Analise De Risco
Monografias: Analise De Risco. Pesquise 862.000+ trabalhos acadêmicosPor: herreraweb • 13/10/2013 • 1.752 Palavras (8 Páginas) • 583 Visualizações
GESTÃO DE SEGURANÇA
DA INFORMAÇÃO
GESTÃO DE RISCOS EM SISTEMA DE INFORMAÇÃO
Pós-Graduação Lato Sensu
Análise de Risco Qualitativa e Quantitativa
Patrick Tracanelli
Prof. Temponi
Universidade FUMEC
2009
Pós-Graduação Lato Sensu - Gestão de Segurança da Informação – Universidade FUMEC – GRSI pg 1/10
1 Breve descrição da Organização:
1.1 FreeBSD Brasil LTDA:
Empresa no mercado desde 2002, atua com foco em sistemas Open Source (Software Livre) nas
áreas de consultoria, treinamento e suporte em infra-estrutura de tecnologia, e, com foco em
ambiente heterogêneo, atua em soluções de interoperabilidade, análise de risco, análise, auditoria e
consultoria em soluções de segurança da informação.
Classificação de Informações da Área de Consultoria
Informação Processo Gestor Classificação
Confidencialidade Integridade Disponibilidade
1 - Diagnóstico de
problema de
trânsito BGP
1.3 - Quando do
trânsito upstream
em política de
engenharia de
tráfego BGP.
SUPERVISOR DE
TELE E
NETWORKING
Confidencial Validada Vital
2 – Manutenção
de Réplica de
Banco de Dados
2.8 - Quanto da
promoção em
falso do banco
SPARE com
Slony-I (PgSQL)
DBA Privado Homologada Crítica
3 – Implantação
Cluster Correio
Eletrônico
Integrado LDAP
3.3 - Quanto a
modelagem dos
esquemas LDAP
e padronização de
Atributos X500
DEVEL PLENO
APPLIANCE +
SUPERVISOR
IMPLANTAÇÃO
Confidencial Homologada Crítica
4 – Penetration
Test metodologia
mixta (NIST +
OWASP +
OSSTM)
4.9 - Quando da
elaboração do
mapa de risco e
report por item de
escopo.
SECURITY
OFFICER
Privado Normal Normal
5 – Informativo
eletrônico curso
de capacitação
5.1 Quando da
elaboração do
anúncio formal
MARKETING Publico Validada Normal
Pós-Graduação Lato Sensu - Gestão de Segurança da Informação – Universidade FUMEC – GRSI pg 2/10
2 Análise de Risco Qualitativo:
Com base na literatura apresentada, a ameaça (valor numérico) é aplicada como severidade (ameaça
fica para identificar/descrever a ameaça avaliada). O risco resultante utiliza a fórmula apresentada.
2.1 Tabela Qualitativa de Riscos:
Na tabela de valores qualitativos de risco, os valores aplicados são baseados em cenários. A
metodologia de cenário é própria da FreeBSD Brasil LTDA e pode ser apresentada resumidamente
como:
A informação é valorada com base na sua representatividade na obtenção de receita. A classificação
de sua relevância é apresentada como impacto. A informação (também pode ser nomeada como
processo de negócio) é dividida em processos (ou subprocessos de negócio); estes são por sua vez
classificados quanto a sua ausência/ineficiência como (4) impeditivos, (3) dificultadores, (2)
relevantes, (1) indiferentes.
As demais definições seguem o entendimento metodológico mencionado posteriormente.
Tabela Qualitativa de Riscos – Área de Consultoria – R = S * ( V * I ) / C
Processo Ameaça Severidade Vulnerabilidade Impacto Controle Risco
1.3 A) Information Leak 3 3 2 2 9
1.3 B) Inconsistência 2 2 2 2 4
1.3 C) Ineficaz 3 2 3 4 4.5
2.8 D) Information Leak 2 3 2 2 6
2.8 E) Datado/Não atualizados 3 3 3 2 13,5
2.8 F) Não funcional/Descontinuado 4 1 4 1 16
3.3 G) Information Leak 2 2 2 2 4
3.3 H) Datado/Não atualizados 3 2 3 4 4.5
3.3 I) Não funcional/Descontinuado 4 1 4 4 4
4.9
...