Através da Gestão de Riscos podemos gerenciar e administrar os tudo o que diz respeito a riscos na instituição.

O negocio da empresa é o foco da Gestão de Risco, o documento deve estar totalmente alinhado com o negocio.

Conceitos importantes:

Riscos:

    Combinação de probabilidade da ocorrência de um evento com o seu respectivo impacto sobre um ativo.

Evento:

    É quando há uma relação entre uma ameaça, vulnerabilidades e impacto (danos).

    Ex: Atacante consegue acesso privilegiado a sistema web devido a falha de filtragem de dados no formulário de login.

Escopo:

    Parte mais sensível de um projeto. A escolha do escopo correto pode fazer toda a diferença no sucesso da gestão de riscos.

    Como mencionado anterior mente a Gestão de Riscos visa o negocio, proteger o que gera o lucro da empresa, porém a escolha do escopo não precisa ser necessariamente um processo. Algumas classificações de escopo:

• Processo de negócio
• Localidade Física     
• Por Ativo
• Mista

Identificando riscos:

    A técnica usada durante o semestre para levantar riscos foi de identificar:

• Ativos
• Vulnerabilidades
• Ameaças
• Danos

Identificar impactos:

    Pode ser feito de modo qualitativo ou quantitativo.

Análise de riscos:

    Trabalhar com as informações levantadas para estimar os riscos.

    Para cada item do CID estimar probabilidade, impacto e valor do risco.

Para calcular probabilidade e impacto deve ser levado em consideração o histórico da instituição.

Avaliação dos riscos:

    Deve ser pré-definido qual será o nível de aceitação que empresa usará para tratar os riscos.

Tratamento dos riscos:

    Baseado nos critérios definidos pela empresa deve ser implementado os controles para modificar cada risco encontrado.

Vulnerabilidades:

    Segundo a ISO27002 é uma fragilidade que atinge um ativo ou grupos de ativos.

– Tipos de vulnerabilidades

• Físicas
• Naturais
• Hardware e software
• Comunicação
• Humanas

Ameaças:

    Causa potencial de um incidente indesejado, que pode resultar em dono para um sistema ou organização.

- Tipos de ameaças:

• Ameaças naturais
• Intencionais
• Involuntárias

Incidentes:

    Evento em que uma vulnerabilidade é explorada por uma ameaça ferindo a CID

Controles:

    Mecanismo usado para proteger os ativos. Podem impedir, reduzir a quantidade de vulnerabilidades ou minimizar os impactos.

Segurança da informação (SI):

    Pela definição literal da ISO27002: É a proteção da informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócios.

A SI é composta pelas propriedades da famosa tríade CID:

- Confidencialidade:

    Garante que as informações serão acessadas somente por quem realmente deve acessar.

- Integridade:

    Diz que a informação deve permanecer conforme era inicialmente, sem ser corrompida.

- Disponibilidade:

    Garante que a informação está acessível no momento que deve estar.

Ativos:

    Define-se como qualquer informação que tenha valor para a organização.

- Classificação de ativos quanto a sua natureza:

• Informação
• Documentos em papel
• Software
• Físico
• Pessoa
• Serviço ou atividade

Continua…

Por motivos acadêmicos estarei disponibilizando,  durante os próximos dias  uma serie de artigos sobre Segurança da informação.

Os assuntos serão norteados pelo conteúdo da cadeira de segurança da informação ministrada pelo professor Leonardo Lemes na Unisinos – RS Curso de Segurança da Informação.

Abaixo a lista de assuntos que serão abordados. Se alguém quiser contribuir será muito bem vindo.

• Conceitos Gerais
• Gestão de riscos
• Politica de segurança
• Legislação e normas
• Política de Classificação da Informação
• Organização da Segurança da Informação
• SGSI
• Métricas em Segurança da Informação
• Ética e Segurança da Informação

Boa leitura.

Tenho me atualizado um pouco nesse assunto que pode ser uma dor de cabeça para os novatos.

Queria indicar alguns links legais que fazem a diferença no mundo CSS.  Boa diversão!!!

Serão ministrados cursos para linguagens especificas mas também relacionados ao ciclo de desenvolvimento a testes de segurança.

Segue o link com mais informações: Mais Informações

Snort? Sim, snort.

A maioria das pessoas que trabalham com redes baseadas em Linux já ouviu falar ou já trabalhou com o Snort, pois bem, segue aí um link para um trabalho que alguns colegas e eu fizemos sobre Assinaturas no Snort.

Fica muito claro o quanto é importante o conhecimento de quem administra um IDS ao analisarmos os números deste artigo. Mudanças mínimas e grandes efeitos.

Agradecimento especial a Fernado e Vagner. Valeu pessoal.

Artigo: Assinaturas no Snort

Bom, como está visível este é um espaço para falar de segurança e web, ou os dois juntos. Pra iniciar segue a dica da melhor fonte de estudos on-line que eu encontrei: O projeto OWASP .

Com muita informação e com um conteúdo bem completo esse é o melhor projeto de segurança de sistemas web do planeta. Bom proveito.