Existem muitos perigos no mundo da informática, e muitas vezes estamos expostos a eles sem saber. É importante que estejamos conscientes de como eles podem nos afetar, tanto pessoalmente quanto em nossos negócios. Para fazer isso, é necessário entender o significado de alguns conceitos-chave de segurança da informação.
A análise de vulnerabilidade é o processo de identificação de pontos fracos em diferentes sistemas de informação. Diversas ferramentas estão disponíveis para este fim, e a sua execução requer experiência na área.
Algumas definições
Informações
A informação é um conjunto de dados processados que muda o estado do conhecimento e é, portanto, a base para a tomada de decisões.
Segurança da informação
Por segurança da informação nos referimos principalmente à integridade, disponibilidade e confidencialidade das informações. O objetivo da segurança é preservar estes três pilares.
No mundo corporativo, ela é usada para proteger os dados que uma organização coleta e gerencia. A informação é um recurso fundamental para as empresas, por isso é fundamental administrar eficazmente seu processamento, armazenamento e transmissão.
A segurança da informação é regulamentada, por exemplo, pela ISO 27001, entre outros regulamentos e estruturas. Esta disposição permite a garantia, confidencialidade e integridade das informações, assim como os sistemas que as processam.
Por sua vez, a implementação da norma ISO 27001:2013 para Sistemas de Gestão de Segurança da Informação permite avaliar os riscos e os controles necessários para mitigá-los.
Vulnerabilidade
Esta é uma fraqueza ou falha em um sistema de informação que abre a porta para que um atacante ou situação não intencional comprometa a integridade, disponibilidade ou confidencialidade dos dados.
Em outras palavras, elas são as condições e características dos sistemas de uma organização que a tornam suscetível a ameaças. As vulnerabilidades têm origens diferentes, tais como erros de configuração, falhas de projeto ou falhas de procedimento.
Ameaça
Uma ameaça é uma ação que explora uma vulnerabilidade para comprometer a segurança de um sistema de informação.
Risco
O risco é a probabilidade de uma ameaça explorar a vulnerabilidade de um bem de informação e, assim, prejudicar uma organização.
Assim, a gestão de riscos é fundamental para gerenciar a segurança da informação de forma eficiente e responsável.
Como medimos a vulnerabilidade?
Se não conhecemos a vulnerabilidade, não podemos definir sua gravidade, então devemos primeiro identificá-la. Para medir a gravidade das vulnerabilidades conhecidas, existe o Common Vulnerability Scoring System (CVSS). Esta métrica nos permite calcular o impacto que uma determinada vulnerabilidade terá se for explorada.
O CVSS classifica a vulnerabilidade de acordo com o parâmetro que ela afeta: privacidade, disponibilidade, confidencialidade, entre outros. Também considera o vetor de acesso, a complexidade para realizar a exploração, se a autenticação é necessária, e assim por diante.
O que podemos fazer em relação às vulnerabilidades?
Como na maioria das questões de segurança da informação, nossa melhor ferramenta é a prevenção. Neste caso, minha recomendação é sistematizar, identificar, medir e agir.
Como isso pode ser feito?
- Valorizar nossos ativos de informação: saber quais são os mais importantes.
- Estudar e analisar as vulnerabilidades de nossos sistemas.
- Identificar as ameaças e como elas afetariam o negócio.
- Tomar medidas com base na análise. Aceitar o risco ou fazer mudanças para mitigá-lo.
- Revisar estas etapas periodicamente.
Por:
Daniel AlanoAnalista de Linha de Produtos na Networking & Security.
Daniel é especialista em gestão de segurança da informação(UNIT-ISO/IEC 27000 e 27001) e é um hacker ético certificado(EC-Council).