2. DEFINIÇÃO DE RISCO
Risco é toda a situação em que há probabilidade de os resultados
serem diferentes do esperado devido a um ou outro motivo — já
mapeados ou não, de forma que se antecipa que algo pode ocorrer
neste sentido. Isto nos dá a chance de evitar um dano ou consequência
adversa. Resumindo, risco é uma probabilidade de uma ameaça
explorar uma vulnerabilidade e causar um dano ou consequência.
https://esr.rnp.br/governanca-de-ti/gestao-de-riscos-de-seguranca-da-informacao-e-privacidade/
3. • A ameaça pode ser definida como um incidente indesejado que pode
remover, danificar ou destruir um recurso de TI (software ou
hardware).
• Algumas das causas mais comuns de ameaças são: Fenômenos
naturais, erros de hardware ou de software ou erros humanos.
4. • Dentre as ameaças ocasionadas por fenômenos naturais, destacam-
se: as cheias, inundações, incêndios, tempestades, relâmpagos,
descargas de energia, desabamentos, dentre outros.
5. • As ameaças relacionadas aos erros de hardware ou de software são:
defeitos na CPU, discos rígidos com problemas de leitura ou gravação,
erros de telecomunicação, erros de programas, problemas nos
equipamentos de rede, contaminação eletrônica, dentre outros.
6. • As ameaças causadas por erros humanos podem ser: acidentais (por
exemplo, fogo, derrames de substâncias químicas ou biológicas,
explosões, introdução incorreta de dados nos sistemas) ou
intencionais (por exemplo, terrorismo, tumultos, greves, furto,
fraude), dentre outras.
7. • Vulnerabilidade equivale a um ponto fraco no sistema, que poderia
ser explorado por uma ameaça. Impacto é a conseqüência para a
organização, da concretização por uma ameaça. Probabilidade, neste
contexto, diz respeito à expectativa de que uma ameaça consiga
atacar o sistema com sucesso.
8. • Identificadas as ameaças e os riscos de uma empresa, os
procedimentos de segurança devem ser selecionados e
implementados para assegurar que estes riscos sejam reduzidos a um
nível aceitável pela organização. Existem inúmeras medidas de
segurança que podem ser aplicadas nas empresas, de acordo com o
tipo de negócio, essas medidas podem ser classificadas em duas
categorias: segurança física e segurança lógica.
9. • É importante destacar que a segurança física da empresa é tão
importante quanto a segurança lógica e não deve, de forma alguma,
ser deixada de lado. Como segurança física, pode-se destacar a
segurança de hardware, segurança física da rede, segurança de dados
e segurança dos recursos de infra-estrutura do local.
10. • É quase impossível prever completamente o comportamento do
hardware (CPU, memórias, periféricos, etc). Por isso uma solução
parcial para as falhas relacionadas ao equipamento envolve:
manutenção preventiva regular, aquisição e substituição de peças
antes que se torne vulnerável as falhas, verificação do funcionamento
do no-break, dentre outras.
11. • Os problemas mais freqüentes encontrados na estrutura das redes e
que podem comprometer seu funcionamento são: equipamentos da
rede (hubs, switchs, modens, etc), cabeamento da rede, placa de
rede, dentre outros. Todo cabeamento deve conter sua identificação
através de etiquetas nas duas pontas do cabo. É sempre bom ter
equipamentos de rede reserva.
12. • O backup é uma importante atividade no processo de segurança dos
dados da empresa. Permite que os mesmos arquivos e dados sejam
armazenados em locais diferentes, evitando que um acidente físico
destrua completamente as informações. A periodicidade do backup
deve ser feita levando em conta a importância de cada base de dados
e de cada sistema.
13. • O acesso de veículos e indivíduos nas empresas deve ser rigidamente
controlado. Dentro da área do centro de processamentos de dados
(CPD) é aconselhável que sejam determinados níveis de acesso para
visitantes e funcionários. É recomendável que na sala do servidor
tenha ar condicionado para que a temperatura seja controlada, já que
os equipamentos esquentam bastante. Deve-se também levar em
consideração a instalação elétrica, tanto no aterramento correto,
como no quadro de força (vários equipamentos como, Xerox, freezer,
dentre outros, ligados à mesma rede) evitando sobrecargas,
descargas elétricas e a queima de equipamentos.
14. • O acesso lógico nada mais é do que um procedimento em que um
usuário ou processo deseja acessar um objeto passivo, que pode ser
um arquivo ou outro recurso como memória ou impressora. Pode ser
dividido em controle de acesso, segurança de software, segurança
lógica de rede, seguranças em redes sem fio e segurança na internet.
15. • O Controle de Acesso Lógico permite que os sistemas de TI verifiquem
a identidade dos usuários que tentam utilizar seus serviços. Como
exemplos mais comuns, o logon e senha de um usuário ou a
colocação de um "smartcard" em um sistema de computador. O
processo realizado é o de Identificação e Autenticação. Outra
tecnologia é a biometria que autentica o usuário baseando-se no que
ele realmente é, e não no que ele sabe ou carrega. Alguns exemplos
de mecanismos de biometria são: identificador por geometria de
mão, identificação por impressão digital, identificação pela leitura da
íris, reconhecimento da face, dentre outros.
16. • O software é uma das peças-chave do quebra-cabeça que permite aos
sistemas operarem eficientemente; mas, garantir a segurança dos
softwares não é uma tarefa fácil. Alguns exemplos de contaminação
eletrônica são: os vírus, worms, cavalo de tróia, spywares, spams,
dentre outros. Para combater e minimizar a propagação desses
programas maliciosos deve-se ter sempre um antivírus, anti-spyware,
anti-spam, e outros programas de segurança, instalados e atualizados.
É sempre bom manter o sistema operacional também atualizado.
17. • A conexão dos computadores em redes criou inúmeras portas de
acesso aos sistemas computacionais, ficando fácil para hackeres e
crackers encontrarem um acesso que esteja desprotegido. No que diz
respeito a segurança lógica de rede, existe uma série de mecanismos
adotados para assegurar a integridade nas trocas e no
armazenamento de dados, dentre elas, o uso do firewall, criptografia,
certificação e assinatura digital.