Ameaças
É um possível risco ao sistema, isto é, a caracterização de um possível conjunto de açoes que explore as vulnerabilidades e o conhecimento sobre um sistema que possa por em risco as propriedades de segurança. Esse risco pode ser uma pessoa (hacker), algo (um dispositivo defeituoso) ou um evento (incêndio, terremoto, etc.) que venha explorar a vulnerabilidade do sistema.
Vários tipos de ameaças rondam as organizações atualmente, como por exemplo, engenharia social, sniffers de rede, vírus, etc. As ameaças podem ser apresentadas de três formas:
Naturais e físicas: estas ameaças colocam em perigo a estrutura física e partes dos equipamentos. Este tipo de ameaças podem ser: incêndios, enchentes, falhas de energia, entre outras. Não se pode sempre prevenir esses tipos de acidentes, mas é possível ter conhecimento do acidente de forma rápida, evitando danos ainda maiores;
Não intencionais: são as ameaças provenientes por ignorância de operacionalidade (exemplo: um administrador de sistema não capacitado pode executar uma operação que afete a disponibilidade de um recurso de rede);
Intencionais: são as ameaças provenientes de atos programados por pessoas (intrusos) ou produtos utilizados. Esses intrusos podem ser classificados em: agentes inimigos, terroristas, hackers, criminosos e corporações criminosas.
Riscos
É a probabilidade de que ameaças explorem vulnerabilidades e provoquem perdas, ou seja, infrinjam os princípios da segurança da informação. Pode-se dizer que, quanto maior o risco, maior será a chance de ocorrer uma invasão envolvendo vulnerabilidades e ameaças.
Uma rede de computador nunca estará 100% protegida, ou seja, sempre estará exposta a algum tipo de ameaça. Para diminuir a possibilidade de ataques você deverá realizar o que chamamos de gerenciamento de riscos, ou seja, deverá verificar a relação entre impacto versus risco. Impacto é abrangência que os danos causados por um incidente de segurança afetam a rede em questão.