Introdução a Gestão de Riscos

Introdução

O ano passa e os desafios da Segurança da Informação aumentam de tamanho a cada dia. A maioria dos problemas que os profissionais de TI possuem estão relacionados com a dificuldade de se manterem atualizados com a enorme quantidade de novas vulnerabilidades e a necessidade contínua da atualização de sistemas de informação.

Há sem dúvida a necessidade de aplicarmos sólidos princípios de Gestão de Riscos para que possamos focar os recursos nas áreas problemáticas mais críticas. Os riscos mais importantes priorizados e as proteções apropriadas selecionadas, podemos estar certos que os maiores incidentes de segurança serão evitados ou reduzidos.

Todo processo de negócio é um conjunto de informações de diferentes níveis de sigilo. Certas informações podem ser confidenciais e precisam ser protegidas contra acesso não autorizado, enquanto outras informações críticas para o funcionamento contínuo da organização.

Um dos componentes mais importantes da Gestão de Segurança da Informação (GSI) como todo, a Gestão de Riscos é o nosso tema do artigo e é por meio deste processo que os riscos são identificados e tratados de forma sistemática e contínua.

A forma como o risco é percebido 

A forma como um risco é visto por uma parte envolvida pode variar em virtude dos critérios, valores, interesses e prioridades usados por ela. Por isso, quando o risco é encontrado com esses pontos específicos, nós chamamos de risco percebido.

Segundo a ISO/IEC Guide 73:2002 o Risco possui três vertentes: Probabilidade, Evento e Conseqüência.

Uma pessoa que tenha sido assaltada várias vezes em uma cidade pacífica pode achar que ela é muito mais perigosa que uma metrópole violenta na qual tenha morado sem nunca sofrer um assalto. Nem sempre o risco percebido é o risco verdadeiro.

Objetivos e benefícios da GR

Em síntese, podemos citar os seguintes:

• Priorização dos riscos e ações.
• Maior conhecimento sobre os riscos.
• Mecanismo para obtenção de consenso.
• Embasamento para as proteções atuais.
• Métrica e indicadores de resultados.

Gestão de Riscos

A GR Contempla uma série de atividades relacionadas à forma como uma organização lida com o risco. Ela cobre todo o ciclo de vida de tratamento do risco, desde a sua identificação até a sua comunicação às partes envolvidas, passando pelo seu tratamento de forma a atingir objetivos pré-estabelecidos em termos de tolerância. A Gestão de Riscos é composta de quatro atividades principais:

• Análise e Avaliação
• Tratamento
• Aceitação
• Comunicação

Primeiro passo: Análise e Avaliação de Riscos

Esse passo originou do termo inglês Risk Assessment onde é o processo dividido em duas partes.

A primeira, denominada Análise de Riscos (Risk Analysis), cobre o processo de Identificação de ameaças (Threat Identification) e Estimativa do Risco (Risk Estimation). A identificação de ameaças é feita através de busca em bases de informação que possam servir como fonte sobre os diversos tipos de ameaças existentes para os ativos que estamos avaliando.

A segunda parte, a Avaliação de Riscos (Risk Evaluation) compreende o processo de comparar os riscos que foram previamente identificados e estimados com os critérios de risco definidos pela organização. Com esta comparação decidimos se tratamos ou aceitamos o risco em questão.


Segunda parte: Tratamento do Risco

Onde selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. As medidas mais comuns são:

• Evitar - Não se expor a uma situação de risco.
• Transferir - Fazer um seguro para cobrir eventuais prejuízos.
• Reter - Fazer um auto-seguro.
• Reduzir - Implementar uma proteção que reduza o risco.
• Mitigar - Tomar medidas que diminuam apenas o impacto.

Terceira parte: Aceitação do Risco
Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Isso normalmente ocorre quando o custo de proteção é maior que o custo do próprio ativo que está sendo protegido ou figura em escala muito próxima a isso. A aceitação também pode ocorrer quando os riscos identificados já se encontram dentro de patamares aceitáveis.

Quarta parte: Comunicação do Risco

O último componente do processo de GR e tem o propósito de fechar o ciclo por meio da divulgação de informações sobre os riscos que forem identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisam ter conhecimento a respeito deles. Compartilhar a responsabilidade dos riscos é uma atividade que contempla a comunicação do risco mas convém lembrar que nem todos os riscos precisam ser comunicados.

Conclusão

A importância cada vez maior da Gestão de Riscos vem tomando a consciência dos empresários e incorporando suas técnicas na gestão global das corporações.  A tendência é que tenhamos investimentos maiores em ações preventivas que justifiquem a incorporação de sistemas de gestão de risco e projetando-os de maneira eficaz. Além disso, outros fatores como a cultura da empresa, necessidades jurídicas, práticas e métodos de gestão influenciam também no projeto.


Referência:
RAMOS, Anderson (org.). Security Officer - 1: Guia Oficial para Formação de Gestores em Segurança da Informação. Porto Alegre, RS: Zouk, 2008.

Por que se preocupar com segurança?

Introdução

Você já deve ter percebido e acompanhado notícias e fatos reais ou até mesmo ter lido ou ouvido que vivemos hoje a era da informação, ou seja, grande parte das empresas têm na informação o seu principal ativo. Perder ou ter informação furtada causa grandes prejuízos financeiros e, até mesmo, um impacto negativo à imagem da empresa.

Considere, por exemplo, as informações dos correntistas de um banco. A perda de tais informações certamente compromete todo o negócio da instituição, bem como afeta também sua imagem perante a sociedade. Provavelmente, ninguém mais confiará suas economias a esse banco!

Todos os dias, pessoas e empresas são vítimas de tentativas de ataques, cujo objetivo é o roubo ou a destruição de dados e informações. Em algumas situações, o roubo é feito por crackers – na maioria jovens – que têm o intuito de revelar as informações furtadas e publicá-las em sites na Internet, mostrando, assim, a fragilidade da empresa atacada.

Sobre a atuação dos crackers, leia aqui a matéria “Invasão de rede foi planejada por anos”, de Felipe Zmoginski, do Plantão INFO On-Line, publicada em 11 de maio de 2007.

Vulnerabilidade, Ameaça e Ataque

Quando se fala em segurança computacional, convém que você conheça alguns conceitos básicos.
Uma vulnerabilidade representa qualquer fragilidade dentro de um sistema, rede ou procedimento de atuação, que possa ser explorada, causando perdas ou danos à organização.

Uma ameaça é, portanto, a possibilidade de exploração de uma vulnerabilidade. Um ataque, por sua vez, representa a materialização de uma ameaça.

Para explicar melhor cada uma das três definições acima, vamos usar um simples exemplo. Suponha que você esteja acessando um site por meio de uma conexão não segura. O fato de essa conexão não ser segura representa uma vulnerabilidade. Uma possível ameaça poderia ser a captura, por alguém não autorizado, das informações que trafegam por essa conexão. Um ataque, nesse caso, poderia ser feito com o uso de um sniffer, o qual pode capturar e analisar os pacotes.

Dado o exemplo de ataque no parágrafo anterior, podemos dizer que o mesmo é do tipo passivo. Ou seja, baseia-se na escuta e no monitoramento de transmissões, não envolvendo alterações das mensagens trafegadas. Contudo, há ataques que são chamados ativos, os quais, nesse caso, envolvem modificação de mensagens, falsificação de dados ou até mesmo a interrupção de serviços.

Modalidades de Ameaça

Toda e qualquer comunicação pode estar sujeita à ocorrência de algumas modalidades de ameaça, as quais podem ser agrupadas em quatro categorias: interrupção, interceptação, modificação e fabricação, vejamos abaixo cada uma delas:

Interrupção: caracteriza-se pela possibilidade de tornar um bem ou ativo indisponível, inutilizável. Um exemplo de interrupção pode ser a destruição de um servidor ou disco de armazenamento

Interceptação: caracteriza-se pela obtenção de informações por meio do acesso não-autorizado de pessoa, sistema ou programa. A escuta de uma conversa telefônica é um exemplo desse tipo de ameaça.

Modificação: representa situações em que dados são alterados por pessoa não-autorizada. Um exemplo disso é a alteração do conteúdo de mensagens transmitidas por meio de uma rede de interconexão

Fabricação: difere um pouco da modificação, por representar situações em que dados falsos são produzidos e inseridos nos ativos de uma organização. Você pode tomar como exemplo a situação em que um cracker, após invadir um sistema de vendas pela Internet de uma empresa, cria pedidos falsos.

Alguns conceitos básicos

A confidencialidade visa proteger as informações contra acessos não-autorizados. Em outras palavras, mesmo que uma pessoa ou programa capture as mensagens transmitidas pela rede, é importante que essas mensagens estejam em uma forma ininteligível.

A integridade, por sua vez, busca proteger a comunicação de dados, evitando que as mensagens transmitidas sofram modificações por pessoas ou programas não-autorizados.

Já o serviço de autenticidade tem por objetivo garantir que os envolvidos em uma comunicação sejam autênticos; isto é, que nenhum deles esteja se passando por alguém que não é. Imagine, por exemplo, que você esteja conversando com um amigo por meio de um serviço de mensagens instantâneas. Qual a garantia que você tem de que a pessoa que você está realmente conversando é de fato seu amigo?

No controle de acesso o intuito é definir regras, limitando o acesso físico ou lógico aos ativos da empresa somente àquelas pessoas devidamente autorizadas. O controle de acesso físico engloba os mecanismos e medidas de proteção contra acesso não-autorizado, visando a proteção de equipamentos, documentos, suprimentos e pessoas, entre outros recursos.

A disponibilidade preocupa-se em manter os serviços de uma empresa disponíveis sempre que solicitados por acessos autorizados. O objetivo é proteger os recursos computacionais das ameaças de interrupção. Nesse caso, são implementadas soluções que promovam o aumento de disponibilidade como, por exemplo, a replicação de serviços, a redundância de canais de comunicação e a utilização de clusters.


Exemplos de controle da segurança da informação para empresas:

•  Redação de instruções.

          Regras básicas sobre a segurança da informação da empresa.

•  Atualização de software.

          Sistemas operacionais, aplicações (correio eletrônico, navegadores da Internet).

•  Realização de cópias de segurança.

•  Software de segurança da informação  (proteção antivirus e firewalls).

•  Senhas para a rede e os servidores.

        Em quanto tempo são trocadas? Como devem ser?
        Fechar a conta de correio eletrônico e eliminar o identificador de usuário ao finalizar a relação trabalhista.

•  Proteção física dos equipamentos.

        Guardar os servidores em uma sala fechada sob chave, contar com marcas de segurança, proceder ao  vazamento dos discos rígidos.


Conclusão

Quando se fala em segurança computacional, alguns serviços precisam ser implementados como forma de garantir a proteção dos bens ativos de uma empresa, assim como prevenir que as informações enviadas por esta, para os seus clientes, parceiros ou fornecedores, sejam capturadas por pessoas não-autorizadas.

Podemos agrupar os serviços de segurança nas seguintes categorias: confidencialidade, integridade, autenticidade, controle de acesso e disponibilidade.

Inventário - Vulnerabilidades x Ativos x ISO 17799

Sêmola (2003) diz que em qualquer iniciativa de solução é preciso identificar primeiramente o problema com requinte de detalhes e segmentá-lo de forma a permitir maior profundidade na análise de suas características.

Nas empresas o desafio é realizar ações que mapeiem e identifiquem ameaças, vulnerabilidades, riscos, sensibilidades e impactos, a fim de permitir o adequado dimensionamento e modelagem da situação.

Para iniciar esse mapeamento, abaixo listei conforme a proposta deste artigo um inventário dos principais ativos atingidos pela vulnerabilidade apresentada associada a cláusula correspondente da ISO 17799.

Inventário (ISO 17799 aplicável)
Vulnerabilidade	Ativo	Cláusula aplicável
Não foi restingido o monitoramento de acesso a recursos (inclusive críticos) por parte dos usuários.	Servidores, Desktops, impressoras, scanners	15.1.5 Prevenção de mau uso de recursos de processamento da informação.
As listas de controle de acesso (ACLs) não tem verificação periódica.	Informações	11.4.6 Controle de conexão de rede.
Os horários de logon e uso de recursos computacionais é ilimitado.	Rede de computadores e materiais	11.5.6 Limitação de horário de conexão.
Não há controle adequado de entrada/saída de visitantes.	Recursos computacionais e informações	9.1.2 Controles de entrada física.
O acesso a computadores e impressoras que manipulam informações confidenciais não é restrito adequadamente	Informações	6.1.5 Acordos de confidencialidade e 9 Segurança física e do ambiente.
Durante a construção do prédio, não foram utilizados materiais resistentes à ação do fogo, nem a instalação de para-raios.	Todos	9.1.1 Perímetro de segurança física.
Os funcionários não têm conhecimento a respeito de procedimentos de uso dos dispositivos para emergências, tais como extintores de incêndio.	Todos	9.1.4 Proteção contra ameaças externas e do meio ambiente.
O grupo moto-gerador é antigo, não confiável e pequeno em relação ao prédio da Matriz.	Todos ( Falta de energia e falha no funcionamento do grupo moto-gerador)	9.2.2 Utilidades.
O descarte de material eletrônico, dispositivos e documentos em papel é feito sem controle.	Informação (Parte do ciclo de vida da informação, o descarte deve ser adotado critérios sob controle da empresa).	10.7.2 Descarte de mídias.
Há contas/senhas de ex-funcionários. habilitadas	Informação (ex-colaboradores ainda com acesso ao sistema)	8.3 Encerramento ou mudança de contratação; 8.3.3 Retirada de direitos de acesso.

Pendrives com criptografia por hardware são crackeados

Pendrives de “máxima segurança” de três grandes marcas (Verbatim, SanDisk e Kingston), com criptografia AES 256 bits por hardware, foram crackeados e tiveram os dados acessados. A falha foi descoberta pela empresa de segurança da informação SySS, especializada em pendrives. Os três pendrives receberam o FIPS 140-2 Level 2 certificate, importante certificado de segurança emitido pelo NIST (órgão do governo americano), que supostamente garantiria inviolabilidade dos dados.

Os especialistas tiveram pouca dificuldade em obter acesso aos dados, mesmo sem a senha correta. Eles notaram que, ao digitar a senha correta, o software usado para acessar o pendrive sempre envia uma mesma mensagem ao drive, que sinaliza o programa a autorizar o usuário a visualizar e editar os arquivos no drive. Criaram então uma ferramenta que, independente da senha digitada pelo usuário, manda esta mesma mensagem, que invariavelmente autoriza o acesso aos arquivos. Os especialistas pensam que a vulnerabilidade bastante evidente e simplória foi um descuido dos programadores.

A criptografia AES 256 bits usada pelosdrives é praticamente inviolável — a única maneira prática de obter acesso não-autorizado aos drives é a exploração de falhas como esta, no software que serve de interface entre o PC e o pendrive.

A Kingston emitiu um recall do produto afetado, enquanto Verbatim e SanDisk emitiram boletins de segurança informando sobre “potenciais vulnerabilidades no software de controle de acesso”.

Via Linha Defensiva