Artigos

12/04/2018 04:42

Riscos da segurança da informação

Da Redação

 

Para a contextualização, pode-se dizer que uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. Essa abordagem deve ser adequada ao ambiente da organização e, em particular, esteja alinhada com o processo maior de gestão de riscos corporativos.

A NBR ISO/IEC 27005 de 11/2011 - Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação fornece diretrizes para o processo de gestão de riscos de segurança da informação. Esta está de acordo com os conceitos especificados na NBR ISO/IEC 27001 e foi elaborada para facilitar uma implementação satisfatória da segurança da informação tendo como base uma abordagem de gestão de riscos. O conhecimento dos conceitos, modelos, processos e terminologias descritos na NBR ISO/IEC 27001 e na NBR ISO/IEC 27002 é importante para um entendimento completo desta norma. Aplica-se a todos os tipos de organização (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos) que pretendam gerir os riscos que poderiam comprometer a segurança da informação da organização.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser o processo de gestão de riscos de segurança da informação?

Quais são os critérios para a avaliação de riscos?

Como realizar a identificação das vulnerabilidades?

Como seria a atividade de tratamento do risco?

Quais são os exemplos de ameaças comuns?

Esta norma fornece diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um sistema de gestão de segurança da informação (SGSI) de acordo com a NBR ISO/IEC 27001. Entretanto, esta norma internacional não inclui um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica.

Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta norma para implementar os requisitos de um SGSI. Esta norma é do interesse de gestores e pessoal envolvidos com a gestão de riscos de segurança da informação em uma organização e, quando apropriado, em entidades externas que dão suporte a essas atividades. Contém a descrição do processo de gestão de riscos de segurança da informação e das suas atividades. As informações sobre o contexto histórico são apresentadas na Seção 5. Uma visão geral do processo de gestão de riscos de segurança da informação é apresentada na Seção 6.

Todas as atividades de gestão de riscos de segurança da informação apresentadas na Seção 6 são descritas nas seguintes seções: definição do contexto na Seção 7, processo de avaliação de riscos na Seção 8, tratamento do risco na Seção 9, aceitação do risco na Seção 10, comunicação e consulta do risco na Seção 11, monitoramento e análise crítica de riscos na Seção 12. Informações adicionais para as atividades de gestão de riscos de segurança da informação são apresentadas nos anexos.

A definição do contexto é detalhada no Anexo A (Definindo o escopo e os limites do processo de gestão de riscos de segurança da informação). A identificação e valoração dos ativos e a avaliação do impacto são discutidas no Anexo B. O Anexo C dá exemplos de ameaças típicas e o Anexo D apresenta vulnerabilidades e métodos para avaliação de vulnerabilidades.

Exemplos de abordagens para o processo de avaliação de riscos de segurança da informação são apresentados no Anexo E. Restrições relativas à modificação do risco são apresentadas no Anexo F. As diferenças nas definições entre a NBR ISO/IEC 27005:2008 e a NBR ISO/IEC 27005:2011 são apresentadas no Anexo G.

As atividades de gestão de riscos, como apresentadas da Seção 7 até a Seção 12, estão estruturadas da seguinte forma:

Entrada: Identifica as informações necessárias para realizar a atividade.

Ação: Descreve a atividade.

Diretrizes para implementação: Fornece diretrizes para a execução da ação. Algumas destas diretrizes podem não ser adequadas em todos os casos. Assim sendo, outras maneiras de se executar a ação podem ser mais apropriadas.

Saída: Identifica as informações resultantes da execução da atividade.

Convém que os esforços de segurança lidem com os riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessários. Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão de segurança da informação e que seja aplicada tanto à implementação quanto à operação cotidiana de um SGSI.

Convém que a gestão de riscos de segurança da informação seja um processo contínuo. Convém que o processo defina os contextos interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as recomendações e decisões. Convém que a gestão de riscos analise os possíveis acontecimentos e suas consequências, antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível aceitável.

Convém que a gestão de riscos de segurança da informação contribua para: a identificação de riscos; o processo de avaliação de riscos em função das consequências ao negócio e da probabilidade de sua ocorrência; a comunicação e entendimento da probabilidade e das consequências destes riscos; o estabelecimento da ordem prioritária para tratamento do risco; a priorização das ações para reduzir a ocorrência dos riscos; o envolvimento das partes interessadas quando as decisões de gestão de riscos são tomadas e para que elas sejam mantidas informadas sobre a situação da gestão de riscos; a eficácia do monitoramento do tratamento dos riscos; o monitoramento e análise crítica periódica dos riscos e do processo de gestão de riscos; a coleta de informações de forma a melhorar a abordagem da gestão de riscos; o treinamento de gestores e pessoal a respeito dos riscos e das ações para mitigá-los.

O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo, um departamento, um local físico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo, o plano de continuidade de negócios).

Uma visão de alto nível do processo de gestão de riscos é especificada na NBR ISO 31000:2009 e apresentada na figura, que também mostra como esta norma se aplica ao processo de gestão de riscos. O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12).

 

 

Como mostra a figura, o processo de gestão de riscos de segurança da informação pode ser iterativo para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execução do processo de avaliação de riscos torna possível aprofundar e detalhar a avaliação em cada repetição. O enfoque iterativo permite minimizar o tempo e o esforço despendidos na identificação de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.

Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. Se ele fornecer informações sufi cientes para que se determinem de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode continuar.

Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do processo de avaliação de riscos, revisando-se o contexto (por exemplo, os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo (ver figura, Ponto de Decisão 1). A eficácia do tratamento do risco depende dos resultados do processo de avaliação de riscos.

Notar que o tratamento de riscos envolve um processo cíclico para: avaliar um tratamento do risco; decidir se os níveis de risco residual são aceitáveis; gerar um novo tratamento do risco se os níveis de risco não forem aceitáveis; e avaliar a eficácia do tratamento. É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável.

Nessa situação, pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto (por exemplo, os critérios para o processo de avaliação de riscos, de aceitação do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver figura, Ponto de Decisão 2). A atividade de aceitação do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organização.

Isso é especialmente importante em uma situação em que a implementação de controles é omitida ou adiada, por exemplo, devido aos custos. Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados.

Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser muito úteis para o gerenciamento de incidentes e pode ajudar a reduzir possíveis prejuízos. A conscientização dos gestores e pessoal no que diz respeito aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização, auxilia a lidar com os incidentes e eventos não previstos da maneira mais efetiva.

Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre o processo de avaliação de riscos e sobre o tratamento do risco (representadas pelos dois pontos de decisão na figura) sejam documentados. A NBR ISO/IEC 27001:2006 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados no risco.

A aplicação de um processo de gestão de riscos de segurança da informação pode satisfazer esse requisito. Há vários métodos através dos quais o processo pode ser implementado com sucesso em uma organização. Convém que as organizações usem o método que melhor se adeque a suas circunstâncias, para cada aplicação específica do processo.

Em um SGSI, a definição do contexto, o processo de avaliação de riscos, o desenvolvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase “planejar”. Na fase “executar” do SGSI, as ações e controles necessários para reduzir os riscos a um nível aceitável são implementados de acordo com o plano de tratamento do risco. Na fase “verificar” do SGSI, os gestores determinarão a necessidade de revisão da avaliação e tratamento do risco à luz dos incidentes e mudanças nas circunstâncias.

Na fase “agir”, as ações necessárias são executadas, incluindo a reaplicação do processo de gestão de riscos de segurança da informação. Dependendo do escopo e dos objetivos da gestão de riscos, diferentes métodos podem ser aplicados. O método também pode ser diferente para cada iteração do processo. Convém que um método de gestão de riscos apropriado seja selecionado ou desenvolvido e leve em conta critérios básicos, como: critérios de avaliação de riscos, critérios de impacto e critérios de aceitação do risco.

Além disso, convém que a organização avalie se os recursos necessários estão disponíveis para: executar o processo de avaliação de riscos e estabelecer um plano de tratamento de riscos; definir e implementar políticas e procedimentos, incluindo implementação dos controles selecionados; monitorar controles; monitorar o processo de gestão de riscos de segurança da informação.

voltar