Vulnerabilidade em TI e Gestão de Riscos

Prévia do material em texto

Entrega e Serviços em Tecnologia da Informação
Christian Ganzert
Aula 8
*
Vulnerabilidade em TI
pode ser definida como qualquer ponto frágil na segurança ou na manutenção de um serviço de suporte que possa colocar em risco os negócios da organização. 
Associação com o conceito de risco
Riscos podem ser mensuráveis através de variáveis – análise de série histórica – ou atributos – conhecimento tácito dos recursos humanos envolvidos.
*
*
Riscos
Riscos podem existir por diferentes situações. Alguns conceitos estão associados ao risco:
Ameaças: causa potencial de algum incidente que comprometa o processo normal da organização;
Toda ameaça possui um risco associado.
Incidentes: efetivação do risco.
*
*
Riscos
A ISO/IEC 27002 (2005) define risco como a possibilidade de um ativo estar sujeito a vulnerabilidades e incidentes.
*
*
Riscos
Riscos denotam implicações financeiras
É possível avaliar o impacto financeiro de riscos por duas dimensões:
Pela probabilidade do risco
Mudança do conceito de valor da operação por conta do risco atribuído a ela;
Pela efetivação do risco
Impactos financeiros relacionados à operação caso o risco venha a se concretizar.
*
*
Segurança
A segurança em TI está relacionada com diversos riscos:
Interrupção de serviços por falhas humanas;
Interrupção de serviços por falhas de equipamento ou do meio ambiente;
Interrupção por ataques premeditados de vetores humanos;
Estouros de capacidade e erros de dimensionamento;
Acessos não permitidos.
*
*
Segurança
Vulnerabilidade pode estar associada aos acessos não permitidos ao sistema:
Comprometimento da integridade do sistema;
Comprometimento do caráter sigiloso das informações;
Comprometimento do desempenho econômico do negócio por usos indevidos da capacidade instalada e dos investimentos feitos pela organização em infraestrutura.
*
*
Análise de Vulnerabilidade
A análise possui objetivos claros:
Identificar a vulnerabilidade;
Avaliar o risco;
Verificar se afeta o negócio;
Corrigir o problema no menor tempo possível
Estabelecer documentação e comunicação às instâncias pertinentes.
Importante: conhecimento acerca de vulnerabilidades impacta o negócio como um todo, por isso, ele deve ser restrito.
*
*
Análise de Vulnerabilidade
O resultado é listado no relatório de Análise de Vulnerabilidade 
Nome da vulnerabilidade
Componente ou recurso vulnerável
Detalhes da vulnerabilidade
Identificar o nível (baixo, médio e alto) do risco associado à vulnerabilidade.
Ações sugeridas para corrigir a vulnerabilidade.
*
*
Vulnerabilidade e Disponibilidade
uma vulnerabilidade explorada por uma ameaça pode tornar um serviço de TI indisponível, total ou parcialmente.
Vulnerabilidades geram prejuízos
Diversos serviços podem ser interrompidos pela efetivação de riscos de vulnerabilidades, tais como rede interna, serviço de internet, e outros.
*
*
Vulnerabilidade x Uso de TI
Alguns tipos de operações demandam uso intensivo de TI
Essas devem ter várias instâncias de verificação de vulnerabilidades.
Segurança deve ser item primordial do orçamento em organizações de uso extensivo de aparato de TI.
*
*
Dinâmica dos Riscos
*
Backups, antivírus e firewall
Ativos
Valor
Proteção
Vulnerabilidades
Ameaças
Riscos
Possuem
Expõem
Exploram
Aumenta
Aumenta
Aumenta
Demanda
Do tipo
Diminuem
Protege contra
Entrega e Serviços em Tecnologia da Informação
Christian Ganzert
Atividade 8
*
*
Atividade
Como podemos proteger operações de TI contra ameaças?
*
*
Solução
É necessário entender que não há solução definitiva contra todos os tipos de ameaças.
Sempre renovar os mecanismos de defesa, atualizando seus recursos para as novas práticas identificadas por possíveis vetores;
Não diminuir nunca a vigilância, pois a cada dia surgem novos modelos de ataque.
*
*
Solução
Executar checklist de proteção ao projetar o sistema:
Caracterizar o Sistema;
Identificação das Ameaças;
Identificação das Vulnerabilidades;
Análise dos controles;
Determinação das probabilidades dos riscos;
Análise de impacto;
Avaliação do risco (impacto x probabilidade).
*
Solução
Elaborar recomendações;
Incluir recomendações no plano de desembolso do orçamento;
Em casos emergenciais, acionar o orçamento de contingências.
Documentar resultados de implantação.
Mais importante: MONITORAR constantemente.
*