Embed Size (px)
Citation preview
Princípios Fundamentais da Segurança
Agora, o que estamos tentando fazer de novo?
Em todos os projetos de segurança, seja pequeno ou grande, existem
três princípios básicos a seguir que são: disponibilidade, integridade e
confidencialidade. Estes princípios são chamados de tríade AIC (ou CIA). O
nível de segurança necessário para garantir esses princípios difere de uma
empresa para outra, porque cada uma tem seus propósitos de negócio, suas
próprias metas e seus requisitos de segurança. Todos os controles,
mecanismos de segurança e proteções são implementados para garantir um ou
mais desses princípios, e todos os riscos, ameaças e vulnerabilidades são
medidos para levantar as suas capacidades ou potencial de comprometer um
ou mais princípios da tríade AIC. A Figura 3-2 ilustra a tríade AIC.
Disponibilidade
Emergência! Eu não posso obter os meus dados!
Resposta: Ligue o computador!
Os sistemas e redes devem ser capazes de funcionar de modo previsível
(estável) e com um nível de desempenho aceitável. Eles deverão ser capazes
de se recuperarem de interrupções de maneira rápida e segura para que a
produtividade não seja afetada negativamente. Simples pontos de falha devem
ser evitados, medidas de backup devem ser tomadas, mecanismos de
redundância devem estar no local quando necessário, e os efeitos negativos a
partir de componentes ambientais devem ser evitados. É necessário que se
faça uso de mecanismos de proteção, para se prevenir contra ameaças
internas e externas ao local que poderiam afetar a disponibilidade e
produtividade da rede, sistemas e informações. A Disponibilidade assegura a
confiabilidade e acesso oportuno aos dados e recursos para pessoas
autorizadas.
A disponibilidade do sistema pode ser afetada por uma falha de dispositivo ou
de software. Dispositivos de backup deve ser usados e estarem disponível para
substituir rapidamente os sistemas críticos, funcionários deve ter habilidade
para fazer os ajustes necessários a fim de fazer o sistema voltar a
funcionar. As questões ambientais, como calor, umidade, frio, eletricidade
estática, e contaminantes também podem afetar a disponibilidade do
sistema. Os sistemas devem ser protegidos contra esses elementos, estar
devidamente aterrado eletricamente, e serem monitorados de perto.
Integridade
A integridade é mantida quando a garantia de fidelidade e segurança das
informações e sistemas é providenciado, e qualquer modificação não
autorizada é impedida. Hardware, software e mecanismos de comunicação
devem trabalhar em conjunto para manter o processamento dos dados
corretamente e mover dados para destinos os pretendidos sem qualquer
alteração inesperada. Os sistemas e redes devem ser protegidos de
interferências externas e contaminação.
Ambientes que aplicam este atributo de segurança asseguram que atacantes,
ou erros cometidos por usuários não comprometem a integridade dos sistemas
ou dados. Quando um atacante insere um vírus, bomba lógica, ou back door
em um sistema, a integridade do sistema é comprometida. Isto pode, por sua
vez, afetam negativamente a integridade da informação mantida no sistema por
meio de corrupção, modificação maliciosa, ou a substituição dos dados por
dados incorretos. Rigorosos controles de acesso, detectores de intrusão e
hashing podem combater estas ameaças.
Usuários geralmente afetam um sistema ou a integridade dos dados por
engano (embora usuários internos também podem cometer atos
maliciosos). Por exemplo, um usuário com um disco rígido cheio pode
inadvertidamente excluir arquivos de configuração sob a suposição errônea de
que a exclusão de um arquivo boot.ini não trará problemas porque não se
lembra de tê-lo usado. Ou, por exemplo, um usuário pode inserir valores
incorretos em um aplicativo de processamento de dados que acabaria
cobrando de um cliente R$ 3.000.000 em vez de R$ 300. Modificar dados
indevidamente no banco de dados é outra maneira de como os usuários podem
acidentalmente corromper dados – este é um erro que pode ter efeitos
duradouros.
A segurança deve simplificar os recursos de usuários e dar-lhes apenas
escolhas certas e funcionais, assim os erros tornam-se menos comuns e
menos devastadores. Os arquivos críticos de sistemas devem ser impedidos de
serem acessados pelos usuários. As aplicações deverão fornecer mecanismos
que verifiquem valores de entrada válidos. Bancos de dados devem ser
acessados somente por pessoas autorizadas e o trafego de dados deve ser
protegido por criptografia ou outros mecanismos.
Confidencialidade
A Confidencialidade garante que o nível de sigilo necessário é aplicado em
cada junção do processamento de dados e impede a divulgação não
autorizada. Este nível de confidencialidade deve prevalecer enquanto os dados
residirem em sistemas e dispositivos dentro da rede, uma vez que são
transmitidos e devem chegar ao seu destino.
Atacantes podem burlar os mecanismos de confidencialidade através do
monitoramento da rede, shoulder surfing (olhar pelo ombro, é quando uma
pessoa olha pelo ombro de outra pessoa e observam as teclas digitadas ou
dados que aparecem em uma tela do computador), roubo de arquivos de
senhas, e engenharia social. Engenharia social é quando uma pessoa usa
truques com outra pessoa fazendo a compartilhar informações confidenciais
como se estivesse se infiltrando por meio de alguém autorizado a ter acesso a
essas informações. A engenharia social pode assumir muitas outras formas. Na
verdade, qualquer simples meio de comunicação pode ser usado para executar
ataques de engenharia social.
Os usuários podem intencionalmente ou acidentalmente divulgar informação
vulnerável por não criptografá-la antes de enviá-la a outra pessoa, ao cair em
um ataque de engenharia social, através do compartilhamento de segredos
empresariais, ou por não tomar os devidos cuidados para proteger a
confidencialidade das informações quando processá-lo.
A Confidencialidade pode ser fornecida por meio de criptografia de dados, uma
vez que estes são armazenados e transmitidos, usando controle de tráfego de
rede, um controle de acesso rigoroso, fazendo classificação dos dados, e
treinamento de pessoal sobre os procedimentos adequados a serem seguidos.
Disponibilidade, integridade e confidencialidade são princípios fundamentais de
segurança. Você deve compreender os seus significados, como eles são
fornecidos por diferentes mecanismos, e como sua ausência pode afetar
negativamente o ambiente, e quais ajudam a melhor identificar os problemas e
apresentar soluções adequadas.
Cada solução, seja ela de um firewall, consultor, ou programa de segurança,
deve ser avaliada por seus requisitos funcionais e garantia destes. Avaliação
de requisitos funcionais significa “Esta solução não realiza as tarefas
necessárias?”, e Avaliação de requisitos de garantia significa “Qual garantia de
nível de proteção esta solução oferece?”. Os requisitos de garantia devem
abranger a integridade, disponibilidade e confidencialidade em todos os
aspectos da solução.
Definições de segurança
Eu sou vulnerável e vê-lo como uma ameaça.
Resposta: Bom.
As palavras "vulnerabilidade", "ameaça", "risco" e de "exposição", muitas vezes
são usados para repre enviou a mesma coisa, apesar de terem diferentes
significados e relações comuns aos outros. É importante compreender a
definição de cada palavra, mas mais importante compreender a sua relação
com os outros conceitos.
A vulnerabilidade é um software, hardware ou fraqueza processual que pode
fornecer uma atacante a porta aberta que ele está procurando para entrar um
computador ou rede e ter um autorizado o acesso a recursos dentro do
ambiente. A vulnerabilidade caracteriza a ausência ou fraqueza de uma
salvaguarda que pode ser explorada. Esta vulnerabilidade pode ser um serviço
executado em um servidor, aplicativos desatualizados ou software de sistema
operacional, irrestrito modem dial-in de acesso, uma porta aberta no firewall,
segurança fraca física que permite a qualquer pessoa entrar em uma sala do
servidor, ou gerenciamento de senhas nao forcadas em servidores e estações
de trabalho.
Uma ameaça é qualquer perigo potencial para a informação ou sistemas. A
ameaça é que alguns, um, ou algo, irá identificar uma vulnerabilidade
específica e usá-lo contra a empresa ou individual. A entidade que tira
vantagem de uma vulnerabilidade é referida como uma ameaça
agente. Um agente de ameaça pode ser um intruso acessar a rede através de
uma porta no firewall, um processo de acesso aos dados de uma forma que
viola a política de segurança, um tornado acabando com uma instalação, ou
um empregado de cometer um erro não intencional que pode ex- representam
informações confidenciais ou destruir a integridade de um arquivo.
Um risco é a probabilidade de um agente de ameaça tirar proveito de uma
vulnerabilidade e o impacto nos negócios correspondente. Se um firewall tem
várias portas abertas, há uma maior probabilidade de que um intruso vai usar
uma para acessar a rede em uma não autorizada metanfetamina od. Se os
usuários não são educados em processos e procedimentos, há uma maior
probabilidade que um funcionário vai fazer uma falta intencional ou não
intencional que pode destruir dados. Se um sistema de detecção de intrusão
(IDS) não foi implementado em uma rede, há uma maior probabilidade de um
ataque vai passar despercebida até que seja tarde demais. Amarra o risco
vulneráveis ameaça, capacidade e probabilidade de exploração para o impacto
comercial resultante.
Uma exposição é um exemplo de ser exposto a perdas de um agente de
ameaça. A vulneráveis capacidade expõe uma organização para possíveis
danos. Se o gerenciamento de senhas é frouxa e regras de senha não são
aplicadas, a empresa está exposta à possibilidade de hav-senhas de usuários
ING capturado e usado de forma não autorizada. Se a empresa não não ter
sua fiação inspecionados e não coloca os passos de prevenção pró-ativa de
incêndio em lugar, ele se expõe a incêndios potencialmente devastadores.
A medida preventiva, ou de salvaguarda, é posto em prática para mitigar o
risco potencial. A contramedida pode ser uma configuração de software, um
dispositivo de hardware ou um procedimento que elimina uma vulnerabilidade
ou reduz a probabilidade de um agente de ameaça será capaz de explorar uma
vulnerabilidade. Exemplos de contramedidas incluem gerenciamento de senha
forte, um guarda de segurança, mecanismos de controle de acesso dentro de
um sistema operacional, a implementação de insumo básico / sistema de saída
(BIOS) senhas, e conscientização de segurança de treinamento.
Se uma empresa tem um software antivírus, mas não manter as assinaturas de
vírus up-to-data, esta é uma vulnerabilidade. A empresa é vulnerável a ataques
de vírus. A ameaça é que um vírus vai aparecer no meio ambiente e prejudicar
a produtividade. A probabilidade de um vírus aparecendo no meio ambiente e
causar dano é o risco. Se um vírus infiltrar ambiente da empresa e, em seguida
uma vulnerabilidade tem sido explorada e a empresa é exposto à perda. As
contramedidas nesta situação são para atualizar o assinaturas e instalar o
software antivírus em todos os computadores. As relações entre riscos,
vulnerabilidades, ameaças e contramedidas são mostrados na Figura 3-3.
Aplicando o direito contramedida pode eliminar a vulnerabilidade ea exposição,
e, assim, reduzir o risco. A empresa não pode eliminar o agente de ameaça,
mas pode proteger-se e evitar esse agente de ameaça de vulnerabilidades que
exploram dentro da ambiente.
Referências
• NIST Computer Security Resource Center csrc.ncsl.nist.gov
• CISSP e SSCP Estudo Aberto Guias www.cccure.org
• CISSP.com www.cissps.com
Ordem dos conceitos
A ordem correta em que esses conceitos para avaliar como eles se aplicam à
sua própria rede é a exposição, ameaça, vulnerabilidade, medidas de
segurança, e, por último, o risco. Este é porque não pode ser uma ameaça
(novo ataque SQL), mas, a menos que a sua empresa a vulnerabilidade
correspondente (SQL servidor com a configuração necessária), a empresa não
está exposto e que não é uma vulnerabilidade. Se a vulnerabilidade faz residir
no ambiente, em seguida é aplicado um contra-medida para reduzir o risco.
Gestão de Risco da Informação
A vida é cheia de riscos.
Risco no contexto da segurança é a possibilidade de acontecer danos, e as
ramificações de tal dano se ocorrer. Gestão da informação de risco (IRM) é o
processo de identificação e avaliação do risco, reduzindo-a a um nível
aceitável, e implementação de os mecanismos adequados para manter esse
nível. Não há tal coisa como uma 100 por cento ambiente seguro. Cada
ambiente tem vulnerabilidades e ameaças a um certo grau. A habilidade está
em identificar essas ameaças, avaliar a probabilidade de eles realmente
ocorrendo e os danos que pode causar, e então tomar as medidas certas para
reduzir o nível global de risco no ambiente em que a organização identifica
como aceitáveis. Os riscos para a empresa vêm em diferentes formas, e eles
não são todos os computadores ligados.
Quando uma empresa compra outra empresa, leva-se em um monte de risco
na esperança de que este movimento vai aumentar a sua base de mercado,
produtividade e rentabilidade. Se uma empresa aumenta a sua linha de
produtos, o que pode adicionar uma sobrecarga, aumentam a necessidade de
pessoal e instalações de armazenamento, necessita de mais fundos para os
diferentes materiais e, talvez, aumentar o seguro prémios e as despesas de
campanhas de marketing. O risco é que isto adicionado sobrecarga não pode
ser compensada de vendas, assim, a rentabilidade será reduzida ou não
realizado. Quando olhamos para a nota de segurança da informação, de que
uma empresa precisa estar ciente de vários tipos de risco e tratá-los
adequadamente. O toque itens a seguir no grande categorias:
• Fogo dano físico, a água, o vandalismo, a perda de energia e
desastres naturais;
• Ação interação humana, acidental ou intencional ou omissão que pode
atrapalhar a produtividade;
• Falha mau funcionamento do equipamento de sistemas e dispositivos
periféricos;
• Ataques dentro e fora de hacking, cracking, e atacando;
• O uso incorreto de dados Compartilhando segredos comerciais,
fraudes, espionagem e roubo;
• Perda de perda de dados intencional ou não intencional de
informações através de meios destrutivos;
• Aplicação de erro erros de cálculo, erros de entrada, e buffer overflows.
Ameaças devem ser identificadas, classificadas por categoria, e avaliados para
calcular a sua dano potencial à empresa. Risco real é difícil de medir, mas
priorizando a riscos em potencial a fim de que uns devem ser abordadas
primeiro é possível.
Quem realmente entende de Gestão de Risco?
Infelizmente, a resposta a esta questão é que as pessoas não o suficiente,
dentro ou fora da profissão de segurança realmente entender de gestão de
risco. Embora a informação segurança é um grande negócio, hoje, o foco é
mais em aplicações, dispositivos, protocolos, vírus, e hackers. Embora estes
artigos todos devem ser considerados e pesados em risco processos de
gestão, eles devem ser considerados pequenos pedaços da segurança global
quebra-cabeça, não o foco principal da gestão de risco.
A segurança é agora uma questão de negócios, mas as empresas operam para
ganhar dinheiro, não apenas ser seguro. A empresa se preocupa com a
segurança apenas se os potenciais riscos ameaçam sua parte inferior linha,
que eles podem, em muitas maneiras, como através da perda de reputação e
sua base de clientes depois de um banco de dados de números de cartão de
crédito está comprometida; através da perda de milhares de dólares em
despesas operacionais a partir de um worm de computador novo, através de a
perda de informações confidenciais como resultado de tentativas de
espionagem de sucesso da empresa; através da perda de informações
confidenciais de uma engenharia social de sucesso ataque, e assim por diante.
É fundamental que os profissionais de segurança compreender estes ameaças
individuais, mas é mais importante que eles compreendam a forma de calcular
o risco dessas ameaças e mapeá-los para drivers de negócio.
Saber a diferença entre as definições de "vulnerabilidade", "ameaça", e "Risco"
pode parecer trivial para você, mas é mais crítica do que a maioria das pessoas
realmente entender.
Um scanner de vulnerabilidade pode identificar serviços perigosos que estão
em execução, desnecessária contas e sistemas não atualizados. Essa é a
parte fácil. Mas se você tem um orçamento de segurança de apenas R $
120.000 e tem uma longa lista de vulnerabilidades que precisam de atenção,
você tem a habilidade adequada para saber quais devem ser tratados em
primeiro lugar? Desde que você tem um quantidade finita de dinheiro e um
número quase infinito de vulnerabilidades, como você adequadamente
classificar as vulnerabilidades mais críticas para assegurar que a sua empresa
está a tratar o? mais crítica questões e proporcionando o maior retorno sobre o
investimento de fundos Isso é o que a gestão de risco é tudo, e para
organizações, empresas e empresas de todo o mundo, é mais importante do
que a IDS, hacking ético, malware, e firewalls. Mas a gestão de risco não é tão
"sexy" e, portanto, não recebe o seu necessário atenção ou implementação.
Informação sobre a Política de Gestão de Riscos
Como faço para colocar todas estas peças de gestão de risco juntos?
Resposta: Vamos verificar a política.
Gestão de risco adequada requer um forte compromisso da gerência sênior,
um processo documentado que apoia a missão da organização, uma política
de IRM, e um delegado equipe IRM.
A política de IRM deve ser um subconjunto da gestão de risco da organização
geral política (riscos para uma empresa incluem mais do que apenas as
questões de segurança da informação) e deve ser mapeadas para as políticas
de segurança da organização. A política de IRM deve abordar o seguinte itens:
• Os objetivos da equipe de IRM
• O nível de risco da empresa vai aceitar e o que é considerado aceitável
nível de risco
• Os processos formais de identificação de riscos
• A ligação entre a política e a IRM de organização estratégica processos
de planejamento
• Responsabilidades que se enquadram IRM e os papéis de cumpri-las
• O mapeamento de risco de controles internos
• A abordagem pessoal para comportamentos de mudança e alocação
de recursos em resposta à análise de risco
• O mapeamento dos riscos para as metas de desempenho e
orçamentos
• Principais indicadores para monitorar a eficácia dos controles
A política IRM fornece a infra-estrutura para a organização de gestão de riscos
de segurança processos e procedimentos e deve resolver todos os problemas
de segurança da informação, do pessoal da triagem e da ameaça interna à
segurança física e firewalls.
Ele deve fornecer orientação sobre como a equipe IRM relaciona informações
sobre os riscos da empresa para a gerência sênior e como executar
corretamente decisões de gestão sobre o risco tarefas de mitigação.
A Equipa de Gestão de Risco
Cada organização é diferente em seu tamanho, os requisitos de postura de
segurança e de segurança orçamento. Uma organização pode ter uma pessoa
responsável por IRM (pobre alma) ou uma equipe que trabalha de forma
coordenada. O objetivo geral da equipe é garantir a empresa é protegido da
maneira mais custo-efetiva. Este objetivo pode ser realizado somente se os
seguintes componentes estão em vigor:
• Um nível de aceitação de risco estabelecido fornecida pela gerência
sênior
• Os processos de avaliação de risco documentado e procedimentos
• Os procedimentos para identificação e mitigação de riscos
• recurso apropriado e alocação de recursos da administração sênior
• Planos de contingência onde as avaliações indicam que são
necessários
• Formação de Segurança conscientização para todos os funcionários
associados a informações ativos
• A capacidade de estabelecer melhoria (ou mitigação de risco) equipes
em específico áreas quando necessário
• O mapeamento de requisitos compliancy legais e regulamentares para
controlar e implementar os requisitos
• O desenvolvimento de métricas e indicadores de desempenho, de
modo a medir e gerenciar vários tipos de riscos
• A capacidade de identificar e avaliar os riscos de novos, como o meio
ambiente e empresa mudanças
• A integração do IRM e processo da organização de controle de
mudanças para assegurar que as mudanças não introduzir novas
vulnerabilidades
Obviamente, esta lista é muito mais do que apenas comprar um novo firewall
brilhante e chamando o cofre da empresa.
A equipe de IRM, na maioria dos casos, não é feita por funcionários com a
tarefa dedicada de gestão de risco. É composto por pessoas que já têm um
trabalho de tempo integral na empresa e agora estão incumbidos de outra
coisa. Assim, o apoio da gerência sênior é alocação de recursos necessários
para adequada pode ter lugar.
Claro, todas as equipes precisam de um líder, e IRM não é diferente. Um
indivíduo deve ser apontada para executar este rodeio e, em grandes
organizações, essa pessoa deve ser gastar 50 a 70 por cento do seu tempo
neste papel. A gerência deve dedicar fundos para ter certeza que essa pessoa
receba a formação necessária e as ferramentas de análise de risco
necessários para garantir que é um empreendimento de sucesso.
Análise de Risco
Eu determinei que o nosso maior risco é esse clipe.
Resposta: Bom trabalho.
Análise de risco, que é realmente uma ferramenta de gestão de risco, é um
método de identificação vulnerabilidades e ameaças e avaliar os possíveis
impactos para determinar onde implementar medidas de segurança. A análise
de risco é usada para garantir que a segurança é custo-efetivo, relevantes,
oportunas e responder a ameaças. A segurança pode ser bastante complexo,
mesmo para wellversed profissionais de segurança, e é fácil de aplicar
segurança muito, não o suficiente segurança, ou os componentes de
segurança erradas, e gastar muito dinheiro no processo sem atingir os
objetivos necessários. Análise de risco ajuda as empresas a priorizar seus
riscos e de gestão mostra a quantidade de dinheiro que deveria ser aplicado a
proteção contra os riscos de uma forma sensata.
A análise de risco tem quatro objetivos principais:
• Identificar os ativos e seu valor para a organização.
• Identificar vulnerabilidades e ameaças.
• Quantificar o impacto probabilidade e de negócios dessas ameaças
potenciais.
• Fornecer um equilíbrio econômico entre o impacto da ameaça e do
custo de a contramedida.
Análise de riscos fornece uma comparação de custo / benefício, que compara a
anualizado custo de salvaguardas para o custo potencial de perda. Uma
salvaguarda, na maioria dos casos, não deve ser implementado a menos que o
custo anual da perda supera o custo anual do salvaguarda si. Isto significa que
se uma unidade é de US $ 100.000, que não faz sentido gastar 150.000
dólares tentando protegê-lo.
É importante descobrir o que você deveria estar fazendo antes de cavar direito
e começar a trabalhar. Quem já trabalhou em um projeto sem adequadamente
definidos escopo pode atestar a verdade dessa afirmação. Antes de uma
avaliação e análise é começou, a equipe deve realizar um projecto de
dimensionamento para entender o que os activos e ameaças deve ser
avaliada. A maioria das avaliações são focados em tecnologia de segurança
física, segurança, ou a segurança pessoal. Tentando avaliar todos eles ao
mesmo tempo pode ser bastante uma empresa.
Uma das tarefas da equipe é criar um relatório que detalha as avaliações de
ativos. Senior gestão deve analisar e aceitar as listas, e torná-los o alcance da
IRM projeto. Se a gerência determinar nesta fase inicial que alguns ativos não
são importantes, a equipe de avaliação de risco não deve gastar mais tempo
ou recursos de avaliação esses ativos. Durante as discussões com a
administração, todos os envolvidos devem ter uma empresa compreensão do
valor do título AIC tríade disponibilidade, integridade, confidencialidade e- e
como ela se relaciona diretamente com as necessidades do negócio.
Gestão deve delinear o escopo, que provavelmente será ditada por
organizacional governança, gestão de riscos e conformidade, bem como as
restrições orçamentais.
Muitos projetos sem fundos e, consequentemente, parou, porque adequado
dimensionamento projecto não foi realizado no início do projecto. Não deixe
que isso aconteça para você.
Uma análise de risco ajuda a integrar os objetivos do programa de segurança
com a companhia objetivos de negócio e requisitos. Quanto mais os objetivos
do negócio e segurança são em alinhamento, o mais bem sucedido dos dois
será. A análise também ajuda a empresa elaborar um orçamento adequado
para um programa de segurança e seus componentes de segurança
constituintes.
Uma vez que uma empresa sabe o quanto seus ativos valem a pena e as
eventuais ameaças são exposto, ele pode tomar decisões inteligentes sobre
quanto dinheiro para gastar proteger esses ativos.
A análise de risco deve ser apoiado e dirigido pela alta administração, se for
para ser bem sucedido. A gestão deve definir o propósito eo escopo da análise,
nomear um equipe para realizar a avaliação, e alocar o tempo necessário e os
fundos para conduzir a análise. É essencial para a gerência sênior para
analisar o resultado da avaliação de risco e análise e de agir sobre as suas
conclusões. Afinal, o que é bom para passar todos os problemas de uma
avaliação de risco e não reagir a suas conclusões? Infelizmente, isso faz
acontecer muitas vezes.
A Equipa de Análise de Risco
Cada organização tem diferentes departamentos, e cada departamento tem
sua própria funcionalidade, recursos, tarefas e peculiaridades. Para a análise
de risco mais eficaz, uma organização deve construir uma equipe de análise de
risco que inclui indivíduos de muitos ou todos os departamentos para assegurar
que todas as ameaças são identificados e tratados. Os membros da equipe
podem ser parte dos programadores de gerenciamento, aplicação, equipe de
TI, integradores de sistemas e operacionais gerentes de fato, todo o pessoal-
chave de áreas-chave da organização. Este mistura é necessário porque se a
equipe de análise de risco compreende apenas os indivíduos do Departamento
de TI, pode não entender, por exemplo, os tipos de ameaças da contabilidade
departamento enfrenta com problemas de integridade de dados, ou como a
empresa como um todo seria afetada se os arquivos do departamento de
contabilidade de dados foram aniquilados por uma acidental ou ato intencional.
Ou, como outro exemplo, a equipe de TI pode não entender todos os riscos a
empregados no armazém teria de enfrentar se um desastre natural atingisse,
ou o que significaria para a sua produtividade e como isso afetaria a
organização geral. Se o equipe de análise de risco não é capaz de incluir
membros de vários departamentos, que deve, no mínimo, certifique-se de
entrevistar pessoas em cada departamento para que ele compreenda e pode
quantificar todas as ameaças.
A equipe de análise de risco deve incluir também pessoas que entendem os
processos que são parte de seus departamentos individuais, ou seja,
indivíduos que estão nos níveis certos de cada departamento. Esta é uma
tarefa difícil, já que os gestores tendem a delegar qualquer tipo de tarefa de
análise de risco a níveis mais baixos dentro do departamento. No entanto, as
pessoas que trabalham a estes níveis mais baixos podem não ter
conhecimento e compreensão adequados dos processos que a equipe de
análise de risco pode ter de lidar com eles.
Ao olhar para o risco, é bom para manter várias perguntas em mente.
Aumentando essas perguntas ajuda a garantir que a equipe de análise de risco
e gestão sênior saber o que é importante. Os membros da equipe devem
perguntar o seguinte: O que poderia ocorrer caso (ameaça evento)? O que
poderia ser o impacto potencial (risco)? Quantas vezes pode acontecer
(frequência)? Qual o nível de confiança que temos nas respostas às três
primeiras perguntas(Certeza)?
Muitas dessas informações são coletadas por meio de pesquisas internas,
entrevistas ou oficinas.
Visualizando ameaças com essas questões em mente ajuda a equipe a se
concentrar nas tarefas de mão e auxilia na tomada de decisões mais precisas e
relevantes.
Posse de risco
Uma das questões mais importantes que enfrentamos pessoas que trabalham
dentro de uma organização é quem possui o risco? A resposta realmente não é
simples porque depende o tipo e situação de risco que está sendo discutido.
Alta administração possui a risco presente durante a operação da organização,
mas pode haver momentos em que alta administração também depende de
dados guardiões ou unidades de negócios para realizar o trabalho, e é nessas
horas que esses outros elementos da organização também ombro parte da
responsabilidade de propriedade risco. Concedido, sempre, em última análise
recai sobre sênior gestão, mas também devem ser capazes de confiar que o
trabalho que delegou está sendo tratado de uma maneira que entende, aceita a
existência de, e trabalha para minimizar os riscos que a organização enfrenta
no curso de suas operações regulares.
O valor da informação e Ativos
Se a informação não tem qualquer valor, então quem se preocupa em proteger ele?
O valor colocado em informações é relativo às partes envolvidas, o que o
trabalho foi necessário para desenvolvê-lo, quanto custa para manter, o que
resultaria danos se foram perdidos ou destruídos, o que os inimigos que pagar
por ele, e que sanções responsabilidade poderia ser suportado. Se uma
empresa não sabe o valor da informação e do outros ativos que ele está
tentando proteger, ele não sabe quanto dinheiro e tempo deve gastar em
protegê-los. Se você fosse encarregado de fazer a Rússia se não conhecer os
algoritmos de criptografia usados na transmissão de informações de e para
EUA satélites espiões, você usaria mais extremas medidas (e caro) de
segurança do que você iria usar para proteger a sua manteiga de amendoim e
sanduíche de banana receita de seu nextdoor vizinho. O valor da informação
apoia decisões de medidas de segurança.
Os exemplos anteriores referem-se a avaliar o valor da informação e protecção,
mas essa lógica se aplica para instalações de uma organização, sistemas e
recursos. O valor das instalações da empresa deve ser avaliada, juntamente
com todas as impressoras, estações de trabalho servidores, dispositivos
periféricos, suprimentos e funcionários. Você não sabe o quanto é perigo de se
perder se você não sabe o que você tem e que vale a pena no primeiro lugar.
Custos que compõem o valor
Um ativo pode ter ambas as medições quantitativas e qualitativas que lhe são
atribuídas, mas estas medições devem ser derivadas. O valor real de um ativo
é determinado pelo o custo é necessário para adquirir, desenvolver e manter. O
valor é determinado pela importância que tem para os proprietários, usuários
autorizados, e usuários não autorizados. Algumas informações é
suficientemente importante para uma empresa para seguir os passos de torná-
lo um comércio segredo.
O valor de um ativo deve refletir todos os custos identificáveis que surgiriam se
o activo foram, na verdade, comprometida. Se um servidor custar US $ 4.000
para compra, este valor não deve ser entrada como o valor do ativo em uma
avaliação de risco. Em vez disso, o custo de substituição ou reparação isso, a
perda de produtividade, e o valor de quaisquer dados que possam ser
corrompidos ou perdidos deve ser contabilizado para capturar corretamente a
quantidade a empresa perderia se o servidor falhasse por uma razão ou outra.
As questões a seguir devem ser considerados ao atribuir valores aos bens:
• Custo de aquisição ou desenvolvimento do activo
• Custo para manter e proteger o ativo
• Valor do ativo para proprietários e usuários
• Valor do ativo para os adversários
• Valor da propriedade intelectual, que entrou em desenvolver a
informação
• Preço outros estão dispostos a pagar para o ativo
• Custo para substituir o activo se perdeu
• As atividades operacionais e de produção afetada se o ativo está
indisponível
• questões de responsabilidade se o ativo está comprometido
• Utilidade eo papel do ativo na organização
Entender o valor de um ativo é o primeiro passo para entender o que a
segurança mecanismos devem ser postas em prática e que os fundos devem ir
para protegê-la. A questão muito importante é o quanto poderia custar à
empresa para não proteger o ativo.
A determinação do valor dos bens pode ser útil para uma empresa para uma
variedade de razões, incluindo os seguintes:
• Para executar eficazes análises custo / benefício
• Para selecionar contramedidas específicas e salvaguardas
• Para determinar o nível de cobertura de seguro para comprar
• Para entender o que exatamente está em risco
• Para estar de acordo com o devido cuidado e para cumprir com os
requisitos legais e regulamentares
Ativos podem ser tangíveis (computadores, instalações, materiais) ou
intangíveis (reputação, dados, propriedade intelectual). Geralmente é mais
difícil de quantificar os valores de ativos intangíveis, o que pode mudar com o
tempo. Como você colocar um valor monetário na reputação de uma empresa?
Às vezes, é mais difícil de descobrir do que um cubo de Rubik.
Ameaças de identificação
Ok, o que devemos ter medo?
Anterior, afirmou-se que a definição de um risco é a probabilidade de um
agente de ameaça explorar uma vulnerabilidade para causar danos a um
computador, rede ou empresa, e o resultando impacto nos negócios. Muitos
tipos de agentes de ameaça pode tirar vantagem de vários tipos de
vulnerabilidades, resultando em uma variedade de ameaças específicas,
conforme descrito na Tabela 3-2, o que representa apenas uma amostra dos
riscos muitas organizações deverão abordar, em seus programas de gestão de
risco.
Outros tipos de ameaças podem surgir em um ambiente informatizado que são
muito mais difíceis de identificar do que aquelas listadas na Tabela 3-2. Essas
outras ameaças têm a ver com a aplicação e erros do utilizador. Se um
aplicativo usa várias equações complexas para produzir resultados, a ameaça
pode ser difícil de se descobrir e isolar estas equações estão incorretas ou se o
aplicativo está usando os dados inseridos incorretamente. Isto pode resultar em
processamento e ilógico erros em cascata como resultados inválidos são
repassados para outro processo. Estes tipos de problemas pode mentir no
código das aplicações e são muito difíceis de identificar.
Erros de usuário, intencionais ou acidentais, são mais fáceis de identificar por
monitoramento e auditoria as atividades do usuário. Auditorias e revisões
devem ser realizados para descobrir se os funcionários são introduzir valores
incorretamente em programas, mau uso da tecnologia, ou modificar dados em
de forma inadequada. Uma vez que as vulnerabilidades e ameaças associadas
são identificadas, as ramificações de essas vulnerabilidades sendo exploradas
devem ser investigadas. Os riscos têm potencial de perda,
Tabela 3.2
que significa que a empresa perderia se um agente de ameaça eram realmente
para explorar uma vulnerabilidade.
A perda de dados pode ser corrompido, destruição de sistemas e / ou da
instalação, divulgação não autorizada de informações confidenciais, uma
redução na produtividade dos funcionários, e assim por diante. Ao realizar uma
análise de risco, a equipe também deve olhar para atraso perda ao avaliar os
danos que podem ocorrer. Perda tardia tem efeitos negativos sobre a empresa
após uma vulnerabilidade é explorada inicialmente. O período pode ser em
qualquer lugar 15 minutos a anos após a exploração. Perda retardada pode
incluir uma reduzida produtividade ao longo de um período de prejuízos, para a
reputação da empresa, reduziu o lucro para a empresa, acumulados
penalidades final, despesa extra para obter o ambiente de volta ao bom
funcionamento condições, a coleção de atraso de fundos de clientes, e assim
por diante.
Por exemplo, se os servidores de uma empresa de web são atacados e off-line,
o imediato dano pode ser a corrupção de dados, as horas-homem necessárias
para colocar os servidores de volta on-line, bem como a substituição de
qualquer código ou componentes necessários. A empresa poderia perder
receita se geralmente aceita encomendas e pagamentos através do seu site.
Se é necessário um completo dias para obter os servidores web fixa e
novamente online, a empresa poderia perder muito mais vendas e lucros. Se
ele tem uma semana inteira para obter os servidores web fixa e novamente
online, o empresa pode perder bastante vendas e lucros para não ser capaz de
pagar outras contas e despesas.
Esta seria uma perda retardada. Se os clientes da empresa perder a confiança
nele por causa dessa atividade, ele poderia perder o negócio por meses ou
anos. Trata-se de uma forma mais extrema caso de perda retardada.
Estes tipos de problemas fazem mais complexo o processo de quantificação de
perdas corretamente ameaças específicas que podem causar, mas devem ser
tomados em consideração para assegurar a realidade é representada neste
tipo de análise.
Metodologias de Avaliação de Riscos
Avaliação de risco tem várias metodologias diferentes. Vamos dar uma olhada
em alguns deles. NIST SP 800-30 e 800-66 são metodologias que podem ser
utilizadas pelo general público, mas a criação inicial de 800-66 foi concebido
para ser implementado no campo da saúde e de outros setores regulados.
Enquanto 800-66 foi projetado para ser usada pelos clientes HIPAA, também
pode ser facilmente adoptadas e utilizadas por regulado, indústrias. 800-66,
especificamente, é um exemplo do tipo de metodologia que foi destinado a um
setor regulado, mas que pode ser adotado e usado por outro.
A abordagem do NIST é específico para TI ameaças e como se relacionam
com informações riscos de segurança. Ela estabelece os seguintes passos:
• Caracterização do Sistema
• A identificação de ameaças
• Vulnerabilidade identificação
• A análise de controle
• Determinação Probabilidade
• Análise de impacto
• Determinação de Risco
• Recomendações de controle
• Documentação Resultados
O NIST SP 800 = metodologia de Gestão de Riscos 30 é comumente usado
por consultores de segurança, agentes de segurança e departamentos de TI
internos, e se concentra principalmente em sistemas de computador. Um
indivíduo ou pequena equipe coleta dados de rede e segurança de avaliações
práticas, e de pessoas dentro da organização.
Estes dados são usados como valores de entrada para as etapas de análise de
risco descritos no 800-30 documento.
Um segundo tipo de metodologia de avaliação de risco é chamado FRAP, que
significa para processo facilitado Análise de Risco. Ele é projetado para
explorar uma avaliação qualitativa dos riscos processo de uma maneira que
permite que os testes fossem realizados em diferentes aspectos e variações da
metodologia. A intenção desta metodologia é proporcionar a uma organização
com os meios de decidir que curso e ações devem ser tomadas em
circunstâncias específicas para lidar com várias questões. Isto irá permitir que,
através da utilização de um processo de triagem inicial, os utilizadores para
determinar as áreas que realmente demanda e a necessidade de análise de
risco dentro de uma organização. FRAP é projetado em de modo a que ela
afirma que qualquer pessoa com boas habilidades de facilitação será capaz de
operar com sucesso.
Outra metodologia chamada OCTAVE (Ameaça Operacionalmente Crítica,
Asset, Avaliação e Vulnerabilidade) foi criado pelo Software da Universidade
Carnegie Mellon Instituto de Engenharia. É uma metodologia que se destina a
ser utilizado em situações onde as pessoas gerenciar e dirigir a avaliação de
risco para obter informações segurança dentro de sua empresa. Isto coloca o
trabalho que as pessoas dentro da organização nas posições de poder como
sendo capaz de tomar as decisões sobre qual é a melhor abordagem para
avaliar a segurança de sua organização. Este baseia-se na idéia de que as
pessoas que trabalham nesses ambientes compreender melhor o que é
necessário e que tipo de riscos que enfrentam.
CRAMM é ainda um outro tipo de metodologia. A sigla significa CCTA análise
de risco e método de gestão. Embora implementado de forma semelhante a
outras metodologias que discutimos, é dividido em três segmentos:
contramedida ameaça, seleção e análise de vulnerabilidade, e avaliação e
identificação de ativos. Este se destina a lidar com os aspectos técnicos de
uma organização, bem como as porções não técnicos.
Abrangendo a análise de árvore é uma metodologia que desenvolve uma
árvore de todas as ameaças potenciais e falhas que podem prejudicar o
sistema. Cada um dos ramos é um tema geral ou categoria, e como a análise
de risco é realizada, os ramos que não se aplicam podem ser removidos (ou
"podados" se você se importa de ficar com o tema árvore).
Embora tanto a NIST e metodologias OCTAVE concentrar em ameaças de TI e
riscos de segurança da informação, AS / NZS 4360 tem uma abordagem muito
mais ampla de arriscar gestão. Esta metodologia pode ser usada para
compreender financeira de uma empresa, segurança, capital humano, e os
riscos de decisões de negócios. Embora possa ser usado para analisar os
riscos de segurança, ele não foi criado especificamente para esta finalidade.
NOTA: Você pode encontrar informações sobre a relação entre estes
abordagens de gestão de risco diferentes e como eles devem ser utilizados em
um artigo de Shon Harris em
http://searchsecurity.techtarget.com/genérico/0,295582, sid14_gci1191926,
00.html
Falha e Análise de Falhas
Temos um monte de vulnerabilidades de falha potencial, mas prefere não olhar
para eles.
Modos de Falha e Análise de Efeito (FMEA) é um método para determinação
de funções, identificar falhas funcionais e avaliar as causas da falha e seus
efeitos de falha através de um processo estruturado. A aplicação deste
processo a uma falha crónica permite a determinação de onde exactamente a
falha é mais provável de ocorrer. Isto é muito útil na identificação de uma
vulnerabilidade onde existe, bem como para determinar exatamente que tipo de
escopo a vulnerabilidade implica significado, o que seria o secundário
ramificações de sua exploração? Este por sua vez, não só torna mais fácil de
aplicar uma correção corretiva para a vulnerabilidade, mas também permite
uma aplicação muito mais eficaz de recursos para a questão. Pense nisso
como sendo capaz de olhar para o futuro e localizar áreas que têm o potencial
de falha, ou para encontrar as vulnerabilidades e, em seguida, aplicar corretivo
mede a eles antes de se tornarem responsabilidades reais.
Ao seguir uma ordem específica de etapas, os melhores resultados podem ser
maximizado para uma falha Análise do Modo:
1. Comece com um diagrama de blocos de um sistema ou de controlo.
2. Considere o que acontece se cada bloco do diagrama de falhar.
3. Elaborar um quadro em que as falhas estão emparelhados com os
seus efeitos e um Avaliação dos efeitos.
4. Corrigir o desenho do sistema, e ajustar a mesa até que o sistema
não está conhecido por ter problemas inaceitáveis.
5. Ter vários engenheiros rever os modos de falha e análise de efeitos.
Tabela 3-3 é um exemplo de como um FMEA pode ser realizada e
documentada. Embora a maioria das empresas não tem os recursos para fazer
esse nível de trabalho detalhado para cada sistema e de controlo, deve ser
realizada em funções críticas e sistemas que pode afetar drasticamente a
empresa.
NOTA: Auditores Compliance analisar a documentação de processos,
controles, atividades de testes e resultados. Este tipo de documentação
(contanto é preciso) irá ilustrar aos auditores como sua organização sabe seus
sistemas e como você pretende tratar de falhas que podem ocorrer.
É importante olhar para um controle ou sistema a partir do micro ao nível macro
para compreender a vulnerabilidade de um qhere ou falha potencial reside e as
ramificações de sua exploração. Cada computador sustem é potencialmente
feito por SO muitas bombas de tempo diferentes em diferentes camadas OS
sua composição. No nível do componente, um buffer overflow ou controle
ActiveX perigosa pode levar o sistema a ser controlado por um atacante após a
exploração. Ao nível do programa, um aplicativo pode não ser realização das
etapas a devida autorização ou pode não proteger suas chaves criptográficas
corretamente. A nível de todo o sistema, o kernel de um sistema operacional
pode ser falho, permitindo o acesso de raiz para ser facilmente realizado.
Assustador podem surgir em cada nível, é por isso que uma abordagem
detalhada tal é necessário.
FMEA foi desenvolvido para sistemas de engenharia. O seu objectivo consiste
em analisar a falhas potenciais em produtos e processos envolvidos com eles.
Esta abordagem provou ser bem sucedida e, mais recentemente, foi adaptado
para ser utilizado na avaliação do risco prioridades de gestão e mitigação
vulnerabilidades ameaça conhecida.
Tabela 3.3
FMEA é utilizada na gestão de risco de garantia por causa do nível de detalhe,
variáveis, e complexidade que continua a aumentar à medida que as empresas
entender o risco em mais granular níveis. Desta forma metódica de identificar
potenciais armadilhas está chegando em jogo mais como a necessidade de
sensibilização para os riscos para baixo para os níveis tático e operacional
continua a expandir.
Enquanto FMEA é mais útil como um método de pesquisa para identificar
modos de falha significativas num dado sistema, o método não é tão útil na
descoberta de que os modos de falha complexos pode estar envolvida em
vários sistemas ou subsistemas. Uma análise da árvore de falhas geralmente
prova ser uma abordagem mais útil para identificar as falhas que podem
ocorrer dentro de mais ambientes complexos e sistemas.
Análise da árvore de falhas segue este processo geral. Em primeiro lugar, um
efeito indesejado é tomado como a raiz ou evento topo de uma árvore de
lógica. Em seguida, cada situação que tem o potencial de provocar esse efeito
é adicionado à árvore como uma série de expressões lógicas. Árvores de
falhas são, então, rotulados com números reais relacionados com
probabilidades de falhas. Isso geralmente é feito por usando programas de
computador que podem calcular as probabilidades de falha de uma árvore de
falhas.
Figura 3-7 mostra uma árvore de falhas simplista e os símbolos lógicos usados
para representar diferentes o que deve ter lugar para um evento de falha
específica.
Ao configurar a árvore, você deve precisamente listar todas as ameaças ou
falhas que podem ocorrer com um sistema. Os galhos da árvore podem ser
divididos em categorias gerais como ameaças físicas, ameaças, ameaças de
redes de software, ameaças da Internet e de componentes ameaças falha.
Então, uma vez que todas as categorias possíveis gerais estão no lugar, você
pode cortar eles e efetivamente podar os galhos da árvore que não se aplicam
ao sistema em pergunta. Em geral, se um sistema não está ligado à Internet
através de qualquer meio, remover que se ramificam em geral a partir da
árvore.
Alguns dos eventos de software mais comuns de falhas que podem ser
exploradas através de um análise da árvore de falhas são os seguintes:
• Os alarmes falsos
• Tratamento de erro insuficiente
• Seqüenciamento ou ordem
• Incorretas saídas temporárias
• Saídas válidos, mas não se espera
É claro que, devido à complexidade de ambientes de software e heterogéneos,
esta é uma lista muito pequena.
NOTA: Seis Sigma é uma metodologia de melhoria de processos. É o
novo "e melhorado "Total Quality Management (TQM) que atingiu o setor de
negócios em década de 1980. Seu objetivo é melhorar a qualidade do
processo, utilizando métodos estatísticos de medir a eficiência de operação e
redução da variação, defeitos e desperdício. SeisSigma está a ser usado na
indústria de seguros, em alguns casos, para medir os fatores de sucesso dos
controles e procedimentos diferentes.
Até agora, nós temos assegurado o apoio da administração da análise de risco,
construído nossa equipe assim que representa os diferentes departamentos da
empresa, colocou um valor em cada dos ativos da empresa, e identificados
todos os possíveis ameaças que possam afetar os ativos.
Também foram levadas em consideração todas as perdas potenciais e
atrasada a empresa pode durar por ativo por ameaça. Temos realizado uma
análise do modo de falha e / ou uma análise de árvore de falhas para entender
as causas subjacentes das ameaças identificadas.
O próximo passo é a utilização de métodos qualitativos ou quantitativos para
calcular o risco real a empresa enfrenta.
