Como o próprio nome indica, é realizada para identificar os riscos aos quais estão submetidos os ativos de uma organização, ou seja, para saber qual é a probabilidade de que as ameaças se concretizem e o impacto que elas causarão ao negócio.
ESCOPOS DA ANÁLISE DE RISCOS
*Escopo humano
*Escopo humano
*Escopo tecnológico
*Escopo dos processos
*Escopo físico
*Escopo dos processos
*Escopo físico
Humanos
A análise de riscos também se destina à compreensão da maneira como as pessoas se relacionam com os ativos. Assim, é possível detectar as vulnerabilidades provenientes de ações humanas, sendo igualmente possível fazer recomendações para aumentar a segurança no trabalho humano e garantir a continuidade dos negócios da organização. Essa análise pretende inicialmente identificar vulnerabilidades no usuário e organização.
Aspectos a analizar:
* As pessoas que fazem uso do Internet Banking
* Os técnicos que dão suporte aos usuários ou que administram os ativos da organização
* Os responsáveis pelo planejamento e coordenação do trabalho
Tecnológico
A análise de riscos realizada no ambiente tecnológico pretende alcançar o conhecimento das configurações e da disposição topológica dos ativos de tecnologia que compõem toda a infra-estrutura de suporte das informações para comunicação, processamento, tráfego e armazenamento.
Aspectos a analizar
Aspectos a analizar
* Os servidores de arquivos, nos quais se encontram as informações sobre o produto
* Um servidor de banco de dados que armazena as informações das contas dos clientes do Internet Banking
*Um roteador que permite a conectividade da empresa com a Internet
*Um servidor Web que permite que se façam consultas ao produto pela Internet (em suas plataformas respectivas: Windows®, Unix®, etc.)
*Um servidor Web que permite que se façam consultas ao produto pela Internet (em suas plataformas respectivas: Windows®, Unix®, etc.)
Processual
A análise dos fluxos de informações da organização e a maneira como elas transitam de um lado para outro, como são administrados os recursos em relação à organização e à manutenção. Dessa forma, será possível identificar os links entre as atividades e os insumos necessários para sua realização com o objetivo de identificar as vulnerabilidades que podem afetar a confidencialidade, a disponibilidade e a integridade das informações e, conseqüentemente, do negócio da empresa. Aspectos a analizar:
*Identificar as pessoas envolvidas no fluxo de informações; é possível avaliar a necessidade real de acesso aos ativos que elas têm;
*Avaliar o impacto proveniente do uso indevido das informações por pessoas não-qualificadas.
Físico
A análise física de segurança busca identificar, na infraestrutura física do ambiente em que os ativos se encontram, vulnerabilidades que possam trazer algum prejuízo às informações e a todos os outros ativos. O enfoque principal desse escopo de análise são os ativos do tipo organização, pois são os que fornecem o suporte físico ao ambiente em que estão sendo manipuladas as informações.
Aspectos a analizar:
*Identificar possíveis falhas na localização física dos ativos tecnológicos;
*Avaliar o impacto de acessos indevidos às áreas nas quais se encontram os ativos tecnológicos;
*Avaliar o impacto dos desastres naturais na infra-estrutura tecnológica da empresa. A análise de riscos pode ser realizada de acordo com diferentes escopos. Em geral todos são considerados, já que a implentação da segurança pretende corrigir o ambiente em que se encontram as informações. Ou seja, envolve atividades relacionadas ao ciclo de vida da informação:
* Geração
* Tráfego
* Processamento
* Armazenamento
STRIDE
A identificação dos riscos de segurança deixa as idéias mais claras e ajuda a exibir os mais prováveis. A informação é reunida na forma de ameaças, vulnerabilidades, pontos fracos e medidas preventivas. O modelo STRIDE proporciona uma estrutura valiosa e fácil de lembrar para identificar as ameaças e os possíveis pontos fracos.STRIDE são as siglas em inglês dos diferentes tipos de ataques possíveis.
*Falsificar: Falsificar mensagens de correio eletrônicoReproduzir pacotes de autentucação
*Alterar: Reproduzir pacotes de autenticação Alterar dados durante a transmissãoTrocar dados em arquivos
*Repúdio: Eliminar um arquivo essencial e negar o atoAdquirir um produto e negar posteriormente que adquiriu o mesmo
*Divulgação da informação: Expor a informação em mensagens de errosExpor o código de sites da Web
*Negação de serviço: Inundar uma rede com pacotes de sincroniaInundar uma rede com pacotes ICMP falsos
*Elevação de privilégios: Explorar a saturação de um buffer para obter privilégios no sitemaObter privilégios de administrador de forma ilegítima
Na verdade, a análise de segurança é o reconhecimento de todo o ambiente em que se pretende implementar segurança para quesejam cumpridos os propósitos a seguir:Identificar as vulnerabilidades para que sejam corrigidas;
Na verdade, a análise de segurança é o reconhecimento de todo o ambiente em que se pretende implementar segurança para quesejam cumpridos os propósitos a seguir:Identificar as vulnerabilidades para que sejam corrigidas;
* Conhecer os elementos constituintes da infra-estrutura de comunicação, de processamento e de armazenamento da informação, afim de dimensionar onde serão feitas as análises e que elementos serão considerados;
* Conhecer o conteúdo da informação manipulada pelos ativos com base nos princípios de confidencialidade, integridade e disponibilidade;
* Dirigir ações para incrementar os fatores tecnológicos e humanos nas áreas críticas e desprotegidas;
* Permitir uma gestão periódica de segurança com o objetivo de identificar novas ameaças e vulnerabilidades, além da verificação da eficácia das recomendações fornecidas.
DEFINIÇÃO DA EQUIPE ENVOLVIDA E DAS ENTREVISTAS AOS USUÁRIOS
Um dos aspectos importantes para a realização da análise dos riscos é dimensionar de forma adequada o recurso humano necessário para a sua elaboração. Isso é importante dado o custo que representa para a empresa, mas é da escolha que fazemos desse recurso que vai depender o êxito da análise de riscos. A entrevista realizada com os usuários nos permite conhecer cada um dos processos da empresa através dos olhos dos participantes que levam tais processos a cabo. Além disso, eles têm a oportunidade de receber um feedback que nos permite conhecer com maior profundidade os possíveis riscos em suas atividades diárias. A entrevista com os usuários dos processos de negócio permite:
* Obter detalhes sobre a forma em que são gerenciados, implementados e utilizados;
* Fazer um mapeamento da importância desses processos diante das circunstâncias organizacionais em que você se encontra;
* Definir o nível de capacitação necessária da equipe envolvida;
* Conhecer de que forma ocorre o fluxo de informação dentro dos processo processos
ANÁLISE TÉCNICA DE SEGURANÇA
A análise técnica de segurança é uma das etapas mais importantes da análise de riscos. Através dela, são feitas coletas de informações sobre a forma em que os ativos:
* Foram configurados;
* Foram estruturados na rede de comunicação;
* A forma como são administrados por seus responsáveis.
A análise técnica constitui a forma em que se obtêm as informações específicas de gerenciamento geral dos ativos da empresa. Dessa maneira, é possível identificar, através de suas configurações, como são utilizados e manipulados, buscando-se encontrar vulnerabilidades de segurança. No processo de análise técnica da segurança, são considerados diversos tipos de ativos, de acordo com o escopo definido no início do projeto, com o propósito de monitorar as vulnerabilidades presentes através de erros de configuração ou desconhecimento das possibilidades de ataque. Dentre os ativos tecnológicos analisados, podemos listar os seguintes:
ESTAÇÕES DE TRABALHO:
Dependem da forma como estão configuradas para evitar que os usuários permitam a ocorrência das ameaças. Entre os exemplos de vulnerabilidades comuns desse tipo de ativos estão:
* ausência de protetor de telas bloqueado por senha, permitindo que as máquinas sejam utilizadas por pessoas não-autorizadas quando o seu usuário não estiver por perto;
* ausência de configurações de segurança permitindo a instalação ou execução de arquivos maliciosos;
* ausência de controles que impeçam a instalação de software pirata ou não homologado pela organização;
* periodicidade de atualização dos programas antivírus;
* presença ou ausência de documentos confidenciais;
* forma de utilização da estrutura de servidores de arquivos, que garantam de uma maneira mais eficiente o backup dos dados, ou seja, sua disponibilidade
SERVIDORES:
O enfoque principal deve ser nos arquivos de configuração e na definição de usuários que têm direitos de administração do ambiente, uma vez que são os privilégios de administração os que mais ameaçam os ambientes de tecnologia e também são os mais desejados pelos invasores.
EQUIPAMENTOS DE CONECTIVIDADE:
A análise de equipamentos de conectividade concentra-se na detecção de configurações que põem em risco as conexões realizadas pela rede de comunicação que suporta um processo de negócios. Deve-se identificar nessa análise a forma como esses ativos foram configurados:
* Dispositivos de roteamento;
* Modems;
* Switches;
* Firewalls;
* Concentradores de VPN.
BANCOS DE DADOS:
A forma como o banco de dados conversa com os demais aplicativos é um dos primeiros elementos que devem ser analisados. Também são avaliados os níveis de confidencialidade, integridade e disponibilidade das informações que estão lá,para que se possam identificar as necessidades de proteção e configuração de segurança e para que as informações disponíveis estejam de acordo com os princípios da segurança exigidos para as informações.
CONEXÕES:
As conexões de comunicação entre as redes devem estar seguras: fibra óptica, satélite, rádio, antenas, etc. Para isso, é importante realizar análise da forma com que as conexões estão configuradas e dispostas na representação topológica da rede. Isso garante que a comunicação seja realizada em um meio seguro, segregado, criptografada se for necessário, livre de possibilidades de rastreamento de pacotes ou mensagens, e também livre de desvio do tráfego para outros destinos indesejados.
APLICATIVOS:
Devem garantir que estejam configurados de acordo com os princípios de segurança necessários com relação à disponibilidade das informações, à forma como as lê, guarda etransmite. Também deve ser considerada a maneira como o aplicativo foi desenvolvido, como seu código-fonte é atualizado e armazenado etc.
ANÁLISE DE SEGURANÇA FÍSICA
A análise de segurança física se inicia com a visita técnica nos ambientes onde são realizadas as atividades relacionadas direta ou indiretamente com os processos de negócio que estão sendo analisados. Esses ambientes devem ser observados com relação a diversos aspectos:
* organização do espaço no sentido de como estão acomodados os móveis e os computadores;
* organização do espaço no sentido de como estão acomodados os móveis e os computadores;
* áreas de circulação de pessoas e lugares de trânsito intenso livres de ativos valiosos;
* que os ativos mais importantes estejam localizados em áreas de acesso controlado, isolado de pessoas que não estejam autorizadas a operá-los. Sistemas de combate a incêndio É considerada a disposição dos mecanismos de combate a incêndio, observando que estejam nos locais adequados:
* detectores de fumaça;
* sprinklers;
* extintores de incêndio portáteis.
Controle de acesso Trata da disposição de sistemas de detecção e autorização de acesso físico às pessoas. Para isso, utiliza:
* paredes, cercas, gaiolas e racks;
* câmeras de vídeo;
* seguranças;
* portas e catracas de acesso com autenticação.
Continuidade de operação Envolve a garantia de condições físicas e ambientais necessárias para operação dos ativos, tais como:
* proteção da rede elétrica (estabilizadores e no-breaks);
* suprimento ininterrupto de energia elétrica, se necessário;
* controle de temperatura e umidade no ambiente. Exposição ao clima e meio-ambiente Disposição de janelas e portas em áreas críticas:
* Preocupação quanto à sua localização próxima a ativos críticos;
* Se os ativos críticos recebem luz solar ou possibilidade de ameaças causadas por fenômenos da natureza, como granizo ou chuvas fortes
