Gerenciamento de riscos para a proteção de dados

Requisitos

No contexto da segurança cibernética, a proteção de dados pode envolver vários tipos de medidas de segurança. Por esse motivo, é imprescindível considerar o fator principal envolvido no cálculo do investimento necessário para a devida proteção dos dados de uma organização: o risco, ou a vulnerabilidade. Veja a seguir as características desses fatores.

• Risco

  O risco à segurança da informação e cibernética é a probabilidade de ameaças explorarem com sucesso vulnerabilidades existentes em ativos, representando um dano potencial à organização em que se inserem.

• Vulnerabilidade

  Ela pode ser representada pela fraqueza em um ativo. Caso a vulnerabilidade seja de alguma forma explorada pela ameaça, denominamos esse acontecimento como incidente.

O correto gerenciamento de risco é imperativo para que se determine a quantidade de recursos a ser gasta com medidas viáveis e indispensáveis para que se evitem incidentes cibernéticos. Um incidente cibernético pode ocorrer quando hackers agem para obtenção de acesso à rede corporativa de uma empresa ou instituição pública, por exemplo.

A eficácia é um importante fator a ser levado em consideração no momento de adoção de medidas de segurança, porém muitas vezes tais medidas apresentam valores de investimento elevados, inviáveis para muitas organizações que não possuem dados tão valiosos ou tão críticos assim, ou mesmo não possuem capital necessário para esse investimento. O recomendável é que seja estimado um valor para cada ativo inserido no contexto da Segurança da Informação e, após isso, deve-se verificar se os custos de medidas de segurança são iguais, inferiores ou maiores do que o ativo a ser protegido.

Em relação à natureza dos riscos, muitos deles poderão estar associados a incertezas do mercado financeiro, acidentes naturais ou desastres, ataques cibernéticos, dentre outros identificados por uma organização. Cabe lembrar que o risco é algo incerto, porém, se houver um processo de gerenciamento de riscos internamente por cada organização, pode ser previsto e minimizado.

O gerenciamento de risco é uma atividade contínua aplicada a todos os processos operacionais de uma operação, conduzida pelo Encarregado de Segurança da Informação ou pelo Chefe da Segurança da Informação, o qual deve atentar-se para os três principais requisitos:

1. Realização da avaliação de riscos levando-se em consideração a estratégia de negócios da organização, bem como as ameaças aos ativos, vulnerabilidades encontradas, probabilidade de concretização do risco e uma estimativa do potencial impacto.
2. Requisitos legais, previamente determinados por contratos, regulamentos e estatutos, os quais são seguidos pela organização, contratantes, parceiros comerciais e provedores de serviço, além do ambiente sociocultural em que se encontram.
3. Conjunto de objetivos, requisitos e princípios de negócios utilizados para armazenamento, processamento, manuseio, comunicação e arquivamento da informação que organizações desenvolvem para apoio em suas decisões.

Um dos aspectos essenciais para o correto gerenciamento de risco é o cálculo estimado do prejuízo financeiro se os controles de segurança contra os riscos não forem implementados. Em outras palavras, deve-se avaliar os prejuízos decorrentes da não adoção de eventuais medidas relevantes para a proteção de dados da organização.

Análise e avaliação de riscos

Objetivos

A análise e a avaliação de riscos, atividades inseridas no contexto do processo de gerenciamento de riscos, podem ser aplicadas em toda a estrutura da organização, em partes dela, bem como em componentes específicos de sistemas e serviços. Essas atividades, mesmo para especialistas mais experientes, requerem um alto nível de compreensão para diferenciação de medidas de segurança, muitas vezes ineficazes ou não adequadas, das que realmente são eficazes. Diante dessa situação, não é incomum ver organizações optando por medidas de proteção de dados muito dispendiosas financeiramente, mas que não possuem a capacidade de oferecer o custo-benefício desejado. Para evitar desperdícios dessa natureza, recomenda-se a análise de riscos baseada nos seguintes objetivos: