Princípios Fundamentais da SegurançaAgora, o que estamos tentando fazer de novo? Em todos os projetos de segurança, seja pequeno ou grande, existem três princípios básicos a seguir que são: disponibilidade, integridade e confidencialidade. Estes princípios são chamados de tríade AIC (ou CIA). O nível de segurança necessário para garantir esses princípios difere de uma empresa para outra, porque cada uma tem seus propósitos de negócio, suas próprias metas e seus requisitos de segurança. Todos os controles, mecanismos de segurança e proteções são implementados para garantir um ou mais desses princípios, e todos os riscos, ameaças e vulnerabilidades são medidos para levantar as suas capacidades ou potencial de comprometer um ou mais princípios da tríade AIC. A Figura 3-2 ilustra a tríade AIC. Disponibilidade Emergência! Eu não posso obter os meus dados! Resposta: Ligue o computador! Os sistemas e redes devem ser capazes de funcionar de modo previsível (estável) e com um nível de desempenho aceitável. Eles deverão ser capazes de se recuperarem de interrupções de maneira rápida e segura para que a produtividade não seja afetada negativamente. Simples pontos de falha devem ser evitados, medidas de backup devem ser tomadas, mecanismos de redundância devem estar no local quando necessário, e os efeitos negativos a partir de componentes ambientais devem ser evitados. É necessário que se faça uso de mecanismos de proteção, para se prevenir contra ameaças internas e externas ao local que poderiam afetar a disponibilidade e produtividade da rede, sistemas e informações. A Disponibilidade assegura a confiabilidade e acesso oportuno aos dados e recursos para pessoas autorizadas. A disponibilidade do sistema pode ser afetada por uma falha de dispositivo ou de software. Dispositivos de backup deve ser usados e estarem disponível para substituir rapidamente os sistemas críticos, funcionários deve ter habilidade para fazer os ajustes necessários a fim de fazer o sistema voltar a funcionar. As questões ambientais, como calor, umidade, frio, eletricidade estática, e contaminantes também podem afetar a disponibilidade do sistema. Os sistemas devem ser protegidos contra esses elementos, estar devidamente aterrado eletricamente, e serem monitorados de perto. Integridade A integridade é mantida quando a garantia de fidelidade e segurança das informações e sistemas é providenciado, e qualquer modificação não autorizada é impedida. Hardware, software e mecanismos de comunicação devem trabalhar em conjunto para manter o processamento dos dados corretamente e mover dados para destinos os pretendidos sem qualquer alteração inesperada. Os sistemas e redes devem ser protegidos de interferências externas e contaminação. Ambientes que aplicam este atributo de segurança asseguram que atacantes, ou erros cometidos por usuários não comprometem a integridade dos sistemas ou dados. Quando um atacante insere um vírus, bomba lógica, ou back door em um sistema, a integridade do sistema é comprometida. Isto pode, por sua vez, afetam negativamente a integridade da informação mantida no sistema por roubo de arquivos de . As aplicações deverão fornecer mecanismos que verifiquem valores de entrada válidos. Usuários geralmente afetam um sistema ou a integridade dos dados por engano (embora usuários internos também podem cometer atos maliciosos). Por exemplo. Atacantes podem burlar os mecanismos de confidencialidade através do monitoramento da rede. é quando uma pessoa olha pelo ombro de outra pessoa e observam as teclas digitadas ou dados que aparecem em uma tela do computador). ou a substituição dos dados por dados incorretos. A segurança deve simplificar os recursos de usuários e dar-lhes apenas escolhas certas e funcionais. assim os erros tornam-se menos comuns e menos devastadores.000 em vez de R$ 300. uma vez que são transmitidos e devem chegar ao seu destino. Bancos de dados devem ser acessados somente por pessoas autorizadas e o trafego de dados deve ser protegido por criptografia ou outros mecanismos. um usuário pode inserir valores incorretos em um aplicativo de processamento de dados que acabaria cobrando de um cliente R$ 3. um usuário com um disco rígido cheio pode inadvertidamente excluir arquivos de configuração sob a suposição errônea de que a exclusão de um arquivo boot. detectores de intrusão e hashing podem combater estas ameaças. Modificar dados indevidamente no banco de dados é outra maneira de como os usuários podem acidentalmente corromper dados – este é um erro que pode ter efeitos duradouros. shoulder surfing (olhar pelo ombro. Confidencialidade A Confidencialidade garante que o nível de sigilo necessário é aplicado em cada junção do processamento de dados e impede a divulgação não autorizada. Ou.meio de corrupção.000. modificação maliciosa. Rigorosos controles de acesso. Este nível de confidencialidade deve prevalecer enquanto os dados residirem em sistemas e dispositivos dentro da rede. Os arquivos críticos de sistemas devem ser impedidos de serem acessados pelos usuários. por exemplo.ini não trará problemas porque não se lembra de tê-lo usado. e engenharia social. seja ela de um firewall. . Engenharia social é quando uma pessoa usa truques com outra pessoa fazendo a compartilhar informações confidenciais como se estivesse se infiltrando por meio de alguém autorizado a ter acesso a essas informações. A engenharia social pode assumir muitas outras formas. uma vez que estes são armazenados e transmitidos. qualquer simples meio de comunicação pode ser usado para executar ataques de engenharia social. consultor. Os usuários podem intencionalmente ou acidentalmente divulgar informação vulnerável por não criptografá-la antes de enviá-la a outra pessoa. ao cair em um ataque de engenharia social. disponibilidade e confidencialidade em todos os aspectos da solução. Na verdade. e Avaliação de requisitos de garantia significa “Qual garantia de nível de proteção esta solução oferece?”. fazendo classificação dos dados. usando controle de tráfego de rede. integridade e confidencialidade são princípios fundamentais de segurança.senhas. Avaliação de requisitos funcionais significa “Esta solução não realiza as tarefas necessárias?”. Resposta: Bom. deve ser avaliada por seus requisitos funcionais e garantia destes. como eles são fornecidos por diferentes mecanismos. Definições de segurança Eu sou vulnerável e vê-lo como uma ameaça. e treinamento de pessoal sobre os procedimentos adequados a serem seguidos. A Confidencialidade pode ser fornecida por meio de criptografia de dados. Disponibilidade. Cada solução. Você deve compreender os seus significados. ou por não tomar os devidos cuidados para proteger a confidencialidade das informações quando processá-lo. um controle de acesso rigoroso. Os requisitos de garantia devem abranger a integridade. e quais ajudam a melhor identificar os problemas e apresentar soluções adequadas. através do compartilhamento de segredos empresariais. e como sua ausência pode afetar negativamente o ambiente. ou programa de segurança. ou algo. Se os usuários não são educados em processos e procedimentos. há uma maior probabilidade que um funcionário vai fazer uma falta intencional ou não intencional que pode destruir dados. A ameaça é que alguns. há uma maior probabilidade de um ataque vai passar despercebida até que seja tarde demais. irrestrito modem dial-in de acesso. um. ou um empregado de cometer um erro não intencional que pode ex. É importante compreender a definição de cada palavra. aplicativos desatualizados ou software de sistema operacional. Um risco é a probabilidade de um agente de ameaça tirar proveito de uma vulnerabilidade e o impacto nos negócios correspondente. "ameaça". "risco" e de "exposição". mas mais importante compreender a sua relação com os outros conceitos. um tornado acabando com uma instalação. Esta vulnerabilidade pode ser um serviço executado em um servidor.As palavras "vulnerabilidade". A entidade que tira vantagem de uma vulnerabilidade é referida como uma ameaça agente. muitas vezes são usados para repre enviou a mesma coisa.representam informações confidenciais ou destruir a integridade de um arquivo. Amarra o risco . Uma ameaça é qualquer perigo potencial para a informação ou sistemas. irá identificar uma vulnerabilidade específica e usá-lo contra a empresa ou individual. A vulnerabilidade caracteriza a ausência ou fraqueza de uma salvaguarda que pode ser explorada. Se um sistema de detecção de intrusão (IDS) não foi implementado em uma rede. um processo de acesso aos dados de uma forma que viola a política de segurança. apesar de terem diferentes significados e relações comuns aos outros. há uma maior probabilidade de que um intruso vai usar uma para acessar a rede em uma não autorizada metanfetamina od. uma porta aberta no firewall. Um agente de ameaça pode ser um intruso acessar a rede através de uma porta no firewall. segurança fraca física que permite a qualquer pessoa entrar em uma sala do servidor. ou gerenciamento de senhas nao forcadas em servidores e estações de trabalho. Se um firewall tem várias portas abertas. A vulnerabilidade é um software. hardware ou fraqueza processual que pode fornecer uma atacante a porta aberta que ele está procurando para entrar um computador ou rede e ter um autorizado o acesso a recursos dentro do ambiente. vulnerabilidades. mecanismos de controle de acesso dentro de um sistema operacional. Exemplos de contramedidas incluem gerenciamento de senha forte. ameaças e contramedidas são mostrados na Figura 3-3.vulneráveis ameaça. A empresa não pode eliminar o agente de ameaça. e. Se um vírus infiltrar ambiente da empresa e. um dispositivo de hardware ou um procedimento que elimina uma vulnerabilidade ou reduz a probabilidade de um agente de ameaça será capaz de explorar uma vulnerabilidade. mas não manter as assinaturas de vírus up-to-data. reduzir o risco. é posto em prática para mitigar o risco potencial. Aplicando o direito contramedida pode eliminar a vulnerabilidade ea exposição. e conscientização de segurança de treinamento. esta é uma vulnerabilidade. . mas pode proteger-se e evitar esse agente de ameaça de vulnerabilidades que exploram dentro da ambiente. As contramedidas nesta situação são para atualizar o assinaturas e instalar o software antivírus em todos os computadores. Se a empresa não não ter sua fiação inspecionados e não coloca os passos de prevenção pró-ativa de incêndio em lugar. ele se expõe a incêndios potencialmente devastadores. A contramedida pode ser uma configuração de software. em seguida uma vulnerabilidade tem sido explorada e a empresa é exposto à perda. As relações entre riscos. A ameaça é que um vírus vai aparecer no meio ambiente e prejudicar a produtividade. um guarda de segurança. ou de salvaguarda. A empresa é vulnerável a ataques de vírus. assim. a empresa está exposta à possibilidade de hav-senhas de usuários ING capturado e usado de forma não autorizada. A medida preventiva. Se o gerenciamento de senhas é frouxa e regras de senha não são aplicadas. A vulneráveis capacidade expõe uma organização para possíveis danos. A probabilidade de um vírus aparecendo no meio ambiente e causar dano é o risco. Se uma empresa tem um software antivírus. capacidade e probabilidade de exploração para o impacto comercial resultante. Uma exposição é um exemplo de ser exposto a perdas de um agente de ameaça. a implementação de insumo básico / sistema de saída (BIOS) senhas. ncsl. e. a empresa não está exposto e que não é uma vulnerabilidade. Gestão da informação de risco (IRM) é o processo de identificação e avaliação do risco. vulnerabilidade. Este é porque não pode ser uma ameaça (novo ataque SQL).org • CISSP. medidas de segurança.gov • CISSP e SSCP Estudo Aberto Guias www. Não há tal coisa como uma 100 por cento ambiente seguro.com www.Referências • NIST Computer Security Resource Center csrc. Risco no contexto da segurança é a possibilidade de acontecer danos. Gestão de Risco da Informação A vida é cheia de riscos. Se a vulnerabilidade faz residir no ambiente.cissps. e implementação de os mecanismos adequados para manter esse nível.com Ordem dos conceitos A ordem correta em que esses conceitos para avaliar como eles se aplicam à sua própria rede é a exposição. Cada . ameaça. mas. o risco. reduzindo-a a um nível aceitável.nist. em seguida é aplicado um contra-medida para reduzir o risco. por último.cccure. a menos que a sua empresa a vulnerabilidade correspondente (SQL servidor com a configuração necessária). e as ramificações de tal dano se ocorrer. e então tomar as medidas certas para reduzir o nível global de risco no ambiente em que a organização identifica como aceitáveis. necessita de mais fundos para os diferentes materiais e. classificadas por categoria. a rentabilidade será reduzida ou não realizado. Quando olhamos para a nota de segurança da informação. Ameaças devem ser identificadas. talvez. fraudes. e eles não são todos os computadores ligados. a perda de energia e desastres naturais. de que uma empresa precisa estar ciente de vários tipos de risco e tratá-los adequadamente. • O uso incorreto de dados Compartilhando segredos comerciais. O risco é que isto adicionado sobrecarga não pode ser compensada de vendas. espionagem e roubo. Os riscos para a empresa vêm em diferentes formas. • Falha mau funcionamento do equipamento de sistemas e dispositivos periféricos. e avaliados para calcular a sua dano potencial à empresa. erros de entrada. A habilidade está em identificar essas ameaças. avaliar a probabilidade de eles realmente ocorrendo e os danos que pode causar. produtividade e rentabilidade. • Ataques dentro e fora de hacking. cracking. Risco real é difícil de medir. aumentar o seguro prémios e as despesas de campanhas de marketing. O toque itens a seguir no grande categorias: • Fogo dano físico. leva-se em um monte de risco na esperança de que este movimento vai aumentar a sua base de mercado. a água. aumentam a necessidade de pessoal e instalações de armazenamento.ambiente tem vulnerabilidades e ameaças a um certo grau. o vandalismo. • Aplicação de erro erros de cálculo. • Perda de perda de dados intencional ou não intencional de informações através de meios destrutivos. • Ação interação humana. Se uma empresa aumenta a sua linha de produtos. e atacando. mas . Quando uma empresa compra outra empresa. e buffer overflows. assim. acidental ou intencional ou omissão que pode atrapalhar a produtividade. o que pode adicionar uma sobrecarga. priorizando a riscos em potencial a fim de que uns devem ser abordadas primeiro é possível. vírus. Essa é a parte fácil. É fundamental que os profissionais de segurança compreender estes ameaças individuais. Saber a diferença entre as definições de "vulnerabilidade". através de a perda de informações confidenciais como resultado de tentativas de espionagem de sucesso da empresa. não apenas ser seguro. desnecessária contas e sistemas não atualizados. mas as empresas operam para ganhar dinheiro. a resposta a esta questão é que as pessoas não o suficiente. eles devem ser considerados pequenos pedaços da segurança global quebra-cabeça. e assim por diante. Embora estes artigos todos devem ser considerados e pesados em risco processos de gestão. dentro ou fora da profissão de segurança realmente entender de gestão de risco. e "Risco" pode parecer trivial para você. você tem a habilidade adequada para saber quais devem ser tratados em . que eles podem. e hackers. hoje. Um scanner de vulnerabilidade pode identificar serviços perigosos que estão em execução. mas é mais importante que eles compreendam a forma de calcular o risco dessas ameaças e mapeá-los para drivers de negócio. protocolos. mas é mais crítica do que a maioria das pessoas realmente entender.000 e tem uma longa lista de vulnerabilidades que precisam de atenção. A empresa se preocupa com a segurança apenas se os potenciais riscos ameaçam sua parte inferior linha. Embora a informação segurança é um grande negócio. como através da perda de reputação e sua base de clientes depois de um banco de dados de números de cartão de crédito está comprometida. A segurança é agora uma questão de negócios. através da perda de informações confidenciais de uma engenharia social de sucesso ataque. "ameaça". Mas se você tem um orçamento de segurança de apenas R $ 120. dispositivos. em muitas maneiras. através da perda de milhares de dólares em despesas operacionais a partir de um worm de computador novo. não o foco principal da gestão de risco. Quem realmente entende de Gestão de Risco? Infelizmente. o foco é mais em aplicações. é mais importante do que a IDS. como você adequadamente classificar as vulnerabilidades mais críticas para assegurar que a sua empresa está a tratar o? mais crítica questões e proporcionando o maior retorno sobre o investimento de fundos Isso é o que a gestão de risco é tudo. A política de IRM deve ser um subconjunto da gestão de risco da organização geral política (riscos para uma empresa incluem mais do que apenas as questões de segurança da informação) e deve ser mapeadas para as políticas de segurança da organização. portanto. hacking ético. malware. empresas e empresas de todo o mundo. e um delegado equipe IRM. Informação sobre a Política de Gestão de Riscos Como faço para colocar todas estas peças de gestão de risco juntos? Resposta: Vamos verificar a política. A política de IRM deve abordar o seguinte itens: • Os objetivos da equipe de IRM • O nível de risco da empresa vai aceitar e o que é considerado aceitável nível de risco • Os processos formais de identificação de riscos • A ligação entre a política e a IRM de organização estratégica processos de planejamento • Responsabilidades que se enquadram IRM e os papéis de cumpri-las • O mapeamento de risco de controles internos • A abordagem pessoal para comportamentos de mudança e alocação de recursos em resposta à análise de risco .primeiro lugar? Desde que você tem um quantidade finita de dinheiro e um número quase infinito de vulnerabilidades. e firewalls. Mas a gestão de risco não é tão "sexy" e. um processo documentado que apoia a missão da organização. não recebe o seu necessário atenção ou implementação. uma política de IRM. e para organizações. Gestão de risco adequada requer um forte compromisso da gerência sênior. do pessoal da triagem e da ameaça interna à segurança física e firewalls. Ele deve fornecer orientação sobre como a equipe IRM relaciona informações sobre os riscos da empresa para a gerência sênior e como executar corretamente decisões de gestão sobre o risco tarefas de mitigação. os requisitos de postura de segurança e de segurança orçamento. Uma organização pode ter uma pessoa responsável por IRM (pobre alma) ou uma equipe que trabalha de forma coordenada. Este objetivo pode ser realizado somente se os seguintes componentes estão em vigor: • Um nível de aceitação de risco estabelecido fornecida pela gerência sênior • Os processos de avaliação de risco documentado e procedimentos • Os procedimentos para identificação e mitigação de riscos • recurso apropriado e alocação de recursos da administração sênior • Planos de contingência onde as avaliações indicam que são necessários • Formação de Segurança conscientização para todos os funcionários associados a informações ativos • A capacidade de estabelecer melhoria (ou mitigação de risco) equipes em específico áreas quando necessário .• O mapeamento dos riscos para as metas de desempenho e orçamentos • Principais indicadores para monitorar a eficácia dos controles A política IRM fornece a infra-estrutura para a organização de gestão de riscos de segurança processos e procedimentos e deve resolver todos os problemas de segurança da informação. O objetivo geral da equipe é garantir a empresa é protegido da maneira mais custo-efetiva. A Equipa de Gestão de Risco Cada organização é diferente em seu tamanho. Resposta: Bom trabalho. A análise de risco é usada para garantir que a segurança é custo-efetivo. É composto por pessoas que já têm um trabalho de tempo integral na empresa e agora estão incumbidos de outra coisa. A equipe de IRM. não é feita por funcionários com a tarefa dedicada de gestão de risco. e IRM não é diferente. que é realmente uma ferramenta de gestão de risco. essa pessoa deve ser gastar 50 a 70 por cento do seu tempo neste papel. na maioria dos casos.• O mapeamento de requisitos compliancy legais e regulamentares para controlar e implementar os requisitos • O desenvolvimento de métricas e indicadores de desempenho. o apoio da gerência sênior é alocação de recursos necessários para adequada pode ter lugar. como o meio ambiente e empresa mudanças • A integração do IRM e processo da organização de controle de mudanças para assegurar que as mudanças não introduzir novas vulnerabilidades Obviamente. Assim. relevantes. Um indivíduo deve ser apontada para executar este rodeio e. A gerência deve dedicar fundos para ter certeza que essa pessoa receba a formação necessária e as ferramentas de análise de risco necessários para garantir que é um empreendimento de sucesso. é um método de identificação vulnerabilidades e ameaças e avaliar os possíveis impactos para determinar onde implementar medidas de segurança. todas as equipes precisam de um líder. Análise de Risco Eu determinei que o nosso maior risco é esse clipe. em grandes organizações. Análise de risco. Claro. . de modo a medir e gerenciar vários tipos de riscos • A capacidade de identificar e avaliar os riscos de novos. esta lista é muito mais do que apenas comprar um novo firewall brilhante e chamando o cofre da empresa. oportunas e responder a ameaças. • Identificar vulnerabilidades e ameaças. ou os componentes de segurança erradas. Uma salvaguarda. a equipe deve realizar um projecto de dimensionamento para entender o que os activos e ameaças deve ser avaliada. • Fornecer um equilíbrio econômico entre o impacto da ameaça e do custo de a contramedida. a equipe de avaliação de risco não deve gastar mais tempo . Tentando avaliar todos eles ao mesmo tempo pode ser bastante uma empresa. que não faz sentido gastar 150. Uma das tarefas da equipe é criar um relatório que detalha as avaliações de ativos. Se a gerência determinar nesta fase inicial que alguns ativos não são importantes. Antes de uma avaliação e análise é começou.000 dólares tentando protegê-lo. e torná-los o alcance da IRM projeto. que compara a anualizado custo de salvaguardas para o custo potencial de perda. A segurança pode ser bastante complexo. Quem já trabalhou em um projeto sem adequadamente definidos escopo pode atestar a verdade dessa afirmação. ou a segurança pessoal. não o suficiente segurança. Isto significa que se uma unidade é de US $ 100. e gastar muito dinheiro no processo sem atingir os objetivos necessários. e é fácil de aplicar segurança muito. • Quantificar o impacto probabilidade e de negócios dessas ameaças potenciais. mesmo para wellversed profissionais de segurança. Análise de riscos fornece uma comparação de custo / benefício. A maioria das avaliações são focados em tecnologia de segurança física. não deve ser implementado a menos que o custo anual da perda supera o custo anual do salvaguarda si. Senior gestão deve analisar e aceitar as listas. Análise de risco ajuda as empresas a priorizar seus riscos e de gestão mostra a quantidade de dinheiro que deveria ser aplicado a proteção contra os riscos de uma forma sensata. É importante descobrir o que você deveria estar fazendo antes de cavar direito e começar a trabalhar. A análise de risco tem quatro objetivos principais: • Identificar os ativos e seu valor para a organização.000. segurança. na maioria dos casos. Uma análise de risco ajuda a integrar os objetivos do programa de segurança com a companhia objetivos de negócio e requisitos. A análise também ajuda a empresa elaborar um orçamento adequado para um programa de segurança e seus componentes de segurança constituintes. Afinal. A gestão deve definir o propósito eo escopo da análise. nomear um equipe para realizar a avaliação. Para a análise de risco mais eficaz.ou recursos de avaliação esses ativos. e cada departamento tem sua própria funcionalidade. uma organização deve construir uma equipe de análise de risco que inclui indivíduos de muitos ou todos os departamentos para assegurar . A análise de risco deve ser apoiado e dirigido pela alta administração.e como ela se relaciona diretamente com as necessidades do negócio. consequentemente. se for para ser bem sucedido. ele pode tomar decisões inteligentes sobre quanto dinheiro para gastar proteger esses ativos. gestão de riscos e conformidade. isso faz acontecer muitas vezes. Durante as discussões com a administração. o que é bom para passar todos os problemas de uma avaliação de risco e não reagir a suas conclusões? Infelizmente. porque adequado dimensionamento projecto não foi realizado no início do projecto. Uma vez que uma empresa sabe o quanto seus ativos valem a pena e as eventuais ameaças são exposto. o mais bem sucedido dos dois será. É essencial para a gerência sênior para analisar o resultado da avaliação de risco e análise e de agir sobre as suas conclusões. Não deixe que isso aconteça para você. todos os envolvidos devem ter uma empresa compreensão do valor do título AIC tríade disponibilidade. tarefas e peculiaridades. recursos. confidencialidade e. integridade. Gestão deve delinear o escopo. Muitos projetos sem fundos e. parou. e alocar o tempo necessário e os fundos para conduzir a análise. Quanto mais os objetivos do negócio e segurança são em alinhamento. que provavelmente será ditada por organizacional governança. bem como as restrições orçamentais. A Equipa de Análise de Risco Cada organização tem diferentes departamentos. as pessoas que trabalham a estes níveis mais baixos podem não ter conhecimento e compreensão adequados dos processos que a equipe de análise de risco pode ter de lidar com eles. já que os gestores tendem a delegar qualquer tipo de tarefa de análise de risco a níveis mais baixos dentro do departamento. a equipe de TI pode não entender todos os riscos a empregados no armazém teria de enfrentar se um desastre natural atingisse. Ou. Ao olhar para o risco. indivíduos que estão nos níveis certos de cada departamento. pode não entender. integradores de sistemas e operacionais gerentes de fato. entrevistas ou oficinas. certifique-se de entrevistar pessoas em cada departamento para que ele compreenda e pode quantificar todas as ameaças. Os membros da equipe devem perguntar o seguinte: O que poderia ocorrer caso (ameaça evento)? O que poderia ser o impacto potencial (risco)? Quantas vezes pode acontecer (frequência)? Qual o nível de confiança que temos nas respostas às três primeiras perguntas(Certeza)? Muitas dessas informações são coletadas por meio de pesquisas internas. é bom para manter várias perguntas em mente. ou seja. Aumentando essas perguntas ajuda a garantir que a equipe de análise de risco e gestão sênior saber o que é importante. ou como a empresa como um todo seria afetada se os arquivos do departamento de contabilidade de dados foram aniquilados por uma acidental ou ato intencional. Esta é uma tarefa difícil. no mínimo. por exemplo. . ou o que significaria para a sua produtividade e como isso afetaria a organização geral. Se o equipe de análise de risco não é capaz de incluir membros de vários departamentos. todo o pessoalchave de áreas-chave da organização. que deve. como outro exemplo.que todas as ameaças são identificados e tratados. aplicação. Os membros da equipe podem ser parte dos programadores de gerenciamento. No entanto. equipe de TI. A equipe de análise de risco deve incluir também pessoas que entendem os processos que são parte de seus departamentos individuais. Este mistura é necessário porque se a equipe de análise de risco compreende apenas os indivíduos do Departamento de TI. os tipos de ameaças da contabilidade departamento enfrenta com problemas de integridade de dados. mas também devem ser capazes de confiar que o trabalho que delegou está sendo tratado de uma maneira que entende. você usaria mais extremas medidas (e caro) de . o que o trabalho foi necessário para desenvolvê-lo. Concedido. o que os inimigos que pagar por ele. Posse de risco Uma das questões mais importantes que enfrentamos pessoas que trabalham dentro de uma organização é quem possui o risco? A resposta realmente não é simples porque depende o tipo e situação de risco que está sendo discutido. e é nessas horas que esses outros elementos da organização também ombro parte da responsabilidade de propriedade risco. quanto custa para manter.Visualizando ameaças com essas questões em mente ajuda a equipe a se concentrar nas tarefas de mão e auxilia na tomada de decisões mais precisas e relevantes. sempre. Alta administração possui a risco presente durante a operação da organização. e que sanções responsabilidade poderia ser suportado. ele não sabe quanto dinheiro e tempo deve gastar em protegê-los. e trabalha para minimizar os riscos que a organização enfrenta no curso de suas operações regulares. aceita a existência de. O valor da informação e Ativos Se a informação não tem qualquer valor. então quem se preocupa em proteger ele? O valor colocado em informações é relativo às partes envolvidas. em última análise recai sobre sênior gestão. Se uma empresa não sabe o valor da informação e do outros ativos que ele está tentando proteger. Se você fosse encarregado de fazer a Rússia se não conhecer os algoritmos de criptografia usados na transmissão de informações de e para EUA satélites espiões. mas pode haver momentos em que alta administração também depende de dados guardiões ou unidades de negócios para realizar o trabalho. o que resultaria danos se foram perdidos ou destruídos. o custo de substituição ou reparação isso. As questões a seguir devem ser considerados ao atribuir valores aos bens: • Custo de aquisição ou desenvolvimento do activo • Custo para manter e proteger o ativo • Valor do ativo para proprietários e usuários • Valor do ativo para os adversários . O valor das instalações da empresa deve ser avaliada. mas estas medições devem ser derivadas. comprometida. dispositivos periféricos. Os exemplos anteriores referem-se a avaliar o valor da informação e protecção. este valor não deve ser entrada como o valor do ativo em uma avaliação de risco. desenvolver e manter. O valor é determinado pela importância que tem para os proprietários. O valor real de um ativo é determinado pelo o custo é necessário para adquirir. suprimentos e funcionários. O valor de um ativo deve refletir todos os custos identificáveis que surgiriam se o activo foram. mas essa lógica se aplica para instalações de uma organização. Em vez disso. Você não sabe o quanto é perigo de se perder se você não sabe o que você tem e que vale a pena no primeiro lugar.segurança do que você iria usar para proteger a sua manteiga de amendoim e sanduíche de banana receita de seu nextdoor vizinho. Custos que compõem o valor Um ativo pode ter ambas as medições quantitativas e qualitativas que lhe são atribuídas. Se um servidor custar US $ 4. O valor da informação apoia decisões de medidas de segurança. juntamente com todas as impressoras. a perda de produtividade. e usuários não autorizados. sistemas e recursos. Algumas informações é suficientemente importante para uma empresa para seguir os passos de tornálo um comércio segredo. e o valor de quaisquer dados que possam ser corrompidos ou perdidos deve ser contabilizado para capturar corretamente a quantidade a empresa perderia se o servidor falhasse por uma razão ou outra.000 para compra. na verdade. usuários autorizados. estações de trabalho servidores. Como você colocar um valor monetário na reputação de uma empresa? Às vezes. é mais difícil de descobrir do que um cubo de Rubik. Ameaças de identificação Ok. o que devemos ter medo? . dados.• Valor da propriedade intelectual. que entrou em desenvolver a informação • Preço outros estão dispostos a pagar para o ativo • Custo para substituir o activo se perdeu • As atividades operacionais e de produção afetada se o ativo está indisponível • questões de responsabilidade se o ativo está comprometido • Utilidade eo papel do ativo na organização Entender o valor de um ativo é o primeiro passo para entender o que a segurança mecanismos devem ser postas em prática e que os fundos devem ir para protegê-la. incluindo os seguintes: • Para executar eficazes análises custo / benefício • Para selecionar contramedidas específicas e salvaguardas • Para determinar o nível de cobertura de seguro para comprar • Para entender o que exatamente está em risco • Para estar de acordo com o devido cuidado e para cumprir com os requisitos legais e regulamentares Ativos podem ser tangíveis (computadores. A determinação do valor dos bens pode ser útil para uma empresa para uma variedade de razões. materiais) ou intangíveis (reputação. A questão muito importante é o quanto poderia custar à empresa para não proteger o ativo. instalações. o que pode mudar com o tempo. Geralmente é mais difícil de quantificar os valores de ativos intangíveis. propriedade intelectual). Essas outras ameaças têm a ver com a aplicação e erros do utilizador. Uma vez que as vulnerabilidades e ameaças associadas são identificadas. a ameaça pode ser difícil de se descobrir e isolar estas equações estão incorretas ou se o aplicativo está usando os dados inseridos incorretamente. Auditorias e revisões devem ser realizados para descobrir se os funcionários são introduzir valores incorretamente em programas. Os riscos têm potencial de perda. Outros tipos de ameaças podem surgir em um ambiente informatizado que são muito mais difíceis de identificar do que aquelas listadas na Tabela 3-2. Se um aplicativo usa várias equações complexas para produzir resultados. o que representa apenas uma amostra dos riscos muitas organizações deverão abordar. Tabela 3. mau uso da tecnologia.Anterior. as ramificações de essas vulnerabilidades sendo exploradas devem ser investigadas. Erros de usuário. e o resultando impacto nos negócios. intencionais ou acidentais. Estes tipos de problemas pode mentir no código das aplicações e são muito difíceis de identificar. conforme descrito na Tabela 3-2. afirmou-se que a definição de um risco é a probabilidade de um agente de ameaça explorar uma vulnerabilidade para causar danos a um computador. Muitos tipos de agentes de ameaça pode tirar vantagem de vários tipos de vulnerabilidades.2 . Isto pode resultar em processamento e ilógico erros em cascata como resultados inválidos são repassados para outro processo. resultando em uma variedade de ameaças específicas. em seus programas de gestão de risco. são mais fáceis de identificar por monitoramento e auditoria as atividades do usuário. ou modificar dados em de forma inadequada. rede ou empresa. O período pode ser em qualquer lugar 15 minutos a anos após a exploração. uma redução na produtividade dos funcionários. A perda de dados pode ser corrompido.que significa que a empresa perderia se um agente de ameaça eram realmente para explorar uma vulnerabilidade. Se é necessário um completo dias para obter os servidores web fixa e novamente online. divulgação não autorizada de informações confidenciais. se os servidores de uma empresa de web são atacados e off-line. bem como a substituição de qualquer código ou componentes necessários. acumulados penalidades final. ele poderia perder o negócio por meses ou anos. a coleção de atraso de fundos de clientes. Trata-se de uma forma mais extrema caso de perda retardada. . o imediato dano pode ser a corrupção de dados. as horas-homem necessárias para colocar os servidores de volta on-line. reduziu o lucro para a empresa. o empresa pode perder bastante vendas e lucros para não ser capaz de pagar outras contas e despesas. Perda retardada pode incluir uma reduzida produtividade ao longo de um período de prejuízos. a equipe também deve olhar para atraso perda ao avaliar os danos que podem ocorrer. destruição de sistemas e / ou da instalação. e assim por diante. e assim por diante. Por exemplo. para a reputação da empresa. Se ele tem uma semana inteira para obter os servidores web fixa e novamente online. Ao realizar uma análise de risco. a empresa poderia perder muito mais vendas e lucros. Perda tardia tem efeitos negativos sobre a empresa após uma vulnerabilidade é explorada inicialmente. despesa extra para obter o ambiente de volta ao bom funcionamento condições. Se os clientes da empresa perder a confiança nele por causa dessa atividade. Esta seria uma perda retardada. A empresa poderia perder receita se geralmente aceita encomendas e pagamentos através do seu site. A abordagem do NIST é específico para TI ameaças e como se relacionam com informações riscos de segurança. 800-66. Vamos dar uma olhada em alguns deles. indústrias. Um indivíduo ou pequena equipe coleta dados de rede e segurança de avaliações práticas. e se concentra principalmente em sistemas de computador.Estes tipos de problemas fazem mais complexo o processo de quantificação de perdas corretamente ameaças específicas que podem causar. Ela estabelece os seguintes passos: • Caracterização do Sistema • A identificação de ameaças • Vulnerabilidade identificação • A análise de controle • Determinação Probabilidade • Análise de impacto • Determinação de Risco • Recomendações de controle • Documentação Resultados O NIST SP 800 = metodologia de Gestão de Riscos 30 é comumente usado por consultores de segurança. . Enquanto 800-66 foi projetado para ser usada pelos clientes HIPAA. é um exemplo do tipo de metodologia que foi destinado a um setor regulado. mas que pode ser adotado e usado por outro. mas a criação inicial de 800-66 foi concebido para ser implementado no campo da saúde e de outros setores regulados. também pode ser facilmente adoptadas e utilizadas por regulado. mas devem ser tomados em consideração para assegurar a realidade é representada neste tipo de análise. agentes de segurança e departamentos de TI internos. Metodologias de Avaliação de Riscos Avaliação de risco tem várias metodologias diferentes. e de pessoas dentro da organização. NIST SP 800-30 e 800-66 são metodologias que podem ser utilizadas pelo general público. especificamente. CRAMM é ainda um outro tipo de metodologia. Este se destina a lidar com os aspectos técnicos de uma organização. os utilizadores para determinar as áreas que realmente demanda e a necessidade de análise de risco dentro de uma organização. e avaliação e identificação de ativos. Abrangendo a análise de árvore é uma metodologia que desenvolve uma árvore de todas as ameaças potenciais e falhas que podem prejudicar o sistema. seleção e análise de vulnerabilidade. Este baseia-se na idéia de que as pessoas que trabalham nesses ambientes compreender melhor o que é necessário e que tipo de riscos que enfrentam. FRAP é projetado em de modo a que ela afirma que qualquer pessoa com boas habilidades de facilitação será capaz de operar com sucesso. Isto coloca o trabalho que as pessoas dentro da organização nas posições de poder como sendo capaz de tomar as decisões sobre qual é a melhor abordagem para avaliar a segurança de sua organização. Um segundo tipo de metodologia de avaliação de risco é chamado FRAP. A sigla significa CCTA análise de risco e método de gestão. que significa para processo facilitado Análise de Risco. Isto irá permitir que. Embora implementado de forma semelhante a outras metodologias que discutimos. e como a análise . Avaliação e Vulnerabilidade) foi criado pelo Software da Universidade Carnegie Mellon Instituto de Engenharia.Estes dados são usados como valores de entrada para as etapas de análise de risco descritos no 800-30 documento. bem como as porções não técnicos. através da utilização de um processo de triagem inicial. Asset. É uma metodologia que se destina a ser utilizado em situações onde as pessoas gerenciar e dirigir a avaliação de risco para obter informações segurança dentro de sua empresa. Outra metodologia chamada OCTAVE (Ameaça Operacionalmente Crítica. é dividido em três segmentos: contramedida ameaça. Cada um dos ramos é um tema geral ou categoria. Ele é projetado para explorar uma avaliação qualitativa dos riscos processo de uma maneira que permite que os testes fossem realizados em diferentes aspectos e variações da metodologia. A intenção desta metodologia é proporcionar a uma organização com os meios de decidir que curso e ações devem ser tomadas em circunstâncias específicas para lidar com várias questões. 295582.techtarget. e os riscos de decisões de negócios. aplicar corretivo mede a eles antes de se tornarem responsabilidades reais. mas prefere não olhar para eles. AS / NZS 4360 tem uma abordagem muito mais ampla de arriscar gestão. não só torna mais fácil de aplicar uma correção corretiva para a vulnerabilidade. capital humano. em seguida. ele não foi criado especificamente para esta finalidade. os ramos que não se aplicam podem ser removidos (ou "podados" se você se importa de ficar com o tema árvore). Esta metodologia pode ser usada para compreender financeira de uma empresa. Pense nisso como sendo capaz de olhar para o futuro e localizar áreas que têm o potencial de falha.com/genérico/0. ou para encontrar as vulnerabilidades e.de risco é realizada. bem como para determinar exatamente que tipo de escopo a vulnerabilidade implica significado. A aplicação deste processo a uma falha crónica permite a determinação de onde exactamente a falha é mais provável de ocorrer. Modos de Falha e Análise de Efeito (FMEA) é um método para determinação de funções. sid14_gci1191926. o que seria o secundário ramificações de sua exploração? Este por sua vez. mas também permite uma aplicação muito mais eficaz de recursos para a questão. Embora possa ser usado para analisar os riscos de segurança. Ao seguir uma ordem específica de etapas. NOTA: Você pode encontrar informações sobre a relação entre estes abordagens de gestão de risco diferentes e como eles devem ser utilizados em um 00. segurança.html artigo de Shon Harris em http://searchsecurity. Embora tanto a NIST e metodologias OCTAVE concentrar em ameaças de TI e riscos de segurança da informação. Isto é muito útil na identificação de uma vulnerabilidade onde existe. os melhores resultados podem ser maximizado para uma falha Análise do Modo: . Falha e Análise de Falhas Temos um monte de vulnerabilidades de falha potencial. identificar falhas funcionais e avaliar as causas da falha e seus efeitos de falha através de um processo estruturado. 2. Tabela 3-3 é um exemplo de como um FMEA pode ser realizada e documentada. NOTA: Auditores Compliance analisar a documentação de processos. é por isso que uma abordagem detalhada tal é necessário. É importante olhar para um controle ou sistema a partir do micro ao nível macro para compreender a vulnerabilidade de um qhere ou falha potencial reside e as ramificações de sua exploração. O seu objectivo consiste em analisar a falhas potenciais em produtos e processos envolvidos com eles. Cada computador sustem é potencialmente feito por SO muitas bombas de tempo diferentes em diferentes camadas OS sua composição. um aplicativo pode não ser realização das etapas a devida autorização ou pode não proteger suas chaves criptográficas corretamente.1. Este tipo de documentação (contanto é preciso) irá ilustrar aos auditores como sua organização sabe seus sistemas e como você pretende tratar de falhas que podem ocorrer. 4. o kernel de um sistema operacional pode ser falho. atividades de testes e resultados. Assustador podem surgir em cada nível. FMEA foi desenvolvido para sistemas de engenharia. No nível do componente. Embora a maioria das empresas não tem os recursos para fazer esse nível de trabalho detalhado para cada sistema e de controlo. 3. Ter vários engenheiros rever os modos de falha e análise de efeitos. Ao nível do programa. mais recentemente. A nível de todo o sistema. Comece com um diagrama de blocos de um sistema ou de controlo. Elaborar um quadro em que as falhas estão emparelhados com os seus efeitos e um Avaliação dos efeitos. um buffer overflow ou controle ActiveX perigosa pode levar o sistema a ser controlado por um atacante após a exploração. foi adaptado . permitindo o acesso de raiz para ser facilmente realizado. Considere o que acontece se cada bloco do diagrama de falhar. 5. Corrigir o desenho do sistema. e ajustar a mesa até que o sistema não está conhecido por ter problemas inaceitáveis. controles. Esta abordagem provou ser bem sucedida e. deve ser realizada em funções críticas e sistemas que pode afetar drasticamente a empresa. para ser utilizado na avaliação do risco prioridades de gestão e mitigação vulnerabilidades ameaça conhecida.3 . Tabela 3. Uma análise da árvore de falhas geralmente prova ser uma abordagem mais útil para identificar as falhas que podem ocorrer dentro de mais ambientes complexos e sistemas. Desta forma metódica de identificar potenciais armadilhas está chegando em jogo mais como a necessidade de sensibilização para os riscos para baixo para os níveis tático e operacional continua a expandir. o método não é tão útil na descoberta de que os modos de falha complexos pode estar envolvida em vários sistemas ou subsistemas. Árvores de falhas são. um efeito indesejado é tomado como a raiz ou evento topo de uma árvore de lógica. variáveis. Enquanto FMEA é mais útil como um método de pesquisa para identificar modos de falha significativas num dado sistema. e complexidade que continua a aumentar à medida que as empresas entender o risco em mais granular níveis. Em primeiro lugar. Análise da árvore de falhas segue este processo geral. Em seguida.FMEA é utilizada na gestão de risco de garantia por causa do nível de detalhe. rotulados com números reais relacionados com . cada situação que tem o potencial de provocar esse efeito é adicionado à árvore como uma série de expressões lógicas. então. ameaças de redes de software. se um sistema não está ligado à Internet através de qualquer meio. Em geral. Figura 3-7 mostra uma árvore de falhas simplista e os símbolos lógicos usados para representar diferentes o que deve ter lugar para um evento de falha específica. remover que se ramificam em geral a partir da árvore. você pode cortar eles e efetivamente podar os galhos da árvore que não se aplicam ao sistema em pergunta. Então. uma vez que todas as categorias possíveis gerais estão no lugar. Os galhos da árvore podem ser divididos em categorias gerais como ameaças físicas. ameaças da Internet e de componentes ameaças falha. Alguns dos eventos de software mais comuns de falhas que podem ser exploradas através de um análise da árvore de falhas são os seguintes: • Os alarmes falsos • Tratamento de erro insuficiente . Ao configurar a árvore. você deve precisamente listar todas as ameaças ou falhas que podem ocorrer com um sistema. ameaças.probabilidades de falhas. Isso geralmente é feito por usando programas de computador que podem calcular as probabilidades de falha de uma árvore de falhas. mas não se espera É claro que. nós temos assegurado o apoio da administração da análise de risco. NOTA: Seis Sigma é uma metodologia de melhoria de processos. Também foram levadas em consideração todas as perdas potenciais e atrasada a empresa pode durar por ativo por ameaça. É o novo "e melhorado "Total Quality Management (TQM) que atingiu o setor de negócios em década de 1980. e identificados todos os possíveis ameaças que possam afetar os ativos. Seu objetivo é melhorar a qualidade do processo. esta é uma lista muito pequena. O próximo passo é a utilização de métodos qualitativos ou quantitativos para calcular o risco real a empresa enfrenta. colocou um valor em cada dos ativos da empresa. utilizando métodos estatísticos de medir a eficiência de operação e redução da variação. defeitos e desperdício. Até agora. Temos realizado uma análise do modo de falha e / ou uma análise de árvore de falhas para entender as causas subjacentes das ameaças identificadas.• Seqüenciamento ou ordem • Incorretas saídas temporárias • Saídas válidos. SeisSigma está a ser usado na indústria de seguros. em alguns casos. construído nossa equipe assim que representa os diferentes departamentos da empresa. . para medir os fatores de sucesso dos controles e procedimentos diferentes. devido à complexidade de ambientes de software e heterogéneos.