Baixe o app para aproveitar ainda mais
Prévia do material em texto
INSTITUTO FEDERAL DE ALAGOAS CÂMPUS MACEIÓ COORDENAÇÃO DE INFORMÁTICA BACHARELADO EM SISTEMAS DE INFORMAÇÃO Gestão de Risco em TI: Análise de um Cenário Professor: Ricardo Rubens Aluno: Allan Denis Muniz Alves Disciplina: Gestão de Segurança da Informação Maceió 2015 2 INSTITUTO FEDERAL DE ALAGOAS CÂMPUS MACEIÓ COORDENAÇÃO DE INFORMÁTICA BACHARELADO EM SISTEMAS DE INFORMAÇÃO Trabalho apresentado como requisito para a disciplina de Gestão de Segurança da Informação do curso de Sistemas de Informação no Instituto Federal de Alagoas. Maceió 2015 3 Sumário Introdução ..................................................................................................................... 4 Escopo ........................................................................................................................ 4 Metodologia .................................................................................................................. 4 Risco ............................................................................................................................... 5 Identificação .............................................................................................................. 6 Estimativas ................................................................................................................. 6 Avaliação .................................................................................................................... 7 Tratamento ................................................................................................................ 7 Aceitação ................................................................................................................... 8 Conclusão ...................................................................................................................... 8 Referências .................................................................................................................... 9 4 Introdução Será analisado o seguinte cenário fictício: João tem um pequeno negócio e utiliza seu notebook para gerenciar as informações sobre clientes, estoque, funcionários e pagamentos. Tais informações são armazenadas em planilhas. Como o negócio é pequeno e familiar, sua esposa e filhos também o ajudam. Frequentemente, ele leva seu notebook para casa para trabalhar e algumas vezes sua família também o utiliza. A família é composta por sua esposa, seus dois filhos adolescentes e uma filha ainda criança. Em casa eles possuem somente um computador desktop que é utilizado pela família. As redes de casa e do trabalho são sem fio e de alta velocidade. O filho mais velho estuda informática no IFAL, e treina nos computadores de casa. O procedimento ideal seria a total separação entre trabalho e família. O desktop serviria para uso familiar, enquanto o notebook gerenciaria as informações mais sensíveis, acessíveis apenas pelo empresário. Porém, não é o que ocorre normalmente. Nesse tipo de negócio, família e trabalho se mesclam o tempo todo; recursos armazenados em casa tendem a ser utilizados pela família. Nesse caso, será usada a metodologia que segue, considerando um escopo delimitado. Escopo O escopo será definido por tipo de ativo. Serão considerados os seguintes: Hardware Software Rede Pessoas Para todos os efeitos, considera-se que a família inteira, em níveis diferentes, é capaz de acessar os computadores. Metodologia Será utilizada a abordagem qualitativa, quantificada por meio de uma escala Likert1 (LIKERT, 1932, p. 2; BERTRAM, 2007, p. 8). Seguir-se-á o fluxograma de tratamento de riscos exibido na Figura 1. 1 Escala que mapeia itens ordinais subjetivos em números inteiros (bom = 3, médio = 2, ruim = 1, etc.). 5 Risco O risco é a possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos. É medido em função da probabilidade de um evento e de seu impacto. Figura 1: fluxograma de tratamento de riscos. 6 Identificação Segue-se uma lista não exaustiva de vulnerabilidades e ameaças aos ativos. Cada item pode afetar mais de um ativo com impactos diferentes. Estimativas A seguir, apresenta-se a planilha de estimativa de riscos, ordenada do maior para o menor risco total calculado. Para cada ativo vulnerável, o impacto foi interpretado como 1, 2 ou 3 para impactos baixo, médio e alto, respectivamente. O impacto bruto é calculado como a soma dos impactos Hardware •Defeitos •Flutuações elétricas •Mau uso •Perda, roubo, acidente ou assalto Software •Boot desprotegido •Flutuações elétricas •Keylogger •Senha fácil •Vírus Rede •Ataques •Cortes da operadora •Flutuações elétricas •Interferência •Network hoggers Pessoas •Choques elétricos •Ergonomia ruim # Item Ha rd w ar e So ft w ar e Re de Pe ss oa s Im pa ct o br ut o Pr ob ab ili da de Risco 0 Flutuações elétricas 9 90% 0,68 1 Senha fácil 8 90% 0,60 2 Boot desprotegido 6 90% 0,45 3 Interferência de rede 6 90% 0,45 4 Network hoggers 6 90% 0,45 5 Ergonomia ruim 6 90% 0,45 6 Defeitos 7 50% 0,29 7 Choques elétricos 7 50% 0,29 8 Malwares 10 30% 0,25 9 Ataques à rede 6 50% 0,25 10 Perda, roubo ou assalto 9 30% 0,23 11 Mau uso 10 10% 0,08 12 Desastres naturais 10 10% 0,08 13 Cortes da operadora 6 10% 0,05 Médias: 1,8 1,7 2,2 1,9 7,6 56% (σ = 0,19) 0,33 Legenda: Baixo Médio Alto Tabela 1: planilha estimativa de riscos 7 individuais da ameaça a cada ativo. A probabilidade é estimada como 10%, 30%, 50%, 70% ou 90%, conforme cenário. O risco é calculado como o produto do impacto normalizado (impacto bruto ÷ impacto máximo) pela probabilidade; assim, o risco varia linearmente2 entre 0 e 1. Avaliação A interpretação da planilha mostra resultados interessantes. Os maiores riscos para João atualmente são flutuações elétricas (0,68) e senhas fáceis (0,60). O ativo de maior risco é sua rede (média 2,1). Apesar do desvio-padrão de 0,19 mostrar considerável variação entre os riscos (MORAIS, 2005, p. 13), o cenário possui poucos riscos altos. Contudo, não se deve negligenciar os riscos médios. As flutuações elétricas ameaçam a disponibilidade do negócio como um todo. Uma falta de energia em horário de trabalho pode acarretar prejuízos financeiros e à reputação, ou até mesmo um incêndio, ainda que se trate de forças externas. As senhas fáceis comprometem a privacidade e integridade dos dados do negócio, visto que podem ser deduzidas facilmente se forem usadas informações pessoais na geração das mesmas. O filho de João que estuda informática pode usar um ataque de força bruta com dicionário e descobrir senhas comuns em segundos. Um roteador com senha numérica curta (ou com WPS ativado) pode ser invadido em questão de horas, abrindo brechas para outras ameaças como network hoggers e consequentes cortes pela operadora, por abuso. Tratamento Os controles na Tabela 2 seguem o princípio de Pareto: tratar primeiro os maiores riscos. Para melhor gerenciamento, inclui-se a previsão qualitativa do custo de cada controle. Há poucos controles caros e médios, e muitos controles baratos, o que mostra2 O risco poderia ser interpretado como uma porcentagem; porém, para evitar confusão com o impacto, preferi usar números puros. # Item Tratamento Controle Custo Interpretação 1 Flutuações elétricas Reduzir No-breaks estabilizados Alto 2 Senha fácil Evitar Critérios restritos de senha Baixo 3 Boot desprotegido Evitar Senha de boot Baixo 4 Interferência de rede Reduzir Canal dinâmico ou menos ocupado Baixo 5 Network hoggers Evitar QoS Baixo 6 Ergonomia ruim Reduzir Móveis ajustáveis Alto 7 Defeitos Reduzir Backups regulares; hardware redundante Médio 8 Choques elétricos Reduzir Aterramento e manutenção Médio 9 Malwares Reduzir Antivírus Baixo 10 Ataques à rede Reduzir Filtro de MAC; senha complexa Baixo 11 Perda, roubo ou assalto Transferir Seguro Médio 12 Mau uso Evitar Orientação de uso correto Baixo 13 Desastres naturais Aceitar Sem controle específico Baixo 14 Cortes da operadora Evitar Pagamento em dia; plano adequado Baixo Tabela 2: proposta de tratamento de riscos 8 relativa facilidade de implementação. Senhas complexas protegem não apenas os ativos físicos, mas também a confidencialidade do negócio. João deve proteger com boas senhas suas planilhas, que guardam os dados mais sensíveis do negócio, como folha de pagamento e fluxo de caixa. Deve, também, criar senhas relevantes para roteadores, boots dos PCs e backups. Um gerenciador de senhas pode ser de grande utilidade. A interferência de rede pode ser reduzida com um roteador tipo “N” e que possua canal dinâmico, ou seja, o próprio roteador procura o canal mais livre. Opcionalmente, João pode replicar a rede sem fio com mais de um roteador, mas com custo adicional. O recurso WPS deve ser desativado sempre, uma vez que é pouco utilizado e muito vulnerável a ataques de força bruta. Aceitação Inicialmente, João pode focar nos maiores riscos, aceitando temporariamente os menores. Conforme seus recursos permitam, ele pode incluir mais e mais controles, até completar a tabela ou novos riscos surgirem a partir dos controles. Ao implementar todos os controles, o risco residual será restringido aos desastres naturais e casos fortuitos. Conclusão O cenário é bastante otimista, com soluções eficazes e de baixo custo. Obviamente, o ritmo de contenção de riscos seguirá a disponibilidade de recursos humanos e financeiros da organização. Após todo aprendizado na gestão de riscos, João precisa comunicar à família e aos funcionários sobre as decisões tomadas, para que haja conscientização. O elo mais fraco na segurança da informação é o fator humano; por isso, uma comunicação eficiente se faz necessária para aperfeiçoar os processos e tratar adequadamente os riscos. Além disso, é preciso monitorar e mensurar a eficácia dos controles, além de gerenciar os novos riscos envolvidos com sua implementação. É um processo contínuo. 9 Referências BERTRAM, D. Likert Scales… are the meaning of life. , 2007. Disponível em: <http://poincare.matf.bg.ac.rs/~kristina/topic-dane-likert.pdf>. . LIKERT, R. A Technique for the Measurement of Attitudes. Archives of Psychology, , n. 140, p. 1–55, 1932. MORAIS, C. Escalas de medida, estatística descritiva e inferência estatística. , 2005. Disponível em: <http://scholar.google.com/scholar?hl=pt- BR&btnG=Search&q=intitle:Escalas+de+Medida+,+Estat%C3%ADstica+Descritiva+e+Infer%C 3%AAncia+Estat%C3%ADstica#0>. Acesso em: 17/1/2015. FTP://FTP.REGISTRO.BR/PUB/GTS/GTS15/02-ISO-27005-EXEMPLIFICADA.PDF. ACESSO EM 16/01/2015. HTTP://WWW.BRUNOMORAES.COM.BR/GOVERNANCA-EM-TI/WP- CONTENT/UPLOADS/2010/11/NBR_ISO27005_CONSULTAABNT1.PDF ACESSO EM 16/01/2015. Introdução Escopo Metodologia Risco Identificação Estimativas Avaliação Tratamento Aceitação Conclusão Referências
Compartilhar