Artigos » Como gerenciar riscos?
Sabemos que os riscos nas infraestruturas de TI e espaço cibernético estão cada vez mais frequentes e sofisticados. São as consequências do progresso tecnológico otimizado pela transformação digital, que traz – junto com os benefícios e possibilidades – ameaças e vulnerabilidades, verdadeiros alvos que os hackers vivem para explorar! Mas o que fazer para gerenciar esses riscos? Que estratégias usar para evitar ou ao menos amenizar os impactos que podem causar? Afinal, como fazer uma Análise de Risco e Avaliação de Risco?
Para início dessa conversa, vamos primeiramente entender o que de fato é considerado “risco”.
Você sabe o que é um RISCO?
RISCO = Probabilidade de um evento ocorrer + consequência desse evento.
Um risco ocorre quando é possível que um agente ameaçador (hacker) tire vantagem de alguma vulnerabilidade e de seu correspondente impacto comercial. Por exemplo: um firewall com várias portas abertas apresenta uma probabilidade maior de que haja uma invasão não autorizada na rede e de seus consequentes estragos.
Outro exemplo: Uma equipe de funcionários mal informados a respeito dos procedimentos e processos da empresa gera uma probabilidade maior de um erro não intencional que possa destruir dados.
Mais um exemplo: Uma rede sem sistema de detecção de intrusão implantado oferece uma probabilidade maior de que passe despercebido algum ataque, e que quando se perceba já seja tarde demais.
Trocando em miúdos, podemos afirmar que o risco vincula: a vulnerabilidade, junto com a ameaça e a probabilidade da exploração, ao consequente impacto comercial relacionado.
E é bom ressaltar que o risco na Segurança da Informação pode estar associado a ameaças tanto de um ativo de informação como de um grupo de ativos de informação que possam causar danos a uma organização.
Pois, quando uma ameaça se materializa, surge um risco para a organização. E, no processo da Segurança da Informação, as ameaças são mapeadas de forma eficiente para que tanto a análise de extensão do risco, quanto o gerenciamento de sua avaliação determinem as medidas que devem ser tomadas a fim de minimizar o risco e o que ele pode se tornar.
Entenda o que é uma Análise de Risco
De acordo com a ISO 27005, podemos entender o termo ‘análise de risco’ como um processo que define e analisa os riscos representados por potenciais eventos adversos humanos e naturais, tanto para indivíduos como para empresas e agências governamentais.
Ou seja, a Análise de Risco possibilita as estimativas dos riscos e fornece o embasamento para a devida avaliação e definição das medidas de proteção que precisam ser tomadas.
Na prática, a Análise de Risco é uma ferramenta para esclarecer quais ameaças são relevantes para os processos operacionais e para identificar os riscos associados.
É através da Análise de Risco que o nível de segurança adequado e as medidas de segurança associadas podem ser determinados.
Podemos definir os objetivos de uma Análise de Risco como:
- Identificar ativos e seus valores;
- Mapear vulnerabilidades e ameaças;
- Analisar o risco das ameaças se tornarem realidade e interromperem o processo operacional;
- Especificar o equilíbrio entre os custos de um incidente e os custos de uma medida de segurança, ou seja, uma análise custo X benefício.
Tipos de Análises de Risco
A Análise de Risco pode ser quantitativa e qualitativa. Vamos entender melhor cada uma delas!
A Análise Quantitativa de Risco tem o objetivo de calcular um valor do risco com base no nível do prejuízo financeiro e na probabilidade de que uma ameaça possa se tornar um incidente de Segurança da Informação. Determina o valor de cada elemento em todos os processos operacionais. Estes valores podem ser compostos pelos custos das medidas de Segurança da Informação, bem como o valor da propriedade em si, incluindo itens como hardware, software, informação e impacto nos negócios.
O tempo de uma Análise Quantitativa de Risco deve se estender desde o surgimento de uma ameaça até a eficácia das medidas de Segurança da Informação.
No entanto, uma Análise de Risco puramente quantitativa é praticamente impossível! É a Análise Qualitativa de Risco que mapeia os cenários e situações e as chances de uma ameaça se tornar realidade (com base intuitiva).
A análise qualitativa também examina o processo operacional relacionado à ameaça e às medidas de Segurança da Informação já tomadas. Isso tudo leva a uma visão subjetiva das possíveis ameaças, para que medidas sejam posteriormente tomadas a fim de minimizar o risco de Segurança da Informação.
O melhor resultado de uma análise é sempre alcançado quando realizada em grupo, pois isso leva a um debate que evita o monopólio de visão de uma única pessoa ou de um único departamento.
Como avaliar os riscos
Feita a Análise dos Riscos, o próximo passo do gerenciamento é a Avaliação de Risco.
De acordo com a ISO/IEC 27000:2012, Avaliação de Risco é o processo geral de identificação de risco, análise de risco e estimativa de risco. A Avaliação de Risco, portanto, deve incluir uma abordagem sistemática para estimar a magnitude dos riscos (Análise de Risco) e o processo de comparar os riscos estimados em relação aos critérios de risco para determinar a significância dos riscos (Estimativa de Risco).
Avaliação de risco é a soma total de:
- Avaliação e apreciação de ativo;
- Avaliação e apreciação de ameaça;
- Avaliação de vulnerabilidade.
E é essa soma total que fornece o diagnóstico do cenário como base para definição das devidas estratégias. E que estratégias são essas? Existem tipos de estratégias diferentes, para que possa ser usada a mais adequada ao resultado da avaliação de risco. Vejamos quais são:
Conheça 3 tipos de Estratégias que podem ser aplicadas no Gerenciamento de Riscos
O primeiro tipo de estratégia é a de Aceitabilidade de Risco, em que:
- Certos riscos são aceitáveis, já que medidas de segurança são muito caras;
- A administração pode decidir não fazer nada, ainda que os custos com as medidas de segurança não excedam os custos com os possíveis danos;
- As medidas de segurança da informação são geralmente de natureza repressiva.
Outro tipo de estratégia é a de Risco Neutro, na qual as medidas de segurança são tomadas para que:
- A ameaça deixe de existir;
- O dano resultante seja minimizado;
- As medidas de segurança tomadas sejam uma combinação de medidas preventivas, investigativas e repressivas.
E, na estratégia de Prevenção de Risco:
- As medidas de segurança tomadas são de tal ordem que a ameaça é neutralizada a um grau que impede a ocorrência de um incidente. Por exemplo: a adição de um novo software que faz com que os erros no antigo software não sejam mais uma ameaça;
- E, as medidas de segurança que são tomadas são preventivas por natureza.
De acordo com o resultado da avaliação de risco, escolhe-se a estratégia mais adequada ao cenário para o devido tratamento.
Tratando os riscos de segurança…
Antes de considerar o tratamento de um risco, a organização precisa definir os critérios para determinar se os riscos podem ser ou não aceitos.
Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização.
Para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada.
Possíveis opções para o tratamento do risco incluem:
- Aplicar controles apropriados para reduzir os riscos;
- Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco;
- Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;
- Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
É recomendado que para aqueles riscos onde a decisão de tratamento seja a de aplicar os controles apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos.
Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável, levando-se em conta:
- Os requisitos e restrições de legislações e regulamentações nacionais e internacionais;
- Os objetivos organizacionais;
- Os requisitos e restrições operacionais;
- Custo de implementação e a operação em relação aos riscos que estão sendo reduzidos e que permanecem proporcionais às restrições e requisitos da organização;
- A necessidade de balancear o investimento na implementação e operação de controles contra a probabilidade de danos que resultem em falhas de segurança da informação.
Então isso é Gerenciamento de Riscos?
Quando uma ameaça se manifesta, transforma-se em um Incidente. Como por exemplo: um hacker que consegue acessar a rede da empresa, ou uma falha grave de energia que ameaça a continuidade dos negócios. E é quando a ameaça se concretiza que surge um risco para a empresa.
Tanto a extensão do risco, quanto o seu gerenciamento, determinam quais medidas devem ser tomadas.
Portanto, é chamado de Gerenciamento de Risco todo o processo da transformação de uma ameaça em risco com as devidas medidas de segurança relacionadas.
Importante destacar que a gestão de risco é um processo contínuo, no qual os riscos são identificados, examinados e reduzidos a um nível aceitável.
Este processo se aplica a todos os aspectos dos processos operacionais. Em grandes organizações, a tarefa de acompanhar este processo é realizada por um especialista em segurança da informação.
E a maioria das medidas tomadas pela área da segurança da informação de uma organização para neutralizar o risco é a combinação de ações preventivas e medidas repressivas.
Quando as medidas são tomadas para evitar o risco, a ameaça é neutralizada de tal modo que não conduza a um incidente. Para exemplificar na prática como eliminar uma ameaça existente, basta imaginar um upgrade de um software antigo para um mais atualizado e sem erros.
Pense bem nesse processo!
Independentemente da estratégia adotada, o fundamental é que seja uma decisão consciente, baseada na análise e avaliação dos riscos. É importante também que o gerenciamento seja feito de forma alinhada aos objetivos e à Política de Segurança da empresa, assim como aos requisitos e restrições da legislação e regulamentação Nacional e Internacional.
Gerenciamento de Riscos é, sem dúvida, um assunto muito extenso e minucioso. Para cada cenário é preciso uma adequação estratégica. Portanto, um profissional de segurança da informação deve sempre ser acionado. Mas, por aqui, espero ter ajudado a clarear a percepção sobre como tratar os riscos que assombram a proteção dos seus dados, informações e ativos de uma forma geral.
Se esse conteúdo foi útil para você, indique para outras pessoas!
Categorias
Artigos Relacionados
Como passar na prova da ITIL Foundation
Como passar na prova da ITIL Foundation. Veja as boas práticas que irão te ajudar!
Carreiras e certificações na área de Governança de TI
Carreiras e certificações na área de Governança de TI Neste artigo, vou fazer um breve