logo_FEDER español
gss-logo-header
PT
ESENFR
DemoSolicite uma demonstração
Riscos

Métodos de avaliação de risco: Mehari, Ebios, Octave

César Alonso
🕑 9 minutes read

Table of contents

Métodos de avaliação de risco

Desde a crise financeira iniciada em 2008, a análise de risco assumiu especial relevância na gestão interna das organizações. Anteriormente, o trabalho nesta área era realizado de forma não sistemática e isolada em todas as entidades. No entanto, a partir dessa data, as empresas começaram a fortalecer o controle interno usando a gestão de riscos em todas as áreas e áreas.

Atualmente, várias metodologias de análise de risco são usadas para garantir que o gerenciamento seja sistemático. No âmbito da análise de risco corporativo de uma empresa, é muito importante considerar os riscos que podem comprometer a segurança da informação. Para abordar esta análise existem várias metodologias de avaliação de risco, neste artigo vamos considerar 3 das mais conhecidas: Mehari, Ebios e Octave.

Metodologia MEHARI

MEHARI é uma metodologia desenvolvida pelo CUSIF (Club de la Securité De L’information Français) em 1998 que se tornou Open Source em 2007.

O objetivo desta metodologia é permitir uma análise direta e individual das situações de risco descritas em diferentes cenários e fornecer um conjunto completo de ferramentas especificamente concebidas para a gestão da segurança a curto, médio e longo prazo, adaptáveis a diferentes níveis de maturidade.

As fases da metodologia MEHARI são as seguintes:

  1. Análise ou avaliação de risco

Uma situação de risco pode ser caracterizada por diferentes fatores:

  • Fatores estruturais (ou organizacionais), que não dependem de medidas de segurança, mas sim da atividade principal da organização, do seu ambiente e do seu contexto.
  • Fatores de redução de risco, que são uma função direta das medidas de segurança implementadas.

O MEHARI permite a avaliação qualitativa e quantitativa desses fatores, obtendo-se os níveis de risco como consequência.

Para tal, integra ferramentas (como critérios de avaliação, fórmulas, etc.) e bases de dados de conhecimento (em particular para o diagnóstico de medidas de segurança), como complemento essencial ao quadro de análise de risco.

É necessário realizar uma abordagem estruturada que permita identificar todas as situações de risco potenciais, a fim de analisar as mais críticas e poder identificar ações para reduzir o risco a níveis aceitáveis.

  1. Avaliações de segurança

O MEHARI integra questionários de controle de segurança, o que permite avaliar o nível de qualidade dos mecanismos e soluções voltados para a redução do risco. Os controles ou medidas de segurança são agrupados em serviços e domínios de segurança. Para realizar esta avaliação, é necessário seguir os seguintes passos:

  • Revisão de vulnerabilidades ou avaliação de serviços de segurança: O MEHARI fornece um modelo de risco estruturado que considera os fatores de redução de risco na forma de serviços de segurança.

O resultado da avaliação de vulnerabilidade terá como objetivo garantir que os serviços de segurança estejam realmente cumprindo sua missão.

A avaliação é baseada em um banco de dados especializado de conhecimento fornecido pela MEHARI para avaliar o nível de qualidade das medidas de segurança.

  • Planos de segurança baseados na análise da vulnerabilidade: os planos de segurança serão elaborados como resultado direto da avaliação do estado dos serviços de segurança.

O processo de gerenciamento de segurança se concentra em executar uma avaliação e decidir melhorar todos os serviços que não possuem um nível de qualidade suficiente.

O MEHARI fornece questionários diagnósticos que podem ser usados para esse tipo de abordagem.

  • Suporte em bancos de dados na criação de uma estrutura de segurança: Os bancos de dados de conhecimento MEHARI podem ser usados diretamente para criar uma estrutura de segurança que conterá e descreverá o conjunto de regras e instruções de segurança a serem seguidas pela organização.

Os questionários de avaliação da MEHARI são uma boa base para os gerentes de segurança decidirem o que deve ser implementado na organização.

A criação de um conjunto de regras, por meio de uma estrutura de segurança, geralmente enfrenta dificuldades na implantação local, portanto, isenções e exceções devem ser gerenciadas.

  • Domínios abrangidos pelo módulo de avaliação de vulnerabilidades: Do ponto de vista da análise de risco, com base na identificação de todas as situações de risco e com o desejo de cobrir todos esses riscos inaceitáveis, o MEHARI não se limita simplesmente ao domínio de TI.

O módulo de avaliação abrange, além dos sistemas de informação, toda a organização, como a proteção do local em geral, o ambiente de trabalho e os aspectos legais e regulatórios.

  1. Análise de ameaças

Qualquer que seja a orientação da política de segurança, há um princípio com o qual todos os responsáveis concordam: deve haver um equilíbrio entre os investimentos em segurança, por um lado, e a importância dos principais desafios do negócio, por outro.

Isso significa que entender as ameaças de negócios é fundamental e que a análise do contexto de segurança merece um nível de prioridade e um método de avaliação rigoroso e rigoroso.

O objetivo da análise de ameaças à segurança é responder à seguinte pergunta dupla : O que pode acontecer e, se acontecer, pode ser sério?

O MEHARI fornece um módulo de análise de ameaças com dois tipos de resultados:

  • Uma escala de valores de possíveis avarias em seus processos operacionais.
  • Uma classificação de informações e ativos de TI: consiste na definição, para cada tipo de informação, para cada tipo de ativo de TI e para cada critério de classificação (geralmente Confidencialidade, Integridade e Disponibilidade). A classificação de informações de ativos é a escala de valores de mau funcionamento definidos acima, traduzidos em indicadores de sensibilidade associados aos ativos de TI.

A escala dos valores de mau funcionamento e a classificação de informações e ativos são duas maneiras diferentes de expressar ameaças à segurança. O primeiro é mais detalhado e fornece mais informações aos CISOs e o segundo é mais generalista e é mais útil para campanhas de conscientização e informação.

Metodologia EBIOS

O EBIOS é um método promovido pela DCSSI (Direction centrale de la sécurité des systèmes d’information) para uso nas administrações públicas francesas. O objetivo desta metodologia é proporcionar uma visão global e coerente da segurança dos sistemas de informação, permitindo a determinação dos objetivos e requisitos de segurança da empresa.

A metodologia EBIOS tem 5 princípios fundamentais

  1. Estudo do contexto

É necessário realizar um estudo do contexto da empresa, da evolução ao longo de sua história e assim identificar todos os elementos essenciais que estão ligados à empresa, tais como: hardware, software, redes, organizações, pessoal e estabelecimentos.

  1. Necessidades expressas de segurança

Cada elemento identificado tem diferentes necessidades de segurança. Essas necessidades são expressas de acordo com diferentes parâmetros de segurança, como disponibilidade, integridade e confidencialidade. As necessidades serão avaliadas com base em critérios pré-definidos, tendo em conta o impacto que pode ser causado pela perda ou falta de algum destes parâmetros.

  1. Estudo de ameaças

Cada organismo está exposto a vários elementos perigosos ou ameaças, dependendo de seu ambiente natural, cultura, imagem, área de atividade, etc. Portanto, é necessário identificar todos os elementos perigosos e os métodos de ataque que eles podem ter.

Dependendo do método de ataque, cada empresa terá vulnerabilidades diferentes que podem ser usadas pelos elementos perigosos correspondentes.

  1. Objetivos de segurança expressos

Resta determinar o risco, definido em como os elementos perigosos e seus métodos de ataque podem afetar os elementos essenciais.

O risco representa uma possível perda, consiste na possibilidade de que um elemento perigoso afete os elementos essenciais, aproveitando as vulnerabilidades das entidades nas quais esses elementos essenciais se baseiam e usando um método de ataque específico.

Os objetivos de segurança abrangerão as vulnerabilidades detetadas na entidade.

Por outro lado, é inútil proteger o que não está exposto. Portanto, quanto mais significativo o risco, mais importantes serão os objetivos de segurança e não será necessário definir objetivos para o que não está exposto.

  1. Determinar os requisitos de segurança

A equipe responsável pela aplicação do procedimento EBIOS deve especificar, de forma precisa, as funcionalidades de segurança esperadas. Com esses requisitos funcionais, ele deve demonstrar uma cobertura perfeita dos objetivos de segurança.

A equipe responsável deve especificar os requisitos de segurança que permitem obter o nível de confiança necessário para poder demonstrá-lo posteriormente.

Metodologia OCTAVE

A estrutura conceitual que formou a base da abordagem OCTAVE original foi publicada pelo SEI (Software Engineering Institute) da Carnegie Mellon University em 1999. O objetivo dessa metodologia era enfrentar os desafios de conformidade de segurança enfrentados pelo Departamento de Defesa dos EUA.

O OCTAVE destina-se a empresas de média e grande dimensão com um número de colaboradores superior a 300 colaboradores e que reúnam as seguintes características:

  • Organograma multinível
  • Eles têm sua própria infraestrutura de TI
  • Eles têm a capacidade de avaliar vulnerabilidades
  • Tem a capacidade de interpretar os resultados das avaliações de vulnerabilidade

A metodologia OCTAVE tem 3 fases:

  1. Identificação de ativos

A organização deve identificar os ativos mais importantes destinados ao processamento de informações. É importante identificar todos os ativos que fazem parte da empresa e suportam os serviços informáticos, bem como todos os suportes que contêm informação.

Uma vez identificados todos os ativos com informações, será necessário avaliá-los para identificar aqueles que são mais críticos para o funcionamento da organização e associar todas as ameaças que podem interferir na segurança desses ativos.

  1. Análise de infraestrutura

Para complementar a análise realizada na fase 1, a equipe de análise de risco deve realizar uma avaliação da infraestrutura, tanto tecnológica quanto física, que suporta os ativos que contêm informações da empresa e também identificar todas as ameaças que possam interferir na segurança da infraestrutura.

  1. Análise de risco

Por fim, a equipe de análise de riscos deve avaliar todas as ameaças e identificar os riscos mais relevantes para a empresa. Para esses riscos mais elevados, será necessário desenvolver um plano de mitigação, no qual sejam implementados controles ou melhorias nos existentes para reduzir o nível de risco daqueles ativos previamente definidos como críticos.

Utilizando qualquer uma dessas metodologias ou uma combinação delas, será possível obter uma visão o mais realista possível dos riscos que podem afetar a segurança da informação.

Na GlobalSuite Solutions contamos com uma equipe especializada para realizar a Análise de Riscos de Segurança da Informação, utilizando a metodologia mais adequada dependendo da empresa, o que pode ajudá-lo a melhorar a gestão da segurança. O software GlobalSuite®, totalmente desenvolvido por nossa equipe, permite que você mantenha qualquer análise de risco atualizada e gerenciada de forma eficiente e com total rastreabilidade.

Share:

César Alonso
. Director del departamento de Consultoría de GlobalSuite Solutions. Ingeniero industrial por la Universidad Politécnica de Madrid (UPM), CISA, CISM, PMP, Lead Auditor ISO 27001, ISO 20000 e ISO 22301, ITIL Foundations v3 y cuenta con la certificación GlobalSuite® Expert.

More articles