• (19) 2042-2150
  • (11) 4210-8150

Análise de Risco na Segurança da Informação: entenda os principais conceitos

Como analisar riscos na Segurança da Informação

A análise de risco envolve processos para analisar a probabilidade de acontecer determinados eventos negativos, imprevistos e incertezas decorrentes ou durante determinada ação. Seu principal objetivo é ajudar as organizações e evitar ou mitigar os riscos para níveis aceitáveis.

Negócios de qualquer natureza correm riscos que precisam ser avaliados. Com a aceleração da transformação digital pelas empresas, o ativo da informação está ganhando mais importância para os negócios, e em contrapartida torna-se alvo de ataques diversos. Ativo é uma informação lógica ou física, hardware, software ou ambiente físico que tenha valor para a organização e que a violação da tríade de segurança (confidencialidade, integridade ou disponibilidade) venha causar severos prejuízos para o negócio. Veja mais sobre os requisitos da segurança no post “A tríade da segurança: confidencialidade, integridade e disponibilidade”.

A incidência de ataques tende a aumentar e, com isso, não basta mais as empresas se preocuparem apenas com a segurança do seu perímetro, com firewalls e outras ferramentas. É preciso criar uma cultura de proatividade em busca das melhores tecnologias e práticas para manter os seus dados e os de seus clientes protegidos de pessoas mal-intencionadas, de usuários mal treinados e de desastres. Provedores de Serviços de TI e MSPs (Managed Service Providers) especializados podem contribuir na análise de riscos e no aumento da segurança das informações para as empresas.

Para entender os conceitos sobre análise de riscos da Segurança da Informação e aumentar a proteção dos negócios, veja mais nesse post. Vamos lá?

 

Interação entre os conceitos básicos de Segurança da Informação

O diagrama abaixo tem como referências a ISO/IEC 15408 [1] e o Common Criteria (CC) [2], utilizados com frequência como base para avaliação e desenvolvimento de sistemas com os requisitos comuns de segurança da informação.

O foco da norma Common Criteria é o desenvolvimento de softwares seguindo especificações e controles de segurança definidos, assim como a elaboração de mecanismos de avaliação para análise e classificação deste software em relação ao seu nível de segurança e conformidade com tais especificações. O diagrama, porém, é extremamente didático, mostrando de forma clara a interação entre os componentes básicos que afetam a segurança.

figura 1 – Diagrama Commom Criteria

Definições de Análise de Riscos de Segurança

Antes de começarmos a definir uma estratégia de segurança, precisamos saber o que proteger e contra o que vamos proteger os ativos da nossa organização.

A metodologia utilizada pelo mercado é a Análise de Riscos, sendo que há várias formas de conduzir este processo.

Os custos com os controles precisam ser equilibrados contra o suscetível dano ao negócio resultante das falhas de segurança.

Como em muitos casos podem ser identificadas diversas vulnerabilidades para serem corrigidas, é necessário colocar a atenção nos ativos que tem mais relevância para o negócio da empresa, isto faz como que os investimentos sejam dirigidos para o lugar certo e de forma equilibrada.

Os resultados da análise de riscos ajudam a determinar quais são as medidas de segurança adequadas contra os riscos e ameaças e quais são as prioridades para o gerenciamento de riscos por parte da organização.

Nesse contexto, a análise de risco na segurança da informação é baseada em três objetivos:

  • Detectar os riscos;
  • Avaliar o impacto das ameaças na organização;
  • Equilibrar o custo do impacto da ameaça com o preço para efetuá-lo.

 

Vulnerabilidade

É o grau no qual um ativo ou grupo de ativos ou controle podem ser explorados pelas ameaças, internas ou externas. A vulnerabilidade caracteriza a ausência ou ponto fraco de uma medida preventiva que pode ser explorada.

Exemplo: Um serviço executado em um servidor sem atualização de patch recomendado pelo fabricante ou a porta aberta em um firewall.

 

Ameaça

É a causa potencial de um possível incidente que pode resultar em danos a um sistema ou para a organização. A entidade que se aproveita de uma vulnerabilidade é conhecida como um agente de ameaça.

Exemplos:

  • Intruso acessando a rede através de uma porta aberta no firewall;
  • Um processo acessando uma base de dados de uma maneira que viola a política da segurança;
  • Famílias de malwares, como os ransomwares, que exploram a vulnerabilidade Eternal Blue [3].

 

Risco

É a probabilidade de que um agente de ameaça tire vantagem de uma vulnerabilidade e cause danos aos ativos de negócios correspondente. Um risco vincula a vulnerabilidade, ameaça e a probabilidade de ocorrência e impacto para o negócio.

Com a análise realizada, já é possível avaliar e monitorar o grau de risco:


figura 2 – Matriz de Risco

  • Alta – Ocorrência frequente (Semanal)
  • Média – Ocorrência repetitiva (Mensal / Anual)
  • Baixo – Ocorrência pouco frequente (Últimos 3 anos)

Exemplo: Se um sistema automatizado de backup não é implementado, pode ocorrer perda de dados em caso de sequestro de dados, como os de ransomwares.

 

Medidas preventivas ou contramedidas

A medida preventiva é importante para mitigar o risco potencial.

Exemplo: Para evitar perda indesejada de dados, deve ser implementado sistemas profissionais de backup, com armazenamento das cópias de segurança na rede local e offsite, em ambiente de data center

Por Yuri Amorim, Marketing DataSafer


Referências:

[1] ABNT, ABNT ISSO / IEC 15208-2: 2008, https://www.abntcatalogo.com.br/norma.aspx?ID=28214
[2] The Commom Criteria, https: //www.commoncriteriaportal.org/
[3] WikiPedia, EternalBlue, https://pt.wikipedia.org/wiki/EternalBlue