Resumo de Segurança da Informação - Análise de Vulnerabilidade e Gestão de Riscos

Análise de Vulnerabilidade e Gestão de Riscos

Análise de Vulnerabilidade e Gestão de Riscos em Segurança da Informação

1. Conceitos Básicos

Vulnerabilidade: Fraqueza em um sistema que pode ser explorada por ameaças, resultando em violações de segurança.

Ameaça: Evento ou ação que pode causar danos a um ativo de informação.

Risco: Probabilidade de uma ameaça explorar uma vulnerabilidade e causar impacto negativo.

2. Análise de Vulnerabilidade

Objetivo: Identificar, quantificar e priorizar vulnerabilidades em sistemas.

Métodos:

  • Varredura Automatizada: Uso de ferramentas (ex: Nessus, OpenVAS) para detectar falhas conhecidas.
  • Testes de Penetração: Simulação de ataques para avaliar a resistência do sistema.
  • Avaliação Manual: Revisão de configurações e código-fonte.

3. Gestão de Riscos

Processo:

  1. Identificação de Ativos: Listar sistemas, dados e recursos críticos.
  2. Avaliação de Riscos: Analisar impactos e probabilidades (qualitativa/quantitativa).
  3. Tratamento: Mitigar (reduzir risco), transferir (ex: seguros), aceitar ou evitar o risco.
  4. Monitoramento Contínuo: Reavaliar riscos periodicamente.

4. Normas e Frameworks

  • ISO 27001/27005: Normas internacionais para gestão de riscos em SI.
  • NIST SP 800-30: Guia para avaliação de riscos (EUA).
  • ITIL: Inclui práticas para gerenciamento de riscos em serviços de TI.

5. Tópicos Relevantes para Concursos

  • Diferença entre risco residual (após tratamento) e risco inerente (antes do tratamento).
  • Classificação de impactos: Confidencialidade, Integridade, Disponibilidade (CID).
  • Métricas de risco: ALE (Annualized Loss Expectancy) = Impacto × Probabilidade.
  • Papéis: Dono do risco (responsável pela decisão) vs. Gestor de risco (executa análise).

6. Boas Práticas

  • Priorizar vulnerabilidades com base no CVSS (Common Vulnerability Scoring System).
  • Adotar análise SWOT (Forças, Fraquezas, Oportunidades, Ameaças) para avaliação contextual.
  • Documentar processos em Planos de Continuidade de Negócios (PCN) e Políticas de Segurança.

Observação para Concursos

Foque em entender os conceitos-chave, normas (especialmente ISO 27000) e etapas do ciclo de gestão de riscos. Questões frequentemente abordam diferenças entre termos (ex: vulnerabilidade vs. ameaça) e cálculos simples de risco.

Questões relacionadas a Análise de Vulnerabilidade e Gestão de Riscos

+ Resumos de Segurança da Informação