Sabemos que os riscos nas infraestruturas de TI e espaço cibernético estão cada vez mais frequentes e sofisticados. São as consequências do progresso tecnológico otimizado pela transformação digital, que traz – junto com os benefícios e possibilidades – ameaças e vulnerabilidades, verdadeiros alvos que os hackers vivem para explorar! Mas o que fazer para gerenciar esses riscos? Que estratégias usar para evitar ou ao menos amenizar os impactos que podem causar? Afinal, como fazer uma Análise de Risco e Avaliação de Risco?

Para início dessa conversa, vamos primeiramente entender o que de fato é considerado “risco”.

Você sabe o que é um RISCO?

RISCO = Probabilidade de um evento ocorrer + consequência desse evento.

Um risco ocorre quando é possível que um agente ameaçador (hacker) tire vantagem de alguma vulnerabilidade e de seu correspondente impacto comercial. Por exemplo: um firewall com várias portas abertas apresenta uma probabilidade maior de que haja uma invasão não autorizada na rede e de seus consequentes estragos.

Outro exemplo: Uma equipe de funcionários mal informados a respeito dos procedimentos e processos da empresa gera uma probabilidade maior de um erro não intencional que possa destruir dados.

Mais um exemplo: Uma rede sem sistema de detecção de intrusão implantado oferece uma probabilidade maior de que passe despercebido algum ataque, e que quando se perceba já seja tarde demais.

Trocando em miúdos, podemos afirmar que o risco vincula: a vulnerabilidade, junto com a ameaça e a probabilidade da exploração, ao consequente impacto comercial relacionado.

E é bom ressaltar que o risco na Segurança da Informação pode estar associado a ameaças tanto de um ativo de informação como de um grupo de ativos de informação que possam causar danos a uma organização.

Pois, quando uma ameaça se materializa, surge um risco para a organização. E, no processo da Segurança da Informação, as ameaças são mapeadas de forma eficiente para que tanto a análise de extensão do risco, quanto o gerenciamento de sua avaliação determinem as medidas que devem ser tomadas a fim de minimizar o risco e o que ele pode se tornar.

Entenda o que é uma Análise de Risco

De acordo com a ISO 27005, podemos entender o termo ‘análise de risco’ como um processo que define e analisa os riscos representados por potenciais eventos adversos humanos e naturais, tanto para indivíduos como para empresas e agências governamentais.

Ou seja, a Análise de Risco possibilita as estimativas dos riscos e fornece o embasamento para a devida avaliação e definição das medidas de proteção que precisam ser tomadas.

Na prática, a Análise de Risco é uma ferramenta para esclarecer quais ameaças são relevantes para os processos operacionais e para identificar os riscos associados.

É através da Análise de Risco que o nível de segurança adequado e as medidas de segurança associadas podem ser determinados.

Podemos definir os objetivos de uma Análise de Risco como:

• Identificar ativos e seus valores;
• Mapear vulnerabilidades e ameaças;
• Analisar o risco das ameaças se tornarem realidade e interromperem o processo operacional;
• Especificar o equilíbrio entre os custos de um incidente e os custos de uma medida de segurança, ou seja, uma análise custo X benefício.

Tipos de Análises de Risco

A Análise de Risco pode ser quantitativa e qualitativa. Vamos entender melhor cada uma delas!

A Análise Quantitativa de Risco tem o objetivo de calcular um valor do risco com base no nível do prejuízo financeiro e na probabilidade de que uma ameaça possa se tornar um incidente de Segurança da Informação. Determina o valor de cada elemento em todos os processos operacionais. Estes valores podem ser compostos pelos custos das medidas de Segurança da Informação, bem como o valor da propriedade em si, incluindo itens como hardware, software, informação e impacto nos negócios.

O tempo de uma Análise Quantitativa de Risco deve se estender desde o surgimento de uma ameaça até a eficácia das medidas de Segurança da Informação.

No entanto, uma Análise de Risco puramente quantitativa é praticamente impossível! É a Análise Qualitativa de Risco que mapeia os cenários e situações e as chances de uma ameaça se tornar realidade (com base intuitiva).

A análise qualitativa também examina o processo operacional relacionado à ameaça e às medidas de Segurança da Informação já tomadas. Isso tudo leva a uma visão subjetiva das possíveis ameaças, para que medidas sejam posteriormente tomadas a fim de minimizar o risco de Segurança da Informação.

O melhor resultado de uma análise é sempre alcançado quando realizada em grupo, pois isso leva a um debate que evita o monopólio de visão de uma única pessoa ou de um único departamento.

Como avaliar os riscos

Feita a Análise dos Riscos, o próximo passo do gerenciamento é a Avaliação de Risco.

De acordo com a ISO/IEC 27000:2012, Avaliação de Risco é o processo geral de identificação de risco, análise de risco e estimativa de risco. A Avaliação de Risco, portanto, deve incluir uma abordagem sistemática para estimar a magnitude dos riscos (Análise de Risco) e o processo de comparar os riscos estimados em relação aos critérios de risco para determinar a significância dos riscos (Estimativa de Risco).

Avaliação de risco é a soma total de:

• Avaliação e apreciação de ativo;
• Avaliação e apreciação de ameaça;
• Avaliação de vulnerabilidade.

E é essa soma total que fornece o diagnóstico do cenário como base para definição das devidas estratégias. E que estratégias são essas? Existem tipos de estratégias diferentes, para que possa ser usada a mais adequada ao resultado da avaliação de risco. Vejamos quais são:

Conheça 3 tipos de Estratégias que podem ser aplicadas no Gerenciamento de Riscos

O primeiro tipo de estratégia é a de Aceitabilidade de Risco, em que:

• Certos riscos são aceitáveis, já que medidas de segurança são muito caras;
• A administração pode decidir não fazer nada, ainda que os custos com as medidas de segurança não excedam os custos com os possíveis danos;
• As medidas de segurança da informação são geralmente de natureza repressiva.

Outro tipo de estratégia é a de Risco Neutro, na qual as medidas de segurança são tomadas para que:

• A ameaça deixe de existir;
• O dano resultante seja minimizado;
• As medidas de segurança tomadas sejam uma combinação de medidas preventivas, investigativas e repressivas.

E, na estratégia de Prevenção de Risco:

• As medidas de segurança tomadas são de tal ordem que a ameaça é neutralizada a um grau que impede a ocorrência de um incidente. Por exemplo: a adição de um novo software que faz com que os erros no antigo software não sejam mais uma ameaça;
• E, as medidas de segurança que são tomadas são preventivas por natureza.

De acordo com o resultado da avaliação de risco, escolhe-se a estratégia mais adequada ao cenário para o devido tratamento.

Tratando os riscos de segurança…

Antes de considerar o tratamento de um risco, a organização precisa definir os critérios para determinar se os riscos podem ser ou não aceitos.

Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização.

Para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada.

Possíveis opções para o tratamento do risco incluem:

• Aplicar controles apropriados para reduzir os riscos;
• Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco;
• Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;
• Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

É recomendado que para aqueles riscos onde a decisão de tratamento seja a de aplicar os controles apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos.

Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável, levando-se em conta:

• Os requisitos e restrições de legislações e regulamentações nacionais e internacionais;
• Os objetivos organizacionais;

• Os requisitos e restrições operacionais;
• Custo de implementação e a operação em relação aos riscos que estão sendo reduzidos e que permanecem proporcionais às restrições e requisitos da organização;
• A necessidade de balancear o investimento na implementação e operação de controles contra a probabilidade de danos que resultem em falhas de segurança da informação.

Então isso é Gerenciamento de Riscos?

Quando uma ameaça se manifesta, transforma-se em um Incidente. Como por exemplo: um hacker que consegue acessar a rede da empresa, ou uma falha grave de energia que ameaça a continuidade dos negócios. E é quando a ameaça se concretiza que surge um risco para a empresa.

Tanto a extensão do risco, quanto o seu gerenciamento, determinam quais medidas devem ser tomadas.

Portanto, é chamado de Gerenciamento de Risco todo o processo da transformação de uma ameaça em risco com as devidas medidas de segurança relacionadas.

Importante destacar que a gestão de risco é um processo contínuo, no qual os riscos são identificados, examinados e reduzidos a um nível aceitável.

Este processo se aplica a todos os aspectos dos processos operacionais. Em grandes organizações, a tarefa de acompanhar este processo é realizada por um especialista em segurança da informação.

E a maioria das medidas tomadas pela área da segurança da informação de uma organização para neutralizar o risco é a combinação de ações preventivas e medidas repressivas.

Quando as medidas são tomadas para evitar o risco, a ameaça é neutralizada de tal modo que não conduza a um incidente. Para exemplificar na prática como eliminar uma ameaça existente, basta imaginar um upgrade de um software antigo para um mais atualizado e sem erros.

Pense bem nesse processo!

Independentemente da estratégia adotada, o fundamental é que seja uma decisão consciente, baseada na análise e avaliação dos riscos. É importante também que o gerenciamento seja feito de forma alinhada aos objetivos e à Política de Segurança da empresa, assim como aos requisitos e restrições da legislação e regulamentação Nacional e Internacional.

Gerenciamento de Riscos é, sem dúvida, um assunto muito extenso e minucioso. Para cada cenário é preciso uma adequação estratégica. Portanto, um profissional de segurança da informação deve sempre ser acionado. Mas, por aqui, espero ter ajudado a clarear a percepção sobre como tratar os riscos que assombram a proteção dos seus dados, informações e ativos de uma forma geral.

Se esse conteúdo foi útil para você, indique para outras pessoas!