Gestão de Risco

Prévia do material em texto

INSTITUTO FEDERAL DE ALAGOAS 
CÂMPUS MACEIÓ 
COORDENAÇÃO DE INFORMÁTICA 
BACHARELADO EM SISTEMAS DE INFORMAÇÃO 
 
 
 
 
 
 
 
 
 
 
 
 
 
Gestão de Risco em TI: Análise de um 
Cenário 
 
Professor: Ricardo Rubens 
Aluno: Allan Denis Muniz Alves 
Disciplina: Gestão de Segurança da Informação 
 
 
Maceió 
2015 
 
2 
 
 
 
INSTITUTO FEDERAL DE ALAGOAS 
CÂMPUS MACEIÓ 
COORDENAÇÃO DE INFORMÁTICA 
BACHARELADO EM SISTEMAS DE INFORMAÇÃO 
 
 
 
 
 
 
 
 
 
 
 
 
Trabalho apresentado como requisito para a 
disciplina de Gestão de Segurança da Informação do 
curso de Sistemas de Informação no Instituto 
Federal de Alagoas. 
 
 
 
 
 
 
Maceió 
2015 
3 
 
 
 
Sumário 
Introdução ..................................................................................................................... 4 
Escopo ........................................................................................................................ 4 
Metodologia .................................................................................................................. 4 
Risco ............................................................................................................................... 5 
Identificação .............................................................................................................. 6 
Estimativas ................................................................................................................. 6 
Avaliação .................................................................................................................... 7 
Tratamento ................................................................................................................ 7 
Aceitação ................................................................................................................... 8 
Conclusão ...................................................................................................................... 8 
Referências .................................................................................................................... 9 
 
 
4 
 
 
 
Introdução 
Será analisado o seguinte cenário fictício: 
João tem um pequeno negócio e utiliza seu notebook para gerenciar as 
informações sobre clientes, estoque, funcionários e pagamentos. Tais informações são 
armazenadas em planilhas. Como o negócio é pequeno e familiar, sua esposa e filhos 
também o ajudam. Frequentemente, ele leva seu notebook para casa para trabalhar e 
algumas vezes sua família também o utiliza. A família é composta por sua esposa, seus dois 
filhos adolescentes e uma filha ainda criança. Em casa eles possuem somente um 
computador desktop que é utilizado pela família. As redes de casa e do trabalho são sem fio e 
de alta velocidade. O filho mais velho estuda informática no IFAL, e treina nos computadores 
de casa. 
O procedimento ideal seria a total separação entre trabalho e família. O desktop 
serviria para uso familiar, enquanto o notebook gerenciaria as informações mais sensíveis, acessíveis 
apenas pelo empresário. 
Porém, não é o que ocorre normalmente. Nesse tipo de negócio, família e trabalho 
se mesclam o tempo todo; recursos armazenados em casa tendem a ser utilizados pela família. Nesse 
caso, será usada a metodologia que segue, considerando um escopo delimitado. 
Escopo 
O escopo será definido por tipo de ativo. Serão considerados os seguintes: 
 Hardware 
 Software 
 Rede 
 Pessoas 
Para todos os efeitos, considera-se que a família inteira, em níveis diferentes, é capaz de 
acessar os computadores. 
Metodologia 
Será utilizada a abordagem qualitativa, quantificada por meio de uma escala Likert1 (LIKERT, 1932, p. 
2; BERTRAM, 2007, p. 8). Seguir-se-á o fluxograma de tratamento de riscos exibido na Figura 1. 
 
 
 
1 Escala que mapeia itens ordinais subjetivos em números inteiros (bom = 3, médio = 2, ruim = 1, 
etc.). 
5 
 
 
 
Risco 
O risco é a possibilidade de uma determinada ameaça explorar vulnerabilidades de 
um ativo ou de um conjunto de ativos. É medido em função da probabilidade de um evento e de seu 
impacto. 
 
Figura 1: fluxograma de tratamento de riscos. 
6 
 
 
 
Identificação 
Segue-se uma lista não exaustiva de vulnerabilidades e ameaças aos ativos. Cada 
item pode afetar mais de um ativo com impactos diferentes. 
 
Estimativas 
A seguir, apresenta-se a planilha de estimativa de riscos, ordenada do maior para o 
menor risco total calculado. 
Para cada ativo vulnerável, o impacto foi interpretado como 1, 2 ou 3 para impactos 
baixo, médio e alto, respectivamente. O impacto bruto é calculado como a soma dos impactos 
Hardware 
•Defeitos 
•Flutuações elétricas 
•Mau uso 
•Perda, roubo, 
acidente ou assalto 
Software 
•Boot desprotegido 
•Flutuações elétricas 
•Keylogger 
•Senha fácil 
•Vírus 
Rede 
•Ataques 
•Cortes da 
operadora 
•Flutuações elétricas 
•Interferência 
•Network hoggers 
Pessoas 
•Choques elétricos 
•Ergonomia ruim 
# Item
Ha
rd
w
ar
e
So
ft
w
ar
e
Re
de
Pe
ss
oa
s
Im
pa
ct
o 
br
ut
o
Pr
ob
ab
ili
da
de
Risco
0 Flutuações elétricas 9 90% 0,68
1 Senha fácil 8 90% 0,60
2 Boot desprotegido 6 90% 0,45
3 Interferência de rede 6 90% 0,45
4 Network hoggers 6 90% 0,45
5 Ergonomia ruim 6 90% 0,45
6 Defeitos 7 50% 0,29
7 Choques elétricos 7 50% 0,29
8 Malwares 10 30% 0,25
9 Ataques à rede 6 50% 0,25
10 Perda, roubo ou assalto 9 30% 0,23
11 Mau uso 10 10% 0,08
12 Desastres naturais 10 10% 0,08
13 Cortes da operadora 6 10% 0,05
Médias: 1,8 1,7 2,2 1,9 7,6 56% (σ = 0,19) 0,33
Legenda: Baixo
Médio
Alto
Tabela 1: planilha estimativa de riscos 
7 
 
 
 
individuais da ameaça a cada ativo. A probabilidade é estimada como 10%, 30%, 50%, 70% ou 90%, 
conforme cenário. O risco é calculado como o produto do impacto normalizado (impacto bruto ÷ 
impacto máximo) pela probabilidade; assim, o risco varia linearmente2 entre 0 e 1. 
Avaliação 
A interpretação da planilha mostra resultados interessantes. Os maiores riscos para 
João atualmente são flutuações elétricas (0,68) e senhas fáceis (0,60). O ativo de maior risco é sua 
rede (média 2,1). Apesar do desvio-padrão de 0,19 mostrar considerável variação entre os riscos 
(MORAIS, 2005, p. 13), o cenário possui poucos riscos altos. Contudo, não se deve negligenciar os 
riscos médios. 
As flutuações elétricas ameaçam a disponibilidade do negócio como um todo. Uma 
falta de energia em horário de trabalho pode acarretar prejuízos financeiros e à reputação, ou até 
mesmo um incêndio, ainda que se trate de forças externas. 
As senhas fáceis comprometem a privacidade e integridade dos dados do negócio, 
visto que podem ser deduzidas facilmente se forem usadas informações pessoais na geração das 
mesmas. O filho de João que estuda informática pode usar um ataque de força bruta com dicionário 
e descobrir senhas comuns em segundos. Um roteador com senha numérica curta (ou com WPS 
ativado) pode ser invadido em questão de horas, abrindo brechas para outras ameaças como 
network hoggers e consequentes cortes pela operadora, por abuso. 
Tratamento 
Os controles na Tabela 2 seguem o princípio de Pareto: tratar primeiro os maiores 
riscos. Para melhor gerenciamento, inclui-se a previsão qualitativa do custo de cada controle. 
Há poucos controles caros e médios, e muitos controles baratos, o que mostra2
 O risco poderia ser interpretado como uma porcentagem; porém, para evitar confusão com 
o impacto, preferi usar números puros. 
# Item Tratamento Controle Custo Interpretação
1 Flutuações elétricas Reduzir No-breaks estabilizados Alto
2 Senha fácil Evitar Critérios restritos de senha Baixo
3 Boot desprotegido Evitar Senha de boot Baixo
4 Interferência de rede Reduzir Canal dinâmico ou menos ocupado Baixo
5 Network hoggers Evitar QoS Baixo
6 Ergonomia ruim Reduzir Móveis ajustáveis Alto
7 Defeitos Reduzir Backups regulares; hardware redundante Médio
8 Choques elétricos Reduzir Aterramento e manutenção Médio
9 Malwares Reduzir Antivírus Baixo
10 Ataques à rede Reduzir Filtro de MAC; senha complexa Baixo
11 Perda, roubo ou assalto Transferir Seguro Médio
12 Mau uso Evitar Orientação de uso correto Baixo
13 Desastres naturais Aceitar Sem controle específico Baixo
14 Cortes da operadora Evitar Pagamento em dia; plano adequado Baixo
Tabela 2: proposta de tratamento de riscos 
8 
 
 
 
relativa facilidade de implementação. 
Senhas complexas protegem não apenas os ativos físicos, mas também a 
confidencialidade do negócio. 
João deve proteger com boas senhas suas planilhas, que guardam os dados mais 
sensíveis do negócio, como folha de pagamento e fluxo de caixa. Deve, também, criar senhas 
relevantes para roteadores, boots dos PCs e backups. Um gerenciador de senhas pode ser de grande 
utilidade. 
A interferência de rede pode ser reduzida com um roteador tipo “N” e que possua 
canal dinâmico, ou seja, o próprio roteador procura o canal mais livre. Opcionalmente, João pode 
replicar a rede sem fio com mais de um roteador, mas com custo adicional. O recurso WPS deve ser 
desativado sempre, uma vez que é pouco utilizado e muito vulnerável a ataques de força bruta. 
 
Aceitação 
Inicialmente, João pode focar nos maiores riscos, aceitando temporariamente os 
menores. Conforme seus recursos permitam, ele pode incluir mais e mais controles, até completar a 
tabela ou novos riscos surgirem a partir dos controles. 
Ao implementar todos os controles, o risco residual será restringido aos desastres 
naturais e casos fortuitos. 
Conclusão 
O cenário é bastante otimista, com soluções eficazes e de baixo custo. Obviamente, o 
ritmo de contenção de riscos seguirá a disponibilidade de recursos humanos e financeiros da 
organização. 
Após todo aprendizado na gestão de riscos, João precisa comunicar à família e aos 
funcionários sobre as decisões tomadas, para que haja conscientização. O elo mais fraco na 
segurança da informação é o fator humano; por isso, uma comunicação eficiente se faz necessária 
para aperfeiçoar os processos e tratar adequadamente os riscos. 
 Além disso, é preciso monitorar e mensurar a eficácia dos controles, além de 
gerenciar os novos riscos envolvidos com sua implementação. É um processo contínuo. 
 
9 
 
 
 
 
Referências 
BERTRAM, D. Likert Scales… are the meaning of life. , 2007. Disponível em: 
<http://poincare.matf.bg.ac.rs/~kristina/topic-dane-likert.pdf>. . 
LIKERT, R. A Technique for the Measurement of Attitudes. Archives of Psychology, , n. 140, 
p. 1–55, 1932. 
MORAIS, C. Escalas de medida, estatística descritiva e inferência estatística. , 2005. 
Disponível em: <http://scholar.google.com/scholar?hl=pt-
BR&btnG=Search&q=intitle:Escalas+de+Medida+,+Estat%C3%ADstica+Descritiva+e+Infer%C
3%AAncia+Estat%C3%ADstica#0>. Acesso em: 17/1/2015. 
FTP://FTP.REGISTRO.BR/PUB/GTS/GTS15/02-ISO-27005-EXEMPLIFICADA.PDF. ACESSO EM 16/01/2015. 
HTTP://WWW.BRUNOMORAES.COM.BR/GOVERNANCA-EM-TI/WP-
CONTENT/UPLOADS/2010/11/NBR_ISO27005_CONSULTAABNT1.PDF ACESSO EM 16/01/2015. 
	Introdução
	Escopo
	Metodologia
	Risco
	Identificação
	Estimativas
	Avaliação
	Tratamento
	Aceitação
	Conclusão
	Referências