figura 4 : Como os BUGS deixam um Software vulnerável a ameaças. Os ativos de TI, em função de possíveis vulnerabilidades, estão em constante risco por diversas possibilidades de ameaças a sua integridade, pondo em risco os negócios da empresa. A avaliação de risco é, portanto, uma atividade fundamental para definição das ações a serem tomadas para garantir a segurança da TI nas empresas. Confirmando a afirmativa de que não existem 100% de segurança no ambiente de TI, George Kurtz, vice-presidente sênior de Gerenciamento de Riscos da McAfee á época (Abril de 2008), declarou: - “Nenhuma empresa tem dinheiro e pessoal suficiente para eliminar completamente todos os possíveis riscos relacionados à TI. Portanto, você precisa ser capaz de quantificar os riscos enfrentados e priorizar adequadamente seus investimentos em segurança.”. Assem sendo, propõe um modelo no qual os riscos são medidos pela observação de três fatores: Valor dos ativos, Vulnerabilidade dos ativos e Ameaças reais. Analisando esses três atributos a equipe de segurança pode compreender onde estão os riscos aos negócios e a priorizar suas atividades de redução de riscos. Veja na íntegra em: http://www.networkexperts.com.br/index.php/noticias/1-ultimas- noticias/21-medindo-os-riscos-para-analisar-a-vulnerabilidade.html,
Compartilhar