riscosAutor: Regis Gabineski

Essa publicação tem por objetivo sanar algumas dúvidas de leitores preocupados em elaborar análise de risco para diferentes escopos.

O primeiro passo é identificar o risco.

Conhecendo o risco a que se expõem as empresas, fica mais fácil para elas aplicar as soluções de segurança. Se não conhecerem o risco, dificilmente saberão que mecanismos devem aplicar. Assim, a primeira coisa que recomendamos é fazer uma análise dos riscos e classificá-los segundo sua prioridade. Dependerá da prioridade e dos recursos exigidos que os riscos sejam atenuados, eliminados ou assumidos, caso o impacto não seja maior. Sempre há uma faixa dentro da qual tenho um risco que é inaceitável e um risco aceitável; tento ficar em uma faixa no meio, que é a “administração do risco”.

Há vários tipos de riscos do ponto de vista tecnológico e outros riscos que não são tecnológicos. Um risco tecnológico, por exemplo, é não ter um servidor bem configurado para ter senhas seguras. Em muitos casos, o servidor aceita uma senha que seja simplesmente 123. Se configurar o servidor de forma a me exigir uma senha que contenha números, letras e símbolos, estou automaticamente aumentando a segurança. O risco é que, se não tenho senhas completas, qualquer pessoa pode acessar documentos, informações confidenciais ou e-mails. Os riscos não-tecnológicos são, por exemplo, a fuga das informações. Isso pode ocorrer no simples fato de botar um papel no cesto de lixo ou falar no celular no elevador, divulgando informações da empresa na frente de outras pessoas. Esse é um risco que tem a ver com processos, e não com tecnologias. As pessoas precisam ter incorporado em sua cultura o tema da segurança, para colocar uma senha segura, não falar no elevador sobre qualquer assunto, não atirar papéis importantes no cesto de lixo.

A análise de riscos depende do escopo do projeto, podendo ser: Tecnológico, Humano, Processos e Físico.

Análise de Riscos para o escopo Tecnológico:
Em que devemos pensar?
A análise de riscos realizada no ambiente tecnológico pretende alcançar o conhecimento das configurações e da disposição topológica dos ativos de tecnologia que compõem toda a infraestrutura de suporte das informações para comunicação, processamento, tráfego e armazenamento.

Que aspectos devemos analisar?
– Os ativos são do tipo aplicativo e equipamento, sem deixar de considerar também a sensibilidade das informações que são manipuladas por eles.
– Os usuários que os utilizam.
– A infraestrutura que lhes oferece suporte.

Análise de Riscos para o escopo Humano:
Em que devemos pensar?
A análise de riscos também se destina à compreensão da maneira como as pessoas se relacionam com os ativos.
Assim, é possível detectar a quais vulnerabilidades provenientes de ações humanas se encontram submetidos os ativos, sendo igualmente possível fazer recomendações para aumentar a segurança no trabalho humano e garantir a continuidade dos negócios da organização. Essa análise pretende inicialmente identificar vulnerabilidades nos ativos do tipo usuário e organização.

Que aspectos devemos analisar?
– O nível de acesso que as pessoas têm na rede ou nos aplicativos.
– As restrições e as permissões que devem ter para realizar suas tarefas com os ativos.
– O nível de capacitação e a formação educativa a que precisam ter acesso para manipulá-los, etc.

Análise de Riscos para o escopo Processos:
Em que devemos pensar?
A análise dos fluxos de informações da organização e a maneira como elas transitam de um lado para outro, como são administrados os recursos em relação à organização e à manutenção. Dessa forma, será possível identificar os links entre as atividades e os insumos necessários para sua realização com o objetivo de identificar as vulnerabilidades que podem afetar a confidencialidade, a disponibilidade e a integridade das informações e, por conseguinte, do negócio da organização.
Nesse escopo, o ativo de enfoque principal é do tipo usuário e informação.

Que aspectos devemos analisar?
– Identificar as pessoas envolvidas no fluxo de informações; é possível avaliar a necessidade real de acesso aos ativos que elas têm.
– Avaliar o impacto proveniente do uso indevido das informações por pessoas não-qualificadas.

Análise de Riscos para o escopo Físico:
Em que devemos pensar?
A análise física de segurança busca identificar, na infraestrutura física do ambiente em que os ativos se encontram, vulnerabilidades que possam trazer algum prejuízo às informações e a todos os outros ativos. O enfoque principal desse escopo de análise são os ativos do tipo organização, pois são os que fornecem o suporte físico ao ambiente em que estão sendo manipuladas as informações.

Que aspectos devemos analisar?
– Identificar possíveis falhas na localização física dos ativos tecnológicos.
– Avaliar o impacto de acessos indevidos às áreas nas quais se encontram os ativos tecnológicos.
– Avaliar o impacto dos desastres ambientais na infraestrutura tecnológica da empresa.

A segurança não é somente tecnologia. Vemos a segurança na informática como algo fundamentado sobre três pilares: de um lado, a tecnologia; de outro, todos os processos de administração e operação; e, por último, o treinamento das pessoas, para que conheçam os processos, saibam como implementá-los, conheçam a tecnologia e a configurem, administrem e operem de forma eficiente. Com esses três pilares, acreditamos que se consiga obter uma infraestrutura muito mais segura do que se contássemos apenas com uma boa tecnologia.

Fonte: Desconhecida