Avaliação e Gerenciamento de Riscos
Parte I: Avaliação de Riscos
Olá, este post faz parte de uma sequência de artigos sobre segurança da informação, resolvi fazê-los tanto para ajudar os interessados no tema como para fixar alguns pontos na minha cabeça, além é claro, de poder deixar como consulta em algum lugar no blog. Antes de mais nada, eu não sou o dono da verdade, então muita coisa escrita aqui pode ser feita de formas diferentes para se atingir objetivos diferentes, aqui eu mostro coisas que eu aplico no meu dia ou que já apliquei em empresas anteriores;
Conheces teu inimigo e conhece-te a ti mesmo; se tiveres cem combates a travar, cem vezes serás vitorioso. Se ignoras teu inimigo e conheces a ti mesmo, tuas chances de perder e de ganhar serão idênticas. Se ignoras ao mesmo tempo teu inimigo e a ti mesmo, só contarás teus combates por tuas derrotas. - Sun Tzu.
O nosso primeiro tema será avaliação e gerenciamento de riscos, um tema base para a disciplina de segurança da informação; Você pode estar lendo sobre isso pela primeira vez mas saiba que as grandes empresas do Brasil e do mundo utilizam esta prática já há bastante tempo; com base nesse contexto veremos como classificar o risco, para isso a primeira coisa que devemos definir é o significado do risco.
Um dos padrões e documentos mais referenciados e utilizados em segurança da informação e principalmente nesta disciplina de avaliação de riscos é o NIST 800-30 [1] que é considerado um MUST READ.
Então, o que é risco?
Risco, em segurança da informação, se trata de toda a ameaça em que uma organização esteja ou possa estar envolvida, todo o evento que se concretizado cause problemas ao negócio, imagem ou funcionamento da empresa; Como analista de segurança da informação um dos principais trabalhos que você tem que desenvolver é identificar que ameaças podem atingir uma organização e quais medidas você deve tomar em caso de acontecimento de um evento.
O risco pode ser divido entre muitas formas:
- Físicos: Servidores expostos fisicamente para funcionários,
- Lógicos: Uma porta aberta em um servidor, uma rede mal segmentada,
- Naturais: Enchente, furacão, raios,
- Imprevisíveis: No-break quebrado, queda de energia municipal;
Enfim, quase qualquer coisa que afete o funcionamento do seu negócio; acho que este é o ponto principal, para que sua empresa dê lucro ou desempenhe sua atividade de forma eficiente ela deve se livrar dos riscos.
Implementação
Segundo Vaughan [2], os passos que devem ser seguidos para que possa existir um bom plano para avaliação e gerenciamento de riscos são:
- Determinar quais os principais objetivos a se atingir;
- Identificar os riscos aos quais a organização está exposta;
- Avaliar estes riscos de forma criteriosa;
- Considerar as alternativas e selecionar dispositivos para o tratamento dos riscos;
- Implementar as decisões tomadas;
- Avaliar e revisar o processo continuamente;
Identificar quais os riscos que a sua organização está exposta não é uma tarefa fácil, exige disciplina e discernimento mas também muitas horas de conversas com os principais envolvidos no funcionamento da empresa, isso quase sempre (note o quase) é feito conversando com os gerentes das áreas da empresa;
Dica do Mulato #01
- Marque reuniões com todos os gerentes da empresa;
- Peça para que na opinião deles informem o que deve ser protegido;
- Aceite informações de outras áreas mas peça que se concentrem nas suas; E principalmente, você deve estar atento aos riscos que envolvem o modelo de negócio da empresa e os riscos envolvidos com sua infra-estrutura de negócio.
Dica do Mulato #02
- Estude o segmento da empresa;
- Conheça seus concorrentes e procure entender os riscos do negócio;
- Procure conhecer o máximo possível a infra estrutura da empresa;
Classificação do Risco
Uma das formas mais eficientes e recomendadas para se avaliar os riscos depois de listá-los é fornecer os pesos corretos para cada risco em forma de severidade (impacto que o evento causará na empresa caso aconteça) e a probabilidade de o evento acontecer, neste caso faremos isso desta forma:
Severidade (para o negócio)
- 1-2: Pouquíssima severidade;
- 3-4: Impacto baixo para empresa;
- 5-6: Impacto moderado;
- 7-8: Sérios problemas caso ocorra;
- 9-10: Desastroso para empresa;
Chance/Probabilidade de acontecer
- 2: Risco baixo;
- 5: Risco médio;
- 10: Risco alto;
Para calcular o risco geral simplesmente multiplicamos os dois valores:
-> Risco Geral (Total) = Severidade X Probabilidade/Chance
E é gerado um valor quantitativo até 100 informando o risco geral do evento. Esta é a tabela que utilizo mas você pode modificar para qualquer outro tipo de qualificação: quantitativa ou qualitativa, desde que no final os riscos sejam expostos e as decisões possam ser tomadas de forma mais eficiente e com foco na sua importância e ocorrência;
A partir deste momento já é possível preparar a nossa primeira tabela de apoio a decisões! Para servir de exemplo, suponha que a empresa que estamos analisando é uma startup de desenvolvimento web com escritório físico onde trabalham 5 funcionários e existem 2 servidores DELL onde um é ativo e o outro fica de contingência com poucos serviços, a empresa fica localizada dentro de uma casa em um bairro bem seguro mas onde já houve antes registros de enchentes em sua área, e toda sua infra-estrutura esta localizada fisicamente na casa, no entanto eles possuem uma cópia de backups diários e assets importantes da empresa em um servidor dedicado na internet;
Digamos que após conversar com o dono da empresa e o responsável técnico da equipe de funcionários eles levantaram pra gente que os principais riscos que eles consideram são:
- “Não temos muita orientação em segurança no processo de desenvolvimento”,
- “As vezes recebemos clientes que acessam a rede privada da empresa”,
- “Não temos uma política muito bem definida de backup, mandamos pra nuvem”,
- “As vezes temos queda de energia municipal e duramos pouco tempo sem energia”,
- “Não temos fornecedores de confiança, não temos segurança física”
Após uma análise inicial decidimos identificar os 10 principais riscos:
| Risco / Descrição | Chance | Impacto | Total |
|---|---|---|---|
| Enchente que pode danificar equipamentos | Baixa | 7 | 14 |
| Invasão ao local físico, furto | Baixa | 8 | 16 |
| Ausência de Suporte/Fornecedor de Equipamentos de Hardware (Servidor, Máquinas, Equip. de Rede) * | Média | 5 | 25 |
| Acesso indevido a rede privada empresa * | Média | 6 | 30 |
| Invasão Local (Física) ao Servidor da Empresa (Cliente / Funcionário mal intencionado / Estranho) * | Média | 7 | 35 |
| Problemas/Perda de Backups da Empresa | Média | 8 | 40 |
| Queda de energia municipal/ausência de no-break | Média | 8 | 40 |
| Ausência de treinamento e medidas de segurança voltadas ao desenvolvimento WEB | Média | 9 | 45 |
| Ataques a páginas hospedadas no servidor (CSRF, SQL/Param Injection, Session Hijacking, etc) | Alta | 7 | 70 |
| Invasão ao servidor principal com acesso administrativo | Alta | 9 | 90 |
Veremos que essa tabela irá crescer no próximo artigo quando falarmos em como gerenciar estes riscos e como aplicar os controles adequados, ira notar-se também que alguns itens irão receber resposta imediata afim de reduzir a sua chance ou o seu impacto (*);
Cálculo do Risco
Um dos conceitos mais importantes que um analista de segurança da informação deve compreender e difundir entre os principais interessados é o cálculo do risco, para isso foram definidos três variáveis que te ajudam a chegar ao custo do risco para uma empresa, são elas:
- ARO (Annualized Rate of Ocurrence/Possibilidade de Ocorrência no Ano), percentagem da possibilidade ocorrência do evento em um ano;
- ALE (Annual Loss Expectancy/Expectativa de Perda Anual), expectativa de perda anual em valores monetários de um evento/risco específico;
- SLE (Single Loss Expectancy/Expecativa de Perda Única), valores em moeda que representam o custo total caso um evento aconteça; Este valor pode ser subdivido entre dois itens:
- AV (Asset Value/Valor do Ativo)
- EF (Exposure Factor/Fator de Exposição)
O que nos leva as seguintes fórmulas:
-> AV x EF = SLE
-> SLE x ARO = ALE
Exemplo #01:
Suponha que a página que mais dá dinheiro a essa empresa rende foi avaliada em R$ 26.000,00 e após a reunião em conjunto com os envolvidos foi descoberto que o site já passou por um processo de auditoria de segurança e que está bem padronizado há alguns anos, então foi definido um fato de exposição (EF) de 25%, então nosso SLE aqui é R$ 26.000,00 x 0.25 = R$ 6.500,00
Exemplo #02:
Digamos que o servidor físico que hospeda as páginas web rende por hora R$ 200,00 em horários de pico a empresa, a probabilidade de acontecer uma falha no hardware neste ano é de 20% ou 1 em 5, caso ocorra a falha será necessário a compra de mais um equipamento de contingência no valor de R$ 6.000, mais o tempo de manutenção necessário para voltar ao ar sem problemas, que da ultima vez foi estimado em 4 horas;
Neste exemplo o ARO é 0.20 e o SLE é R$ 6.800,00 (R$ 200 x 4 horas + R$6.000 servidor), então usando a fórmula acima qual é o ALE (Expectativa de Perda Anual)? O ALE é R$ 1.360,00.
Então, é isso! Nós vimos aqui a primeira parte do post Avaliação e Gerenciamento de Riscos, com o conhecimento daqui: classificação e cálculo do risco, conseguiremos a informação necessária para gerenciar os riscos afim de mitigá-los ou extinguí-los quando possível, de forma organizada e orientada a um processo;
Referências
- [1] NIST 800-30 - Risk Management Guide for Information Technology Systems
- [2] Fundamentals of Risk and Insurance, Vaughan and Vaughan