19. Anexo B - Validade dos recursos

A validade dos recursos em uma organização é um passo essencial em todas as análises de risco. Para executar a validade dos recursos em uma organização, primeiro devem-se identificar os recursos. O dono do recurso que deve ser responsável por determinar o seu valor.

O próximo passo é fazer uma escala de importância e atribuir níveis de acordo com a importância de cada recurso. Essa escala pode ser quantitativa ou qualitativa, a decisão de qual escala utilizar é um problema em muitas organizações.

O critério básico para atribuição de valores para cada recurso deve ser escrito em termos não ambíguos. Possíveis critérios para determinar o valor do recurso podem ser, seu custo de compra, custo de substituição, ou custo de recriação, ou pode ser um valor abstrato como, por exemplo a reputação da companhia.

Outra base para validação dos recursos é o custo devido a perda de confidencialidade, integridade ou disponibilidade como resultado de um incidente.

Muitos recursos podem ter vários valores atribuídos durante a validação. Esses recursos podem ser pelo trabalho gasto para desenvolvê-los bem como o valor que tem se cair nas mãos de um concorrente como por exemplo, um plano de negócios de uma organização. O processo de validação deve levar em consideração todos esses aspectos.

Finalmente, todas as validações de recursos devem ser reduzidas para bases comuns. Seguindo alguns critérios que deve levar em consideração danos resultantes da perda de confidencialidade, integridade ou indisponibilidade como: violação de legislação ou regulamentações, redução da performance dos negócios, ruptura de informações pessoais, riscos de segurança pessoal, ruptura de confidencialidade comercial, ruptura de ordem publica, perdas financeiras, rompimento das atividades de negócio e riscos na segurança do ambiente. Estes são alguns exemplos de critérios que devem ser considerados na validação dos recursos, cada organização, deve adequar seus critérios com a sua realidade.

Depois de estabelecer os critérios, a organização deve colocá-los em uma escala. O primeiro passo é decidir o número de níveis a ser usado. Não existe uma regra para o número de níveis, cada organização deve escolher de acordo com suas características. Normalmente o número de níveis fica entre 3 (ex. baixo, médio e alto) e 10.

Os níveis de valores podem ser atribuídos de acordo com critérios selecionados por exemplo, possível perda financeira, pode ser medida em valores, mas considerando a segurança pessoal, um medida financeira não será apropriada. Os níveis variam de acordo com a realidade de cada organização, pois um valor que pode ser insignificante para uma grande organização pode ser desastroso para uma pequena organização.

20. Anexo D - Exemplos de vulnerabilidades

A seguir estão listadas as principais vulnerabilidades em várias áreas de segurança:

20.1. Ambiente e Infra-estrutura

Falta de segurança no prédio, portas e janelas; falta de controle de acesso; energia instável.

20.2. Hardware

Susceptibilidade a poeira, umidade, sujeira; susceptibilidade a variações de temperatura; manutenção insuficiente; sensibilidade à radiação eletromagnética.

20.3. Software

Especificação incorreta e/ou confusa para os desenvolvedores; testes insuficientes; interface complicada; senhas de acesso não protegidas; download e uso sem controle; falta de documentação; falta de backup.

20.4. Comunicações

Linhas desprotegidas; falta de identificação e autenticação do receptor e transmissor; falta de comprovação de que uma mensagem foi enviada; transmissão de senhas de acesso de forma clara.

20.5. Documentos

Estocagem desprotegida; processo de cópia sem controle.

20.6. Funcionários

Trabalho de terceiros ou limpeza sem supervisão; insuficiente treinamento de segurança; uso incorreto de hardwares e softwares; falta de mecanismos de monitoramento; falta de uma política de uso de ferramentas de comunicação; procedimentos de seleção incorretos.

21. Anexo E - Método de análise de tipo de riscos

A análise de riscos tem os seguintes estágios:

• Identificação dos bens e seus valores;
• Avaliação das ameaças;
• Avaliação das vulnerabilidades;
• Avaliação das medidas de segurança existentes ou planejadas;
• Avaliação dos riscos.

A avaliação dos riscos, é uma combinação dos impactos causados por incidentes e o nível das ameaças e vulnerabilidades levantadas. Os riscos são em função dos:

• valores dos bens;
• as ameaças;
• a facilidade de exploração das vulnerabilidades pelas ameaças;
• as medidas de segurança, que podem reduzir as vulnerabilidades.

O objetivo da análise de risco é identificar os riscos aos quais os sistemas estão expostos, a fim de selecionar as mais apropriadas medidas de segurança. Para avaliar os riscos diversos aspectos devem ser considerados, incluindo o impacto e a freqüência com que eles ocorrem.

O impacto pode ser avaliado de modo quantitativo ou qualitativo, ou até mesmo de uma combinação de ambos. Para avaliar a freqüência com que o risco ocorre, deve ser estabelecido um período de tempo durante o qual os bens necessitam estar protegidos. A probabilidade de uma ameaça ocorrer é afetada pelos seguintes itens:

• A atratividade do bem;
• A facilidade de conversão do bem em recompensa;
• As capacidades técnicas do agente ameaçador;
• A freqüência da ameaça;
• A susceptibilidade da vulnerabilidade às ameaças.

Muitos métodos fazem uso de tabelas e combinam medidas subjetivas e empíricas. Atualmente não existe um método correto ou errado, as empresas devem utilizar o método que seja mais cômodo e que garantem mais resultados perante às suas necessidades. Um exemplo de técnicas com tabelas está apresentado na tabela1.

Nos métodos de análise de risco deste tipo, os bens são avaliados em valores reais ou estimados em termos de custos de substituição e/ou reconstrução. Estes custos são então convertidos para uma escala qualitativa. Softwares são avaliados da mesma maneira que bens físicos, tendo inclusive seus valores intrínsecos avaliados, como confidencialidade ou integridade do código-fonte.

As avaliações dos dados são obtidas entrevistando-se o pessoal que pode falar com autoridade sobre os dados em questão, determinando-se assim os valores e a sensibilidade dos dados. A avaliação é feita levando-se em consideração algumas regras como, por exemplo: segurança das pessoas, informação das pessoas, obrigações legais, leis, interesses comerciais e econômicos, política de negócios e operações, entre outros.

Estas regras facilitam a identificação dos valores em uma escala numérica (de 1 a 4), como mostrado na figura. O próximo passo é então a avaliação das ameaças e das vulnerabilidades, em ALTA, MÉDIA, BAIXA, que é geralmente feita através de questionários feitos aos funcionários técnicos, pessoal, inspeções nos locais e revisões de documentação. Feito isso, pode-se medir o risco aplicando a tabela mostrada acima.

Para cada bem, as vulnerabilidades relevantes e suas correspondentes ameaças são consideradas. Se existe uma vulnerabilidade sem ameaça, ou ameaça sem vulnerabilidade, então não há risco algum.

O tamanho da tabela, em termos de números de severidade de ameaças, vulnerabilidades ou valor dos bens, pode ser ajustado para atender às necessidades da empresa.