Como avaliar a segurança cibernética de uma organização?

14 de junho de 2022
Adriano Martins Antonio

Praticamente todas as organizações possuem conectividade com a internet e alguma forma de infraestrutura de TI, não é mesmo?

Isso significa que quase todas as organizações correm o risco de um ataque cibernético. Para entender o tamanho desse risco e poder gerenciá-lo, as empresas precisam concluir uma avaliação de risco de segurança cibernética.

Ou seja, é necessário aplicar um processo que identifica quais ativos são mais vulneráveis aos riscos que a organização enfrenta. 

O que envolve uma avaliação de risco de segurança cibernética?

A mitigação dos riscos identificados durante a avaliação evitará e reduzirá incidentes de segurança e violações de dados dispendiosos, evitando ainda problemas regulatórios e de conformidade.

Além disso, o processo de avaliação de risco também obriga todos dentro de uma organização a considerar como os riscos de segurança cibernética podem afetar os objetivos da empresa, o que ajuda a criar uma cultura mais consciente.

Logo, essa avaliação de riscos de cibersegurança exige que uma organização determine seus principais objetivos de negócios e identifique os ativos de tecnologia da informação que são essenciais para atingir tais objetivos.

Então, trata-se de identificar ataques cibernéticos que possam afetar negativamente esses ativos, decidir sobre a probabilidade de ocorrência desses ataques e o impacto que podem ter.

Enfim, uma avaliação de risco de segurança cibernética pode ser dividida em várias partes, porém existem cinco etapas principais: escopo, identificação de risco, análise de risco, avaliação de risco e documentação.

Etapa 1: Determinar o escopo da avaliação de risco

Uma avaliação de risco começa decidindo o que está no escopo da avaliação.

Isto é, pode ser toda a organização, mas geralmente é algo muito grande, por isso é mais provável que seja uma unidade de negócios, um local ou um aspecto específico do negócio, como processamento de pagamentos ou um aplicativo da web.

Consequentemente, é fundamental contar com o total apoio de todas as partes interessadas cujas atividades estão no escopo da avaliação, pois suas contribuições serão essenciais para entender quais ativos e processos são os mais importantes.

Também, serão cruciais para identificar riscos, avaliar impactos e definir níveis de tolerância a riscos.

Etapa 2: Como identificar riscos de segurança cibernética

1– Identificar ativos

Em seguida, é interessante entender que você não pode proteger o que não conhece, então a próxima tarefa é identificar e criar um inventário de todos os ativos físicos e lógicos que estão dentro do escopo da avaliação de risco.

Ao identificar ativos, deve-se não apenas estabelecer aqueles que são considerados as “joias da coroa” da organização – os ativos críticos e provavelmente os principais alvos dos invasores –, mas também ativos que os invasores gostariam de controlar. 

2– Identificar ameaças

As ameaças são as táticas, técnicas e métodos usados por atores de ameaças que têm o potencial de causar danos aos ativos, não é mesmo? 

Por isso, recomenda-se identificar ameaças potenciais para cada ativo para que seja possível determinar os tipos de proteção que eles precisam.

3– Identificar o que pode dar errado

Por último, essa tarefa envolve a especificação das consequências de uma ameaça identificada que explora uma vulnerabilidade para atacar um ativo no escopo.

Resumir informações em cenários simples torna mais fácil para todas as partes interessadas entender os riscos que enfrentam em relação aos principais objetivos de negócios e para as equipes de segurança identificarem as medidas adequadas e as melhores práticas para lidar com o risco.

Leia sobre o Gerenciamento de Vulnerabilidades.

Etapa 3: Análise dos riscos e determinação do potencial impacto

Nesse sentido, agora é momento de determinar a probabilidade de os cenários de risco da Etapa 2 ocorrerem e seu potencial impacto na organização.

Em uma avaliação de risco de segurança cibernética, deve-se determinar a probabilidade de risco (de uma certa ameaça ser capaz de explorar uma certa vulnerabilidade). Isso deve ser feito com base na descoberta, exploração e reprodutibilidade de ameaças e vulnerabilidades, em vez de ocorrências históricas.

É interessante classificar a probabilidade em uma escala de 1 (rara) a 5 (altamente provável), assim como indicar o impacto em uma escala de 1 (insignificante) a 5 (muito grave).

Claro, o impacto se refere à magnitude do dano à organização resultante das consequências de uma ameaça que explora uma vulnerabilidade. 

Etapa 4: Determinar e priorizar os riscos

Cada cenário de risco pode ser classificado. Se o risco de um ataque de injeção de SQL, por exemplo, for considerado como “provável” ou “altamente provável”, o cenário de risco seria visto como “muito alto”.

Portanto, qualquer cenário que esteja acima do nível de tolerância acordado deve ser priorizado para trazê-lo dentro do nível de tolerância de risco da organização.

Para tanto, pode-se descontinuar uma atividade, compartilhar uma parte do risco com outras partes por meio de seguro cibernético ou terceirizando certas operações. Também é possível implantar controles de segurança e outras medidas para reduzir a probabilidade e/ou impacto.

Nenhum sistema ou ambiente pode ser 100% seguro, é claro, então sempre há algum risco sobrando.

Etapa 5: Documentar todos os riscos

Em suma, é importante documentar todos os cenários de risco identificados em um registro de risco. Devemos revisar e atualizar isso regularmente para garantir que a administração sempre tenha uma conta atualizada de seus riscos de segurança cibernética.

Nesse caso, deve incluir:

  • Cenário de risco;
  • Data de identificação;
  • Controles de segurança existentes;
  • Nível de risco atual;
  • Plano de tratamento (atividades planejadas e cronograma para trazer o risco dentro de um nível aceitável de tolerância);
  • Status do progresso de implementação do plano de tratamento;
  • Risco residual (o nível risco após a implementação);
  • Proprietário do risco (o indivíduo ou grupo responsável por garantir que os riscos residuais permaneçam dentro do nível de tolerância).

Por fim, uma avaliação de risco de segurança cibernética é uma tarefa grande e contínua. Tenha em mente que tempo e recursos devem ser disponibilizados para melhorar a segurança futura da organização.

E para se qualificar em Segurança Cibernética e outras áreas relacionadas a Segurança da Informação, aproveite as trilhas de formação do plano de assinatura da PMG Prime.

Leia os outros textos do blog e tire suas dúvidas nos comentários.

Blog

O que são ataques de criptografia?

A criptografia é um método de armazenamento e transmissão de dados de uma forma específica para que apenas os destinatários possam lê-los e processá-los.  Dessa

Leia Mais »
Blog

Como Desenvolver Software de Forma Segura

O desenvolvimento de software é um processo complexo com muitas questões diferentes, como design, codificação, teste e implantação, que precisam ser considerados e gerenciados para

Leia Mais »

Deixe um comentário

O seu endereço de e-mail não será publicado.

Assine Minha Newsletter

Fique por dentro das novidades e receba conteúdos exclusivos em seu e-mail.