Riscos, Ameaças e Vulnerabilidades

Prévia do material em texto

RISCOS, AMEAÇAS E VULNERABILIDADES
1. INTRODUÇÃO
 A Segurança da Informação (SI) tem como objetivo analisar e conhecer os riscos em que uma
organização está exposta. Após esse reconhecimento e analise dos riscos inicia-se um
processo de gerenciamento com o intuito de diminuir, reduzir ou aceitar esses riscos.
2. RISCOS
 Em se tratando de SI, um risco pode estar relacionado a chance de acontecer alguma coisa
ruim com um ativo (algo de valor) ou a sua exposição a determinadas situações.
 Devemos ter em mente que risco não está ligado somente à área de SI.
 A SI visa identificar os riscos para, depois mitigar a sua ocorrência, mas, caso ocorram que
não cause tanto dano.
 Na área de SI um risco pode ser:
 Perda de dados;
 Destruição/incêndio dos servidores;
 Realização de ações ilegais;
 Roubo de informações, entre outros.
 É importante lembrar que tudo que fazemos possui riscos, uns com poucas probabilidades e
outros com altíssimas. Saber lidar com esses riscos é o primeiro passo para reduzir seus
impactos.
 Dois termos relacionados à riscos:
 Eventos: é quando se percebe um comportamento incomum de um ativo, ou seja, é
quando ocorre a desconfiança de uma possível violação de segurança, situação
desconhecida ou uma falha.
 Incidente: pode ser disparado por um conjunto de eventos indesejáveis que possuem
uma grande chance de causar danos a uma organização.
3. AVALIAÇÃO DOS RISCOS
 Primeira coisa em se fazer para iniciar o processo de avaliação de riscos é o gerenciamento
dos riscos, realizando análises quantitativas e qualitativas de cada um dos riscos.
 O gerenciamento de risco engloba vários processos como, planejar, organizar, conduzir e
controlar.
 Com o gerenciamento de risco podemos rastrear riscos existentes e definir meios para
minimizá-los.
 É possível basear o processo de gerenciamento de riscos em diversas entidades ou padrões
de boas práticas, como:
 Project Management Institute (PMI);
 Normas ISO;
 Nation Institute of Science and Tecnology (NIST), etc.
 Em relação aos padrões de boas práticas, não existe uma regra específica sobre qual
devemos nos basear, mas podemos levar em consideração o quanto uma instituição está
disposta a investir para controlar seus riscos.
 Para detectar os riscos de uma organização devemos observar pelo menos três tipos de
requisitos de segurança:
a) Estratégia, visão e objetivos da organização: Com base nisso podemos identificar
diversos riscos associados aos negócios, analisando seu impacto e a probabilidade de
ocorrência.
b) Leis (regulamentos, contratos, serviços, estatutos, etc.) organizacionais: Algumas
leis organizacionais podem inviabilizar o operacional de uma empresa.
c) Regras de negócios e manipulações dos dados (processamento, armazenamento...)
no cotidiano da organização: Por meio dessas operações que todos os serviços são
realizados.
 É através da avaliação de risco que é possível nortear a organização, garantindo
ações/atividades de gerência, visando priorizar e implementar controles (ou contramedidas)
dos riscos. Devemos pensar também no monitoramento adequado dessas ações/atividades
de gerência, para realizar adaptações e rever certas tomadas de decisão, para ver se o que
foi planejado está dando certo ou seguido.
 A organização deve informar os seus objetivos e critérios de aceitação para que possamos
priorizar, identificar e medir os riscos. Com isso é possível planejar estratégias ou ações para
gerir e controlar esses riscos. Esse processo pode ser feito várias vezes com o objetivo de
abranger toda a organização.
 As avaliações de riscos devem ser realizadas de tempos em tempos, pois os requisitos,
ameaças e vulnerabilidades podem mudar.
 Outro ponto importante da avaliação de risco é definir quais os riscos mais importantes e qual
abordagem devemos ter. Podemos afirmar quatro objetivos:
a) Mapear os ativos da organização, o valor/grau de sua importância: Com isso estamos
priorizando quais os ativos mais importantes da organização.
b) Identificar as ameaças e vulnerabilidades: Devemos conhecer as fraquezas e vulnera-
bilidades em que a organização está exposta, para melhorar os mecanismos de defesa.
c) Classificar estatisticamente o risco das ameaças se tornarem reais e quais possí-
veis danos: Se uma ameaça não se tornar um risco real não há necessidade de
despender cuidados, por isso que devemos classificar um risco corretamente.
d) Equilibrar custos de medidas e incidentes: devemos ter em mente se aceitar o dano do
risco vale mais a pena do que o investimento no controle do mesmo. As vezes aceitar um
risco sai mais barato do que tentar resolvê-lo.
 Podemos medir um risco de duas formas:
 Nesta análise podemos calcular o impacto financeiro de um risco, ou também, a chance de
um risco se tornar um incidente.
 Para realizar o cálculo são considerados alguns itens como, custos de medidas de segurança,
softwares, hardwares, estabelecimentos, etc. Com isso podemos compreender melhor o risco
e estimar de forma mais correta o seu custo.
 Nessa estratégia não se leva em consideração a quantidade, mas sim a gravidade de cada
risco e a eficácia de suas contramedidas.
 Pode-se utilizar algumas técnicas como, brainstorming (tempestade de ideias), pesquisas,
Delphi, discussões, entrevistas, etc.
 Para cada risco existem basicamente três estratégias:
 Aceitar o risco: nem todos os riscos devem ser tratados, pois as vezes o valor de uma
contramedida pode ser mais alto que o valor do dano de um risco, ou simplesmente tal
risco não tenha um poder destrutivo para ser tratado.
 Mitigar (reduzir) o risco: tem casos que não é possível eliminar um risco, ou por custo
ou por complexidade, por isso devemos ao menos mitigar seus danos.
 Prevenir-se de um risco: ao utilizarmos algumas medidas podemos neutralizar uma
ameaça, por exemplo, uma vulnerabilidade de um sistema. Atualização de um sistema é
um exemplo de se prevenir de um risco.
4. MITIGAÇÃO DOS RISCOS
 Mitigar é sinônimo de amenizar, aliviar, reduzir, minimizar.
 Quando falamos em mitigação de riscos devemos ter em mente um conjunto de controles,
que são contramedidas que visam minimizar/neutralizar perdas, danos e indisponibilidade de
uma organização.
 Para mitigar um risco primeiro se deve selecioná-lo e identificá-lo. Com isso podemos excluir
os riscos que são aceitos (de baixo risco ou custo elevado) de acordo com os critérios de
aceitação de risco da organização. Abaixo estão listados alguns controles para tratamento de
riscos.
 Escolher controles adequados para a redução de riscos;
 Evitar riscos, excluindo ações que podem ocasioná-los;
 Terceirizar riscos, deixando que outras empresas os administrem (exemplo: hospedagem
de um site - backup, manutenção de servidores, etc.).
 Após os controles estarem bem definidos, devemos nos preocupar em garantir que os riscos
recebam uma redução de sua gravidade ou de nível, estando em padrões aceitáveis. Sempre
temos que levar em consideração as restrições legais, os objetivos da organização, os custos
de implementação, entre outros.
 Somente a escolha de um conjunto de controles não implicará em sucesso garantido na
minimização do risco, sendo necessário o monitoramento e a avaliação constante dos
controles estabelecidos a fim de verificar a eficiência sobre o risco. No meio do caminho
podem surgir novos riscos, na qual medidas emergenciais deverão ser realizadas para
minimizar tais riscos.
 As contramedidas ou controles podem ser categorizadas de acordo com os objetivos da
organização:
a) Prevenção:
 Evitar incidentes, previne que uma ameaça ocorra.
 A prevenção é realizada em antecipação a uma ameaça, porém sempre temos que levar em
consideração possíveis falhas em relação a tomadas de decisões preventivas.
 Exemplo: remover acesso externo (Internet) de um servidor com informações sigilosas.
b) Detecção:
 Detecção é tomada quando um incidente não causa muitos danos e quando suas consequên-
cias sãobaixas.
 O incidente deve ser detectado o mais rápido possível.
 Softwares de monitoramento podem ser bastante úteis para verificar qualquer tipo de
anormalidades (exemplo: monitorar o acesso dos colaboradores na Internet).
c) Repressão:
 Após um incidente ser detectado é preciso tomar medidas para resolver ou reduzir os danos
causados.
 A repressão irá limitar um incidente.
d) Correção:
 Após a ocorrência de um incidente, independente de seu poder de dano, será necessária a
correção ou a recuperação do que foi afetado.
 A correção está diretamente relacionada à repressão adotada, ou seja, se uma repressão for
ineficiente, a correção deverá ser maior e vice-versa.
e) Seguro:
 Se não tiver como prevenir ou aceitar os incidentes, devemos ao menor mitigar sua ocorência.
f) Aceitação:
 Podemos aceitar o risco devido ao seu dano ser pequeno ou porque a contramedida será
muito cara e dispendiosa, que o dano e/ou prejuízo será menor.
5. AMEAÇA
 Uma ameaça é qualquer ação que possa danificar um bem.
 Um agente que cause ameaças pode ser um terceiro (hackers e crackers) invadindo a rede
privada de uma organização por meio de uma porta desprotegida no firewall ou por um
funcionário causando um erro intencional revelando informações sigilosas.
 Motivos que levam os agentes a causarem ameaças:
a) Notoriedade:
 Ao invadir um site considerado seguro ou de alguma pessoa famosa, o agente ganha
notoriedade, ganha respeito dentro de sua comunidade.
b) Concorrência/espionagem:
 Muitas empresas guardam suas informações sobre a estratégia de negócio, novos produtosm
investimento com bastante sigilo. Algum agente pode expor esses dados a empresas
concorrentes para que as mesmas as utilizem em seus negócios.
 Empresas podem contratar hackers, crackers ou infiltrar funcionários para obter informações
sigilosas de outras empresas.
c) Política:
 Políticas locais podem ser facilitadoras para algum tipo de invasão de privacidade.
d) Empregados:
 Por vingança um empregado pode deixar as portas abertas nos servidores ou cooperar para a
inclusão de certos dispositivos invasores na organização em que trabalha.
e) Falhas de equipamentos:
 Algum equipamento pode falhar. Com isso a ameaça pode ser acidental.
f) Falhas de softwares:
 Com essas falhas, surgem grandes pontos de vulnerabilidades no software, abrindo brechas
para a realização de ataques, podendo causar grande impacto na organização.
 Um exemplo comum disso é a injeção de SQL, em que se pode incluir comandos SQL em
campos de texto para apagar ou para obter outra informação. Para evitar esse tipo de ataque
é preciso utilizar parâmetros fornecidos pelo próprio SQL e nunca associar variáveis
diretamente ao SQL.
6. TIPOS DE AMEAÇAS
 Uma organização irá levantar suas principais ameaças com base em listas de boas práticas
(padrões/aprendizagem de diversas empresas), podendo ser obtidas por diversas normas. A
lista de ameaças deve atender as necessidades e aos objetivos da organização, para que se
destine dinheiro e tempo às ameaças que realmente as interessa.
 Os danos ou impactos ocasionados por uma ameaça podem ser diretos (dados apagados)
ou indiretos (incêndio destruiu servidor e o sistema ficou fora do ar).
 Podemos dividir as ameaças em duas categorias: ameaças humanas e ameaças não
humanas.
a) Ameaças humanas:
 Intencionais: terceiros (hackers, crackers, funcionários) desejam causar danos e prejuízos a
uma organização.
 Não intencionais: podem ser realizadas por um funcionário que possui a melhor das
intenções como usar o Delete no SQL de forma equivocada, utilizando pen drive de uso
pessoal na empresa sem saber que ele estava com vírus, contaminando assim, todos os
dispositivos da empresa.
b) Ameaças não humanas:
 Podem ocorrer pode eventos naturais como enchentes, incêndios, queda de energia,
tempestades, etc.
7. VULNERABILIDADE E EXPOSIÇÃO
 Vulnerabilidade é um ponto fraco que permite que uma ameaça seja concretizada ou que
tenha efeito sobre um ativo ou grupo de ativos.
 Podemos dizer que algo está vulnerável quando tal coisa carece de uma proteção.
 Algumas possíveis vulnerabilidades podem ser:
 Sistemas e aplicações desatualizadas;
 Acessos indevidos;
 Portas abertas no firewall;
 Pessoas mal treinadas na manipulação de dados sigilosos, etc.
 Em uma organização podemos destacar, no mínimo, sete tipo de vulnerabilidades:
a) Vulnerabilidades físicas:
 Instalações físicas, política de acesso local e áreas reservadas.
b) Vulnerabilidades naturais:
 Ações da natureza, como enchentes, incêndios, terremotos, etc.
c) Vulnerabilidades humanas:
 Treinamentos de baixa qualidade, funcionário desmotivado, etc.
d) Vulnerabilidades de hardwares:
 Má instalação ou descaso com os hardwares da organização.
 Um exemplo disso pode ser uma organização que tenha um roteador antigo que possui um
algoritmo de criptografia não mais utilizado. Com isso, um agente ameaçador pode quebrar
essa criptografia e entrar dentro da rede da organização.
e) Vulnerabilidades de softwares:
 Manter os softwares, sistemas operacionais desatualizados ou não configurá-los de maneira
adequada.
f) Vulnerabilidades de mídias:
 Utilizar dispositivos de mídias (CD, HD externo, pen drive, etc.) não autorizados podem
comprometer a rede caso eles estejam infectados.
g) Vulnerabilidades de comunicações:
 Utilizar softwares de comunicações não seguros, como e-mails, whatsapp, mensagens,
podem comprometer uma organização. Talvez o próprio aplicativo seja seguro, porém a
vulnerabilidade pode estar na sua arquitetura.
 Exposição é estar à mostra a uma ameaça. Quando algo está se tornando muito exposto,
automaticamente o mesmo está se tornando mais vulnerável.
 É muito importante conhecer os riscos de uma organização para garantir a segurança dos
negócios. Uma vez identificado tais riscos devemos estabelecer contramedidas adequadas
com os objetivos de mitigá-los (reduzí-los) ou eliminá-los. O risco causa vulnerabilidades que
podem ser exploradas por agentes ameaçadores.
8. REFERÊNCIAS BIBLIOGRÁFICAS
 GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. São Paulo:
Bookman, 2013.
 HINTZBERGEN J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001
e na ISO 27002. São Paulo: Brasport, 2018.
 KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas de Informação. São
Paulo: LTC, 2014.
 SÊMOLA, M. Gestão da segurança da informação. São Paulo: Elsevier Brasil, 2014.