Metodologias de análise de risco
De acordo com o citado popular axioma, a análise de risco reveste-se de uma importância fundamental para a protecção de um sistema ou recurso.
O processo de análise de risco é entendido pela norma ISO 27001 (anterior BS 7799, pedra angular da Segurança da Informação) como um itinerário com 3 etapas: análise, avaliação e tratamento do risco.
Na primeira fase - análise de risco – estão incluídas as tarefas de identificação dos riscos e análise da sua probabilidade e dos eventuais efeitos que possam ter. O resultado final desta fase é o cálculo do grau de perigosidade do risco para a organização, o qual é geralmente apresentado através da atribuição de uma classificação a cada risco, por exemplo Baixo, Médio ou Alto Risco.
Posteriormente, o risco é avaliado (segunda fase) e, caso se considere não aceitável, deverá ser mitigado (que consiste no tratamento do risco).
II - Requisitos da análise dos riscos
A ISO 27001 não estabelece os procedimentos operacionais da análise de risco (ao contrário, por exemplo, do OCTAVE), limita-se a definir os requisitos gerais que a metodologia deve obedecer.
Estes requisitos são de grosso modo:
1- A metodologia deve ser aplicada sistematicamente (isto é usada para todos os risco).
2- Identificar as ameaças, vulnerabilidades e consequências (impactos) de cada risco.
3- Calcular o grau de perigosidade do risco com base na probabilidade e no impacto.
4- Classificar os riscos de acordo com este cálculo usando uma escala diferenciadora.
III - Metodologias de análise de risco
Várias metodologias cumprem estes 4 preceitos. De seguida, apresenta-se um conjunto de metodologias neste âmbito.
Site da ISO (não disponível para download gratuito)
Operationally Critical Threat, Asset, and Vulnerability Evaluation
Desenvolvido por Christopher Alberts e Audrey Dorofee do Software Engineering Institute da Carnegie Mellon University. Este é o mais bem documentado método, com um site muito completo. O OCTAVE preconiza um processo de sessões onde os colaboradores, que trabalham na área analisada da organização, definem os riscos, medidas de protecção e participam em sessões de formação. Para organizações pequenas, com parcos conhecimentos de segurança foi criado o OCTAVE-S. É recomendado para o HIPAA (standard de protecção de dados médicos dos EUA).
OCTAVE Method Implementation Guide (download gratuito)
CORAS
Metodologia de análise de riscos orientada para sistemas, mas de acordo com o processo de gestão de risco do ISO 17799. O CORAS emprega ferramentas de identificação e análise de riscos oriundos da prevenção de acidentes tais como o Hazard and Operability study (HazOp), Fault Tree Analysis (FTA), Failure Mode, Effect and Criticality Analysis (FMECA), Markov analysis e Event Tree Analysis (ETA). Ao longo das suas várias fases, o risco é descrido usando UML. No fundo, o CORAS é um considerável esforço europeu para criar uma metodologia de análise de risco baseada no paradigma da modelação uniformizada. Ou, por outras palavras, pretende identificar, analisar e descrever o risco através de uma linguagem uniforme.
NIST SP 800-30: Risk Management
Documento da metodologia do organismo de standards dos EUA. Mantém os conceitos do SP 800-14 (discutido neste site), tais como a distinção entre entre controlos operacionais, técnicos e de gestão. Constitui uma boa introdução aos conceitos principais da gestão de risco.
Risk Management by NIST (download)
IT Baseline Protection Manual
Metodologia de protecção para sistemas, eventualmente neste campo o melhor do seu género. Inclui riscos típicos para os mais frequentes recursos informáticos, facilitando deste modo a sua aplicação. Cumulativamente, apresenta controlos técnicos muito actuais.
IT Baseline Protection Manual (download)
IV - Conclusão
Em conclusão, os requisitos genéricos da ISO 27001 possibilitam que várias metodologias, distintas entre si, sejam usadas num cenário de implementação desta norma. Entre estas, destacam-se o GMITS, CRAMM, OCTAVE, CORAS NIST 800-30 e IT Baseline Protection Manual.
O GMITS teve uma grande influência em metodologias reais usadas para a gestão de risco em organizações certificadas em termos de gestão de Segurança da Informação.
O CRAMM é uma ferramenta informática que aplica a metodologia da Insight de análise de riscos, sendo um suporte frequente da gestão de risco em organizações certificadas.
O OCTAVE é uma metodologia orientada para a protecção de recursos organizacionais. Este standard desaconselha a utilização da probabilidade do risco para avaliar o seu grau de perigosidade, o que contrária um requisito do ISO 27001. Porém, o OCTAVE apresenta uma fórmula suplementar para as organizações que pretendam usar a probabilidade. Assim desde que, esta fórmula seja usada, o OCTAVE pode ser usado num cenário de implementação da ISO 27001.
O NIST 800-30, em linhas gerais, concorda com as directrizes do GMITS.
O CORAS e IT Baseline Protection Manual são métodos orientados para a análise de riscos de sistemas informáticos.
Texto de Paulo Coelho
Consultor de Segurança da Informação
Sinfic
Labels: Gestão de Risco
Data 22.11.05
