Como gerenciar riscos?

2 de julho de 2021
Adriano Martins Antonio

Sabemos que os riscos nas infraestruturas de TI e espaço cibernético estão cada vez mais frequentes e sofisticados. São as consequências do progresso tecnológico otimizado pela transformação digital, que traz – junto com os benefícios e possibilidades – ameaças e vulnerabilidades, verdadeiros alvos que os hackers vivem para explorar! Mas o que fazer para gerenciar esses riscos? Que estratégias usar para evitar ou ao menos amenizar os impactos que podem causar? Afinal, como fazer uma Análise de Risco e Avaliação do Risco?

Homem segurando uma lupa com pequenos blocos que formam a palavra Risk

Para início dessa conversa, vamos primeiramente entender o que de fato é considerado “risco”.

Você sabe o que é um RISCO?

RISCO = Probabilidade de um evento ocorrer + consequência desse evento. 

Um risco ocorre quando é possível que um agente ameaçador (hacker) tire vantagem de alguma vulnerabilidade e de seu correspondente impacto comercial. Por exemplo: um firewall com várias portas abertas apresenta uma probabilidade maior de que haja uma invasão não autorizada na rede e de seus consequentes estragos. 

Outro exemplo: Uma equipe de funcionários mal informados a respeito dos procedimentos e processos da empresa gera uma probabilidade maior de um erro não intencional que possa destruir dados.

Mais outro exemplo: Uma rede sem sistema de detecção de intrusão implantado oferece uma probabilidade maior de que passe despercebido algum ataque, e que quando se perceba já seja tarde demais.

Trocando em miúdos, podemos afirmar que o risco vincula: a vulnerabilidade, junto com a ameaça e a probabilidade da exploração, ao consequente impacto comercial relacionado. 

E é bom ressaltar que o risco na Segurança da Informação pode estar associado a ameaças tanto de um ativo de informação como de um grupo de ativos de informação que possam causar danos a uma organização.

Fundo azul com um quebra-cabeça branco. Uma peça vermelha representa o risco.

Pois, quando uma ameaça se materializa, surge um risco para a organização. E, no processo da Segurança da Informação, as ameaças são mapeadas de forma eficiente para que tanto a análise de extensão do risco, quanto o gerenciamento de sua avaliação determinem as medidas que devem ser tomadas a fim de minimizar o risco e o que ele pode se tornar.

Leia também:

Ameaças Cibernéticas – Conheça seus inimigos!

Então tá…sabendo o que de fato são considerados riscos, qual o primeiro passo para gerenciá-los? Bem, se você já leu o meu e-book Segurança Cibernética – Uma Questão de Sobrevivência, já deve saber que para entender como se proteger, é preciso antes conhecer o que precisa ser protegido e de quem precisa proteger. Ou seja, é preciso mapear e analisar os riscos.

Entenda o que é uma Análise de Risco

De acordo com a ISO 27005, podemos entender o termo ‘análise de risco’ como um processo que define e analisa os riscos representados por potenciais eventos adversos humanos e naturais, tanto para indivíduos como para empresas e agências governamentais.

Ou seja, a Análise de Risco possibilita as estimativas dos riscos e fornece o embasamento para a devida avaliação e definição das medidas de proteção que precisam ser tomadas.

Na prática, a Análise de Risco é uma ferramenta para esclarecer quais ameaças são relevantes para os processos operacionais e para identificar os riscos associados.

É através da Análise de Risco que o nível de segurança adequado e as medidas de segurança associadas podem ser determinados.

Podemos definir os objetivos de uma Análise de Risco como:

  • Identificar ativos e seus valores;
  • Mapear vulnerabilidades e ameaças;
  • Analisar o risco das ameaças se tornarem realidade e interromperem o processo operacional;
  • Especificar o equilíbrio entre os custos de um incidente e os custos de uma medida de segurança, ou seja, uma análise custo X benefício.

Tipos de Análises de Risco

A Análise de Risco pode ser quantitativa e qualitativa. Vamos entender melhor cada uma delas!

A Análise Quantitativa de Risco tem o objetivo de calcular um valor do risco com base no nível do prejuízo financeiro e na probabilidade de que uma ameaça possa se tornar um incidente de Segurança da Informação. Determina o valor de cada elemento em todos os processos operacionais. Estes valores podem ser compostos pelos custos das medidas de Segurança da Informação, bem como o valor da propriedade em si, incluindo itens como hardware, software, informação e impacto nos negócios.

O tempo de uma Análise Quantitativa de Risco deve se estender desde o surgimento de uma ameaça até a eficácia das medidas de Segurança da Informação.

Mas, uma Análise de Risco puramente quantitativa é praticamente impossível! É a Análise Qualitativa de Risco que mapeia os cenários e situações e as chances de uma ameaça se tornar realidade (com base intuitiva).

A análise qualitativa também examina o processo operacional relacionado à ameaça e às medidas de Segurança da Informação já tomadas. Isso tudo leva a uma visão subjetiva das possíveis ameaças, para que medidas sejam posteriormente tomadas a fim de minimizar o risco de Segurança da Informação.

Mas, o melhor resultado de uma análise é sempre alcançado quando realizada em grupo, pois isso leva a um debate que evita o monopólio de visão de uma única pessoa ou de um único departamento.

Como avaliar os riscos

Feita a Análise dos Riscos, o próximo passo do gerenciamento é a Avaliação de Risco.

De acordo com a ISO/IEC 27000:2012, Avaliação de Risco é o processo geral de identificação de risco, análise de risco e estimativa de risco.

A Avaliação de Risco, portanto, deve incluir uma abordagem sistemática para estimar a magnitude dos riscos (Análise de Risco) e o processo de comparar os riscos estimados em relação aos critérios de risco para determinar a significância dos riscos (Estimativa de Risco). Parece confuso? Então vamos tentar facilitar esse entendimento… Perceba:

Avaliação de risco é a soma total de:

  • Avaliação e apreciação de ativo;
  • Avaliação e apreciação de ameaça;
  • Avaliação de vulnerabilidade.

E é essa soma total que fornece o diagnóstico do cenário como base para definição das devidas estratégias. E que estratégias são essas? Existem tipos de estratégias diferentes, para que possa ser usada a mais adequada ao resultado da avaliação de risco. Vejamos quais são:

Conheça 3 tipos de Estratégias que podem ser aplicadas no Gerenciamento de Riscos

O primeiro tipo de estratégia que quero citar é  a de Aceitabilidade de Risco, em que:

  • Certos riscos são aceitáveis, já que medidas de segurança são muito caras;
  • A administração pode decidir não fazer nada, ainda que os custos com as medidas de segurança não excedam os custos com os possíveis danos;
  • As medidas de segurança da informação são geralmente de natureza repressiva.

Outro tipo de estratégia é a de Risco Neutro, na qual as medidas de segurança são tomadas para que:

  • A ameaça deixe de existir;
  • O dano resultante seja minimizado;
  • As medidas de segurança tomadas sejam uma combinação de medidas preventivas, investigativas e repressivas.

E, na estratégia de Prevenção de Risco:

  • As medidas de segurança tomadas são de tal ordem que a ameaça é neutralizada a um grau que impede a ocorrência de um incidente. Por exemplo: a adição de um novo software que faz com que os erros no antigo software não sejam mais uma ameaça;
  • E, as medidas de segurança que são tomadas são preventivas por natureza.

De acordo com o resultado da avaliação de risco, escolhe-se a estratégia mais adequada ao cenário para o devido tratamento.

Tratando os riscos de segurança…

Antes de considerar o tratamento de um risco, a organização precisa definir os critérios para determinar se os riscos podem ser ou não aceitos. 

Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização. 

Para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. 

Possíveis opções para o tratamento do risco incluem: 

  • Aplicar controles apropriados para reduzir os riscos; 
  • Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco;
  • Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos; 
  • Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

É recomendado que para aqueles riscos onde a decisão de tratamento seja a de aplicar os controles apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos. 

Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável, levando-se em conta: 

  • Os requisitos e restrições de legislações e regulamentações nacionais e internacionais; 
  • Os objetivos organizacionais; 
  • Os requisitos e restrições operacionais; 
  • Custo de implementação e a operação em relação aos riscos que estão sendo reduzidos e que permanecem proporcionais às restrições e requisitos da organização; 
  • A necessidade de balancear o investimento na implementação e operação de controles contra a probabilidade de danos que resultem em falhas de segurança da informação.

Então isso é Gerenciamento de Riscos?

Quando uma ameaça se manifesta, transforma-se em um incidente. Como por exemplo: um hacker que consegue acessar a rede da empresa, ou uma falha grave de energia que ameaça a continuidade dos negócios. E é quando a ameaça se concretiza que surge um risco para a empresa. 

Tanto a extensão do risco, quanto o seu gerenciamento, determinam quais medidas devem ser tomadas.

Portanto, é chamado de Gerenciamento de Risco todo o processo da transformação de uma ameaça em risco com as devidas medidas de segurança relacionadas. 

Importante destacar que a gestão de risco é um processo contínuo, no qual os riscos são identificados, examinados e reduzidos a um nível aceitável. 

Este processo se aplica a todos os aspectos dos processos operacionais. Em grandes organizações, a tarefa de acompanhar este processo é realizada por um especialista em segurança da informação.

E a maioria das medidas tomadas pela área da segurança da informação de uma organização para neutralizar o risco é a combinação de ações preventivas e medidas repressivas. 

Quando as medidas são tomadas para evitar o risco, a ameaça é neutralizada de tal modo que não conduza a um incidente. Para exemplificar na prática como eliminar uma ameaça existente, basta imaginar um upgrade de um software antigo para um mais atualizado e sem erros. 

Pense bem nesse processo!

Independentemente da estratégia adotada, o fundamental é que seja uma decisão consciente, baseada na análise e avaliação dos riscos. É importante também que o gerenciamento seja feito de forma alinhada aos objetivos e à Política de Segurança da empresa, assim como aos requisitos e restrições da legislação e regulamentação Nacional e Internacional.

Gerenciamento de Riscos é, sem dúvida, um assunto muito extenso e minucioso. Para cada cenário é preciso uma adequação estratégica. Portanto, um profissional de segurança da informação deve sempre ser acionado. Mas, por aqui, espero ter ajudado a clarear a percepção sobre como tratar os riscos que assombram a proteção dos seus dados, informações e ativos de uma forma geral.

Se esse conteúdo foi útil para você, indique para outras pessoas! O que é bom a gente compartilha! Valeuuu!!! 

Blog

Open Banking é seguro?

O que é Open Banking e quais os desafios que oferece para a segurança de dados? Entre as novidades que permeiam o mercado financeiro e

Leia Mais »

1 comentário

Deixe um comentário

O seu endereço de e-mail não será publicado.

Assine Minha Newsletter

Fique por dentro das novidades e receba conteúdos exclusivos em seu e-mail.