Baixe o app para aproveitar ainda mais
Prévia do material em texto
RISCOS, AMEAÇAS E VULNERABILIDADES 1. INTRODUÇÃO A Segurança da Informação (SI) tem como objetivo analisar e conhecer os riscos em que uma organização está exposta. Após esse reconhecimento e analise dos riscos inicia-se um processo de gerenciamento com o intuito de diminuir, reduzir ou aceitar esses riscos. 2. RISCOS Em se tratando de SI, um risco pode estar relacionado a chance de acontecer alguma coisa ruim com um ativo (algo de valor) ou a sua exposição a determinadas situações. Devemos ter em mente que risco não está ligado somente à área de SI. A SI visa identificar os riscos para, depois mitigar a sua ocorrência, mas, caso ocorram que não cause tanto dano. Na área de SI um risco pode ser: Perda de dados; Destruição/incêndio dos servidores; Realização de ações ilegais; Roubo de informações, entre outros. É importante lembrar que tudo que fazemos possui riscos, uns com poucas probabilidades e outros com altíssimas. Saber lidar com esses riscos é o primeiro passo para reduzir seus impactos. Dois termos relacionados à riscos: Eventos: é quando se percebe um comportamento incomum de um ativo, ou seja, é quando ocorre a desconfiança de uma possível violação de segurança, situação desconhecida ou uma falha. Incidente: pode ser disparado por um conjunto de eventos indesejáveis que possuem uma grande chance de causar danos a uma organização. 3. AVALIAÇÃO DOS RISCOS Primeira coisa em se fazer para iniciar o processo de avaliação de riscos é o gerenciamento dos riscos, realizando análises quantitativas e qualitativas de cada um dos riscos. O gerenciamento de risco engloba vários processos como, planejar, organizar, conduzir e controlar. Com o gerenciamento de risco podemos rastrear riscos existentes e definir meios para minimizá-los. É possível basear o processo de gerenciamento de riscos em diversas entidades ou padrões de boas práticas, como: Project Management Institute (PMI); Normas ISO; Nation Institute of Science and Tecnology (NIST), etc. Em relação aos padrões de boas práticas, não existe uma regra específica sobre qual devemos nos basear, mas podemos levar em consideração o quanto uma instituição está disposta a investir para controlar seus riscos. Para detectar os riscos de uma organização devemos observar pelo menos três tipos de requisitos de segurança: a) Estratégia, visão e objetivos da organização: Com base nisso podemos identificar diversos riscos associados aos negócios, analisando seu impacto e a probabilidade de ocorrência. b) Leis (regulamentos, contratos, serviços, estatutos, etc.) organizacionais: Algumas leis organizacionais podem inviabilizar o operacional de uma empresa. c) Regras de negócios e manipulações dos dados (processamento, armazenamento...) no cotidiano da organização: Por meio dessas operações que todos os serviços são realizados. É através da avaliação de risco que é possível nortear a organização, garantindo ações/atividades de gerência, visando priorizar e implementar controles (ou contramedidas) dos riscos. Devemos pensar também no monitoramento adequado dessas ações/atividades de gerência, para realizar adaptações e rever certas tomadas de decisão, para ver se o que foi planejado está dando certo ou seguido. A organização deve informar os seus objetivos e critérios de aceitação para que possamos priorizar, identificar e medir os riscos. Com isso é possível planejar estratégias ou ações para gerir e controlar esses riscos. Esse processo pode ser feito várias vezes com o objetivo de abranger toda a organização. As avaliações de riscos devem ser realizadas de tempos em tempos, pois os requisitos, ameaças e vulnerabilidades podem mudar. Outro ponto importante da avaliação de risco é definir quais os riscos mais importantes e qual abordagem devemos ter. Podemos afirmar quatro objetivos: a) Mapear os ativos da organização, o valor/grau de sua importância: Com isso estamos priorizando quais os ativos mais importantes da organização. b) Identificar as ameaças e vulnerabilidades: Devemos conhecer as fraquezas e vulnera- bilidades em que a organização está exposta, para melhorar os mecanismos de defesa. c) Classificar estatisticamente o risco das ameaças se tornarem reais e quais possí- veis danos: Se uma ameaça não se tornar um risco real não há necessidade de despender cuidados, por isso que devemos classificar um risco corretamente. d) Equilibrar custos de medidas e incidentes: devemos ter em mente se aceitar o dano do risco vale mais a pena do que o investimento no controle do mesmo. As vezes aceitar um risco sai mais barato do que tentar resolvê-lo. Podemos medir um risco de duas formas: Nesta análise podemos calcular o impacto financeiro de um risco, ou também, a chance de um risco se tornar um incidente. Para realizar o cálculo são considerados alguns itens como, custos de medidas de segurança, softwares, hardwares, estabelecimentos, etc. Com isso podemos compreender melhor o risco e estimar de forma mais correta o seu custo. Nessa estratégia não se leva em consideração a quantidade, mas sim a gravidade de cada risco e a eficácia de suas contramedidas. Pode-se utilizar algumas técnicas como, brainstorming (tempestade de ideias), pesquisas, Delphi, discussões, entrevistas, etc. Para cada risco existem basicamente três estratégias: Aceitar o risco: nem todos os riscos devem ser tratados, pois as vezes o valor de uma contramedida pode ser mais alto que o valor do dano de um risco, ou simplesmente tal risco não tenha um poder destrutivo para ser tratado. Mitigar (reduzir) o risco: tem casos que não é possível eliminar um risco, ou por custo ou por complexidade, por isso devemos ao menos mitigar seus danos. Prevenir-se de um risco: ao utilizarmos algumas medidas podemos neutralizar uma ameaça, por exemplo, uma vulnerabilidade de um sistema. Atualização de um sistema é um exemplo de se prevenir de um risco. 4. MITIGAÇÃO DOS RISCOS Mitigar é sinônimo de amenizar, aliviar, reduzir, minimizar. Quando falamos em mitigação de riscos devemos ter em mente um conjunto de controles, que são contramedidas que visam minimizar/neutralizar perdas, danos e indisponibilidade de uma organização. Para mitigar um risco primeiro se deve selecioná-lo e identificá-lo. Com isso podemos excluir os riscos que são aceitos (de baixo risco ou custo elevado) de acordo com os critérios de aceitação de risco da organização. Abaixo estão listados alguns controles para tratamento de riscos. Escolher controles adequados para a redução de riscos; Evitar riscos, excluindo ações que podem ocasioná-los; Terceirizar riscos, deixando que outras empresas os administrem (exemplo: hospedagem de um site - backup, manutenção de servidores, etc.). Após os controles estarem bem definidos, devemos nos preocupar em garantir que os riscos recebam uma redução de sua gravidade ou de nível, estando em padrões aceitáveis. Sempre temos que levar em consideração as restrições legais, os objetivos da organização, os custos de implementação, entre outros. Somente a escolha de um conjunto de controles não implicará em sucesso garantido na minimização do risco, sendo necessário o monitoramento e a avaliação constante dos controles estabelecidos a fim de verificar a eficiência sobre o risco. No meio do caminho podem surgir novos riscos, na qual medidas emergenciais deverão ser realizadas para minimizar tais riscos. As contramedidas ou controles podem ser categorizadas de acordo com os objetivos da organização: a) Prevenção: Evitar incidentes, previne que uma ameaça ocorra. A prevenção é realizada em antecipação a uma ameaça, porém sempre temos que levar em consideração possíveis falhas em relação a tomadas de decisões preventivas. Exemplo: remover acesso externo (Internet) de um servidor com informações sigilosas. b) Detecção: Detecção é tomada quando um incidente não causa muitos danos e quando suas consequên- cias sãobaixas. O incidente deve ser detectado o mais rápido possível. Softwares de monitoramento podem ser bastante úteis para verificar qualquer tipo de anormalidades (exemplo: monitorar o acesso dos colaboradores na Internet). c) Repressão: Após um incidente ser detectado é preciso tomar medidas para resolver ou reduzir os danos causados. A repressão irá limitar um incidente. d) Correção: Após a ocorrência de um incidente, independente de seu poder de dano, será necessária a correção ou a recuperação do que foi afetado. A correção está diretamente relacionada à repressão adotada, ou seja, se uma repressão for ineficiente, a correção deverá ser maior e vice-versa. e) Seguro: Se não tiver como prevenir ou aceitar os incidentes, devemos ao menor mitigar sua ocorência. f) Aceitação: Podemos aceitar o risco devido ao seu dano ser pequeno ou porque a contramedida será muito cara e dispendiosa, que o dano e/ou prejuízo será menor. 5. AMEAÇA Uma ameaça é qualquer ação que possa danificar um bem. Um agente que cause ameaças pode ser um terceiro (hackers e crackers) invadindo a rede privada de uma organização por meio de uma porta desprotegida no firewall ou por um funcionário causando um erro intencional revelando informações sigilosas. Motivos que levam os agentes a causarem ameaças: a) Notoriedade: Ao invadir um site considerado seguro ou de alguma pessoa famosa, o agente ganha notoriedade, ganha respeito dentro de sua comunidade. b) Concorrência/espionagem: Muitas empresas guardam suas informações sobre a estratégia de negócio, novos produtosm investimento com bastante sigilo. Algum agente pode expor esses dados a empresas concorrentes para que as mesmas as utilizem em seus negócios. Empresas podem contratar hackers, crackers ou infiltrar funcionários para obter informações sigilosas de outras empresas. c) Política: Políticas locais podem ser facilitadoras para algum tipo de invasão de privacidade. d) Empregados: Por vingança um empregado pode deixar as portas abertas nos servidores ou cooperar para a inclusão de certos dispositivos invasores na organização em que trabalha. e) Falhas de equipamentos: Algum equipamento pode falhar. Com isso a ameaça pode ser acidental. f) Falhas de softwares: Com essas falhas, surgem grandes pontos de vulnerabilidades no software, abrindo brechas para a realização de ataques, podendo causar grande impacto na organização. Um exemplo comum disso é a injeção de SQL, em que se pode incluir comandos SQL em campos de texto para apagar ou para obter outra informação. Para evitar esse tipo de ataque é preciso utilizar parâmetros fornecidos pelo próprio SQL e nunca associar variáveis diretamente ao SQL. 6. TIPOS DE AMEAÇAS Uma organização irá levantar suas principais ameaças com base em listas de boas práticas (padrões/aprendizagem de diversas empresas), podendo ser obtidas por diversas normas. A lista de ameaças deve atender as necessidades e aos objetivos da organização, para que se destine dinheiro e tempo às ameaças que realmente as interessa. Os danos ou impactos ocasionados por uma ameaça podem ser diretos (dados apagados) ou indiretos (incêndio destruiu servidor e o sistema ficou fora do ar). Podemos dividir as ameaças em duas categorias: ameaças humanas e ameaças não humanas. a) Ameaças humanas: Intencionais: terceiros (hackers, crackers, funcionários) desejam causar danos e prejuízos a uma organização. Não intencionais: podem ser realizadas por um funcionário que possui a melhor das intenções como usar o Delete no SQL de forma equivocada, utilizando pen drive de uso pessoal na empresa sem saber que ele estava com vírus, contaminando assim, todos os dispositivos da empresa. b) Ameaças não humanas: Podem ocorrer pode eventos naturais como enchentes, incêndios, queda de energia, tempestades, etc. 7. VULNERABILIDADE E EXPOSIÇÃO Vulnerabilidade é um ponto fraco que permite que uma ameaça seja concretizada ou que tenha efeito sobre um ativo ou grupo de ativos. Podemos dizer que algo está vulnerável quando tal coisa carece de uma proteção. Algumas possíveis vulnerabilidades podem ser: Sistemas e aplicações desatualizadas; Acessos indevidos; Portas abertas no firewall; Pessoas mal treinadas na manipulação de dados sigilosos, etc. Em uma organização podemos destacar, no mínimo, sete tipo de vulnerabilidades: a) Vulnerabilidades físicas: Instalações físicas, política de acesso local e áreas reservadas. b) Vulnerabilidades naturais: Ações da natureza, como enchentes, incêndios, terremotos, etc. c) Vulnerabilidades humanas: Treinamentos de baixa qualidade, funcionário desmotivado, etc. d) Vulnerabilidades de hardwares: Má instalação ou descaso com os hardwares da organização. Um exemplo disso pode ser uma organização que tenha um roteador antigo que possui um algoritmo de criptografia não mais utilizado. Com isso, um agente ameaçador pode quebrar essa criptografia e entrar dentro da rede da organização. e) Vulnerabilidades de softwares: Manter os softwares, sistemas operacionais desatualizados ou não configurá-los de maneira adequada. f) Vulnerabilidades de mídias: Utilizar dispositivos de mídias (CD, HD externo, pen drive, etc.) não autorizados podem comprometer a rede caso eles estejam infectados. g) Vulnerabilidades de comunicações: Utilizar softwares de comunicações não seguros, como e-mails, whatsapp, mensagens, podem comprometer uma organização. Talvez o próprio aplicativo seja seguro, porém a vulnerabilidade pode estar na sua arquitetura. Exposição é estar à mostra a uma ameaça. Quando algo está se tornando muito exposto, automaticamente o mesmo está se tornando mais vulnerável. É muito importante conhecer os riscos de uma organização para garantir a segurança dos negócios. Uma vez identificado tais riscos devemos estabelecer contramedidas adequadas com os objetivos de mitigá-los (reduzí-los) ou eliminá-los. O risco causa vulnerabilidades que podem ser exploradas por agentes ameaçadores. 8. REFERÊNCIAS BIBLIOGRÁFICAS GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. São Paulo: Bookman, 2013. HINTZBERGEN J. et al. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. São Paulo: Brasport, 2018. KIM, D.; SOLOMON, M. G. Fundamentos de Segurança de Sistemas de Informação. São Paulo: LTC, 2014. SÊMOLA, M. Gestão da segurança da informação. São Paulo: Elsevier Brasil, 2014.
Compartilhar