Imagem: Pixabay

Como analisar um risco na segurança da informação

A análise de risco de uma forma geral é o processo que se avalia a probabilidade de ocorrência de um evento potencialmente danoso aos resultados do seu negócio. Negócios de qualquer natureza correm riscos que precisam ser avaliados.

Com a aceleração da transformação digital pelas empresas, o ativo da informação está ganhando mais importância para os negócios, e em contrapartida torna-se alvo de ataques diversos. Ativo é uma informação lógica ou física, hardware, software ou ambiente físico que tenha valor para a organização e que a violação da tríade de segurança (confidencialidade, integridade ou disponibilidade) venha causar severos prejuízos para o negócio. Veja mais sobre os requisitos da segurança no post  “A tríade da segurança: confidencialidade, integridade e disponibilidade”.

A incidência de ataques tende a aumentar e, com isso, não basta mais as empresas se preocuparem apenas com a segurança do seu perímetro, com firewalls e outras ferramentas. É preciso criar uma cultura de proatividade em busca das melhores tecnologias e práticas para manter os seus dados e os de seus clientes protegidos de pessoas mal intencionadas, de usuários mal treinados e de desastres. Provedores de Serviços de TI e MSPs (Managed Service Providers) especializados podem contribuir na análise de riscos e no aumento da segurança das informações para as empresas.

Para entender os conceitos sobre análise de riscos da segurança da informação e aumentar a proteção dos negócios, veja as principais definições nesse post.

Interação entre os conceitos básicos de Segurança da Informação

O diagrama abaixo tem como referências a ISO/IEC 15408 [1] e o Commom Criteria (CC) [2], utilizados com frequência como base para avaliação e desenvolvimento de sistema com os requisitos comuns de segurança da informação.

Diagrama – Commom Criteria

O foco da norma CC é o desenvolvimento de softwares seguindo especificações e controles de segurança definidos, assim como a elaboração de mecanismos de avaliação para análise e classificação deste software em relação ao seu nível de segurança e conformidade com tais especificações. O diagrama, porém, é extremamente didático, mostrando de forma clara a interação entre os componentes básicos que afetam a segurança.

Definições

Antes de começarmos a definir uma estratégia de segurança, precisamos saber o que proteger e contra o que vamos proteger os ativos da organização.

A metodologia utilizada pelo mercado é a análise de riscos, sendo que há várias formas de conduzir este processo.

Os custos com os controles precisam ser equilibrados contra o suscetível dano ao negócio resultante das falhas de segurança.

Como em muitos casos pode ser identificados muitas vulnerabilidades para serem corrigidas, é necessário colocar a atenção nos ativos que tem mais importância para o negócio da empresa, isto faz como que os investimentos sejam dirigidos para o lugar certo e de forma equilibrada.

Os resultados da análise de riscos ajudam a determinar quais são as medidas de segurança adequadas contra os riscos e ameaças e quais são as prioridades para o gerenciamento de riscos por parte da organização.

Nesse contexto, a análise de risco na segurança da informação é baseada em três objetivos:

  • detectar riscos
  • avaliar o impacto das ameaças na organização
  • equilibrar o custo do impacto da ameaça com o preço para efetuá-lo

Vulnerabilidade

É o grau no qual um ativo ou grupo de ativos ou controle podem ser explorados pelas ameaças, internas ou externas. A vulnerabilidade caracteriza a ausência ou ponto fraco de uma medida preventiva que pode ser explorada.

Exemplo: Um serviço executado em um servidor sem atualização de patch recomendado pelo fabricante ou a porta aberta em um firewall.

Ameaça

É a causa potencial de um possível incidente que pode resultar em danos a um sistema ou para a organização. A entidade que se aproveita de uma vulnerabilidade é conhecida como um agente de ameaça.

Exemplo: Intruso acessando a rede de uma porta aberta no firewall, um processo acessando uma base de dados de uma maneira que viola a política da segurança. Famílias de malwares, como os ransomwares, que exploram a vulnerabilidade Eternal Blue [3].

Risco

É a probabilidade de que um agente de ameaça tire vantagem de uma vulnerabilidade e cause danos aos ativos de negócios correspondente. Um risco vincula a vulnerabilidade, ameaça e a probabilidade de ocorrência e impacto para o negócio.

Com a análise realizada, já é possível avaliar e monitorar o grau de risco:

Matriz de Risco

Pode ser utilizado os seguintes critérios de probabilidade de ocorrência das ameaças:

  • Alta – Ocorrência frequente (Semanal)
  • Média – Ocorrência repetitiva (Mensal/ Anual)
  • Baixo – Ocorrência pouco frequente (Últimos 3 anos)

Exemplo: Se um sistema automatizado de backup não é implementado, pode ocorrer perda de dados em caso de ataques de sequestro de dados, como os de ransomwares.

Medida preventiva ou contramedida

A medida preventiva é importante para mitigar o risco potencial.

Exemplo: Para evitar perda indesejada de dados, deve ser implementado sistemas profissionais de backup, com armazenamento das cópias de segurança na rede local e offsite, em ambiente de data center.

Por Yuri Amorim, DataSafer

Referências:

[1] ABNT, ABNT ISSO/IEC 15208-2:2008, https://www.abntcatalogo.com.br/norma.aspx?ID=28214

[2] The Commom Criteria, https://www.commoncriteriaportal.org/

[3] WikiPedia, EternalBlue, https://pt.wikipedia.org/wiki/EternalBlue

#

No responses yet

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Newsletter





Scroll Up