Identificar os riscos à segurança da informação se refere a possibilidade de que uma ameaça irá explorar as vulnerabilidades de um ou mais ativos e então, causar perda financeira para a empresa. Por exemplo, se os seus sistemas caírem, quanto dinheiro a sua empresa perderá por conta dessa baixa? A seriedade de um dado risco depende de detalhes específicos da empresa. Neste post, exploraremos 2 formas de priorizar os riscos: Uma qualitativa e outra quantitativa.
Para mais sobre a introdução a avaliação de risco, veja as melhores práticas na avaliação de risco.
Por conta do risco à segurança da informação representar uma possível perda financeira, não importa como você escolha lidar com ela, o primeiro é passo para identificar é pensar de que forma a sua empresa faz dinheiro, como os funcionários e os ativos afetam o lucro do negócio e quais riscos podem resultar em uma perda monetária grande para a empresa. Após isso, você deve pensar em como aprimorará a sua infraestrutura de T.I para reduzir riscos que podem levar a perdas financeiras ainda maiores.
Os principais riscos
Abaixo listaremos alguns dos principais riscos à segurança da informação que você deveria considerar:
- Os atacantes podem alterar os dados eletrônicos ou rouba-los e fazer mal-uso deles, eles também poder ganhar acesso a um computador ou sistema. Por exemplo, caso alguém use de forma bem-sucedida os dados fraudulentos para adquirir um produto da sua loja virtual, sua empresa perderá dinheiro. Logo, você precisa implementar um processo ou solução para prevenir a fraude, ou ao menos mitigar o risco de fraude.
- Multas. Diversos tipos de incidentes podem resultar em multas caras. Por exemplo, caso alguém consiga hackear o seu sistema e roubar dados do seu banco de dados, mesmo que a informação roubada não te custe nada, sua empresa ainda pode ser multada diante das circunstâncias legais por falhar em prover a segurança adequada a um banco de dados. Este risco aumenta consideravelmente caso você esteja sujeito as regulações de compliance HIPAA, PCI-DSS ou leis como a LGPD.
- Roubo de dados ou dano causado. Caso os documentos da sua empresa sejam roubados, haverá risco de você perder o negócio na disputa com competidores.
- Quando os sistemas falham em performar suas principais funções, os funcionários podem não ser aptos a executar suas tarefas e os clientes podem não ser capazes de adquirirem algo do seu site.
Qualitativo e Quantitativo
Você precisa identificar e então priorizar os riscos à segurança da informação para que você possa alocar recursos de forma inteligente para aprimorar a segurança da T.I. Você pode atingir este objetivo tanto de forma qualitativa como quantitativa.
- O Método qualitativo avalia o risco usando como base categorias não-numéricas ou niveladas (como risco baixo, moderado, alto). O método qualitativo geralmente é mais simples e fácil de realizar do que o método quantitativo, especialmente se essa for a sua primeira avaliação de risco da T.I. Normalmente, essa é o melhor método para empresas de pequeno e médio porte.
- O método quantitativo envolve assinalar valores numéricos para calcular a probabilidade e a quantidade monetária perdida com base em uma matriz. O método quantitativo geralmente requer mais tempo e dinheiro para implementar do que o método qualitativo, mas os resultados são mais úteis para análise de custo benefício. Logo, este método é mais apropriado para grandes empresas.
Priorização de risco no método qualitativo
A priorização de riscos no método qualitativo começa quando se determina duas coisas para casa risco
- Quanto dinheiro a sua empresa irá perder no caso de um desses eventos de risco ocorrerem
- Quais as chances desse evento de risco ocorrer
Use uma tabela como essa abaixo para determinar o valor de seriedade para cada um desses fatores
Chance de o risco ocorrer (R.O) | Perda monetária (P.M) | Valor associado ao risco |
Praticamente certo de ocorrer | Muito alta (> R$1M) | Muito alto |
Provavelmente irá ocorrer | Alta (R$300k-R$1M) | Alto |
Há uma chance de ocorrer | Média (R$50k-R$300k) | Médio |
Improvável que ocorra | Baixa (R$5k-R$50k) | Baixo |
Muito provavelmente não irá ocorrer | Muito baixa (<R$5k) | Muito baixo |
Use esses itens para que você possa priorizar o risco de acordo. Por exemplo, caso a baixa de um sistema resulte em perda monetária muito alta e a chance de o sistema ficar indisponível é alta, então o risco tem uma prioridade severa. Entretanto, se a indisponibilidade resultar em uma perda monetária baixa, mas com o risco de indisponibilidade alta, então o risco tem uma prioridade moderada. Abaixo está um exemplo de uma tabela de priorização bem simples.
Valores de R.O e P.M | Prioridade do risco |
Valor de P.M muito alta e R.O alto ou muito alto | Severo |
Valor de P.M e de R.O alto, ou R.O muito alto com P.M média | Significante |
Valor de P.M e R.O médio, ou R.O alto ou muito alto com P.M baixa | Moderado |
Valor de R.O e P.M baixos, ou R.O médio com P.M muito baixa | Baixo |
Valo de R.O e P.M muito baixo ou, R.O baixo e P.M muito baixa | Mínimo |
Priorização de risco no método quantitativo
As avaliações de risco quantitativas são baseadas em números, onde os significados e a proporção dos valores são gerenciados pela organização. Esse tipo de avaliação é mais efetivo no caso de análises de custo benefício. Os benefícios da avaliação quantitativa, em alguns casos, podem não fazer valer a pena o tempo e o esforço necessário para fazer a implementação e o uso da ferramenta que faça essas avaliações.
Mais uma vez, você irá determinar qual a probabilidade de um evento de risco ocorrer e quanto dinheiro a sua empresa perderá caso aconteça. Então, você dará um valor numérico a cada um desses fatores usando uma tabela.
Chance de o risco ocorrer (R.O) | Perda monetária (P.M) | Valor associado ao risco |
Praticamente certo de ocorrer | Muito alta (> R$1M) | 95-100 |
Provavelmente irá ocorrer | Alta (R$300k-R$1M) | 80-95 |
Há uma chance de ocorrer | Média (R$50k-R$300k) | 21-79 |
Improvável que ocorra | Baixa (R$5k-R$50k) | 5-20 |
Muito provavelmente não irá ocorrer | Muito baixa (<R$5k) | 0-4 |
Multiplique os valores de R.O e P.M e utilize uma tabela para calcular o nível de prioridade para cada risco.
R.O x P.M | Prioridade do risco |
8.501-10.000 | Severo |
6.001-8.500 | Significante |
1.801-6.000 | Moderado |
301-1.800 | Baixo |
0-300 | Mínimo |
Utilizando os resultados da sua priorização de risco
Após identificar e priorizar os riscos, você precisa estabelecer um plano de gerenciamento de risco e ter ele aprovado pelos gerentes da sua empresa para que você possa ter mais fundos para implementá-la. O risco detalhado do plano de gerenciamento oferece ao negócio espaço para investimentos. Não é suficiente que você diga “nossos sistemas podem ser hackeados”; é necessário que você mostre o impacto que o risco terá no negócio, qual será o problema no negócio caso alguém entre nos seus sistemas e roube documentos, contratos e dados pessoais? Com você demonstrando que o retorno no investimento na mitigação de risco vai desde assegurar que os sistemas estão com os softwares de antivírus em dia até a implementação de sistemas de defesa de intrusos ou sistemas de prevenção de intrusos.
Seja o método qualitativo ou o quantitativo para priorização e a avaliação de risco da T.I, você estará construindo a base da segurança da T.I para a sua empresa.
A Netwrix fez um webinar de avaliação de risco da T.I para você ver as melhores práticas em estabelecer um processo continuo na avaliação e mitigação de risco.