Brian Jackson - stock.adobe.com
5 passos para criar uma estratégia de segurança baseada em risco
Conheça os cinco passos para implementar uma estratégia de segurança baseada no risco, que ajudará a cumprir naturalmente as normas, resultado de uma boa postura de segurança.
O cumprimento de normas de segurança tais como ISO/IEC 27001, PCI DSS, CCPA e GDPR não torna necessariamente os controles de segurança de uma empresa eficazes e econômicos. Simplesmente seguir longas listas de verificação e implementar controles básicos para satisfazer os requisitos de uma norma não criará automaticamente uma estratégia coerente que construa um ambiente operacional resiliente, que possa lidar com as ameaças atuais e futuras.
Uma abordagem de segurança baseada em risco, por outro lado, identifica os verdadeiros riscos para os ativos mais valiosos de uma organização e dá prioridade aos gastos para mitigar esses riscos a um nível aceitável. Uma estratégia de segurança moldada por decisões baseadas no risco permite a uma organização desenvolver objetivos de segurança mais práticos e realistas e investir os seus recursos de uma forma mais eficaz. Também proporciona conformidade, não como um fim em si mesmo, mas como consequência natural de uma postura de segurança forte e otimizada.
Embora uma estratégia de segurança baseada no risco exija um planejamento cuidadoso, monitoração e avaliação contínua, não tem de ser um processo muito complexo. Existem cinco passos-chave para implementar a segurança baseada em risco que, embora demorados, alinharão a segurança com os objetivos da organização.
Passo 1: Avaliação de ativos
Determine quais são os principais recursos de informação da organização, onde estão e quem é o seu proprietário. Olhe para além dos termos materiais para determinar o seu valor. Incluir numa avaliação qualquer impacto comercial e custos associados à confidencialidade, integridade ou disponibilidade de um ativo comprometido, tais como a perda de receitas de um sistema de entrada de ordens em queda ou os danos à reputação causados por um website pirateado.
Avaliar os ativos desta forma garante que aqueles que são mais importantes para a continuidade do dia a dia da organização tenham a maior prioridade quando se trata de segurança.
Passo 2: Identificar ameaças
A seguir, identifique quem pode querer roubar ou danificar os bens identificados no primeiro passo, bem como porque e como o podem fazer. Isto pode incluir concorrentes, nações hostis, empregados ou clientes descontentes, terroristas e ativistas, bem como ameaças não hostis, tais como um empregado não treinado. Considerar também a ameaça de catástrofes naturais, tais como inundações e incêndios.
A cada ameaça identificada deve ser atribuído um nível de perigo com base na probabilidade da sua ocorrência. A probabilidade de ocorrência de um determinado cenário exigirá a contribuição de gestores empresariais para fornecer conhecimentos específicos do setor, a fim de acrescentar às avaliações de informações sobre ameaças da própria equipa de segurança.
Passo 3: Identificar vulnerabilidades
Uma vulnerabilidade é uma fraqueza que uma ameaça pode explorar para violar a segurança e roubar ou danificar bens essenciais. Durante esta etapa, testes de penetração e ferramentas de varredura automatizada de vulnerabilidades podem ajudar a identificar vulnerabilidades de software e de rede.
Note-se que as vulnerabilidades físicas também precisam ser levadas em conta. Os perímetros são seguros e patrulhados? Os extintores de incêndio são verificados regularmente? Os sistemas geradores de reserva são testados?
Vulnerabilidades associadas a empregados, empreiteiros e fornecedores também precisam ser consideradas –como, por exemplo, estes grupos serem susceptíveis a ataques de engenharia social.
Passo 4: Definição do perfil de risco
Uma vez identificados os bens, ameaças e vulnerabilidades de uma organização, o perfil de risco pode começar a ser traçado. O risco pode ser considerado como a probabilidade de uma ameaça explorar uma vulnerabilidade, resultando num impacto comercial. O processo de definição de perfis de risco avalia os controles e salvaguardas existentes e mede o risco para cada combinação ativo-ameaça-vulnerabilidade, atribuindo-lhe em seguida uma pontuação de risco. Estas pontuações baseiam-se no nível de ameaça e no impacto sobre a organização caso o risco ocorra realmente.
Esta abordagem baseada no risco permite a uma organização dar prioridade correta às vulnerabilidades que identificou e concentrar os seus esforços nos riscos que são os mais significativos para as suas operações.
Passo 5: Tratamento dos riscos
Os riscos variam desde os que são suficientemente baixos para que uma organização os possa aceitar sem impacto adverso até aos tão graves, que devem ser evitados a todo o custo. Uma vez que cada risco tenha sido avaliado, deve ser tomada a decisão de o tratar, transferir, tolerar ou terminar. Cada decisão deve ser documentada juntamente com as razões que a embasaram. Repita o processo para cada cenário de ameaça para garantir que os recursos possam ser aplicados aos riscos que provavelmente terão o efeito mais significativo sobre o negócio. Uma vez implementadas estas decisões, realize testes para simular as principais ameaças, a fim de assegurar que os novos controles de segurança atenuem de fato os riscos mais perigosos.
Dicas úteis
Note-se que o apoio ao nível do conselho ao criar uma estratégia de segurança baseada em risco é primordial. A contribuição de numerosos stakeholders em toda a organização é essencial, uma vez que as decisões de mitigação de risco podem ter um efeito sério nas operações, que as equipes de segurança podem não apreciar plenamente se tomarem essas decisões isoladamente.
Embora a realização de uma avaliação de segurança baseada em risco pareça uma tarefa assustadora, existem muitas ferramentas online para ajudar na avaliação de ativos, níveis de ameaça e pontuações de risco. A Análise Fatorial do Risco da Informação e o Quadro de Gestão de Risco do NIST são dois exemplos de quadros que podem ser utilizados para quantificar o risco operacional. Elas ajudam a garantir que uma empresa compreende os verdadeiros riscos para os principais ativos por trás das suas operações cotidianas e a melhor forma de os mitigar.
Alcançar a segurança total é impossível para qualquer organização, mas ao utilizar recursos e conhecimentos de uma forma inteligente e rentável, os profissionais de TI podem tirar o máximo proveito de seus orçamentos, tão difíceis de conquistar.
