 |
Negócios de qualquer natureza correm riscos. Alguns riscos podem ser aceitos e fazem parte do ato de empreender, é o caso do lançamento de um produto, por exemplo. Outros, se explorados por ameaças, podem prejudicar o bom funcionamento e a imagem de uma empresa. Os riscos associados à Segurança da Informação fazem parte da segunda categoria.
A ISO 31000 define risco como o “efeito da incerteza no alcance dos objetivos da organização”. Em Segurança da Informação, essas incertezas estão relacionadas a vulnerabilidades em ativos de informação ou em processos que envolvem ação humana. Ativo é uma informação lógica ou física, hardware, software ou ambiente físico que tenha valor para a organização ou cuja quebra de confidencialidade, integridade ou disponibilidade cause prejuízo.
Para evitar que essas vulnerabilidades sejam exploradas por ameaças e se tornem incidentes, é preciso avaliar os riscos, considerando a sua criticidade e probabilidade de acontecer. Baixe o infográfico Avaliando um risco de segurança da informação para ter acesso a um passo a passo da avaliação.
Como avaliar riscos
Uma avaliação de riscos começa com o inventário dos ativos de informação. Depois, definem-se as ameaças as quais os ativos estão expostos e o seu grau de exposição. Este último é determinado pela natureza do negócio, histórico de incidentes e a experiência do analista ou gestor que lida com determinado ativo. São consideradas também ameaças intencionais, como ataques externos, e acidentais, como condições naturais e usuários sem treinamento.
Listadas as ameaças, o próximo passo é identificar as vulnerabilidades que podem ser exploradas. Para avaliar riscos é importante considerar quais são as fontes, ou seja, as vulnerabilidades dos ativos que podem expor a organização a falhas de segurança. A má configuração de um firewall é uma vulnerabilidade que pode ser explorada, por exemplo.
Depois, avalia-se quais os eventos que podem decorrer da exposição de uma vulnerabilidade, nesse caso, um possível vazamento de dados, o que compromete a confidencialidade das informações.
As consequências dessa eventual exposição são listadas em seguida: no exemplo analisado, o incidente causaria prejuízos financeiros e de imagem. Depois, a probabilidade desse cenário se concretizar. Impacto e probabilidade são fatores que ajudam a determinar a criticidade de um risco.
Matriz de risco
A análise de riscos pode ser qualitativa ou quantitativa. A análise quantitativa atribui valores ao impacto e à probabilidade para determinar o nível de criticidade de um risco. Para cada item da tríade de segurança é atribuído um valor de 0 a 4 de acordo com o efeito que a quebra de confidencialidade, integridade ou disponibilidade de um ativo tem sobre a empresa. Assim, Impacto = Confidencialidade + Integridade + Disponibilidade/ 3.
Da mesma forma, são dados valores de 0 a 4 para a Probabilidade de ocorrência do risco. Dessa forma, Risco = Impacto + Probabilidade/2.
Na Matriz de Risco, temos:
Essa matriz de risco faz parte da Análise de Impacto de Negócios (Business Impact Analysis ou BIA, na sigla em inglês). A BIA tem como objetivo garantir a continuidade dos negócios, ao ajudar a identificar o tempo adequado dentro do qual precisa-se recuperar o ativo e as prioridades para proteção. Há ainda a matriz baseada na Análise de Modos de Falhas e Efeitos (Failure Mode and Effect Analysis ou FMEA), que oferece uma análise mais detalhada dos ativos, além de definir ações para cada modo de falha e responsáveis pela sua execução.
Tratamento dos riscos
O tratamento dos riscos é a etapa posterior à avaliação. Existem algumas formas de tratá-los: aceitar, diminuir ou compartilhar o risco.
A aceitação do risco se dá em cenários em que a sua probabilidade e impacto são baixos, ou quando é muito caro resolver o risco residual. Diminuir riscos diz respeito à implementação de controles que podem diminuir o impacto ou a probabilidade de incidentes. Já o compartilhamento do risco pode envolver desde a contratação de seguros até contratos de confidencialidade, por exemplo.
Todas essas medidas precedem a implementação de controles para evitar que um risco comprometa a organização. Isso porque, antes de proteger algo, é necessário saber o que se está protegendo e porquê, dessa forma distribui-se melhor os recursos e esforços exigidos para tal. Além disso, outra medida importante nesse sentido é classificar as informações da organização, isso ajuda a entender melhor quais ativos de informação são mais críticos, analisando não só as possíveis ameaças, mas também o valor da informação ali contida.
É importante ter em mente que riscos nunca deixarão de existir, caso contrário, a atividade a qual o risco está relacionado também seria extinta. Dessa forma, depois de tratados, ainda existirão riscos residuais, os quais a organização está disposta a aceitar. Eles são previstos na análise de riscos e resultam dos esforços de redução de riscos maiores.