Outras informações:

Gartner: riscos de segurança aumentam com sofisticação dos smartphones
Gestão de Segurança da Informação contra o iPhone 3G
Firewall Coluna de Marcos Sêmola

A gestão de risco é prática utilizada para conseguir realizar um bom balanceamento destas necessidades ou pelo menos chegar o mais perto possível do melhor emprego do dinheiro do orçamento da área de segurança.

A gestão de risco é um processo de cinco etapas:

1. Determinar o valor dos ativos e a infra-estrutura da informação.

2. Descrever as ameaças aos ativos e a infra-estrutura

3. Estimar a probabilidade de que essa ameaça aconteça

4. Calcular o custo total desta ameaça

5. Desenvolver e implementar estratégias que minimizem as chances de ocorrência da ameaça.

Determinando o valor da informação e da infra-estrutura

A primeira etapa e justamente descobrir o que deve ser protegido. O valor de

esta informação ira variar de acordo com três fatores: no tipo da informação, na idade da informação e no custo de recriá-la.

Identificando ameaças

Ameaças são pessoas ou processos que podem explorar vulnerabilidades para

violar ou danificar sistemas de informação.

As vulnerabilidades são franquezas nos sistemas, como falta de atualização do sistema de antivírus, má configuração do sistema de firewall entre outros. Existem padrões gerais que se aplicam em todas as organizações, mas detalhes específicos das vulnerabilidades irão variar de organização para organização. Para identificar ameaças especificas as vulnerabilidades a elas relacionadas, a organizações devemos considerar:

• O valor da informação para o concorrente e os meios para adquirir estas informações.
• O numero e o tipo do ponto de acesso ao sistema, tais como sites na Web, redes privadas virtuais (VPN) ou consoles de operadores, que podem ser explorados por Hackers ou invasores locais.
• Vulnerabilidades bem conhecidas como nos serviços da internet, tais como, e-mail, transferência de arquivo ou servidores de página Web.
• Probabilidade de desastre natural, como por exemplo, incêndio, inundações e terremotos

Como estimar a probabilidade de ameaças

Estimar a probabilidade de ameaças é provavelmente a etapa individual mais difícil na analise de risco. Na melhor situação possível, a organização tem dados suficientes sobre atividades passadas das ameaças para prever aproximadamente futuras ocorrências. Por exemplo, logs do servidor Web com tentativas de Hackers procurando portas abertas. Em outros casos os analistas de riscos têm que estimar a probabilidade com base em informações públicas. Como por exemplo o site do CERT.BR http://www.cert.br/stats/incidentes/.

A respeito da dificuldade de estimar a probabilidade de exploração da ameaça, essa deve ser feita numa escala de 0,0 a 1,0. Onde 0,0 indica que a ameaça nunca irá acontecer e que 1,0 significa que a ameaça certamente irá acontecer. Com o valor dos ativos e a lista das ameaças e sua probabilidade em mãos, a próxima etapa é calcular o custo total das ameaças.

Calculando o custo da ameaça

O calculo do custo de uma ameaça é um processo de três etapas:

1. Estimar o fator de exposição ou o valor de um prejuízo se a ameaça for concretizada contra o ativo. Por exemplo, se um incêndio destruir um servidor com uma base de dados de clientes avaliada em $250.000, e tudo menos 10 por cento da base de dados puder ser restaurado a partir do backup, então o fator de exposição é 10 por cento.

1. Calcular a exposição de perca única (SLE), que é simplesmente o valor do ativo multiplicado pela exposição do risco. No exemplo da base de dados de clientes, o cálculo é $250.000 x 10 por cento, que é igual a $25.000.

1. Calcular a exposição anual à perda (ALE), que é o número de vezes que uma ameaça ocorrerá em um ano multiplicado pelo SLE. Assumindo que um incêndio ocorra uma vez em cada 10 anos, o ALE do exemplo do incêndio é 0,1 x $25.000, que é igual a $2.500.

O ALE é a quantia máxima que uma organização deverá racionalmente gastar para se proteger de uma ameaça, ao menos em teoria.

Não seja enganado pela formalidade das fórmulas e pela precisão das respostas. Estas fórmulas dependem das probabilidades e freqüências e são, muitas vezes, os melhores palpites. Porém, depender de guesstimates não pode ser evitado. Mais do que tentar calcular a única “resposta certa”, calcule os custos com vários cenários diferentes para entender o efeito de parâmetros que mudam.

Respondendo ao risco

A ultima etapa é responder ao risco, esta resposta pode ser de três forma:

• Reduzir o risco
• Comprar seguro
• Aceitar o risco

As organizações reduzem o risco quando implementam sistemas ou uma infra-estrutura que busca prevenir ou minimizar o impacto da ameaça. Normalmente são medidas preventivas como antivírus, firewall, processos de monitoramento ou IDS. Medidas que buscam para o incidente, e medidas de reação, tais como equipamento de extinção de incêndio que interrompem o efeito de ameaças diretamente.

Em alguns casos, a opção mais econômica é transferir o risco comprando seguro. Neste caso, as organizações não reduzem diretamente o risco. Em vez disso, elas rateiam o seu risco com o de outras organizações e pagam à seguradora para reembolsá-las quando as ameaças ocorrerem.

As organizações precisam sempre conviver com um certo grau de risco. Os custos de reduzir os riscos podem ser demasiadamente altos, a probabilidade de ocorrência muito baixa, o seguro não está disponível, ou as estratégias prejudicam outros objetivos (tais como acessibilidade e facilidade de uso). Nesses casos, o risco deve simplesmente ser aceito.

A segurança da informação depende de gerir racionalmente o risco. A abordagem quantitativa esboçada ajudará a identificar as ameaças e as respostas apropriadas, mas us dependência de probabilidades difíceis de medir e as freqüências são uma fraqueza. Outra área fundamental da gestão da segurança é a gestão de identidade e acesso.