Baixe o app para aproveitar ainda mais
Prévia do material em texto
Analise de Riscos Segurança da Informação Fernando Cesar Miranda Introdução “ Desastres acontecem ... “ (Lei de Murphy). “ Nada é tão ruim que não possa piorar ... “ Conceitos Avaliação do Impacto de Desastres (AVID) Business Impact Analisys (BIA) Definição “Busca identificar os possíveis impactos de um desastre sobre uma organização. Quanto maior o impacto decorrente da paralisação de um processo, mais crítico será este processo.” AVID Deve ser feito para toda a organização. A abordagem deve ser orientada às Unidades Organizacionais (Processos Produtivos). Deve ser repetido para quantas forem as Unidades Organizacionais. AVID Análise dos processos de uma unidade organizacional Identificação dos riscos existentes Revisão Relatório Identificação De Riscos (AVID) Conjunto de impactos: Impacto para os consumidores e usuários. Impacto sobre o atendimento de determinações legais. Impacto sobre não aderência a contratos de fornecimento de bens/serviços. Impacto sobre a quantidade de pessoal necessário a execução do processo. Impacto negativo sobre o lucro. Impacto no custo operacional. Impacto decorrente de multas e sanções. Etc. Ativo Ativo é um termo básico utilizado para expressar o conjunto de bens, valores, créditos, direitos e assemelhados que forma o patrimônio de uma pessoa, singular ou coletiva, num determinado momento, avaliado pelos respectivos custos. Identificação de Ativos Críticos Informações: BD, arquivos, documentação operacional e manuais. Documentos: Contratos, documentação da organização, documentos de funcionários e clientes. Ativos físicos: Equipamentos, mobiliários, mídias, instalações prediais. Pessoas: Funcionários, clientes e parceiros. Serviços de infra-estrutura: Ar-condicionado, processamento de dados, energia elétrica, água e esgoto. Ameaça Ameaça: Toda e qualquer condição adversa capaz de vir a causar alguma perda para a organização. Qualquer circunstância ou evento com o potencial de causar impacto negativo. Ameaças (Naturais) Avalanche/Deslizamento de terra. Chuva de granizo. Incêndio Inundação, enchente. Perda de acesso físico as instalações. Raio. Tornado, vendaval. Etc. Ameaças (Humanas) Acesso indevido aos sistemas/dados. Acesso indevido às instalações. Ameaça de bomba. Ataque terrorista. Balão. Desvio fraudulento de recursos. Distúrbio civil. Etc. Ameaças (Tecnológicas) Acidente aéreo, rodoviário ou ferroviário. Acidente nuclear. Acidente químico. Explosão. Falha de software aplicativo. Falha de software operacional. Falha no sistema de refrigeração. Etc. Risco Risco: designar o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e que independa da vontade humana, e o impacto resultante caso ele ocorra. É a medida numérica ou relativa que quantifica ou qualifica a probabilidade da ocorrência de um desastre. Classificação: Riscos técnicos Riscos organizacionais Riscos externos Vulnerabilidade Vulnerabilidade: É um item que aumenta a exposição a um desastre por tornar sua concretização mais provável. Um ponto falho ou de fraqueza num ativo que possa ser explorado negativamente de forma proposital ou inadvertida Gestão do Riscos Estratégias: Evitar o Risco: decisão de não se envolver ou agir de forma a se retirar de uma situação de risco. Aceitar o Risco: manter o risco no nível atual de impacto e probabilidade. Reduzir (Mitigar): ações são tomadas para minimizar a probabilidade e/ou o impacto do risco. Transferir: atividades que visam reduzir o impacto e/ou a probabilidade de ocorrência do risco através da transferência. Gestão do Risco Estratégias: Evitar Reduzir Assumir Transferir Transferir Evitar Aceitar Reduzir Probabilidade Conseqüência Gestão do Risco Gestão do Risco Tratamento incorporado ao processo Requer redefinição do processo/negócio Não exige prevenção Requer gestão específica do Risco Baixo Impacto Alto Impacto Alta Probabilidade Baixa Probabilidade Itens de Prevenção Vulnerabilidades: Relativas ao meio físico; Relativas a recursos de hardware, software e telecomunicações; Relativo a pessoal, gestão e procedimentos administrativos. Itens de Prevenção Controle de acesso; Instalações físicas, elétricas e hidráulicas; Pessoal; Política e estrutura de segurança; Procedimentos operacionais; Arquivos de dados e documentos; Auditoria operacional; Seguros contratados; Plano de contingência; Etc. Exercício Ativo Ameaça Vulnerabilidade Risco Estratégia Nome: ________________________________________________________ Nome: ________________________________________________________ Exercício Análise quantitativa de risco: VME (Valor Monetário Estimado) = P x I, sendo P a probabilidade e I o valor do seu impacto potencial. Veículo no valor de $ 50.000,00 Taxa de roubos/furtos na região: (223+884) por 300 mil veículos ano. Pacote médio de peças: $ 1.500,00 Taxa média de acidentes por 10000 km / faixa de idade / ano Pessoa de 25 anos que roda até 10000 km por ano. Pessoa de 32 anos que roda até 30000 km por ano. Faixa Etária % Acidentes / 10.000 km Até 25 anos 5% De 25 a 50 anos 2% Acima de 50 anos 1,5% Exercício Brincando com probabilidades: Sistema RAID com 3 discos em MTBF de 97,5% ano. Sistema de Energia Elétrica: Fornecedor: 97,5 % ano. Usina própria: 98,5 % ano. Uptime de Sistema: Internet: 95 % ano. Energia: 97,5% ano. Hardware: 99,5% ano. Software: 90 % ano. Muito BaixoBaixoModeradoAltoMuito Alto 12345 Muito Alto556789 Alto445678 Moderado334567 Baixo223456 Muito Baixo112345 Probabilidade Plan1 Impacto Muito Baixo Baixo Moderado Alto Muito Alto 1 2 3 4 5 Probabilidade Muito Alto 5 5 6 7 8 9 Alto 4 4 5 6 7 8 Moderado 3 3 4 5 6 7 Baixo 2 2 3 4 5 6 Muito Baixo 1 1 2 3 4 5 Plan2 Plan3
Compartilhar