Artigos

Gestão de Risco de Ativos de Segurança da Informação

Risco de Ativos em Segurança da Informação

Gestão de Risco de Ativos de Segurança da Informação

Tempo de leitura: 4 minutos

Como gerenciar o Risco de Ativos em Segurança da Informação? Com a transformação digital, a quantidade de vulnerabilidades que podem ser exploradas por diversas ameaças e assim comprometer  as informações é cada vez maior. Nesse cenário, mensurar e gerenciar riscos é uma prática fundamental para garantir que as informações relevantes, estratégicas e confidenciais estejam protegidas, assegurando a imagem, reputação e valor de mercado de sua empresa.

Mas, afinal, o que é Risco?

A ISO 31000 define risco como sendo o “efeito da incerteza no alcance dos objetivos da organização”. Quando falamos sobre Segurança da Informação, essas incertezas estão relacionadas a vulnerabilidades presentes em ativos (informação digital ou física, hardware, software, pessoa ou ambiente físico). O risco é o resultado obtido quando uma potencial ameaça passa a explorar as vulnerabilidades presentes em um ou mais ativos de informação, podendo trazer impactos significativos e negativos nas atividades e nos negócios da organização.

Para identificar quais são os  riscos aos quais o seu negócio está exposto, é preciso construir o bom hábito de se executar uma análise de riscos de segurança da informação, que consiste em identificar vulnerabilidades, ameaças e os riscos, avaliando assim os possíveis impactos aos ativos da organização. Facilitando, portanto, a adoção dos melhores controles para protegê-los.

As ameaças são reais

A fim de evitar que qualquer informação crítica para a organização não seja considerada, é preciso muito foco e cuidado para analisar os riscos de maneira realista e detalhada. 

Segundo dados do 14º Relatório Anual sobre Segurança da Infraestrutura Global de Redes (WISR – Worldwide Infrastructure Security Report) da Netscout Arbor em 2018, o Brasil teve o maior percentual de alvos de ataques DDoS – Distributed Denial of Service – sendo ativos do tipo Infraestrutura e ativos relacionados a aplicações voltadas aos clientes finais os mais afetados.

Além disso tivemos um percentual maior do que a média global de ataques do tipo:

  • Perda acidental de dados
  • Congestionamento da internet ocasionada por ataques DDoS
  • Extorsão por ataque ou ameaça de DDoS
  • Interrupção de serviço acidental
  • Insider malicioso
  • Espionagem industrial ou extração de dados
  • Exposição de dados sujeitos à regulamentação
  • IoTs comprometidos
Maiores vazamento de dados e hacks
Essa imagem mostra alguns dos maiores vazamentos de dados e hacks

O que são Ativos e como protege-los?

Um ativo é todo elemento que agregue valor ao negócio, podendo ser uma informação digital ou física, hardware, software, pessoa ou ambiente físico, cuja a quebra da confidencialidade, integridade ou disponibilidade trará prejuízo. E justamente por ser fundamental ao negócio, deve ser adequadamente protegido.

Identifique

Antes de tudo, é preciso mapear quais ativos são cruciais para o dia a dia operacional e estratégico do negócio. Quais destes ativos de informação, se impactados, podem parar a operação? Este mapeamento é de suma importância, exatamente para garantir que controles sejam aplicados em todos os recursos relevantes do negócio.

Entenda as consequências

Qual é o tipo de impacto que acontece caso cada ativo for comprometido? Se a informação estiver indisponível por um período de tempo, qual é o grau de risco? Com estas questões, você passará a entender o grau de risco em caso de indisponibilidade, perdas, roubos ou alterações das informações. Quais destes ativos de informação, se impactados, podem parar a operação?

Teste e monitore continuamente

Teste para ver as reais vulnerabilidades das informações. Os testes vão demonstrar se existe risco real de as informações serem perdidas ou não. A partir disso, levante quais são as opções para proteger as informações importantes para a empresa. Monitore continuamente. O processo de gestão de riscos de segurança da informação é cíclico, deve ser revisado, e atualizado dentro de períodos regularmente definidos. Saiba o quanto antes se apareceu alguma brecha ou ocorreu algum tipo de alteração ou problema. Crie um ciclo de análise das informações, verifique as vulnerabilidade e, continuamente, busque as soluções.

Como o Risco de Ativos pode ser gerenciado no GAT

A plataforma de Gestão de Risco e Conformidade GAT se diferencia da maioria das demais soluções permitindo a visão e o gerenciamento da segurança de diversos tipos de Ativos. 

No GAT cada ativo possui uma severidade, que varia de Informativo para Crítico. Essa severidade é definida pelo próprio usuário e varia de acordo com seu ambiente e regras de negócio. A severidade do ativo deve representar sua importância para a empresa. Por exemplo, um servidor Active Directory geralmente possui severidade crítica às empresas, enquanto uma impressora possui severidade baixa. Ao definir os níveis de severidade para os ativos, o GAT é capaz de calcular o risco que aquele ativo está trazendo ao negócio, atribuindo-lhe uma pontuação de risco (score).

Utilizando uma ferramenta de gestão de risco como o GAT é possível ainda definir um grupo de ativos, e cada grupo de ativos também terá uma severidade. Isso permite focar e isolar determinadas áreas ou processos da empresa além de ter a visão segmentada da evolução do programa de segurança e priorizar corretamente esforços para os grupos de ativos de maior severidade.

Atualmente, o GAT trabalha com os seguintes tipos de Ativos:

  • Host (baseado no endereço IP)
  • Aplicação (baseado na URL)
  • Pessoa (baseado no endereço de email)
  • Empresa
  • Processo
  • Cloud

A principal vantagem de investir em uma plataforma para gestão de riscos voltada para a segurança da informação é o ganho de eficiência na priorização das ações de acordo com a necessidade e os objetivos da empresa e a utilização de métricas e indicadores de resultados. 

Risco de Ativos no GAT

Com o GAT é possível enfrentar alguns dos principais desafios gestão de riscos como:

  • Implementar e gerir controles que tenham como foco principal os objetivos do negócio; 
  • Promover ações corretivas e preventivas de forma eficiente;
  • Garantir o cumprimento de regulamentações;
  • Ter visão das vulnerabilidades associadas a cada ativo e seu histórico;
  • Atribuir responsáveis e datas limite para correções;
  • Definir e automatizar os processos de gestão da Segurança da Informação.

Saiba mais sobre como GAT trata Risco de Ativos e agende uma demonstração para entender melhor como podemos agregar valor à sua Gestão de Segurança.

Você também pode curtir isso:

Gestão de Riscos e Vulnerabilidades em TI
Gestão de riscos e vulnerabilidades de TI: conceitos, processos e ferramentas

Tempo de leitura: 5 minutos

Ferramentas open source
Ferramentas open source para manter a segurança e produtividade no trabalho remoto

Tempo de leitura: 7 minutos

O que é Scanner de vulnerabilidade e como funciona
O que é scanner de vulnerabilidade, importância e como integrar

Tempo de leitura: 4 minutos

Postagens Recentes

Implementação do NIST Cybersecurity Framework

 21/03/2021

Implementação de controles CIS Controls V7.1

 25/02/2021

Como Avaliar os Riscos de Segurança em Terceiros no seu Supply-Chain

 09/11/2020
gerenciar vulnerabilidades com o scanner Nessus

Como gerenciar vulnerabilidades com o scanner Nessus

 22/09/2020
Política de segurança cibernética

Implementação de controles da política de Segurança Cibernética do BACEN 4.658/3.909

 22/09/2020

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200

+55 (11) 4395-1322
[email protected]
Copyright © 2021

Links

Conteúdo

Siga-Nos

Linkedin-in
Facebook-f
Twitter
Instagram
Youtube
Iniciar conversa
Precisa de ajuda?