Analise de Risco

Prévia do material em texto

Analise de Riscos
Segurança da Informação
Fernando Cesar Miranda
Introdução
“ Desastres acontecem ... “ (Lei de Murphy).
“ Nada é tão ruim que não possa piorar ... “
Conceitos
Avaliação do Impacto de Desastres (AVID)
Business Impact Analisys (BIA)
Definição
“Busca identificar os possíveis impactos de um desastre sobre uma organização. Quanto maior o impacto decorrente da paralisação de um processo, mais crítico será este processo.”
AVID
Deve ser feito para toda a organização.
A abordagem deve ser orientada às Unidades Organizacionais (Processos Produtivos).
Deve ser repetido para quantas forem as Unidades Organizacionais.
AVID
Análise dos processos de uma unidade organizacional
Identificação dos riscos existentes
Revisão
Relatório
Identificação De Riscos (AVID)
Conjunto de impactos:
Impacto para os consumidores e usuários.
Impacto sobre o atendimento de determinações legais.
Impacto sobre não aderência a contratos de fornecimento de bens/serviços.
Impacto sobre a quantidade de pessoal necessário a execução do processo.
Impacto negativo sobre o lucro.
Impacto no custo operacional.
Impacto decorrente de multas e sanções.
Etc.
Ativo
Ativo é um termo básico utilizado para expressar o conjunto de bens, valores, créditos, direitos e assemelhados que forma o patrimônio de uma pessoa, singular ou coletiva, num determinado momento, avaliado pelos respectivos custos.
Identificação de Ativos Críticos
Informações: BD, arquivos, documentação operacional e manuais.
Documentos: Contratos, documentação da organização, documentos de funcionários e clientes.
Ativos físicos: Equipamentos, mobiliários, mídias, instalações prediais.
Pessoas: Funcionários, clientes e parceiros.
Serviços de infra-estrutura: Ar-condicionado, processamento de dados, energia elétrica, água e esgoto.
Ameaça
Ameaça: Toda e qualquer condição adversa capaz de vir a causar alguma perda para a organização.
Qualquer circunstância ou evento com o potencial de causar impacto negativo.
Ameaças (Naturais)
Avalanche/Deslizamento de terra.
Chuva de granizo.
Incêndio
Inundação, enchente.
Perda de acesso físico as instalações.
Raio.
Tornado, vendaval.
Etc.
Ameaças (Humanas)
Acesso indevido aos sistemas/dados.
Acesso indevido às instalações.
Ameaça de bomba.
Ataque terrorista.
Balão.
Desvio fraudulento de recursos.
Distúrbio civil.
Etc.
Ameaças (Tecnológicas)
Acidente aéreo, rodoviário ou ferroviário.
Acidente nuclear.
Acidente químico.
Explosão.
Falha de software aplicativo.
Falha de software operacional.
Falha no sistema de refrigeração.
Etc.
Risco
Risco: designar o resultado objetivo da combinação entre a probabilidade de ocorrência de um determinado evento, aleatório, futuro e que independa da vontade humana, e o impacto resultante caso ele ocorra.
É a medida numérica ou relativa que quantifica ou qualifica a probabilidade da ocorrência de um desastre.
Classificação:
Riscos técnicos
Riscos organizacionais 
Riscos externos 
Vulnerabilidade
Vulnerabilidade: É um item que aumenta a exposição a um desastre por tornar sua concretização mais provável.
Um ponto falho ou de fraqueza num ativo que possa ser explorado negativamente de forma proposital ou inadvertida
Gestão do Riscos
Estratégias:
Evitar o Risco: decisão de não se envolver ou agir de forma a se retirar de uma situação de risco.
Aceitar o Risco: manter o risco no nível atual de impacto e probabilidade.
Reduzir (Mitigar): ações são tomadas para minimizar a probabilidade e/ou o impacto do risco.
Transferir: atividades que visam reduzir o impacto e/ou a probabilidade de ocorrência do risco através da transferência.
Gestão do Risco
Estratégias:
Evitar
Reduzir
Assumir
Transferir
Transferir
Evitar
Aceitar
Reduzir
Probabilidade
Conseqüência
Gestão do Risco
Gestão do Risco
Tratamento incorporado ao processo
Requer redefinição do processo/negócio
Não exige prevenção
Requer gestão específica do Risco
Baixo
Impacto
Alto
Impacto
Alta Probabilidade
Baixa Probabilidade
Itens de Prevenção
Vulnerabilidades:
Relativas ao meio físico;
Relativas a recursos de hardware, software e telecomunicações;
Relativo a pessoal, gestão e procedimentos administrativos.
Itens de Prevenção
Controle de acesso;
Instalações físicas, elétricas e hidráulicas;
Pessoal;
Política e estrutura de segurança;
Procedimentos operacionais;
Arquivos de dados e documentos;
Auditoria operacional;
Seguros contratados;
Plano de contingência;
Etc.
Exercício
	Ativo	Ameaça	Vulnerabilidade	Risco	Estratégia
					
					
					
					
					
					
					
					
					
					
Nome: ________________________________________________________
Nome: ________________________________________________________
Exercício
Análise quantitativa de risco:
VME (Valor Monetário Estimado) = P x I,
 sendo P a probabilidade e I o valor do seu impacto potencial. 
Veículo no valor de $ 50.000,00 
Taxa de roubos/furtos na região: (223+884) por 300 mil veículos ano.
Pacote médio de peças: $ 1.500,00
Taxa média de acidentes por 10000 km / faixa de idade / ano
Pessoa de 25 anos que roda até 10000 km por ano.
Pessoa de 32 anos que roda até 30000 km por ano.
	Faixa Etária	% Acidentes / 10.000 km
	Até 25 anos	5%
	De 25 a 50 anos	2%
	Acima de 50 anos	1,5% 
Exercício
Brincando com probabilidades:
Sistema RAID com 3 discos em MTBF de 97,5% ano.
Sistema de Energia Elétrica:
Fornecedor: 97,5 % ano.
Usina própria: 98,5 % ano.
Uptime de Sistema:
Internet: 95 % ano.
Energia: 97,5% ano.
Hardware: 99,5% ano.
Software: 90 % ano.
Muito BaixoBaixoModeradoAltoMuito Alto
12345
Muito Alto556789
Alto445678
Moderado334567
Baixo223456
Muito Baixo112345
Probabilidade
Plan1
	
				Impacto
				Muito Baixo	Baixo	Moderado	Alto	Muito Alto
				1	2	3	4	5
	Probabilidade	Muito Alto	5	5	6	7	8	9
		Alto	4	4	5	6	7	8
		Moderado	3	3	4	5	6	7
		Baixo	2	2	3	4	5	6
		Muito Baixo	1	1	2	3	4	5
Plan2
	
Plan3