Baixe o app para aproveitar ainda mais
Prévia do material em texto
Entrega e Serviços em Tecnologia da Informação Christian Ganzert Aula 8 * Vulnerabilidade em TI pode ser definida como qualquer ponto frágil na segurança ou na manutenção de um serviço de suporte que possa colocar em risco os negócios da organização. Associação com o conceito de risco Riscos podem ser mensuráveis através de variáveis – análise de série histórica – ou atributos – conhecimento tácito dos recursos humanos envolvidos. * * Riscos Riscos podem existir por diferentes situações. Alguns conceitos estão associados ao risco: Ameaças: causa potencial de algum incidente que comprometa o processo normal da organização; Toda ameaça possui um risco associado. Incidentes: efetivação do risco. * * Riscos A ISO/IEC 27002 (2005) define risco como a possibilidade de um ativo estar sujeito a vulnerabilidades e incidentes. * * Riscos Riscos denotam implicações financeiras É possível avaliar o impacto financeiro de riscos por duas dimensões: Pela probabilidade do risco Mudança do conceito de valor da operação por conta do risco atribuído a ela; Pela efetivação do risco Impactos financeiros relacionados à operação caso o risco venha a se concretizar. * * Segurança A segurança em TI está relacionada com diversos riscos: Interrupção de serviços por falhas humanas; Interrupção de serviços por falhas de equipamento ou do meio ambiente; Interrupção por ataques premeditados de vetores humanos; Estouros de capacidade e erros de dimensionamento; Acessos não permitidos. * * Segurança Vulnerabilidade pode estar associada aos acessos não permitidos ao sistema: Comprometimento da integridade do sistema; Comprometimento do caráter sigiloso das informações; Comprometimento do desempenho econômico do negócio por usos indevidos da capacidade instalada e dos investimentos feitos pela organização em infraestrutura. * * Análise de Vulnerabilidade A análise possui objetivos claros: Identificar a vulnerabilidade; Avaliar o risco; Verificar se afeta o negócio; Corrigir o problema no menor tempo possível Estabelecer documentação e comunicação às instâncias pertinentes. Importante: conhecimento acerca de vulnerabilidades impacta o negócio como um todo, por isso, ele deve ser restrito. * * Análise de Vulnerabilidade O resultado é listado no relatório de Análise de Vulnerabilidade Nome da vulnerabilidade Componente ou recurso vulnerável Detalhes da vulnerabilidade Identificar o nível (baixo, médio e alto) do risco associado à vulnerabilidade. Ações sugeridas para corrigir a vulnerabilidade. * * Vulnerabilidade e Disponibilidade uma vulnerabilidade explorada por uma ameaça pode tornar um serviço de TI indisponível, total ou parcialmente. Vulnerabilidades geram prejuízos Diversos serviços podem ser interrompidos pela efetivação de riscos de vulnerabilidades, tais como rede interna, serviço de internet, e outros. * * Vulnerabilidade x Uso de TI Alguns tipos de operações demandam uso intensivo de TI Essas devem ter várias instâncias de verificação de vulnerabilidades. Segurança deve ser item primordial do orçamento em organizações de uso extensivo de aparato de TI. * * Dinâmica dos Riscos * Backups, antivírus e firewall Ativos Valor Proteção Vulnerabilidades Ameaças Riscos Possuem Expõem Exploram Aumenta Aumenta Aumenta Demanda Do tipo Diminuem Protege contra Entrega e Serviços em Tecnologia da Informação Christian Ganzert Atividade 8 * * Atividade Como podemos proteger operações de TI contra ameaças? * * Solução É necessário entender que não há solução definitiva contra todos os tipos de ameaças. Sempre renovar os mecanismos de defesa, atualizando seus recursos para as novas práticas identificadas por possíveis vetores; Não diminuir nunca a vigilância, pois a cada dia surgem novos modelos de ataque. * * Solução Executar checklist de proteção ao projetar o sistema: Caracterizar o Sistema; Identificação das Ameaças; Identificação das Vulnerabilidades; Análise dos controles; Determinação das probabilidades dos riscos; Análise de impacto; Avaliação do risco (impacto x probabilidade). * Solução Elaborar recomendações; Incluir recomendações no plano de desembolso do orçamento; Em casos emergenciais, acionar o orçamento de contingências. Documentar resultados de implantação. Mais importante: MONITORAR constantemente. *
Compartilhar