Buscar

Vulnerabilidades Em TI

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 5 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

Vulnerabilidade, ameaça, ativo e risco 
Vulnerabilidade pode ser definida de forma bem simples como sendo “ausência de 
proteção” ou “fraqueza no sistema de proteção”. É “a ausência, falha ou fraqueza de 
segurança em procedimentos, implementações ou controles internos, que pode ser 
experimentada (disparada acidentalmente ou explorada intencionalmente) e resulta em uma 
brecha ou violação da política de segurança vigente”. Como exemplos de vulnerabilidades, 
podemos citar: 
 Uma porta de comunicação aberta em um Sistema Operacional. 
 Uma porta de firewall aberta. 
 Uma senha, de acesso a um servidor ou software que nunca é trocada. 
 Um carpete inflamável. 
 A ausência de controle, em procedimentos de segurança por exemplo. 
Vamos explorar um pouco mais os tipos de vulnerabilidades, conforme tabela abaixo. 
 
 
 
Tipo de 
Vulnerabilidade 
Descrição e exemplos 
Físicas São as que estão presentes nos ambientes em que estão 
sendo armazenadas ou presentes às informações. Exemplos: 
instalações inadequadas do espaço de trabalho; ausência de 
recursos para o combate a incêndio; disposição 
desorganizada dos cabos de energia e rede; 
Afetam a disponibilidade da informação. 
Naturais São relacionadas às condições da natureza que podem por 
em risco as informações. Exemplos: ambientes sem proteção 
contra incêndio, locais próximos a rios são propensos a 
inundações; terremotos, maremotos etc. 
Hardware Os possíveis defeitos de fabricação ou configuração dos 
equipamentos podem permitir o ataque ou alteração dos 
mesmos. Como, por exemplo: falta de configuração de 
suportes ou equipamentos de contingência; ausência de 
atualizações de acordo com as orientações dos fabricantes; 
conservação inadequada dos equipamentos. 
Softwares As vulnerabilidades nos softwares permitem que ocorram 
acessos indevidos. Exemplos de vulnerabilidades: 
configuração e instalações indevidas dos softwares; portas 
abertas dos sistemas operacionais. 
Meios de 
armazenamento 
Se os suportes que armazenam as informações não forem 
usados de forma correta, seu conteúdo pode ficar vulnerável 
a uma série de fatores que poderão afetar a integridade, a 
disponibilidade e a confidencialidade das informações. Dentre 
os pontos fracos, exemplificamos: defeito de fabricação, uso 
incorreto, locais de armazenamento com alto índice de 
unidade ou insalubres. 
Comunicação Esse tipo de vulnerabilidade afeta todo o tráfego de 
informação, seja por cabo, satélite, fibra ótica etc. 
Exemplos: má escolha dos sistemas de comunicação para 
mensagens de alta prioridade; ausência de sistemas de 
criptografia nas comunicações. 
Humanas Essa categoria de vulnerabilidades relaciona-se aos danos 
que as pessoas podem causar. Como exemplos, podemos 
citar: Senhas fracas, ausência de criptografia, 
 
 
Concluímos que as vulnerabilidades aumentam as ameaças 
 
 
O que é uma ameaça? É um fato que pode ocorrer e acarretar perigo a um recurso ou 
ativo da empresa. Tal fato, se acontecer, vai causar um dano, uma perda. 
Uma ameaça pode ser natural, intencional ou não. As ameaças naturais são fogo, 
inundação e terremotos; As intencionais são: furto de informação, vandalismo, vírus, pirataria 
e utilização de recursos, violando as medidas de segurança. Dentre às não intencionais, 
podemos citar: erros humanos, falhas em equipamentos, desastres naturais e problemas em 
comunicações. 
Os ativos são elementos cuja segurança visa proteger, uma vez que possuem valores 
para as empresas que os detêm. 
A figura 1, abaixo, mostra a relação entre vulnerabilidade, ameaças e ativo. Na visão da 
segurança da informação, são três os elementos que compõem os chamados ativos: 
 Informações. 
 Hardware e Software. 
 Recursos humanos. 
 
 
Figura 1 : Relação entre vulnerabilidade, ameaça e ativos. 
 
A seguir, são descritos exemplos ilustrados mostrando: o grupo de ativos, suas 
possíveis vulnerabilidades e as respectivas ameaças. 
 A figura 2, a seguir, mostra para o grupo de ativo HARDWARE, uma possível 
vulnerabilidade e as ameaças decorrentes, evidenciando a fragilidade e o risco ao qual o ativo 
fica submetido. 
 
 
 
Figura 2 : Exemplo de vulnerabilidade no ativo HARDWARE e as consequentes 
ameaças; 
 
A figura 3, a seguir, mostra uma das principais vulnerabilidades que afetam as 
organizações: desatualização tecnológica das pessoas (ativo: RECURSO HUMANO). Por 
exemplo, o desconhecimento da necessidade de criação de senhas fortes e da alteração 
periódica das senhas mostra resistência na adoção de práticas de segurança. 
 
Figura 3 : Exemplo de vulnerabilidade no ativo RECURSO HUMANO e as consequentes 
ameaças; 
 
Já a figura 4, abaixo, mostra um clássico exemplo de vulnerabilidade nos softwares, 
representado pelos chamados BUGs, ou erros de lógica e programação nos softwares, que 
deixam o ativo sobre diversas ameaças. 
 
 
 
Figura 4 : Como os BUGS deixam um Software vulnerável a ameaças. 
 
Os ativos de TI, em função de possíveis vulnerabilidades, estão em constante risco por 
diversas possibilidades de ameaças a sua integridade, pondo em risco os negócios da empresa. 
A avaliação de risco é, portanto, uma atividade fundamental para definição das ações a 
serem tomadas para garantir a segurança da TI nas empresas. 
Confirmando a afirmativa de que não existem 100% de segurança no ambiente de TI, 
George Kurtz, vice-presidente sênior de Gerenciamento de Riscos da McAfee á época (Abril de 
2008), declarou: 
- “Nenhuma empresa tem dinheiro e pessoal suficiente para eliminar completamente 
todos os possíveis riscos relacionados à TI. Portanto, você precisa ser capaz de quantificar os 
riscos enfrentados e priorizar adequadamente seus investimentos em segurança.”. Assem 
sendo, propõe um modelo no qual os riscos são medidos pela observação de três fatores: Valor 
dos ativos, Vulnerabilidade dos ativos e Ameaças reais. Analisando esses três atributos a 
equipe de segurança pode compreender onde estão os riscos aos negócios e a priorizar suas 
atividades de redução de riscos. 
Veja na íntegra em: http://www.networkexperts.com.br/index.php/noticias/1-ultimas-
noticias/21-medindo-os-riscos-para-analisar-a-vulnerabilidade.html,

Outros materiais