SlideShare uma empresa Scribd logo

Vulnerabilidade.ppt

Transferir como PPT, PDF
A
Agostinho9

O documento discute ameaças, vulnerabilidades e análise de risco para sistemas de informação. Apresenta diversas ameaças como falhas humanas, espionagem e vandalismo e vulnerabilidades como pequenos suportes armazenarem grandes volumes de dados. Descreve técnicas de análise de risco como prever cenários de ameaças e vulnerabilidades e analisar custo-benefício de medidas para evitar riscos.

Tecnologia
1 de 13
Ameaças, Vulnerabilidades e Análise de Risco Políticas de Auditoria e Segurança
Qualidades da Informação • Integridade • Continuidade • Confidencialidade
Ameaças Acidentais • Falhas de equipamento • Erros humanos • Falhas do Software • Falhas de alimentação • Problemas causados pelas forças da natureza
Ameaças Causadas por Pessoas • Espionagem • Crimes • Empregados insatisfeitos • Empregados “doentes” • Empregados desonestos • Vandalismo • Terrorismo • Erros dos Utilizadores
Vulnerabilidades dos Computadores • Pequenos suportes guardam grandes volumes de dados • Os dados são invisíveis • Os suportes podem falhar • Copiar não anula a informação • Dados podem ficar inadvertidamente retidos • Avanços Tecnológicos • Sistemas Distribuídos • Normas de Segurança
Avaliação dos Riscos • O que é um risco? – É um contexto que inclui as ameças, vulnerabilidades e o valor a proteger • O que é a análise de risco? – É o processo de avaliar em que medida é que um certo contexto é ou não aceitável para uma organização
Técnicas de Análise de Risco • Prever cenários de: – Ameaças – Vulnerabilidades • Para cada cenário: – Prever os prejuízos / Recursos a envolver para evitar a concretização dos cenários – Fazer uma análise de custo/benefício
Técnicas de Análise de Risco • Análise subjectiva – Documentos escritos com vários cenários como base para sessão de “brainstorming” • Análise Quantitativa – Para cada ameaça quantificar a sua incidência – Estimar o valor dos prejuízos que pode causar – Estimar o custo de combater a ameaça – Pesar as várias ameaças para obter um valor final (que algoritmo?)
Técnicas de Análise de Risco • Técnicas Automatizadas – Uso de ferramentas informáticas que implementam UM algoritmo específico – CRAMM no Reino Unido • CCTA Risk Analysis and Management Method – CCTA - Central Computer Telecommunications Agency
CRAMM • 3 Etapas – Etapa 1 - Identificação dos recursos a proteger, seu custo, grau de criticalidade da sua indisponibilidade, ... – Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças) • São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas
CRAMM – Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.
Vulnerabilidades do Software • Bugs do sistema operativo – Especificações com erros – Implementação com erros • Bugs das aplicações – Especificações com erros – Implementação com erros
CERT • CERT - Computer Emergency Response Team • Estrutura organizativa que recolhe e divulga debilidades de segurança • Cadeia segura de troca de informação – Bugs de sistema operativo – Bugs de aplicativos comuns – Vírus

Recomendados

Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
Alexandre Prata
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
Messias Dias Teixeira
 
CCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdfCCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdf
AdemarNeto18
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
Sc aula 05 30-08-13
Sc aula 05 30-08-13Sc aula 05 30-08-13
Sc aula 05 30-08-13
Eduardo Júnior
 
T aula3-politicas de segurança
T aula3-politicas de segurançaT aula3-politicas de segurança
T aula3-politicas de segurança
Hélio Martins
 
Rene Seguranca Ai Agents
Rene Seguranca Ai AgentsRene Seguranca Ai Agents
Rene Seguranca Ai Agents
Marco Manso
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
Symantec Brasil
 

Recomendados

Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
Alexandre Prata
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
Messias Dias Teixeira
 
CCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdfCCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdf
AdemarNeto18
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
Sc aula 05 30-08-13
Sc aula 05 30-08-13Sc aula 05 30-08-13
Sc aula 05 30-08-13
Eduardo Júnior
 
T aula3-politicas de segurança
T aula3-politicas de segurançaT aula3-politicas de segurança
T aula3-politicas de segurança
Hélio Martins
 
Rene Seguranca Ai Agents
Rene Seguranca Ai AgentsRene Seguranca Ai Agents
Rene Seguranca Ai Agents
Marco Manso
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
Symantec Brasil
 
Estratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasEstratégias para Modelagem de Ameaças
Estratégias para Modelagem de Ameaças
Spark Security
 
Segurança em Redes Informáticas
Segurança em Redes InformáticasSegurança em Redes Informáticas
Segurança em Redes Informáticas
ricardoandreia
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
Spark Security
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3
Fabrício Basto
 
Desenvolvimento e uso de sistemas de informação.
Desenvolvimento e uso de sistemas de informação.Desenvolvimento e uso de sistemas de informação.
Desenvolvimento e uso de sistemas de informação.
Felipe Soares
 
Bsides threat hunting
Bsides threat huntingBsides threat hunting
Bsides threat hunting
Rodrigo Montoro
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
GrupoAlves - professor
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Symantec Brasil
 
Sc aula 03 12-03-13
Sc aula 03 12-03-13Sc aula 03 12-03-13
Sc aula 03 12-03-13
Eduardo Júnior
 
Sistemas da informação segurança da informação
Sistemas da informação segurança da informaçãoSistemas da informação segurança da informação
Sistemas da informação segurança da informação
Fernando Gomes Chaves
 
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Symantec Brasil
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
Miky Mikusher Raymond
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
Bruno Dos Anjos Silveira
 
Ibm Counter Fraud Management
Ibm Counter Fraud ManagementIbm Counter Fraud Management
Ibm Counter Fraud Management
Leonardo Loureiro
 
Vulnerabilidades, ameaças e riscos;.pptx
Vulnerabilidades, ameaças e riscos;.pptxVulnerabilidades, ameaças e riscos;.pptx
Vulnerabilidades, ameaças e riscos;.pptx
MontagemeManutenodeM
 
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
TI Safe
 
Aula import seg
Aula import segAula import seg
Aula import seg
JorgewfAlves
 
Segurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação CorporativaSegurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação Corporativa
Leonardo Lacerda
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Oficina do Texto Assessoria de Comunicação
 
ids.ppt
ids.pptids.ppt
ids.ppt
Agostinho9
 
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
Agostinho9
 

Mais conteúdo relacionado

Semelhante a Vulnerabilidade.ppt

Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Symantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 

Semelhante a Vulnerabilidade.ppt (20)

Estratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasEstratégias para Modelagem de Ameaças
Estratégias para Modelagem de Ameaças
 
Segurança em Redes Informáticas
Segurança em Redes InformáticasSegurança em Redes Informáticas
Segurança em Redes Informáticas
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3
 
Desenvolvimento e uso de sistemas de informação.
Desenvolvimento e uso de sistemas de informação.Desenvolvimento e uso de sistemas de informação.
Desenvolvimento e uso de sistemas de informação.
 
Bsides threat hunting
Bsides threat huntingBsides threat hunting
Bsides threat hunting
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
Be Aware Webinar – THREAT INTELLIGENCE: "CONHEÇA SEU INIMIGO PRÓXIMO"
 
Sc aula 03 12-03-13
Sc aula 03 12-03-13Sc aula 03 12-03-13
Sc aula 03 12-03-13
 
Sistemas da informação segurança da informação
Sistemas da informação segurança da informaçãoSistemas da informação segurança da informação
Sistemas da informação segurança da informação
 
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
Proteção contra Ameaças Avançadas:Aproveitando a Inteligência Global para Det...
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 
Ibm Counter Fraud Management
Ibm Counter Fraud ManagementIbm Counter Fraud Management
Ibm Counter Fraud Management
 
Vulnerabilidades, ameaças e riscos;.pptx
Vulnerabilidades, ameaças e riscos;.pptxVulnerabilidades, ameaças e riscos;.pptx
Vulnerabilidades, ameaças e riscos;.pptx
 
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
CLASS 2022 - Eduardo Valério (Ternium) - Uma década de cibersegurança em OT, ...
 
Aula import seg
Aula import segAula import seg
Aula import seg
 
Segurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação CorporativaSegurança e Preservação de Informação Corporativa
Segurança e Preservação de Informação Corporativa
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 

Mais de Agostinho9

08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
Agostinho9
 

Mais de Agostinho9 (14)

ids.ppt
ids.pptids.ppt
ids.ppt
 
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
08-01-cyrail_fc_fortiss_-_how_to_detect_attacks_and_supervise_rail_systems.ppsx
 
Sistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdfSistemas de Detecção de Intrusão.pdf
Sistemas de Detecção de Intrusão.pdf
 
analise_e_coleta_dados.pptx
analise_e_coleta_dados.pptxanalise_e_coleta_dados.pptx
analise_e_coleta_dados.pptx
 
SEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.pptSEGURANÇA DE REDES.ppt
SEGURANÇA DE REDES.ppt
 
Capítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdf
Capítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdfCapítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdf
Capítulo 2 Conceitos de Segurança Física e Segurança Lógica.pdf
 
redes de pc.ppt
redes de pc.pptredes de pc.ppt
redes de pc.ppt
 
REDES.ppt
REDES.pptREDES.ppt
REDES.ppt
 
Redes Wireless.ppt
Redes Wireless.pptRedes Wireless.ppt
Redes Wireless.ppt
 
Redes Wireless.ppt
Redes Wireless.pptRedes Wireless.ppt
Redes Wireless.ppt
 
Redes.ppt
Redes.pptRedes.ppt
Redes.ppt
 
Enderecamento IP - sub-redes v1.1 com sumarizacao.pdf
Enderecamento IP - sub-redes v1.1 com sumarizacao.pdfEnderecamento IP - sub-redes v1.1 com sumarizacao.pdf
Enderecamento IP - sub-redes v1.1 com sumarizacao.pdf
 
IDS.pdf
IDS.pdfIDS.pdf
IDS.pdf
 
IDS.ppt
IDS.pptIDS.ppt
IDS.ppt
 

Último

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 

Último (8)

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Luís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdfLuís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdf
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
Programação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdfProgramação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdf
 

Vulnerabilidade.ppt

  • 1. Ameaças, Vulnerabilidades e Análise de Risco Políticas de Auditoria e Segurança
  • 2. Qualidades da Informação • Integridade • Continuidade • Confidencialidade
  • 3. Ameaças Acidentais • Falhas de equipamento • Erros humanos • Falhas do Software • Falhas de alimentação • Problemas causados pelas forças da natureza
  • 4. Ameaças Causadas por Pessoas • Espionagem • Crimes • Empregados insatisfeitos • Empregados “doentes” • Empregados desonestos • Vandalismo • Terrorismo • Erros dos Utilizadores
  • 5. Vulnerabilidades dos Computadores • Pequenos suportes guardam grandes volumes de dados • Os dados são invisíveis • Os suportes podem falhar • Copiar não anula a informação • Dados podem ficar inadvertidamente retidos • Avanços Tecnológicos • Sistemas Distribuídos • Normas de Segurança
  • 6. Avaliação dos Riscos • O que é um risco? – É um contexto que inclui as ameças, vulnerabilidades e o valor a proteger • O que é a análise de risco? – É o processo de avaliar em que medida é que um certo contexto é ou não aceitável para uma organização
  • 7. Técnicas de Análise de Risco • Prever cenários de: – Ameaças – Vulnerabilidades • Para cada cenário: – Prever os prejuízos / Recursos a envolver para evitar a concretização dos cenários – Fazer uma análise de custo/benefício
  • 8. Técnicas de Análise de Risco • Análise subjectiva – Documentos escritos com vários cenários como base para sessão de “brainstorming” • Análise Quantitativa – Para cada ameaça quantificar a sua incidência – Estimar o valor dos prejuízos que pode causar – Estimar o custo de combater a ameaça – Pesar as várias ameaças para obter um valor final (que algoritmo?)
  • 9. Técnicas de Análise de Risco • Técnicas Automatizadas – Uso de ferramentas informáticas que implementam UM algoritmo específico – CRAMM no Reino Unido • CCTA Risk Analysis and Management Method – CCTA - Central Computer Telecommunications Agency
  • 10. CRAMM • 3 Etapas – Etapa 1 - Identificação dos recursos a proteger, seu custo, grau de criticalidade da sua indisponibilidade, ... – Etapa 2 - Avaliação das vulnerabilidades do sistema (o CRAMM considera 31 tipos de ameaças) • São usados questionários que são passados para o pessoal para fazer a avaliação ponderada de várias pessoas
  • 11. CRAMM – Etapa 3 - Usa um algoritmo e faz recomendações sobre os recursos a proteger, medidas a tomar.
  • 12. Vulnerabilidades do Software • Bugs do sistema operativo – Especificações com erros – Implementação com erros • Bugs das aplicações – Especificações com erros – Implementação com erros
  • 13. CERT • CERT - Computer Emergency Response Team • Estrutura organizativa que recolhe e divulga debilidades de segurança • Cadeia segura de troca de informação – Bugs de sistema operativo – Bugs de aplicativos comuns – Vírus