Avaliação de risco é utilizada para identificar, estimar e priorizar riscos as operações organizacionais e aos ativos resultantes da operação e o uso dos sistemas de informação.
A avaliação de risco é primariamente um conceito de negócio onde tudo se trata de dinheiro. Antes de tudo, deve ser pensado em como a sua organização faz dinheiro, como os funcionários e os ativos afetam a rentabilidade do negócio e quais riscos resultariam em grandes perdas monetárias para a empresa. Após isso, você deverá pensar como pode aprimorar a sua infraestrutura de TI para reduzir os riscos que podem levar as maiores perdas financeiras para a organização.
Uma avaliação de risco básica envolve apenas três fatores: a importância dos ativos em risco, o quão crítico a ameaça é e quão vulnerável está o sistema a essa ameaça. Utilizando estes fatores, você pode avaliar o risco e a probabilidade da organização de perder dinheiro. Apesar da avaliação de risco se tratar de uma construção lógica e não de números, podemos representa-la utilizando a seguinte lógica:
Risco = Avaliação x Ameaça x Vulnerabilidade
Mesmo assim, lembre-se que qualquer coisa multiplicada por zero continuará sendo zero. Por exemplo, se o fator de ameaça for alto e o nível de vulnerabilidade for alto, mas a importância dos ativos é nula (ou seja, não valem dinheiro para a sua empresa), o seu risco de perder dinheiro é zero.
Há diversas formas de coletar a informação que você precisa para avaliar seu risco. Você pode por exemplo:
- Conversar com os gerentes, funcionários e os donos dos dados
- Analisar os seus sistemas e a sua infraestrutura
- Rever a documentação
Conteudo relacionado: Checklist: Avaliação de risco da TI.
Para iniciar a avaliação de risco, realize os seguintes passos:
- Encontre todos os ativos valiosos através da organização que podem ser colocados em risco por ameaças de forma que resulte em perda monetárias, como por exemplo:
-
- Servidores
- Website
- Informação de contato do cliente
- Documentos de parceiros
- Segredos empresariais
- Dados do cartão de crédito do cliente
- Identifique as potenciais consequências. Determine as perdas financeiras que a organização teria se algum ativo fosse danificado. Algumas das consequências que você deveria se preocupar são:
- Perda de dados
- Indisponibilidade de sistema ou aplicação
- Consequências legais
- Identifique o nível da ameaça. Uma ameaça pode ser qualquer coisa que explore uma brecha de vulnerabilidade na sua segurança e causa danos aos seus ativos. Entre as ameaças mais comuns estão:
- Desastres Naturais
- Falhas de sistemas
- Interferência humana acidental
- Ações humanas maliciosas (interferência, intercepção ou personificação)
- Identifique as vulnerabilidades e avalie a possibilidade de elas serem exploradas. Uma vulnerabilidade é uma fraqueza que permite que algumas ameaças criarem brechas de segurança que possam causar danos a um ativo. Pense sobre o que protege os seus sistemas de uma dita ameaça e, caso essa ameaça realmente ocorra, quais são as chances de que de fato trarão dano aos seus ativos? As vulnerabilidades podem ser físicas (como equipamentos antigos), problemas de software ou configuração (como permissões de acesso excessivos ou estação de trabalho não atualizadas), ou fatores humanos (como membros da equipe descuidados ou não treinados).
- Avaliação de risco. O risco é o potencial que uma ameaça tem de explorar as vulnerabilidades do ambiente e causar estrago a um ou mais ativos, resultando em perda monetária. Avalie o risco de acordo com a fórmula lógica mostrada acima e marque o risco como alto, moderado ou baixo. Então, desenvolva uma solução para cada risco de nível moderado ou alto, junto a uma estimativa do custo.
- Crie um plano de gerenciamento de risco usando os dados coletados.
Confira alguns exemplos
- Crie uma estratégia que aprimore a infraestrutura de TI para mitigar as vulnerabilidades mais importantes para obter aprovação da gerência
- Defina o processo de mitigação. Você pode incrementar a segurança da sua infraestrutura de TI mas não pode eliminar todos os riscos. Quando um desastre ocorre, você resolve o ocorrido, investiga o que o causou e, tenta prevenir que aconteça novamente ou que ao menos faça as consequências menos severas. Abaixo, podemos ver um exemplo do processo de mitigação para uma falha no servidor:
- Evento (Falha no servidor) > Resposta (Utilizar seu plano de recuperação pós-desastre ou utilizar a documentação do fabricante para deixar o servidor disponível e executando) > Análise (Determinar o por que o servidor falhou) > Mitigação (Se o servidor falhou devido a superaquecimento do equipamento de baixa qualidade, pergunte ao seu gerente se é possível adquirir novos equipamentos; em caso de recusa, faça um monitoramento mais detalhado para que você possa desligar o servidor de forma controlada)
Conteúdo relacionado: Trabalho remoto: O risco de segurança na nuvem e como interrompê-lo
Parabéns!
Você terminou sua primeira avaliação de risco. Mas lembre-se que a avaliação de risco não é um evento único. Tanto o seu ambiente de TI e as ameaças estão em constante mudança, então é necessário realizar essa avaliação de risco regularmente. Crie uma política de avaliação de risco que codifica sua metodologia de avaliação e específica de quanto em quanto tempo essa isso deve ser feito.
Veja o webinar sobre avaliação de risco na TI (em inglês) da Netwrix e aprenda como o Netwrix Auditor pode te ajudar a identificar e priorizar seus riscos de TI e saber quais passos tomar para remedia-los.



