Ameaças, Vulnerabilidades e Riscos

ameaças número habilidades e riscos esse é um tema muito importante no cenário de saibro este kit e todo dia eu vejo que existem muitas ameaças milhares de vulnerabilidades que são publicadas e eu quero saber qual dessas ameaças e vulnerabilidades realmente se torna um risco para a minha corporação como eu posso saber então se você também ficou curioso com essa pergunta ficará até o final [Música] ameaças vulnerabilidade e riscos vamos começar de uma forma bem direta objetiva risco é a probabilidade da realização de uma ameaça ea vulnerabilidade é uma ameaça não tem risco então eu tenho

que ter uma ameaça uma vulnerabilidade e aí vai existir uma probabilidade que pode ser o risco é interessante mas vamos entender um pouco mais e vamos começar falando por exemplo dos ativos porque há o que está em risco é a informação a rede servidores estações softwares pessoas é qualquer item de valor para a organização é isso que está em risco existem ameaças e vulnerabilidades em relação a esses ativos ameaça qualquer condição que pode causar um dano essa parte é muito importante porque assim a ameaça pode ser um desastre natural um ataque cibernético 11 lodeira pode

ser o sim sites os hackers pode ser acidental estrutural sei lá falhou hd pegou fogo servidor pode ser ambiental também pode ter pego fogo na região pode ter tido enchente um furacão então essas são as ameaças mais importante de tudo o que o profissional de segurança né de cyber security ele não pode controlar essas ameaças o que ele pode fazer é mitigar depois o que nós temos aí nós temos as vulnerabilidades vulnerabilidade e qualquer falha no design de um sistema implementação código até mesmo as configurações que eu faço de maneira errada ou deixe de configurar

eu tenho os meus sistemas por exemplo tem um xp 1 2003 tem o software vulneráveis que eu nunca atualizei mas não é só isso por exemplo eu posso morar numa região de risco eu posso olhar na colinha por exemplo e lá tem um monte de furacão neki é uma ameaça agora a gente começa a fazer uma relação e aí que a gente então tendo já conhecimento do que são as vulnerabilidades que eu sei que vocês devem conhecer um monte de vulnerabilidade e mais um monte de ameaça e um monte de ativos que vocês podem definir

nem aqui eu tô só citando alguns exemplos tendo em vista tudo isso a gente pode começar a fazer a nossa avaliação de risco e isso aqui que agrega muito valor para as empresas é o que eu coloquei aqui nada mais é do que um processo que eu peguei num guia de condução de avaliação de risco do nist deixou compartilhar com vocês aqui olha aqui é esse é o processo que eu peguei esse documento ele está disponível gratuitamente faz parte do nist e esse guia que ele tem um nome é essa publicação é a 830 é

muito famosa e nem sei se tem uma revisão dela foi a primeira que eu joguei aqui na busca e achei mas é a partir dela que eu tirei esse processo de avaliação de risco que consiste no que primeiro eu vou identificar quais são as ameaças existentes então existe um monte de ameaças existentes já falei aqui por exemplo algumas vamos continuar falando aí talvez de enchente e dos ataques hackers depois eu vou identificar as vulnerabilidades então eu moro num local que pode ter enchente eu tenho softwares que podem ser comprometidos pelos hackers por um ataque se

rodeio por um mal e depois vem a parte muito importante que a determinar a probabilidade disso acontecer então talvez eu moro numa localidade que pode ter uma enchente mas a probabilidade de chover lá é quase nula então olha só que vai ser o impacto de é baixo médio ou alto bom se acontecer pode ser alto mas a gente vai definir aí né como que funciona e que tipo de risco que é esse é um risco de alto impacto de baixo impacto toque legal e identifica as ameaças identificar as vulnerabilidades vou determinar qual a probabilidade de

acontecer com a probabilidade de um hacker e atacar minha corporação aí mas a minha corporação ela trabalha vendendo canecas artesanais a probabilidade é muito baixa mas eu tenho um monte de cliente aqui com dados de cartão de crédito impacta vai ser muito alto se acontecer a gente tem que colocar tudo isso no papel então aí que nós vamos determinar as informações do risco ea gente pode fazer isso de duas maneiras né de maneira qualitativa ou quantitativa essa é uma tabelinha bem legal eu gosto dessa tabelinha e ela traz uma ideia é qualitativa do tipo de

risco então por exemplo que eu estava falando agora é a probabilidade e o impacto vão pensar eu moro aqui no local que tem risco embora o trabalho a minha corporação está no local que tem a probabilidade de enchente mas essa probabilidade de enchente é média então vem aqui o médio do ac nessa lista mas esse de uma enchente eu vou perder muita coisinha ou perder muita coisa impacto vai ser muito alto então o risco é alto talvez eu posso falar de novo daquela questão aí depois ter uma corporação que trabalha com um tipo de negócio

que não interessa a muitos hackers talvez então a probabilidade de eu ser atacado por hackers é muito baixo mas e se eles atacarem conseguirem os dados é o que vai acontecer se eles atacarem e pegarem os nossos dados aqui o impacto vai ser o que vai ser médio vai ser alto é alto então é um tipo de risco médio isso aqui pra gente ter uma visão mais qualitativa e não quantitativa se eu for começar trabalhar com números aí eu tenho que levar em consideração essa pequena continha que se chama anual loa é spector disse que

isso é que ajuda a determinar quando o que eu vou aceitar evitar transferir ou mitigar o risco isso aqui é muito importante e como ele anual a gente está usando essas ocorrências ao ano então se tiver três ou quatro com esse no ano é e isso acontece pois a cada três anos eu vou então dividir a cada três anos e coloca um terço acontece três vezes por ano que nem aqui coloco três que são as ocorrências de dar um exemplo vai é ter um risco que pode acontecer três meses por ano e o custo associado

a esse risco que aí para fazer esse custo já é um pouco mais complexo né ele já dá um pouco mais de trabalho mas eu posso então calcular esse custo e eu definir aqui que foi de 1 milhão então se ele pode acontecer três vezes ao ano então será um custo de 3 milhões quanto custa para resolver esse problema 1 milhão beleza porque se acontecer eu vou ter um prejuízo de 3 milhões então até 3 milhões nem vale a pena investir se eu tiver que gastar cinco milhões para resolver esse problema foi que eu vou

fazer é mais fácil deixar de acontecer pagar três milhões ou transferir cria 11 tipos de seguro ou até mesmo mudar vamos evitar isso aí deixar de usar determinada tecnologia é possível pensar em vários fatores nesse sentido super interessante não é esse aqui é pra gente ter uma idéia é uma visão geral nunca aqui um vídeo de dez minutos eu vou conseguir explicar todo o conceito de gerenciamento de risco que é um tema super complexo com muitas variáveis e muita coisa para se colocar no papel e aí curtindo esse vídeo bom esse é um assunto muito

importante muito relevante no nosso cenário atual ele também é uma assunto que cai bastante nos exames de certificação então se você está se preparando para alguns anos de certificação certeza que vai cair alguma coisa sobre esse assunto bom se você curtiu desde então aí o seu like se você quiser ficar sabendo quando tem um novo vídeo no canal marca ali no sininho se inscreva no canal giudecca a crescer valeu um abraço e até mais [Música]