Analise de risco TI
Análise de Risco
Políticas de Auditoria e Segurança
Qualidades da Informação
• Integridade
• Continuidade
• Confidencialidade
Ameaças Acidentais
•
•
•
•
Falhas de equipamento
Erros humanos
Falhas do Software
Falhas de alimentação
• Problemas causados pelas forças da natureza Ameaças Causadas por Pessoas
•
•
•
•
•
•
•
Espionagem
Crimes
Empregados insatisfeitos
Empregados “doentes”
Empregados desonestos
Vandalismo
Terrorismo
• Erros dos Utilizadores
Vulnerabilidades dos Computadores
• Pequenos suportes guardam grandes volumes de dados • Os dados são invisíveis
• Os suportes podem falhar
• Copiar não anula a informação
• Dados podem ficar inadvertidamente retidos
• Avanços Tecnológicos
• Sistemas Distribuídos
• Normas de Segurança
Avaliação dos Riscos
• O que é um risco?
– É um contexto que inclui as ameças, vulnerabilidades e o valor a proteger
• O que é a análise de risco?
– É o processo de avaliar em que medida é que um certo contexto é ou não aceitável para uma organização Técnicas de Análise de Risco
• Prever cenários de:
– Ameaças
– Vulnerabilidades
• Para cada cenário:
– Prever os prejuízos / Recursos a envolver para evitar a concretização dos cenários
– Fazer uma análise de custo/benefício
Técnicas de Análise de Risco
• Análise subjectiva
– Documentos escritos com vários cenários como base para sessão de “brainstorming”
• Análise Quantitativa
–
–
–
–
Para cada ameaça quantificar a sua incidência
Estimar o valor dos prejuízos que pode causar
Estimar o custo de combater a ameaça
Pesar as várias ameaças para obter um valor final (que algoritmo?)
Técnicas de Análise de Risco
• Técnicas Automatizadas
– Uso de ferramentas informáticas que implementam UM algoritmo específico
– CRAMM no Reino Unido
• CCTA Risk Analysis and Management Method
– CCTA - Central Computer Telecommunications Agency
CRAMM
• 3 Etapas
–