Análise de Riscos em Empresa

Prévia do material em texto

<p>CENTRO UNIVERSITÁRIO CARIOCA – UNICARIOCA</p><p>CLAUDIO -</p><p>IGOR CAVALCANTE DE SOUZA - 2014202083</p><p>RENATO WAGNER ROLIM PEREIRA - 2011200490</p><p>RODRIGO MAIA DE ALMEIDA - 2014201955</p><p>THAIS SANTIAGO CERQUEIRA - 2013100885</p><p>Realizar a análise e avaliação de riscos a partir de um estudo de caso em uma empresa hipotética</p><p>RIO DE JANEIRO</p><p>2017</p><p>CLAUDIO -</p><p>IGOR CAVALCANTE DE SOUZA - 2014202083</p><p>RENATO WAGNER ROLIM PEREIRA - 2011200490</p><p>RODRIGO MAIA DE ALMEIDA - 2014201955</p><p>THAIS SANTIAGO CERQUEIRA - 2013100885</p><p>Realizar a análise e avaliação de riscos a partir de um estudo de caso em uma empresa hipotética</p><p>Atividade Prática Supervisionada apresentado ao Centro Universitário Carioca, como requisito parcial para a disciplina de Segurança da Informação.</p><p>Orientador: Prof. Sergio dos Santos Cardoso Silva M.SC.</p><p>RIO DE JANEIRO</p><p>2017</p><p>Resumo</p><p>O trabalho visa realizar a análise e avaliação de riscos a partir de um estudo de caso em uma empresa hipotética. Os critérios de avaliação serão definidos, para identificar os riscos, estimar e avaliar o que deve ou não ser tratado.</p><p>Palavras chave:</p><p>Segurança da Informação; Análise de riscos; Vulnerabilidades; Impacto; Custos.</p><p>LISTA DE ILUSTRAÇÕES</p><p>Figura 1 – Modo Ad-hoc ........................................................................................... 19</p><p>LISTA DE TABELAS</p><p>Tabela 1 - Impacto e Probabilidade……………………………………………………… .......... 15</p><p>Tabela 2 - Custo e Prazo………….……………………………………………………… .......... 15</p><p>LISTA DE ABREVIATURAS E SIGLAS</p><p>ABMES Associação Brasileira de Mantenedores de Ensino Superior</p><p>Sumário</p><p>CENTRO UNIVERSITÁRIO CARIOCA – UNICARIOCA	1</p><p>1	INTRODUÇÃO	8</p><p>1.1	Motivação	8</p><p>1.2	Objetivos	8</p><p>1.2.1	Objetivo Geral	9</p><p>1.2.2	Objetivo Específico	9</p><p>1.3	Metodologia	9</p><p>1.4	Organização	9</p><p>2	SEGURANÇA DA INFORMAÇÃO	12</p><p>3	ESTUDO DE CASO	11</p><p>3.1	Descrição das ocorrências por meio de probabilidade e impacto	11</p><p>1 INTRODUÇÃO</p><p>No tempo em que as informações eram guardadas apenas em papel, a segurança era feita de maneira objetiva. Bastava guardar a documentação em algum lugar e restringir o acesso físico àquele local. Com as mudanças tecnológicas e o uso de computadores de grande porte, a estrutura de segurança ficou um pouco mais sofisticada, englobando controles lógicos, porém ainda centralizados. Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurança atingiram tamanha complexidade que há a necessidade de desenvolvimento de equipes e métodos de segurança cada vez mais eficaz. Paralelamente, os sistemas de informação também adquiriram importância vital para a sobrevivência da maioria das instituições modernas, já que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar inviável.</p><p>1.1 Motivação</p><p>O desenvolvimento deste trabalho é justificado pela necessidade de proteção das informações que se armazena e publicam nos servidores ligados à Internet. Manter a integridades de tais informações requer profissionais adequadamente especializados para esta finalidade, já que se trata de um esforço contínuo, para que a aplicação dos conceitos de segurança não fique desatualizada.</p><p>Em complemento, acrescenta-se a notável necessidade de estabelecer políticas de acesso e uso dos recursos computacionais concedidos aos usuários das redes de trabalho, tanto no meio acadêmico como no comercial, esclarecendo quais serviços podem ser acessados e quais não podem, bem como as rotinas do administrador de sistemas na distribuição e expiração de senhas, criptografia, geração de relatórios sobre tentativas de mau uso, sistemas de detecção de intrusos entre outros.</p><p>1.2 Objetivos</p><p>Identificar riscos e vulnerabilidades, quantificar o impacto de possíveis ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da contramedida. Identificar ameaças em potencial à segurança de TI (Tecnologia da Informação) e sua probabilidade aproximada. Identificar o valor dos ativos, inclusive seu valor indireto, caso sejam danificados ou violados. Usar esses valores quantificados para identificar as atividades mais adequadas e econômicas para proteger o ambiente. Definir e gerenciar uma diretiva formal de gerenciamento de riscos de segurança. Integrar o gerenciamento de riscos de segurança ao ciclo de vida da infra-estrutura de TI. Definir processos para aprimorar a especialização em gerenciamento de riscos na empresa por meio de iterações do ciclo do gerenciamento de risco.</p><p>1.2.1 Objetivo Geral</p><p>Estudar e implementar técnicas que auxiliem nos procedimento para garantir segurança dos sistemas computacionais e informações neles armazenadas e distribuídas, preservando, de forma integra, os recursos e a reputação dos seus proprietários, diante das deficiências existentes na Internet.</p><p>1.2.2 Objetivo Específico</p><p>Estudar e elaborar um documento de política de segurança; Conhecer os ambientes de rede de outros administradores e com eles elaborar um modelo inovador de proteção para suas redes; Configurar um sistema de detecção de intrusos</p><p>1.3 Metodologia</p><p>Coletar informações sobre os diversos sistemas operacionais existentes e que possam contribuir para o desenvolvimento do trabalho; Tomar conhecimento sobre quais serviços são explicitamente necessários e quais devem ser proibidos com bases nas redes utilizadas atualmente; Obter conhecimento das técnicas de detecção de intrusão, funcionamento e configuração; Executar teste.</p><p>1.4 Organização</p><p>O trabalho está organizado de maneira que no capítulo 1 tem-se a introdução do trabalho juntamente com os objetivos e organizações do mesmo.</p><p>2 SEGURANÇA DA INFORMAÇÃO</p><p>Teoria da segurança da informação</p><p>Este tema aborda inúmeras área quando tratamos de sistema de informação, elas podem ser segurança de rede, física, computadores, pessoas, aplicação, criptografia, gestão de projetos entre outros. O objetivo em comum, são preservar a</p><p>integridade, disponibilidade, confidencialidade, das informações que são manipuladas pelos usuários e seus administradores. Podemos dividir a segurança da informação em proteção e prevenção. A prevenção trata de reduzir a probabilidade que venha ocorrer alguma ameaça, de modo que a proteção adota um sistema para inspecionar, detectar as ameaças, e caso já tenha sido concretizada, minimizar os impactos que ela venha causar.</p><p>Todavia, tem de haver um planejamento para utilização de padrões e métodos, de acordo com as necessidades do cliente, atentando alguns índices como custo-benefício, proteção em profundidade, consistência do plano adotado. Verificando dentre estes três fatores citados, a real necessidade para tratar de problemas visando o bom senso, tempo e recursos.</p><p>3 - ESTUDO DE CASO</p><p>3.1 - Descrição das ocorrências por meio de probabilidade e impacto</p><p>Ocorrência por Probabilidade</p><p>1. Existem 5 estações de trabalho sem ferramenta antivírus instalada por insistência de seus usuários.</p><p>R: Muito alta.</p><p>2. É prática comum o compartilhamento de arquivos por meio de mapeamento de disco nas estações de trabalho, geralmente com acesso livre a todos.</p><p>R: Multo alta.</p><p>3. Algumas impressoras, de uso coletivo, se encontram em área de acesso público.</p><p>R: Média.</p><p>4. Durante uma forte chuva recente foi verificada infiltração no telhado e entrada de água no shaft do cabeamento vertical, com acúmulo em alguns Wiring Closets (salas com equipamentos de interconexão, como switches).</p><p>R: Alta.</p><p>5. Após um defeito no nobreak do terceiro andar, os computadores daquele piso estão conectados diretamente à rede elétrica da concessionária. São comuns as reclamações de picos e quedas de energia.</p><p>R: Média.</p><p>6. O sistema de gestão de serviços e atendimentos está hospedado em um servidor subdimensionado. Rotineiramente o banco de dados precisa ser reiniciado para que o sistema retome sua operação normal.</p><p>R: Alta.</p><p>7. Após uma variação no fornecimento de energia elétrica, o ar-condicionado da sala de servidores pode desligar, sendo necessária intervenção manual.</p><p>R: Baixa.</p><p>8. O site corporativo, na intranet, concentra quase toda a documentação</p><p>e contratos da empresa. O acesso a ele requer o uso de senhas, que devem ser digitadas diversas vezes ao longo da navegação, o que gerou o descontentamento dos usuários. Porém, alguém descobriu, e ‘espalhou’ a informação, de que o site pode ser acessado com o login ‘admin’ (senha ‘123’), que só precisa ser digitado uma vez e fornece acesso irrestrito a todos os documentos armazenados.</p><p>R: Muito alta.</p><p>9. Recentemente os servidores que hospedam o site da empresa sofreram um ataque do tipo DDoS. O site possui serviços de e-commerce, newsletter e aplicações, de maneira que além de prejudicar os usuários, gerou prejuízos à corporação.</p><p>R: Alta.</p><p>Probabilidade:</p><p>Muito alta- 1- 2- 8</p><p>Alta- 4- 6 -9</p><p>Média- 3 -5</p><p>Baixa- 7</p><p>Impacto:</p><p>1- Muito alta – 4- 6-9</p><p>2- Alta – 8-7-5</p><p>3- Média – 1- 3</p><p>4- Baixa – 2</p><p>Diante deste cenário é necessário fazer a análise e avaliação de riscos, para isso devem ser feitas as seguintes etapas:</p><p>a) Definir os critérios de avaliação, tanto quanto a probabilidade de ocorrência, quanto ao impacto ao negócio;</p><p>b) Identificar as vulnerabilidades do ambiente apresentado. Esta identificação deve ser realizada utilizando listas de probabilidades, base de dados de vulnerabilidades, suporte técnico dos fabricantes, entre outros.</p><p>Nível Muito Alta</p><p>4- Devido à chuva, além de afetar a estrutura externa do prédio, também afetou a parte interna. Os equipamentos encontrados na sala, são de extrema importância devido ser aparelhos que coordenam a distribuição de conexão da internet do prédio, contudo a não operação desses aparelhos, há perda de informações pertinentes ao trabalho, como atraso na entrega do mesmo.</p><p>6 – Tendo em vista da reinicialização constante dos bancos de dados, temos que utilizar novos métodos como fazer backup da mesma e enviar-las para outro local de armazenamento secundário, a fim de em uma eventual emergência, possa utilizar os dados sem qualquer alteração sem que tenha sido efetuada, devido a erros de reinicialização do sistema.</p><p>9- Utilizar outro tipo de servidor, além de físico também em hospedagem em nuvem, sem mencionar um sistema de backup mais eficiente, contando com backup diários em vez de semanais. Desse modo, teremos as informações atualizadas e não corrompidas.</p><p>Nível Alta</p><p>5- Os aparelhos por tempos determinado podem utilizar a rede sem o uso do nobreak, sendo somente computadores. A longo prazo isso danifica os aparelhos e pode corromper os dados que estão contidos dentro dos mesmos.</p><p>Podemos utilizar uma rede elétrica com filtro para amenizar as quedas de luz, enquanto não tem-se uso de nobreak. Desta forma, caso haja picos de luz, o filtro de linha funcionará como um disjuntor, pois evita que a queda e o retorno de energia, possa danificar os equipamentos.</p><p>7- Em relação ao ar-condicionado, podem ser instruídos pessoas para quando houver queda de energia, irem a sala de ventilação e verificar se os aparelhos de resfriamento estão ligados ou não. Caso não, só religar pra continuarem a trabalhar de forma correta e não danificar os aparelhos que se encontram na sala. A sala sendo muito grande e havendo necessidade, utilizar um gerador no local, para que enquanto à energia não seja restabelecida, não possa atrapalhar as funções normais de funcionamento dos aparelhos que se encontram no local.</p><p>8- O uso da senha é fundamental em uma corporação atual, além de dificultar o acesso a dados sigilosos por pessoas não autorizadas, dificulta o acesso por terceiros. Este item um dos mais importantes, porque não temos como avaliar os danos se algum contrato ou tipo de informação ser repassada ou chegar em mãos de pessoas que possam fazer mau uso dessas informações. Além disto, a empresa perderia além dos clientes, a reputação da instituição que são valores que não podem ser calculados.</p><p>Nível Média</p><p>1- Devemos deixar claro aos funcionários e usuários do sistema, que a política da empresa sugeri a utilização de antivírus para fins de evitar invasões. Independente de gostarem ou não, trata-se de segurança para todos e principalmente para os ativos da corporação. Desse modo, o setor técnico deve ser acionado e informado da situação, para instalar imediatamente ferramentas de combate a vírus que venham danificar o sistema da empresa.</p><p>3 – Utilização de aparelhos que são utilizados que o mesmo possa transferir informações pessoais, não podem ficar em locais de acesso de qualquer pessoa. Por conseguinte, informações que são de uso exclusivo da empresa, podem ser utilizadas por qualquer pessoa, já que está de fácil acesso e sem fiscalização. Isto acarretará em problemas futuros, de modo que a pessoa que apropriar-se das informações pode utilizar-las contra a empresa ou repassar para outros que façam isto ou utilizem em benefício próprio (empresa concorrente). Devem ficar em espaço controlado onde só pessoas autorizadas possam transitar.</p><p>.</p><p>Nível Baixa</p><p>2 – As informações sendo utilizadas por qualquer pessoa, teremos de tomar precauções devido o que e quem está compartilhando as informações. Porque não sabemos se esta pessoa é realmente funcionário. Ainda sem mencionar o conteúdo dos documentos compartilhados, pois poderá ser algo sigiloso que não poderia estar de posse de qualquer funcionário ou outrem. O compartilhamento dos documentos teria de exigir uma senha para acessar-las, assim o controle seria maior de quem está acessando, qual documento está sendo utilizado e para quem ou onde está sendo direcionado as informações.</p><p>c) Realizar a estimativa de riscos, baseado no impacto e probabilidade; e</p><p>d) Avaliar os riscos, apresentando quais vulnerabilidades devem ser tratadas ou não, justificando.</p><p>As vulnerabilidades que devem ser tratadas são identificadas pelos números 1,3,4,6,8,9 (tratadas) e 2,5,7(não tratadas).</p><p>Impacto /</p><p>Probabilidade</p><p>Baixo</p><p>Médio</p><p>Alto</p><p>Muito Alto</p><p>Muito Alta</p><p>2</p><p>1</p><p>8</p><p>9</p><p>Alta</p><p>4</p><p>6</p><p>Média</p><p>3</p><p>5</p><p>Baixa</p><p>7</p><p>Tabela 1 - Impacto e Probabilidade</p><p>Custo /</p><p>Prazo</p><p>Baixo</p><p>Medio</p><p>Alto</p><p>Muito Alto</p><p>Imediato</p><p>Curto</p><p>Monitorar</p><p>Confiável</p><p>Tabela 2 - Custo e prazo</p><p>Tratadas</p><p>De modo geral são ativos de valores intangíveis para a corporação. A perda de seus contratos e informações, não afeta somente a instituição, mas seus clientes, funcionários e outros. Além disso, denegrir a imagem da corporação junto a sociedade empresarial. Contudo, devem ser tomadas medidas de segurança à evitar que tenhamos algum tipo de desastre, acarretando em danos irreverssível para a instituição.</p><p>Não tratadas</p><p>Necessariamente não precisam ser tratadas com tanta urgência, devido a tratar de produtos que possam ser substituídos, mesmo que isso possa significar uma parcela das receitas da empresa para substituição dos aparelhos danificados, porém não são produtos com valores que podem ser considerados de valores inestimáveis. São produtos que os valores são conhecidos, assim podemos fazer um plano de substituição para quando algum deles vierem falhar.</p><p>4. Conclusão</p><p>Com os avanços tecnológicos e novas maneiras de armazenar e compartilhar informações, surgiu a necessidade de inovações também na área da segurança. Novas ferramentas são utilizadas para tentar conter as investidas de pessoa não autorizadas e com má intenção, que aproveitam-se de falhas na rede, para poderem atuar de diversas formas.</p><p>De forma que pessoas que trabalham na defesa dessas informações, estão sempre acompanhando as novidades em forma de ataques para evitá-los, assim seu trabalho se torna cada vez mais eficaz e podem criar ferramentas cada vez mais importantes para inibir os invasores. Isso se tornou vital para as empresas, que investem parte do seu orçamento na área de segurança e seus ativos, não mais se preocupando somente com partes físicas. Era de costume essa prática na década passada, onde suas informações eram mantidas em arquivos físicos e em locais específicos, onde haviam pessoas para restringir o acesso de quem não fosse autorizado, evitando perdas e danos das informações.</p><p>A tendência que a tecnologia</p><p>avança, as técnicas de invasão como as de detenção, terão de seguir o mesmo curso, com isso, as pessoas que trabalham com segurança de informação, terão de capacitar-se cada vez mais, para evitar quaisquer situações inesperadas.</p><p>5.REFERÊNCIA</p><p>ASSUNÇÃO, Marcos Flávio Araújo. Segredos do hacker ético. 5. Ed., ver. E ampl./. Marcos Flávio Araújo Assunção Computadores – Medidas de segurança, Florianópolis, 2014.</p><p>http://www.batori.com.br/analise-de-risco-de-seguranca-da-informacao</p><p>Fonte: https://www.avast.com/pt-br/c-pharming , acessado dia 25/05/2017 às 12:20.</p><p>Fonte: http://cve.mitre.org, acessado dia 23/05/2017 às 20: 35.</p><p>Fonte: https://www.maxwell.vrac.puc-rio.br/7335/7335_4.PDF</p><p>Fonte: https://www.google.com.br/search?q=ddos&btnG=Buscar&domains=FTP.UNICAMP.BR&sitesearch=FTP.UNICAMP.BR&gws_rd=cr&ei=L58tWfSjGYb-wQTjpIf4Bg</p><p>Campos , A. campos. Sistema de segurança da informação- Controle de riscos, editora Visual book, 3º edição, 2014. Homepage: www.visualbook.com.br</p><p>Fonte: https://docente.ifrn.edu.br/rodrigotertulino/livros/sistema-de-seguranca-da-informacao, acessado dia 30/05/2017 às 16:20.</p>