Gestão de Riscos em Segurança da Informação: como fazer uma avaliação?
Gestão de Riscos de Segurança da Informação é
um assunto amplo. Para realizar uma efetiva avaliação de riscos é necessário
que o profissional tenha conhecimento teórico, experiência de sucesso e
seriedade profissional. Aqui não vale “Conhecimento Facebook”, isto é, aquele
sujeito que vive postando nas redes sociais frases de impacto (copiadas), nas
reuniões só fala o óbvio ou compartilha qualquer artigo em inglês que cite Risk Management.
Você conhece alguém assim?
Bem, Gestão de Riscos se aplica a qualquer
escopo: financeiro, de imagem ou similar. Para o tema específico Gestão de
Riscos de Segurança da Informação existe uma excelente fonte de referência que
é a Norma ABNT NBR ISO/IEC 27005:2008 – Tecnologia de segurança – Técnicas de
segurança – Gestão de riscos em segurança da informação. Não deixe de ler. Nela
você encontra formalizados os conceitos e as estruturas necessárias para
aprimorar seu conhecimento.
A Gestão de Riscos de Segurança da Informação é
uma Dimensão do Processo Corporativo de Segurança da Informação e tem por
objetivo minimizar a ocorrência de ameaças que podem interferir (negativamente)
no recurso informação utilizado pela organização para atingir os seus objetivos
corporativos e possibilitar realizar ações respaldado teoricamente.
Para a existência da Gestão de Riscos de
Segurança da Informação na Organização, você precisa de dois blocos de ações:
– Você deve escrever um documento sobre os
conceitos adotados pela organização e como será estruturada a Dimensão de
Gestão de Riscos. Este documento, uma vez elaborado, será estático e
necessitará ser pouco atualizado.
– Você deve realizar avaliações periódicas dos
riscos que afetam a informação e os recursos de informação. Mas, o que se deve
considerar para fazer uma análise destas? Vamos detalhar este aspecto.
Cada avaliação realizada é uma fotografia do
momento organizacional. Ela tem valor próprio, porém o maior aprendizado da
organização é a sequência de avaliações ao longo do tempo. Para tanto, estas
avaliações precisam ser estruturadas. Para realizar uma Avaliação da Dimensão
Gestão de Riscos de Segurança da Informação devemos considerar os seguintes
elementos ou etapas.
1.
Definição do Contexto.
Para a realização de uma Avaliação de Riscos de
Segurança da Informação é necessário que sejam definidos os padrões adotados
para esta avaliação. Devemos explicitar:
1.1. Identificação
do ativo ou dos ativos
Qualquer avaliação de riscos precisa delimitar
e explicitar quais ativos de informação está considerando. Precisamos ter
limites. Um ativo pode ser um servidor, pode ser o ambiente de tecnologia ou
pode ser o conjunto das políticas e normas de segurança da informação. Vamos
seguir tomando por exemplo este último: Dimensão Política de Segurança da
Informação.
1.2.
Escopo
Precisamos identificar, considerando o ativo
escolhido, qual o escopo que será analisado. No nosso exemplo podemos declarar
que o escopo considera o conjunto de controles definidos nas políticas e normas
publicadas.
1.3.
Ameaça
A Norma 27005:2008 define que “uma ameaça tem o
potencial de comprometer os ativos e, por isso, também as organizações”. Para
que uma organização tenha uma boa proteção em função de uma boa Gestão de
Riscos de Segurança da Informação é importante que um grande número de ameaças
seja considerado. Porém esta abrangência de ameaças deve ser adquirida ao longo
dos anos. Para uma Análise de Riscos é importante um número restrito de
ameaças. Para este nosso exemplo vamos considerar a seguinte ameaça: o controle
de segurança da informação definidos nas políticas e normas não está
funcionando de maneira adequada.
1.4.
Tratamento do Risco
Neste item é definido como os riscos serão
considerados. O que iremos considerar: minimizar, aceitar, evitar ou repassar
para terceiros. Para o nosso exemplo
podemos considerar que o tratamento do risco será implantar ou aprimorar o
controle até que o mesmo esteja no patamar adequado.
1.5.
Critérios Básicos
Precisamos definir os critérios que serão
utilizados na nossa avaliação. No nosso exemplo podemos definir:
–
Efetividade dos controles.
–
Impacto se uma vulnerabilidade for explorada.
– Priorização. Como
vamos considerar o cruzamento da efetividade dos controles e o impacto, de
maneira a gerar um padrão de prioridade.
2.
Realização da avaliação
Precisamos realizar a avaliação considerando os
padrões definidos no Contexto.
3.
Apresentação dos Resultados.
A apresentação dos resultados é a parte mais
visível da Gestão de Riscos. Não existe uma etapa mais importante, porém é por
ela que a organização vai tomar conhecimento da Gestão de Riscos. O Corpo
Diretivo vai validar ou definir prioridades baseado nestes resultados. Portanto
esta etapa tem um valor estratégico.
Imagine você apresentando os resultados de uma
avaliação de riscos de segurança da informação para o presidente e para a diretoria
da organização. Sugiro poucos slides e um slide com visual gráfico apresentado
blocos de priorização. É importante que o profissional de segurança da
informação se posicione e proponha uma priorização. A presidência e a diretoria
devem validar ou alterar a priorização proposta.
Após esta etapa de apresentação para o Corpo
Diretivo devemos, considerando as características de cada organização, fazer a
divulgação desta avaliação para todos os usuários. Evidentemente considerando o
grau de sigilo da informação.
É importantíssimo realizar a Gestão de Riscos
de Segurança da Informação, porém precisamos estar atento que ela é uma
Dimensão do Processo Corporativo da Segurança da Informação. A proteção da
organização vai ser efetiva pelo seu conjunto de ações.
Faça a Gestão de Riscos de Segurança da
Informação. Não dê sorte ao azar, ao erro, à negligência, ao esquecimento ou
aos criminosos.
Grande abraço,
Edison Fontes.
Prof. Ms.
Edison Fontes, CISM, CISA, CRISC
Consultor em Segurança da Informação, Gestão de
Risco, Continuidade de Negócio.
Autor de livros sobre segurança da informação.
www.nucleoconsult.com.br
