Como elaborar uma anlise de riscos?

imagem de regis_gabineski qua, 03/10/2007 - 22:51 regis_gabineski Essa publicao tem por objetivo sanar algumas dvidas de leitores preocupados em elaborar anlise de risco para diferentes escopos. O primeiro passo identificar o risco. Conhecendo o risco a que se expem as empresas, fica mais fcil para elas aplicar as solues de segurana. Se no conhecerem o risco, dificilmente sabero que mecanismos devem aplicar. Assim, a primeira coisa que recomendamos fazer uma anlise dos riscos e classific-los segundo sua prioridade. Depender da prioridade e dos recursos exigidos que os riscos sejam atenuados, eliminados ou assumidos, caso o impacto no seja maior. Sempre h uma faixa dentro da qual tenho um risco que inaceitvel e um risco aceitvel; tento ficar em uma faixa no meio, que a "administrao do risco". H vrios tipos de riscos do ponto de vista tecnolgico e outros riscos que no so tecnolgicos. Um risco tecnolgico, por exemplo, no ter um servidor bem configurado para ter senhas seguras. Em muitos casos, o servidor aceita uma senha que seja simplesmente 123. Se configurar o servidor de forma a me exigir uma senha que contenha nmeros, letras e smbolos, estou automaticamente aumentando a segurana. O risco que, se no tenho senhas completas, qualquer pessoa pode acessar documentos, informaes confidenciais ou e-mails. Os riscos no-tecnolgicos so, por exemplo, a fuga das informaes. Isso pode ocorrer no simples fato de botar um papel no cesto de lixo ou falar no celular no elevador, divulgando informaes da empresa na frente de outras pessoas. Esse um risco que tem a ver com processos, e no com tecnologias. As pessoas precisam ter incorporado em sua cultura o tema da segurana, para colocar uma senha segura, no falar no elevador sobre qualquer assunto, no atirar papis importantes no cesto de lixo. A anlise de riscos depende do escopo do projeto, podendo ser: Tecnolgico, Humano, Processos e Fsico. Anlise de Riscos para o escopo Tecnolgico: Em que devemos pensar? A anlise de riscos realizada no ambiente tecnolgico pretende alcanar o conhecimento das configuraes e da disposio topolgica dos ativos de tecnologia que compem toda a infra-estrutura de suporte das informaes para comunicao, processamento, trfego e armazenamento. Que aspectos devemos analisar? - Os ativos so do tipo aplicativo e equipamento, sem deixar de considerar tambm a sensibilidade das informaes que so manipuladas por eles. - Os usurios que os utilizam. - A infra-estrutura que lhes oferece suporte. Anlise de Riscos para o escopo Humano: Em que devemos pensar? A anlise de riscos tambm se destina compreenso da maneira como as pessoas se relacionam com os ativos. Assim, possvel detectar a quais vulnerabilidades provenientes de aes humanas se encontram submetidos os ativos, sendo igualmente possvel fazer recomendaes para aumentar a segurana no trabalho humano e garantir a continuidade dos negcios da organizao. Essa anlise pretende inicialmente identificar vulnerabilidades nos ativos do tipo usurio e organizao. Que aspectos devemos analisar? - O nvel de acesso que as pessoas tm na rede ou nos aplicativos. - As restries e as permisses que devem ter para realizar suas tarefas com os ativos. - O nvel de capacitao e a formao educativa a que precisam ter acesso para manipul-los, etc. Anlise de Riscos para o escopo Processos: Em que devemos pensar? A anlise dos fluxos de informaes da organizao e a maneira como elas transitam de um lado para outro, como so administrados os recursos em relao organizao e manuteno. Dessa forma, ser possvel identificar os links entre as atividades e os insumos necessrios para sua realizao com o objetivo de identificar as vulnerabilidades que podem afetar a confidencialidade, a disponibilidade e a integridade das informaes e, por conseguinte, do negcio da organizao. Nesse escopo, o ativo de enfoque principal do tipo usurio e informao.

Que aspectos devemos analisar? - Identificar as pessoas envolvidas no fluxo de informaes; possvel avaliar a necessidade real de acesso aos ativos que elas tm. - Avaliar o impacto proveniente do uso indevido das informaes por pessoas no-qualificadas. Anlise de Riscos para o escopo Fsico: Em que devemos pensar? A anlise fsica de segurana busca identificar, na infra-estrutura fsica do ambiente em que os ativos se encontram, vulnerabilidades que possam trazer algum prejuzo s informaes e a todos os outros ativos. O enfoque principal desse escopo de anlise so os ativos do tipo organizao, pois so os que fornecem o suporte fsico ao ambiente em que esto sendo manipuladas as informaes. Que aspectos devemos analisar? - Identificar possveis falhas na localizao fsica dos ativos tecnolgicos. - Avaliar o impacto de acessos indevidos s reas nas quais se encontram os ativos tecnolgicos. - Avaliar o impacto dos desastres ambientais na infra-estrutura tecnolgica da empresa. A segurana no somente tecnologia. Vemos a segurana na informtica como algo fundamentado sobre trs pilares: de um lado, a tecnologia; de outro, todos os processos de administrao e operao; e, por ltimo, o treinamento das pessoas, para que conheam os processos, saibam como implement-los, conheam a tecnologia e a configurem, administrem e operem de forma eficiente. Com esses trs pilares, acreditamos que se consiga obter uma infra-estrutura muito mais segura do que se contssemos apenas com uma boa tecnologia. * Testes de Segurana * Blog de regis_gabineski * Por favor, se logue ou se registre para poder enviar comentrios