Analise de Risco
Antes de investir capital em segurança o ideal é que se promova um levantamento da situação atual, identificar e definir prioridades de ação são fundamentais no processo de conquista da excelência em Segurança da Informação.
A NECESSIDADE
Os riscos de segurança são identificados através de uma avaliação metódica dos processos, pessoas e tecnologia. Os gastos com controles precisam ser pesados contra os prováveis prejuízos resultantes de falhas na segurança. Técnicas de avaliação de riscos podem ser aplicadas a toda a organização ou apenas a partes dela, bem como a sistemas de informação individuais, componentes de sistemas específicos ou serviços onde isto for praticável, realístico e útil.
Dentre diversas necessidades destacamos:
• Levantar e classificar os riscos relacionados à segurança da informação e conseqüentemente ao negócio;
• Atuar de forma estratégica na solução dos problemas relacionados a sistemas e processos vulneráveis ao negócio
• Minimizar ao máximo os riscos de parada nos serviços de TI;
• Minimizar as perdas em casos de incidentes relacionados ao negócio.
Os resultados desta avaliação ajudarão a guiar e determinar a ação gerencial adequada e as prioridades para gerir os riscos de segurança e implementar controles selecionados para proteger contra esses riscos. O processo de avaliar riscos e selecionar controles pode precisar ser executado diversas vezes para cobrir diferentes partes da organização ou sistemas de informação individuais. É importante executar revisões periódicas dos riscos de segurança e dos controles implementados para:
• Levar em conta as mudanças nas prioridades e necessidades do negócio;
• Considerar novas ameaças e vulnerabilidades;
• Confirmar que os controles permanecem eficazes e apropriados.
As revisões devem ser executadas em diferentes níveis de profundidade, dependendo dos resultados das avaliações anteriores e das mudanças nos níveis de riscos que a gerência está preparada para aceitar.
As avaliações de riscos freqüentemente são executados primeiro em um nível superior, como uma forma de priorizar recursos nas áreas de alto risco e depois em um nível mais detalhado, para tratar riscos específicos. Toda vulnerabilidade é definida como uma falha no projeto ou implementação de um software, sistema operacional ou até a física dos ativos de rede, que quando explorada resulta na violação da segurança em uma corporação.
Essa violação pode ser feita remotamente ou presencialmente (física). É indispensável que os trabalhos sejam realizados para reduzir ao máximo essas vulnerabilidades e diminuir os riscos ao seu negócio.
ALOCAÇÃO DO PESSOAL
Objetivo: Reduzir os riscos de erros humanos, roubos, fraudes ou uso indevido das facilidades. As responsabilidades de segurança devem ser tratadas no estágio de recrutamento incluídas em contratos e monitoradas durante o tempo que o colaborador estiver no emprego. Os candidatos em potencial devem ser adequadamente selecionados especialmente para funções sensíveis. Todos os empregados e usuários terceirizados das facilidades de processamento de informações devem assinar um contrato de confidencialidade (não divulgação).
TREINAMENTO DOS USUÁRIOS
Objetivo: Assegurar que os usuários se conscientizem das preocupações e ameaças à segurança das informações, e estejam equipados para apoiar a política de segurança organizacional no curso de seu trabalho normal. Os usuários devem ser treinados nos procedimentos de segurança e no uso correto das facilidades de processamento de informações para minimizar os possíveis riscos de segurança.
SEGURANÇA FÍSICA E AMBIENTAL
Objetivo: Impedir acesso não autorizado, danos ou interferência às instalações físicas e às informações da organização e impedir perda, danos ou comprometimento de ativos e interrupção das atividades do negócio.
ANÁLISE DO AMBIENTE DE REDE PÚBLICO (ambiente de internet)
Objetivo: Impedir que aplicações voltadas à internet estejam vulneráveis, através de correções e ajustes no ambiente de rede, políticas de controle de acesso físico e lógico.
Nesse módulo são realizadas as seguintes análises:
• Teste cego remoto - Levantamento de vulnerabilidades das aplicações expostas;
• Teste de intrusão agressivo;
• Realização de testes em ambientes de pré-produção com o objetivo de mensurar o nível de segurança (não recomendado em ambientes de produção);
• Avaliação do ambiente: análise de configurações e processos;
• Avaliação física do ambiente: visa avaliar os riscos nas instalações dos equipamentos e o acesso físico.
ANÁLISE DO AMBIENTE PRIVADO (rede local)
Os computadores e servidores são utilizados em uma corporação para realizar inúmeras tarefas que a princípio são divididas em duas categorias:
Missão Crítica:
Nessa categoria são enquadrados os servidores, roteadores, firewalls ou todo o ativo de rede que tem atuação sistêmica. São equipamentos e serviços que devem sempre estar disponíveis a todos os usuários da empresa e sua parada resulta em prejuízos.
• Avaliação das instalações do Centro de Processamento de Dados (CPD) da empresa;
• Avaliação dos sistemas de backup e gerenciamento de mídias;
• Avaliação da proteção contra códigos maliciosos;
• Avaliação da política de controle de acesso ao ambiente de missão crítica;
• Manutenção de logs;
• Gerenciamento de redes e serviços;
• Gerenciamento de acesso dos usuários e privilégios;
• Análise do plano de continuidade do negócio;
Missão Operacional:
Aqui são enquadrados todas as estações e ativos de rede distribuídos pela empresa e seus respectivos usuários e colaboradores, bem como terceiros, parceiros e clientes.
• Avaliação do controle de acesso físico e lógico às estações;
• Avaliação do controle de acesso ao sistema operacional;
• Avaliação do controle de acesso às aplicações;
• Avaliação da proteção contra códigos maliciosos;
• Avaliação das políticas de acesso à web;
• Avaliação das políticas de correio eletrônico;
• Políticas de acesso à rede;
• Avaliação dos métodos de autenticação dos usuários;
• Política de utilização de computadores portáteis.
Nenhum comentário:
Postar um comentário