Sabemos que os riscos nas infraestruturas de TI e espaço cibernético estão cada vez mais frequentes e sofisticados. São as consequências do progresso tecnológico otimizado pela transformação digital, que traz – junto com os benefícios e possibilidades – ameaças e vulnerabilidades, verdadeiros alvos que os hackers vivem para explorar! Mas o que fazer para gerenciar esses riscos? Que estratégias usar para evitar ou ao menos amenizar os impactos que podem causar? Afinal, como fazer uma Análise de Risco e Avaliação de Risco?
Para início dessa conversa, vamos primeiramente entender o que de fato é considerado “risco”.
Você sabe o que é um RISCO?
RISCO = Probabilidade de um evento ocorrer + consequência desse evento.
Um risco ocorre quando é possível que um agente ameaçador (hacker) tire vantagem de alguma vulnerabilidade e de seu correspondente impacto comercial. Por exemplo: um firewall com várias portas abertas apresenta uma probabilidade maior de que haja uma invasão não autorizada na rede e de seus consequentes estragos.
Outro exemplo: Uma equipe de funcionários mal informados a respeito dos procedimentos e processos da empresa gera uma probabilidade maior de um erro não intencional que possa destruir dados.
Mais um exemplo: Uma rede sem sistema de detecção de intrusão implantado oferece uma probabilidade maior de que passe despercebido algum ataque, e que quando se perceba já seja tarde demais.
Trocando em miúdos, podemos afirmar que o risco vincula: a vulnerabilidade, junto com a ameaça e a probabilidade da exploração, ao consequente impacto comercial relacionado.
E é bom ressaltar que o risco na Segurança da Informação pode estar associado a ameaças tanto de um ativo de informação como de um grupo de ativos de informação que possam causar danos a uma organização.
Pois, quando uma ameaça se materializa, surge um risco para a organização. E, no processo da Segurança da Informação, as ameaças são mapeadas de forma eficiente para que tanto a análise de extensão do risco, quanto o gerenciamento de sua avaliação determinem as medidas que devem ser tomadas a fim de minimizar o risco e o que ele pode se tornar.
Entenda o que é uma Análise de Risco
De acordo com a ISO 27005, podemos entender o termo ‘análise de risco’ como um processo que define e analisa os riscos representados por potenciais eventos adversos humanos e naturais, tanto para indivíduos como para empresas e agências governamentais.
Ou seja, a Análise de Risco possibilita as estimativas dos riscos e fornece o embasamento para a devida avaliação e definição das medidas de proteção que precisam ser tomadas.
Na prática, a Análise de Risco é uma ferramenta para esclarecer quais ameaças são relevantes para os processos operacionais e para identificar os riscos associados.
É através da Análise de Risco que o nível de segurança adequado e as medidas de segurança associadas podem ser determinados.
Podemos definir os objetivos de uma Análise de Risco como:
- Identificar ativos e seus valores;
- Mapear vulnerabilidades e ameaças;
- Analisar o risco das ameaças se tornarem realidade e interromperem o processo operacional;
- Especificar o equilíbrio entre os custos de um incidente e os custos de uma medida de segurança, ou seja, uma análise custo X benefício.
Tipos de Análises de Risco
A Análise de Risco pode ser quantitativa e qualitativa. Vamos entender melhor cada uma delas!
A Análise Quantitativa de Risco tem o objetivo de calcular um valor do risco com base no nível do prejuízo financeiro e na probabilidade de que uma ameaça possa se tornar um incidente de Segurança da Informação. Determina o valor de cada elemento em todos os processos operacionais. Estes valores podem ser compostos pelos custos das medidas de Segurança da Informação, bem como o valor da propriedade em si, incluindo itens como hardware, software, informação e impacto nos negócios.
O tempo de uma Análise Quantitativa de Risco deve se estender desde o surgimento de uma ameaça até a eficácia das medidas de Segurança da Informação.
No entanto, uma Análise de Risco puramente quantitativa é praticamente impossível! É a Análise Qualitativa de Risco que mapeia os cenários e situações e as chances de uma ameaça se tornar realidade (com base intuitiva).
A análise qualitativa também examina o processo operacional relacionado à ameaça e às medidas de Segurança da Informação já tomadas. Isso tudo leva a uma visão subjetiva das possíveis ameaças, para que medidas sejam posteriormente tomadas a fim de minimizar o risco de Segurança da Informação.
O melhor resultado de uma análise é sempre alcançado quando realizada em grupo, pois isso leva a um debate que evita o monopólio de visão de uma única pessoa ou de um único departamento.
Como avaliar os riscos
Feita a Análise dos Riscos, o próximo passo do gerenciamento é a Avaliação de Risco.
De acordo com a ISO/IEC 27000:2012, Avaliação de Risco é o processo geral de identificação de risco, análise de risco e estimativa de risco. A Avaliação de Risco, portanto, deve incluir uma abordagem sistemática para estimar a magnitude dos riscos (Análise de Risco) e o processo de comparar os riscos estimados em relação aos critérios de risco para determinar a significância dos riscos (Estimativa de Risco).
Avaliação de risco é a soma total de:
- Avaliação e apreciação de ativo;
- Avaliação e apreciação de ameaça;
- Avaliação de vulnerabilidade.
E é essa soma total que fornece o diagnóstico do cenário como base para definição das devidas estratégias. E que estratégias são essas? Existem tipos de estratégias diferentes, para que possa ser usada a mais adequada ao resultado da avaliação de risco. Vejamos quais são:
Conheça 3 tipos de Estratégias que podem ser aplicadas no Gerenciamento de Riscos
O primeiro tipo de estratégia é a de Aceitabilidade de Risco, em que:
- Certos riscos são aceitáveis, já que medidas de segurança são muito caras;
- A administração pode decidir não fazer nada, ainda que os custos com as medidas de segurança não excedam os custos com os possíveis danos;
- As medidas de segurança da informação são geralmente de natureza repressiva.
Outro tipo de estratégia é a de Risco Neutro, na qual as medidas de segurança são tomadas para que:
- A ameaça deixe de existir;
- O dano resultante seja minimizado;
- As medidas de segurança tomadas sejam uma combinação de medidas preventivas, investigativas e repressivas.
E, na estratégia de Prevenção de Risco:
- As medidas de segurança tomadas são de tal ordem que a ameaça é neutralizada a um grau que impede a ocorrência de um incidente. Por exemplo: a adição de um novo software que faz com que os erros no antigo software não sejam mais uma ameaça;
- E, as medidas de segurança que são tomadas são preventivas por natureza.
De acordo com o resultado da avaliação de risco, escolhe-se a estratégia mais adequada ao cenário para o devido tratamento.
Tratando os riscos de segurança…
Antes de considerar o tratamento de um risco, a organização precisa definir os critérios para determinar se os riscos podem ser ou não aceitos.
Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização.
Para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada.
Possíveis opções para o tratamento do risco incluem:
- Aplicar controles apropriados para reduzir os riscos;
- Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco;
- Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos;
- Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
É recomendado que para aqueles riscos onde a decisão de tratamento seja a de aplicar os controles apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos.
Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável, levando-se em conta:
- Os requisitos e restrições de legislações e regulamentações nacionais e internacionais;
- Os objetivos organizacionais;
- Os requisitos e restrições operacionais;
- Custo de implementação e a operação em relação aos riscos que estão sendo reduzidos e que permanecem proporcionais às restrições e requisitos da organização;
- A necessidade de balancear o investimento na implementação e operação de controles contra a probabilidade de danos que resultem em falhas de segurança da informação.
Então isso é Gerenciamento de Riscos?
Quando uma ameaça se manifesta, transforma-se em um Incidente. Como por exemplo: um hacker que consegue acessar a rede da empresa, ou uma falha grave de energia que ameaça a continuidade dos negócios. E é quando a ameaça se concretiza que surge um risco para a empresa.
Tanto a extensão do risco, quanto o seu gerenciamento, determinam quais medidas devem ser tomadas.
Portanto, é chamado de Gerenciamento de Risco todo o processo da transformação de uma ameaça em risco com as devidas medidas de segurança relacionadas.
Importante destacar que a gestão de risco é um processo contínuo, no qual os riscos são identificados, examinados e reduzidos a um nível aceitável.
Este processo se aplica a todos os aspectos dos processos operacionais. Em grandes organizações, a tarefa de acompanhar este processo é realizada por um especialista em segurança da informação.
E a maioria das medidas tomadas pela área da segurança da informação de uma organização para neutralizar o risco é a combinação de ações preventivas e medidas repressivas.
Quando as medidas são tomadas para evitar o risco, a ameaça é neutralizada de tal modo que não conduza a um incidente. Para exemplificar na prática como eliminar uma ameaça existente, basta imaginar um upgrade de um software antigo para um mais atualizado e sem erros.
Pense bem nesse processo!
Independentemente da estratégia adotada, o fundamental é que seja uma decisão consciente, baseada na análise e avaliação dos riscos. É importante também que o gerenciamento seja feito de forma alinhada aos objetivos e à Política de Segurança da empresa, assim como aos requisitos e restrições da legislação e regulamentação Nacional e Internacional.
Gerenciamento de Riscos é, sem dúvida, um assunto muito extenso e minucioso. Para cada cenário é preciso uma adequação estratégica. Portanto, um profissional de segurança da informação deve sempre ser acionado. Mas, por aqui, espero ter ajudado a clarear a percepção sobre como tratar os riscos que assombram a proteção dos seus dados, informações e ativos de uma forma geral.
Se esse conteúdo foi útil para você, indique para outras pessoas!
Artigos Relacionados