A08Medindo os Riscos para Analisar a Vulnerabilidade

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

08/10/12 Medindo os Riscos para Analisar a Vulnerabilidade
1/2networkexperts.com.br/index.php/…/21-medindo-os-riscos-para-analisar-a-vulnerabilidade.html
Main Menu
Início
Notícias
Tutoriais
Downloads
Curso de Redes
Nós temos 8 visitantes online
Medindo os Riscos para Analisar a Vulnerabilidade
Escrito por Juliano Pereira 
Ter, 01 de Abril de 2008 17:26
Devido ao contínuo aumento da
diversidade das ameaças enfrentadas
pelas áreas de TI, os profissionais de
segurança ficam cada vez mais
sobrecarregados. Todo alerta sobre
uma nova vulnerabilidade de software
ou uma nova onda de programas mal-
intencionados pode envolver o pessoal
de TI em uma batalha para implementar
uma correção o mais rápido possível. O
resultado pode ser uma ação frenética
de reação aos acontecimentos,
consumindo tempo e energia, mas nem
sempre significando o máximo de
proteção para os negócios.
Em vez disso, as equipes de segurança devem desenvolver estratégias inteligentes de
gerenciamento de riscos para que seus recursos limitados sejam concentrados nas maiores
ameaças aos seus negócios.
“Nenhuma empresa tem dinheiro e pessoal suficiente para eliminar completamente todos os
possíveis riscos relacionados à TI”, explica George Kurtz, vice-presidente sênior de
Gerenciamento de Riscos da McAfee. “Portanto, você precisa ser capaz de quantificar os riscos
enfrentados e priorizar adequadamente seus investimentos em segurança.”
Para quantificar os riscos e priorizar as ações corretivas, Kurtz, que ingressou direção executiva
da McAfee, após deixar a recém-adquirida Foundstone, propõe um modelo no qual os riscos
são medidos pela observação de três fatores: valor dos ativos, vulnerabilidade dos ativos e
ameaças reais.
Valor dos Ativos: Um servidor que processa milhares de dólares em transações a cada minuto
é certamente um ativo mais crítico que o desktop de um representante de atendimento ao
cliente. Portanto, uma estratégia inteligente de redução de riscos exige uma idéia clara do valor
que representam os vários tipos de ativos de TI em toda a empresa para os negócios.
Vulnerabilidade dos Ativos: Além de ter valores diferentes para os negócios, os ativos de TI
têm níveis diferentes de vulnerabilidade inerente. Um sistema que gera páginas públicas da Web
é mais vulnerável que um servidor sem qualquer contato com a Internet. E um switch trancado
em um armário de conexões fica menos exposto que um laptop a milhares de quilômetros do
perímetro de segurança da empresa.
Ameaças Reais: Finalmente, as equipes de segurança precisam ver com clareza as ameaças
reais às quais um determinado recurso está exposto. Um número maior de exploits é
direcionado aos sistemas operacionais mais difundidos no mercado, por exemplo, que a sistemas
legados. Portanto, embora os aplicativos executados nesses sistemas mais antigos possam ter
mais valor para a empresa, eles também são alvos de menos ameaças e, assim, podem
representar um risco menos substancial para a empresa que os aplicativos executados no
Microsoft® Windows® ou no Linux™.
Analisando esses três atributos, as equipes de segurança podem compreender exatamente onde
estão os maiores riscos aos negócios e priorizar proporcionalmente suas atividades de redução
de riscos.
http://www.mcafee.com/common/media/images/content/security_insights/measuring_risk.gif
Os riscos podem ser calculados levando-se em conta o valor do ativo para os negócios,
sua vulnerabilidade inerente e a intensidade das ameaças que ele realmente enfrenta.
Estratégias de Gerenciamento de Riscos
Além de entender os níveis de risco específicos, as equipes de segurança podem melhorar
consideravelmente sua eficiência, ampliando sua perspectiva de como os riscos da TI podem ser
tratados. Kurtz destaca quatro estratégias possíveis de gerenciamento de riscos: mitigação de
Pesquisa
pesquisar...
Patrocínio
Estatísticas
Membros : 523
Conteúdo : 44
Notícias
Network World on Routers and
Switches
IT Web » Page not found
RSA: Segurança
de Dados
Combata ameaças
à informação com
RSA. Relatório
grátis de RSA.
emc.com/Advanced-…
Gestão De
Risco E Perigo
APP, FMEA,
HAZOP, AAF,
What If Curso
Online Com
Certificado
www.ComExito.com.br
Curso de
Gestão de
Riscos
e Auditoria
Baseada em
Riscos. Com
Norma ISO
31000:2009.
Pioneiro.
www.QSP.org.br
Gestão de
Fornecedores
Bancodoc Gestão
de Informações e
Documentos
www.bancodoc.com.br
Gestão de Ativos
Gestão de ativos com confiabilidade Veja soluções da ReliaSoft
www.reliasoft.com.br
08/10/12 Medindo os Riscos para Analisar a Vulnerabilidade
2/2networkexperts.com.br/index.php/…/21-medindo-os-riscos-para-analisar-a-vulnerabilidade.html
StumbleUpon
Share
tratados. Kurtz destaca quatro estratégias possíveis de gerenciamento de riscos: mitigação de
riscos, aceitação de riscos, transferência de riscos e contenção de riscos.
Mitigação de Riscos: Esta é a reação a riscos normalmente lembrada em primeiro lugar. Ela
contém todas as contramedidas tomadas pelas equipes de segurança contra as ameaças,
inclusive firewalls, detecção de invasões e antivírus.
Aceitação de Riscos: Se o custo de eliminação de um risco for maior que o risco em si, ou se a
eliminação dele desviar recursos de um risco muito mais grave, a providência racional poderá ser
simplesmente aceitar o risco.
Transferência de Riscos: Em alguns casos é mais prudente transferir o risco a terceiros, como
uma seguradora, que alocar recursos limitados para iniciativas de mitigação que provavelmente
farão pouca ou nenhuma diferença.
Contenção de Riscos: Haverá casos em que o nível de risco e o custo de eliminá-lo
simplesmente não pode ser tolerado. Nesses casos é melhor evitar totalmente o risco, seja
retirando o sistema em questão, ou, antes disso, deixando de instalá-lo.
“Se você acha que precisa mitigar todos os riscos que encontrar, seus recursos acabarão antes
que você elimine suas vulnerabilidades”, afirma Kurtz. “Você precisa usar uma combinação de
estratégias de acordo com a natureza do seu ambiente de TI e com o seu orçamento de
segurança.”
As equipes de segurança podem aumentar ainda mais a sua eficiência, automatizando o máximo
possível o processo de gerenciamento de riscos, desde a detecção dos recursos e a avaliação
do risco relacionado a esses recursos, até a constatação de que os procedimentos de resolução
foram corretamente executados e atingiram os objetivos pretendidos.
Segundo a empresa de pesquisas Gartner, as empresas que implementarem processos e
tecnologias apropriados de gerenciamento de riscos para detectar, priorizar e eliminar
vulnerabilidades reduzirão em 90% as chances de sofrerem um ataque bem-sucedido.
“O maior mito que existe por aí é que você fica seguro simplesmente utilizando um firewall”,
declarou Kurtz. “A realidade é que o seu nível de segurança depende do seu nível de
compreensão e gerenciamento dos riscos em todas as suas formas e, também, de como você
aplica seus recursos, por vezes limitados, os quais deverão proporcionar maior benefício.”
Desde a redação deste artigo, a McAfee introduziu novos produtos com recursos semelhantes.
Consulte http://www.mcafee.com na seção de produtos para obter mais informações.
Este documento foi retirado do site da McAfee e são informações públicas da mesma.
 
Informações e contato info_at_asteriskguide.com 
ShareShare