Métodos em análise de risco

Análise de riscos envolve o levantamento de probabilidade de ocorrência de eventos indesejáveis (ameaças x vulnerabilidades) e o impacto aos ativos da organização. Deve considerar os objetivos de negócio e vai embasar decisões nos níveis estratégico, tático e operacional.

Existem dois métodos para a realização da análise, os quais podem até mesmo ser empregados conjuntamente.

O primeiro método é o quantitativo, que procura avaliar monetariamente os efeitos da materialização do risco, ou seja, quantifica a perda financeira para a organização. Nem sempre é simples estimar tais valores.

O método qualitativo, por sua vez, atribui mençõs subjetivas aos diversos componentes da avaliação de riscos. Em primeiro lugar, a probabilidade de ocorrência é obtida a partir das ameaças e das vulnerabilidades. Depois, a probabilidade (por exemplo: alta, média ou baixa) é posta em uma matriz com o impacto (por exemplo: alto, médio ou baixo). Desse cruzamento são visualizados os riscos que devem ser priorizados.

(figura retirada de http://www.tenstep.com.br)

A análise qualitativa é mais rápida, independe da precisão numérica da análise quantitativa. No entanto, a habilidade do avaliador em determinar os níveis de probabilidade e impacto será determinante para uma análise qualitativa condizente com a realidade.

Quem está à frente na guerra cibernética?

China, EUA e Rússia estão em corrida armamentista na internet, diz empresa

O worm Morris e os primórdios do tratamento de incidentes de segurança computacional

O texto que segue é parte da introdução da minha monografia de especialização em Gestão de SIC e retrata a primeira grande DoS, a propagação dos vírus e os motivos pelos quais foram criados o CERT/CC e os primeiros times de resposta a incidentes ao redor do mundo:

O primeiro grande evento de segurança de que se tem notícia ocorreu no final dos anos 80, quando a grande rede era ainda a ARPANET criada pela Defense Advanced Research Projects Agency (DARPA), do Departamento de Defesa dos EUA. Desenvolvido por Robert Tappan Morris e lançado do Massachussets Institute of Technology (MIT) em 2 de novembro de 1988, o worm Morris não foi a primeira praga de computador a ser transmitida pela rede, mas certamente foi a primeira a suscitar signi cativo apelo na mídia por infectar um grande número de sitemas ao redor do mundo e representar, mesmo que acidentalmente, um e ficiente ataque de negação de serviço.

O caso Morris serviu também como alerta para a necessidade de cooperação e coordenação entre administradores de sistema e entre gestores de Tecnologia da Informação de modo a lidar com eventos como esse, cujas proporções extrapolam organizações e até Estados nacionais. Ainda em 1988, Eugene Spa ford, um dos primeiros especialistas a analisar o código do worm Morris, escreveu:

This attack should also point out that we need a better mechanism in place to coordinate information about security flaws and attacks. The response to this incident was largely ad hoc, and resulted in both duplication of e ort and a failure to disseminate valuable information to sites that needed it. Many site administrators discovered the problem from reading the newspaper or watching the television. The major sources of information for many of the sites a fected seems to have been Usenet news groups and a mailing list I put together when the worm was first discovered. Although useful, these methods did not ensure timely, widespread dissemination of useful information especially since they depended on the Internet to work! Over three weeks after this incident some sites were still not reconnected to the Internet.

Logo após o ocorrido, em um encontro realizado pela DARPA para discutir formas de melhorar a resposta a incidentes de segurança, apontou-se a necessidade de criar um ponto único de contato para problemas de segurança na Internet. Em resposta, foi criado o CERT Coordination Center (também conhecido como CERT/CC e originalmente denominado Computer Emergency Response Team), para ser o ponto central na coordenação de resposta a emergências de segurança em redes.

Rapidamente, outras equipes de tratamento de incidentes de segurançaa surgiram, voltadas para organizações ou regiões geográficas específicas. Em 1990, onze equipes criaram um fórum informal, o Fórum de Resposta a Incidentes e Equipes de Segurança (em inglês, FIRST). Hoje o FIRST é uma organização formal que, em conjunto com os times membros, visa "coordenar respostas a incidentes de segurança computacional, assistir sítios a lidar com ataques e educar usuários de redes acerca das ameaças de segurança computacional e técnicas de prevenção".

Hoje uma série de times de resposta a incidentes realiza suas atividades em alto nível prestando os mais variados serviços. São capazes de fornecer a experiência e o conhecimento necessários às equipes em desenvolvimento. De fato, estruturas, planos de implantação e processos estão disponíveis para consulta, no entanto, as maiores di culdades residem na observância e no desenvolvimento da cultura da organização e nas capacidades de adaptar-se às mudanças constantes de panorama e de tempo de resposta às ameaças.

Funcionários do Pentágono aprenderão técnicas de hackers para defender redes militares - O Globo Online

Funcionários do Pentágono aprenderão técnicas de hackers para defender redes militares - O Globo Online