Gestão de Riscos em Segurança da Informação: como fazer uma avaliação?

Gestão de Riscos de Segurança da Informação é um assunto amplo. Para realizar uma efetiva avaliação de riscos é necessário que o profissional tenha conhecimento teórico, experiência de sucesso e seriedade profissional. Aqui não vale “Conhecimento Facebook”, isto é, aquele sujeito que vive postando nas redes sociais frases de impacto (copiadas), nas reuniões só fala o óbvio ou compartilha qualquer artigo em inglês que cite Risk Management.

Você conhece alguém assim?

Bem, Gestão de Riscos se aplica a qualquer escopo: financeiro, de imagem ou similar. Para o tema específico Gestão de Riscos de Segurança da Informação existe uma excelente fonte de referência que é a Norma ABNT NBR ISO/IEC 27005:2008 – Tecnologia de Segurança – Técnicas de Segurança – Gestão de Riscos em Segurança da Informação. Não deixe de ler. Nela você encontra formalizados os conceitos e as estruturas necessárias para aprimorar seu conhecimento.

A Gestão de Riscos de Segurança da Informação é uma Dimensão do Processo Corporativo de Segurança da Informação e tem por objetivo minimizar a ocorrência de ameaças que podem interferir (negativamente) no recurso informação utilizado pela organização para atingir os seus objetivos corporativos e possibilitar realizar ações respaldadas teoricamente.

Para a existência da Gestão de Riscos de Segurança da Informação na Organização, você precisa de dois blocos de ações:

– Você deve escrever um documento sobre os conceitos adotados pela organização e como será estruturada a Dimensão de Gestão de Riscos. Este documento, uma vez elaborado, será estático e necessitará ser pouco atualizado.

– Você deve realizar avaliações periódicas dos riscos que afetam a informação e os recursos de informação. Mas, o que se deve considerar para fazer uma análise destas? Vamos detalhar este aspecto.

Cada avaliação realizada é uma fotografia do momento organizacional. Ela tem valor próprio, porém o maior aprendizado da organização é a sequência de avaliações ao longo do tempo. Para tanto, estas avaliações precisam ser estruturadas. Para realizar uma Avaliação da Dimensão Gestão de Riscos de Segurança da Informação devemos considerar os seguintes elementos ou etapas.

  1. Definição do Contexto

Para a realização de uma Avaliação de Riscos de Segurança da Informação é necessário que sejam definidos os padrões adotados para esta avaliação. Devemos explicitar:

1.1. Identificação do Ativo ou dos Ativos

Qualquer avaliação de riscos precisa delimitar e explicitar quais ativos de informação está considerando. Precisamos ter limites. Um ativo pode ser um servidor, pode ser o ambiente de tecnologia ou pode ser o conjunto das políticas e normas de segurança da informação. Vamos seguir tomando, por exemplo, este último: Dimensão Política de Segurança da Informação.

1.2. Escopo

Precisamos identificar, considerando o ativo escolhido, qual o escopo que será analisado. No nosso exemplo podemos declarar que o escopo considera o conjunto de controles definidos nas políticas e normas publicadas.

1.3. Ameaça

A Norma 27005:2008 define que “uma ameaça tem o potencial de comprometer os ativos e, por isso, também as organizações”. Para que uma organização tenha uma boa proteção em função de uma boa Gestão de Riscos de Segurança da Informação é importante que um grande número de ameaças seja considerado. Porém esta abrangência de ameaças deve ser adquirida ao longo dos anos. Para uma Análise de Riscos é importante um número restrito de ameaças. Para este nosso exemplo vamos considerar a seguinte ameaça: o controle de segurança da informação definidos nas políticas e normas não está funcionando de maneira adequada.

1.4. Tratamento do Risco

Neste item é definido como os riscos serão considerados. O que iremos considerar: minimizar, aceitar, evitar ou repassar para terceiros.  Para o nosso exemplo podemos considerar que o tratamento do risco será implantar ou aprimorar o controle até que o mesmo esteja no patamar adequado.

1.5. Critérios Básicos

Precisamos definir os critérios que serão utilizados na nossa avaliação. No nosso exemplo podemos definir:

  • Efetividade dos controles;
  • Impacto se uma vulnerabilidade for explorada;
  • Priorização, como vamos considerar o cruzamento da efetividade dos controles e o impacto, de maneira a gerar um padrão de prioridade.
  1. Realização da Avaliação

Precisamos realizar a avaliação considerando os padrões definidos no Contexto.

  1. Apresentação dos Resultados

A apresentação dos resultados é a parte mais visível da Gestão de Riscos. Não existe uma etapa mais importante, porém é por ela que a organização vai tomar conhecimento da Gestão de Riscos. O Corpo Diretivo vai validar ou definir prioridades baseado nestes resultados. Portanto esta etapa tem um valor estratégico.

Imagine você apresentando os resultados de uma avaliação de riscos de segurança da informação para o presidente e para a diretoria da organização. Sugiro poucos slides e um slide com visual gráfico apresentado blocos de priorização. É importante que o profissional de segurança da informação se posicione e proponha uma priorização. A presidência e a diretoria devem validar ou alterar a priorização proposta.

Após esta etapa de apresentação para o Corpo Diretivo devemos, considerando as características de cada organização, fazer a divulgação desta avaliação para todos os usuários. Evidentemente considerando o grau de sigilo da informação.

É importantíssimo realizar a Gestão de Riscos de Segurança da Informação, porém precisamos estar atento que ela é uma Dimensão do Processo Corporativo da Segurança da Informação. A proteção da organização vai ser efetiva pelo seu conjunto de ações.

Faça a Gestão de Riscos de Segurança da Informação. Não dê sorte ao azar, ao erro, à negligência, ao esquecimento ou aos criminosos.