Analise De Risco

GESTÃO DE SEGURANÇA

DA INFORMAÇÃO

GESTÃO DE RISCOS EM SISTEMA DE INFORMAÇÃO

Pós-Graduação Lato Sensu

Análise de Risco Qualitativa e Quantitativa

Patrick Tracanelli

Prof. Temponi

Universidade FUMEC

2009

Pós-Graduação Lato Sensu - Gestão de Segurança da Informação – Universidade FUMEC – GRSI pg 1/10

1 Breve descrição da Organização:

1.1 FreeBSD Brasil LTDA:

Empresa no mercado desde 2002, atua com foco em sistemas Open Source (Software Livre) nas

áreas de consultoria, treinamento e suporte em infra-estrutura de tecnologia, e, com foco em

ambiente heterogêneo, atua em soluções de interoperabilidade, análise de risco, análise, auditoria e

consultoria em soluções de segurança da informação.

Classificação de Informações da Área de Consultoria

Informação Processo Gestor Classificação

Confidencialidade Integridade Disponibilidade

1 - Diagnóstico de

problema de

trânsito BGP

1.3 - Quando do

trânsito upstream

em política de

engenharia de

tráfego BGP.

SUPERVISOR DE

TELE E

NETWORKING

Confidencial Validada Vital

2 – Manutenção

de Réplica de

Banco de Dados

2.8 - Quanto da

promoção em

falso do banco

SPARE com

Slony-I (PgSQL)

DBA Privado Homologada Crítica

3 – Implantação

Cluster Correio

Eletrônico

Integrado LDAP

3.3 - Quanto a

modelagem dos

esquemas LDAP

e padronização de

Atributos X500

DEVEL PLENO

APPLIANCE +

SUPERVISOR

IMPLANTAÇÃO

Confidencial Homologada Crítica

4 – Penetration

Test metodologia

mixta (NIST +

OWASP +

OSSTM)

4.9 - Quando da

elaboração do

mapa de risco e

report por item de

escopo.

SECURITY

OFFICER

Privado Normal Normal

5 – Informativo

eletrônico curso

de capacitação

5.1 Quando da

elaboração do

anúncio formal

MARKETING Publico Validada Normal

Pós-Graduação Lato Sensu - Gestão de Segurança da Informação – Universidade FUMEC – GRSI pg 2/10

2 Análise de Risco Qualitativo:

Com base na literatura apresentada, a ameaça (valor numérico) é aplicada como severidade (ameaça

fica para identificar/descrever a ameaça avaliada). O risco resultante utiliza a fórmula apresentada.

2.1 Tabela Qualitativa de Riscos:

Na tabela de valores qualitativos de risco, os valores aplicados são baseados em cenários. A

metodologia de cenário é própria da FreeBSD Brasil LTDA e pode ser apresentada resumidamente

como:

A informação é valorada com base na sua representatividade na obtenção de receita. A classificação

de sua relevância é apresentada como impacto. A informação (também pode ser nomeada como

processo de negócio) é dividida em processos (ou subprocessos de negócio); estes são por sua vez

classificados quanto a sua ausência/ineficiência como (4) impeditivos, (3) dificultadores, (2)

relevantes, (1) indiferentes.

As demais definições seguem o entendimento metodológico mencionado posteriormente.

Tabela Qualitativa de Riscos – Área de Consultoria – R = S * ( V * I ) / C

Processo Ameaça Severidade Vulnerabilidade Impacto Controle Risco

1.3 A) Information Leak 3 3 2 2 9

1.3 B) Inconsistência 2 2 2 2 4

1.3 C) Ineficaz 3 2 3 4 4.5

2.8 D) Information Leak 2 3 2 2 6

2.8 E) Datado/Não atualizados 3 3 3 2 13,5

2.8 F) Não funcional/Descontinuado 4 1 4 1 16

3.3 G) Information Leak 2 2 2 2 4

3.3 H) Datado/Não atualizados 3 2 3 4 4.5

3.3 I) Não funcional/Descontinuado 4 1 4 4 4

4.9

...