Antigamente, só se estudava os riscos dos negócios, investimentos, taxas de retorno na bolsa, mas com o crescimento da internet e dos recursos tecnológicos, começaram a surgir os vírus, os hackers, a espionagem industrial. A partir daí, surgiu à gestão de riscos na área de TI, por sinal muito importante para a manutenção dos negócios.

Gestão de riscos é o conjunto de processos que permitem às organizações identificar e programar medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos.

Cada empresa deve analisar seus processos de trabalho e identificar os pontos que merecem destaque e que precisam ser protegidos contra ataques ou outros fatores que podem comprometer os ativos de informação.

 

O Risco no contexto da segurança da informação

A gestão de riscos tem como principal objetivo prevenir e evitar impactos negativos nos negócios. Falando em risco, devem-se ser observados esses fatores:

Ameaça: expectativa de acontecimento acidental ou proposital, causada por um agente, que pode afetar um ambiente, sistema ou ativo de informação.

Vulnerabilidade: Fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque.

Impacto: Efeito ou consequência de um ataque ou incidente para a organização.

É interessante observar que ameaça é algo externo ao ativo que se quer proteger (falha elétrica, fogo, vírus), enquanto a vulnerabilidade está associado ao próprio ativo, podendo ser decorrente de uma série de fatores, como falta de treinamento, falta de manutenção, falha humanas, etc.

A figura abaixo mostra o relacionamento existente entre esses termos. Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de manifestação. Em muitos casos a probabilidade associado a uma ameaça é calculado com base na freqüência de ocorrência (ex. freqüência de ataques, vírus, problemas elétricos). As medidas de proteção, também chamadas de controles, servem para eliminar ou reduzir os riscos, reduzindo a probabilidade de concretização de uma ameaça, as vulnerabilidades que podem ser exploradas por essa ameaça ou os impactos advindos de incidentes que venham a se concretizar.

Gestão de Risco

Precisamos fazer análise e uma avaliação criteriosa dos riscos, minimizando as ameaças e vulnerabilidades. Analise fatores ambientais (chuva, fogo, raio, falta de energia elétrica), fatores técnicos (configurações incorretas ou precárias, falhas de hardware e software), fatores lógicos (códigos maliciosos, invasão de sistema) e fatores humanos (erro de operação, fraude, sabotagem).

Ameaças exploram vulnerabilidades para atingir alvos de ataque. A falta de treinamento dos usuários, por exemplo, representa uma vulnerabilidade em relação à ameaça de erro humano, assim como a instalação de um Data Center no subsolo de um prédio produz vulnerabilidades associada à inundação.

Exemplos de vulnerabilidades comuns ligadas a o ambiente:
– Materiais estocados dentro do Data Center, aumentando o risco de Incêndio
– Fitas de backup armazenadas em armários sem proteção, dentro de caixas de papelão.
– Excesso de poeira.
– Cabeamento de rede desorganizado e desprotegido.

 

Tratamento do risco

Existem várias medidas de proteção, utilizadas para diminuir os riscos de segurança da informação, são classificados como:
Medidas Preventivas: Controles que reduzem as probabilidades de uma ameaça de concretizar.
Medidas corretivas ou reativas: reduzem o impacto de um ataque/incidente, são medidas tomadas após a ocorrência do evento.
Medidas defectivas: expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.

Gestão de Risco

É sempre importante elaborarmos uma política de segurança da informação, bem clara e objetiva, mostrando todas as normas relativas à segurança dos ativos. A política de segurança para ser concretizada, precisa ter o apoio da diretoria, para evitar resistências. Também não adianta fazermos um livro com todas as regras, se não realizarmos um treinamento para passar para os colaboradores, a maioria não lê, por isso é preciso fazê-los ouvir, sabendo eles, das punições com o não comprometimento.

A gestão de riscos de ser reavaliada, a cada dia, de forma permanente, pois vulnerabilidades e ameaças surgem a todo instante, por isso é precisa monitorar todos os recursos de tecnologia da informação para que estejam em conformidade com a avaliação de risco e proteção adequada.

 

Artigos Interessantes:

http://imasters.uol.com.br/artigo/5295/gerencia/seguranca_e_gestao_de_riscos_em_tecnologia_da_informacao/

http://www.virtue.com.br/blog/?p=26

Segurança da Informação – Adriana Beal

Abraços a todos

Fique atualizado!

Fique atualizado!

Deixe seu e-mail abaixo e receba conteúdo exclusivo do blog.

You have Successfully Subscribed!