Com a transformação digital, a quantidade de vulnerabilidades que podem ser exploradas por diversas ameaças e, assim, comprometer as informações é cada vez maior. Nesse cenário, mensurar e gerenciar riscos é uma prática fundamental para garantir que as informações relevantes, estratégicas e confidenciais estejam protegidas, assegurando a imagem, reputação e valor de mercado de sua empresa. Mas como gerenciar o risco de ativos em termos de Segurança da Informação?
Nesse artigo falamos sobre:
A ISO 31000 define risco como sendo o “efeito da incerteza no alcance dos objetivos da organização”. Quando falamos sobre Segurança da Informação, essas incertezas estão relacionadas a vulnerabilidades presentes em ativos (informação digital ou física, hardware, software, pessoa ou ambiente físico). O risco é o resultado obtido quando uma potencial ameaça passa a explorar as vulnerabilidades presentes em um ou mais ativos de informação, podendo trazer impactos significativos e negativos nas atividades e nos negócios da organização.
Para identificar quais são os riscos aos quais o seu negócio está exposto, é preciso construir o bom hábito de se executar uma análise de riscos de segurança da informação, que consiste em identificar vulnerabilidades, ameaças e os riscos, avaliando assim os possíveis impactos aos ativos da organização. Facilitando, portanto, a adoção dos melhores controles para protegê-los.
A fim de evitar que qualquer informação crítica para a organização não seja considerada, é preciso muito foco e cuidado para analisar os riscos de maneira realista e detalhada.
Segundo dados do 14º Relatório Anual sobre Segurança da Infraestrutura Global de Redes (WISR – Worldwide Infrastructure Security Report) da Netscout Arbor em 2018, o Brasil teve o maior percentual de alvos de ataques DDoS – Distributed Denial of Service – sendo ativos do tipo Infraestrutura e ativos relacionados a aplicações voltadas aos clientes finais os mais afetados.
Além disso tivemos um percentual maior do que a média global de ataques do tipo:
Um ativo é todo elemento que agregue valor ao negócio, podendo ser uma informação digital ou física, hardware, software, pessoa ou ambiente físico, cuja quebra da confidencialidade, integridade ou disponibilidade trará prejuízo. E justamente por ser fundamental ao negócio, deve ser adequadamente protegido.
Antes de tudo, é preciso mapear quais ativos são cruciais para o dia a dia operacional e estratégico do negócio. Quais destes ativos de informação, se impactados, podem parar a operação? Este mapeamento é de suma importância, exatamente para garantir que controles sejam aplicados em todos os recursos relevantes do negócio.
Qual é o tipo de impacto que acontece caso cada ativo for comprometido? Se a informação estiver indisponível por um período, qual é o grau de risco? Com estas questões, você passará a entender o grau de risco em caso de indisponibilidade, perdas, roubos ou alterações das informações. Quais destes ativos de informação, se impactados, podem parar a operação?
Teste para ver as reais vulnerabilidades das informações. Os testes vão demonstrar se existe risco real de as informações serem perdidas ou não. A partir disso, levante quais são as opções para proteger as informações importantes para a empresa. Monitore continuamente. O processo de gestão de riscos de segurança da informação é cíclico, deve ser revisado, e atualizado dentro de períodos regularmente definidos. Saiba o quanto antes se apareceu alguma brecha ou ocorreu algum tipo de alteração ou problema. Crie um ciclo de análise das informações, verifique as vulnerabilidade e, continuamente, busque as soluções.
No GAT Core cada ativo possui uma severidade, que varia de Informativo para Crítico. Essa severidade é definida pelo próprio usuário e varia de acordo com seu ambiente e regras de negócio. A severidade do ativo deve representar sua importância para a empresa. Por exemplo, um servidor Active Directory geralmente possui severidade crítica às empresas, enquanto uma impressora possui severidade baixa. Ao definir os níveis de severidade para os ativos, o GAT Core é capaz de calcular o risco que aquele ativo está trazendo ao negócio, atribuindo-lhe uma pontuação de risco (score).
Utilizando uma ferramenta de gestão de risco como o GAT Core é possível ainda definir um grupo de ativos, e cada grupo de ativos também terá uma severidade. Isso permite focar e isolar determinadas áreas ou processos da empresa além de ter a visão segmentada da evolução do programa de segurança e priorizar corretamente esforços para os grupos de ativos de maior severidade.
Atualmente, o GAT Core trabalha com os seguintes tipos de Ativos:
A principal vantagem de investir em uma plataforma para gestão de riscos voltada para a segurança da informação é o ganho de eficiência na priorização das ações de acordo com a necessidade e os objetivos da empresa e a utilização de métricas e indicadores de resultados.
Com o GAT Core é possível enfrentar alguns dos principais desafios gestão de riscos como:
Saiba mais sobre como o GAT Core pude ajudar com a gestão de risco de ativos em sua operação. Agende uma demonstração para entender como podemos ajudar você a aprimorar seu programa de Segurança da Informação.