«
»

Análise de Risco

Análise de Risco é uma medida que busca avaliar qual a real probabilidade de que ameaças se concretizem utilizando as vulnerabilidades existentes, além de identificar os possíveis impactos que possam ser causados. A análise de riscos tem como resultado uma lista de problemas que devem ser priorizados, uns dos principais objetivos é diagnosticar a situação da segurança da informação na organização e recomendar ações para cada vulnerabilidade mapeada.

metodologias de análise de riscoUma Análise de Risco bem realizada poderá garantir a confidencialidade, a disponibilidade e a integridade das informações nas empresas.

A tarefa da análise de riscos é identificar os processos comerciais da organização em que se deseja implementar ou analisar o nível de segurança da informação. Na definição do escopo do projeto de análise de riscos, delimita-se o universo dos ativos sobre os quais oferecerão suas recomendações, com base na relevância do processo para a empresa no intuito de alcançar os objetivos da organização. De acordo com (Sêmola , 2003), fazem parte de uma análise de risco:

  • Processos de Negócio: Identificar junto aos gestores e colaboradores os Processos de Negócio existentes na Empresa.
  • Ativos: Identificar os ativos que serão considerados na Análise de Risco: Pessoas,Infra-estrutura, Aplicações, Tecnologia e informações.
  • Vulnerabilidades: Identificar as vulnerabilidades existentes nos ativos que possam causar indisponibilidade dos serviços ou serem utilizadas para roubo das suas informações.
  • Ameaças: Identificar os agentes que podem vir a ameaçar a empresa.
  • Impacto: tendo identificado as vulnerabilidades e ameaças, identificamos o impacto que estes podem causar na Empresa. Como roubo de informação, paralisação de serviços, perdas financeiras entre outros.

Ao definir o escopo, é importante considerar que os processos podem ser uma atuação da organização frente ao mercado, uma funcionalidade interna e externa, uma atividade exercida, ou um produto elaborado, precisando de toda a organização para se tornar viáveis.

A seguir será abordada a análise técnica de segurança, que é realizada na análise de riscos.

1 – Análise técnica de segurança

A análise técnica de segurança representa um dos pontos-chave na análise de riscos da empresa. Como já mencionado anteriormente, as informações são, hoje em dia, um dos principais ativos nas empresas, e, deste modo essa análise indicará o nível de segurança com o qual se conta dentro da empresa atualmente.

Por meio desse check-up, que é um dos passos mais importantes da análise de riscos, são feitas coletas de informações sobre a forma em que os ativos foram configurados e como são administrados por seus responsáveis e também de como foram estruturados na rede de comunicação.

No processo de análise técnica de segurança busca-se identificar vulnerabilidades de segurança na utilização e manipulação dos ativos da empresa e neste processo são considerados diversos tipos de ativos.

A seguir são apresentados os ativos tecnológicos a serem analisados quando se deseja monitorar as vulnerabilidades presentes através de erros de configuração ou desconhecimento das possibilidades de ataque:

a) Estações de trabalho

Dependem da forma como estão configuradas para evitar que os usuários (com freqüência de forma inconsciente) permitam a ocorrência das ameaças. Entre os exemplos de vulnerabilidades comuns desse tipo de ativos estão:

  • Ausência de protetor de telas bloqueado por senha, permitindo que as máquinas deixadas sozinhas sejam utilizadas por pessoas não-autorizadas;
  • Ausência de configurações de segurança permitindo a instalação ou execução de arquivos maliciosos;
  • Periodicidade de atualização dos programas antivírus, presença ou ausência de documentos confidenciais;
  • Forma de utilização da estrutura de servidores de arquivos, que garantam de uma maneira mais eficiente o backup dos dados, ou seja, sua disponibilidade.

b) Conexões

As conexões de comunicação entre as redes devem estar seguras: fibra óptica, satélite, rádio, antenas, etc. Para isso, é importante realizar atividades de análise sobre a forma com que as conexões estão configuradas e dispostas na representação topológica da rede. Isso garante que a comunicação seja realizada em um meio seguro, criptografada, se for necessário, livre de possibilidades de rastreamento de pacotes ou mensagens, e também desvio de tráfego para outros destinos indesejados.

c) Aplicativos

Os aplicativos são os elementos que fazem a leitura das informações de um processo de negócio ou de uma organização. Dessa forma, constituem um elemento muito importante, pois fazem a interface entre diversos usuários e diversos tipos de informação no que se refere a confidencialidade, integridade e disponibilidade. Dessa forma, os aplicativos devem garantir um acesso restritivo, com base nos privilégios de cada usuário e às informações que eles manipulam. Além disso, devem garantir também que suas configurações estejam de acordo com os princípios de segurança estabelecidos (muitos dos quais são reconhecidos por organismos internacionais) com relação à disponibilidade das informações, à forma como o aplicativo às lê, guarda e transmite, até à maneira como o aplicativo foi desenvolvido, como suas fontes são atualizadas e armazenadas, entre outros.

Abraços

leia também : Catálogo de Fraudes

, , ,

This entry was posted on 24/01/2012, 9:50 and is filed under Segurança da Informação (SI). You can follow any responses to this entry through RSS 2.0. Pode deixar um comentário ou um trackback no seu próprio site.

  1. Deixe um Comentário

Deixar um comentário

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Modificar )

Imagem do Twitter

You are commenting using your Twitter account. Log Out / Modificar )

Facebook photo

You are commenting using your Facebook account. Log Out / Modificar )

Cancelar

Connecting to %s

Seguir

Get every new post delivered to your Inbox.

Join 209 other followers