Segurança da Informação – parte 3 #BEDO

 

Vamos falar um pouco sobre ameaças, como elas ocorrem e qual o grau de preocupação que devemos ter quando elas entram em ação.

A norma ISSO/IEC 13335-1 define ameaça como causa potencial de um incidente indesejado, que pode resultar em dano par um sistema ou para a organização. Para ficar mais claro podemos dizer que a ameaça explora as vulnerabilidades a fim de provocar danos, perdas e roubos.

A ameaças estão ligadas com os pilares da segurança da informação, pois são agentes causadores de incidentes comprometendo a informação e seus ativos, atingindo a disponibilidade e integridade, provocando a perda de confiabilidade criando impactos negativos e em alguns casos encerrando atividades organizacionais. Sim, ameaças podem danificar e prejudicar uma corporação a ponto de fechar as portas.

Acho que deu para entender quando comentei, vale mais a pena investir em prevenção do que recuperação. É um investimento que a longo prazo será coberto, mas caso você sofrer um ataque que prejudique seriamente sua empresa, certamente você irá gastar mais e o prejuízo não vai deixar de ser prejuízo e não será coberto a longo prazo.

Nesse ponto é importante analisar as normas e frameworks, pois tem metodologias que irão contribuir na maneira de investimento que cabe em seu bolso e no tamanho de sua empresa. Baseado no seu estado atual e nos levantamentos, lhe ajudarão a verificar qual melhor caminho a seguir ou onde a realização de investimento será mais eficiente.

Por exemplo, não tenho condição de manter um servidor na empresa da maneira correta, necessito contratar um especialista para gerenciar a infraestrutura e a segurança. O que devo fazer? Realmente manter um especialista será custoso, devido empresa ser pequena ou não ter condições, então é melhor investir em um bom sistema de antivírus, algum sistema de controle de acesso e terceirizar a infraestrutura, para isso você terá que fazer um levantamento dos ativos para ver a necessidade de investimento em segurança. Nesse caso separar um valor para uma consultoria em Ti irá contribuir para que você consiga levantar esses ativos e encontrar a melhor solução que lhe atenda. Seguindo as normas e padrões é possível ter um resultado eficiente.

Falamos um pouco sobre ameaça e assim como a vulnerabilidade as ameaças também são classificadas.  Classificamos as ameaças em Naturais, físicas e intencionais.

As ameaças naturais se originam de fenômenos naturais, como furacão, enchente, terremotos maremotos, tsunamis, entre outros.

Por exemplo, não ter um para raio ou um aterramento adequado pode trazer vulnerabilidade física, podendo sofrer uma ameaça natural, como um raio cair próximo e danificar os equipamentos, afetando a disponibilidade da informação.

Ameaças involuntárias, a própria palavra diz tudo, são ações que prejudicam os ativos da empresa de forma involuntária sem consentimento ou intenção de quem disparou o evento. Muitas vezes são providas de acidentes, erros, ou falta de consciência do usuário. Lembram, quando falei sobre o problema que tivemos quando um usuário contaminou os equipamentos ao utilizar o seu pendrive. Podemos dizer que aquela ameaça foi do tipo involuntária, pois ele casou um dano desprovido de intenção.

E-mails de propaganda também são perigosos, principalmente os de propaganda enganosa, fazem com que usuários sem muita atenção execute os anexos e contamine o computador.

Ameaças Intencionais, tem por objetivo realizar um ataque com a intenção de obter vantagem, muitas vezes financeira. Mas não quer dizer que somente ataques, sabotagens, fraudes, espionagem e invasões se enquadram nas ameaças intencionais, o vandalismo também faz parte.

As ameaças intencionais são direcionadas principalmente quando falamos de ataques e invasões, podem ser motivadas por concorrência para obter vantagem competitiva, através desses ataques pode se realizar espionagens industriais e corromper a segurança da informação. Funcionários mal intencionados ou desgostosos com o serviço, podem se corromperem e roubar documentos que contenham informações importantes, vendendo para concorrentes, infligindo o pilar da segurança da informação conhecido como Integridade.

Agora que vocês já tiveram uma breve noção do que é vulnerabilidade e ameaça, vamos falar um pouco sobre riscos, para que na próxima matéria possamos falar sobre incidentes e abordar os cinco pilares da segurança da informação.

O Risco possibilita que determinada ameaça possa se concretizar de maneira que comprometa a informação através de uma vulnerabilidade. Apesar de ser parecido com a vulnerabilidade não é a mesma coisa, pois o risco só irá acontecer ou existir se a probabilidade de uma vulnerabilidade for explorada a ponto de impactar na segurança da informação.

Então podemos dizer que o risco é medido pelas possibilidades de um avento acontecer, produzindo perdas e impactando negativamente. Devido as probabilidades o risco foi classificado de acordo com alguns fatores, como o impacto causado pela probabilidade de exploração das vulnerabilidade e o seu grau de importância.

Como temos a combinação desses dois fatores podemos então demonstrar em forma de equação, onde R = risco, P = frequência e C = consequência, logo temos que R = C x P, ou seja risco é igual a consequência vezes a frequência do acontecimento.

Para conseguir ter um resultado é necessário estimar a frequência e dados históricos ou calculados, baseado em possibilidade de eventos externos, falhas de equipamentos, erros humanos e sistema que tem uma possibilidade maior de ocorrência para o risco. Para facilitar e conseguir definir de maneira concisa foi estabelecido uma classificação também baseada nos eventos naturais, involuntários e intencionais.

Os riscos naturais como falado antes são oriundos da natureza, os involuntários a maioria das vezes são ações tomadas por pessoas sem a intenção de prejudicar, mas que de certa forma danifica e prejudica. Já os voluntários são realizados ou tem origem no ser humano com a intenção de causar danos.

Vejam que entender o risco e como ele se dá é necessário para que consiga ter uma definição e classificação, tornando possível e eficiente seu gerenciamento.

É muita informação, mas espero que consigam absorver o máximo, pois se tentar implantar algumas metodologias baseada no conteúdo que abordamos, pode evitar determinados problemas que possam vir acontecer em sua empresa ou comércio.

Um grande abraço.

Já está disponível nossa ultima matéria sobre Segurança da Informação. clique aqui Segurança da Informação parte 4.

Caso você não tenha lido a primeira matéria sobre segurança da informação, clique aqui.

Você sabe o que Gerenciamento de Processos de Negócios? Aproveite e acesse aqui nossa matéria.

Mente cansada, está difícil memorizar aquele trabalho para apresentar? Então leia sobre mapa mental. Você vai arrasar na apresentação.

 

bedo3

Sobre o Autor

Graduado em Análise e Desenvolvimento de Sistemas e Gestão da Tecnologia da Informação. Amante de hardware, dedica-se ao estudo em gerenciamento de tecnologia para soluções em TI.

Deixe uma resposta

Translate »
%d blogueiros gostam disto: