O documento discute ameaças, vulnerabilidades e análise de risco para sistemas de informação. Apresenta diversas ameaças como falhas humanas, espionagem e vandalismo e vulnerabilidades como pequenos suportes armazenarem grandes volumes de dados. Descreve técnicas de análise de risco como prever cenários de ameaças e vulnerabilidades e analisar custo-benefício de medidas para evitar riscos.

1. Ameaças, Vulnerabilidades e
Análise de Risco
Políticas de Auditoria e Segurança

2. Qualidades da Informação
• Integridade
• Continuidade
• Confidencialidade

3. Ameaças Acidentais
• Falhas de equipamento
• Erros humanos
• Falhas do Software
• Falhas de alimentação
• Problemas causados pelas forças da
natureza

4. Ameaças Causadas por Pessoas
• Espionagem
• Crimes
• Empregados insatisfeitos
• Empregados “doentes”
• Empregados desonestos
• Vandalismo
• Terrorismo
• Erros dos Utilizadores

5. Vulnerabilidades dos Computadores
• Pequenos suportes guardam grandes volumes de
dados
• Os dados são invisíveis
• Os suportes podem falhar
• Copiar não anula a informação
• Dados podem ficar inadvertidamente retidos
• Avanços Tecnológicos
• Sistemas Distribuídos
• Normas de Segurança

6. Avaliação dos Riscos
• O que é um risco?
– É um contexto que inclui as ameças,
vulnerabilidades e o valor a proteger
• O que é a análise de risco?
– É o processo de avaliar em que medida é que
um certo contexto é ou não aceitável para uma
organização

7. Técnicas de Análise de Risco
• Prever cenários de:
– Ameaças
– Vulnerabilidades
• Para cada cenário:
– Prever os prejuízos / Recursos a envolver para
evitar a concretização dos cenários
– Fazer uma análise de custo/benefício

8. Técnicas de Análise de Risco
• Análise subjectiva
– Documentos escritos com vários cenários como
base para sessão de “brainstorming”
• Análise Quantitativa
– Para cada ameaça quantificar a sua incidência
– Estimar o valor dos prejuízos que pode causar
– Estimar o custo de combater a ameaça
– Pesar as várias ameaças para obter um valor
final (que algoritmo?)

9. Técnicas de Análise de Risco
• Técnicas Automatizadas
– Uso de ferramentas informáticas que
implementam UM algoritmo específico
– CRAMM no Reino Unido
• CCTA Risk Analysis and Management Method
– CCTA - Central Computer Telecommunications Agency

10. CRAMM
• 3 Etapas
– Etapa 1 - Identificação dos recursos a proteger,
seu custo, grau de criticalidade da sua
indisponibilidade, ...
– Etapa 2 - Avaliação das vulnerabilidades do
sistema (o CRAMM considera 31 tipos de
ameaças)
• São usados questionários que são passados para o
pessoal para fazer a avaliação ponderada de várias
pessoas

11. CRAMM
– Etapa 3 - Usa um algoritmo e faz
recomendações sobre os recursos a proteger,
medidas a tomar.

12. Vulnerabilidades do Software
• Bugs do sistema operativo
– Especificações com erros
– Implementação com erros
• Bugs das aplicações
– Especificações com erros
– Implementação com erros

13. CERT
• CERT - Computer Emergency Response
Team
• Estrutura organizativa que recolhe e divulga
debilidades de segurança
• Cadeia segura de troca de informação
– Bugs de sistema operativo
– Bugs de aplicativos comuns
– Vírus