Gestão de Risco de Ativos Cibernéticos

Como gerenciar o Risco de Ativos em Segurança da Informação? Com a transformação digital, a quantidade de vulnerabilidades que podem ser exploradas por diversas ameaças e assim comprometer  as informações é cada vez maior. Nesse cenário, mensurar e gerenciar riscos é uma prática fundamental para garantir que as informações relevantes, estratégicas e confidenciais estejam protegidas, assegurando a imagem, reputação e valor de mercado de sua empresa.

Mas, afinal, o que é Risco?

A ISO 31000 define risco como sendo o “efeito da incerteza no alcance dos objetivos da organização”. Quando falamos sobre Segurança da Informação, essas incertezas estão relacionadas a vulnerabilidades presentes em ativos (informação digital ou física, hardware, software, pessoa ou ambiente físico). O risco é o resultado obtido quando uma potencial ameaça passa a explorar as vulnerabilidades presentes em um ou mais ativos de informação, podendo trazer impactos significativos e negativos nas atividades e nos negócios da organização.

Para identificar quais são os  riscos aos quais o seu negócio está exposto, é preciso construir o bom hábito de se executar uma análise de riscos de segurança da informação, que consiste em identificar vulnerabilidades, ameaças e os riscos, avaliando assim os possíveis impactos aos ativos da organização. Facilitando, portanto, a adoção dos melhores controles para protegê-los.

As ameaças são reais

A fim de evitar que qualquer informação crítica para a organização não seja considerada, é preciso muito foco e cuidado para analisar os riscos de maneira realista e detalhada. 

Segundo dados do 14º Relatório Anual sobre Segurança da Infraestrutura Global de Redes (WISR – Worldwide Infrastructure Security Report) da Netscout Arbor em 2018, o Brasil teve o maior percentual de alvos de ataques DDoS – Distributed Denial of Service – sendo ativos do tipo Infraestrutura e ativos relacionados a aplicações voltadas aos clientes finais os mais afetados.

Além disso tivemos um percentual maior do que a média global de ataques do tipo:

• Perda acidental de dados
• Congestionamento da internet ocasionada por ataques DDoS
• Extorsão por ataque ou ameaça de DDoS
• Interrupção de serviço acidental
• Insider malicioso
• Espionagem industrial ou extração de dados
• Exposição de dados sujeitos à regulamentação
• IoTs comprometidos

O que são Ativos e como protege-los?

Um ativo é todo elemento que agregue valor ao negócio, podendo ser uma informação digital ou física, hardware, software, pessoa ou ambiente físico, cuja a quebra da confidencialidade, integridade ou disponibilidade trará prejuízo. E justamente por ser fundamental ao negócio, deve ser adequadamente protegido.

Identifique

Antes de tudo, é preciso mapear quais ativos são cruciais para o dia a dia operacional e estratégico do negócio. Quais destes ativos de informação, se impactados, podem parar a operação? Este mapeamento é de suma importância, exatamente para garantir que controles sejam aplicados em todos os recursos relevantes do negócio.

Entenda as consequências

Qual é o tipo de impacto que acontece caso cada ativo for comprometido? Se a informação estiver indisponível por um período de tempo, qual é o grau de risco? Com estas questões, você passará a entender o grau de risco em caso de indisponibilidade, perdas, roubos ou alterações das informações. Quais destes ativos de informação, se impactados, podem parar a operação?

Teste e monitore continuamente

Teste para ver as reais vulnerabilidades das informações. Os testes vão demonstrar se existe risco real de as informações serem perdidas ou não. A partir disso, levante quais são as opções para proteger as informações importantes para a empresa. Monitore continuamente. O processo de gestão de riscos de segurança da informação é cíclico, deve ser revisado, e atualizado dentro de períodos regularmente definidos. Saiba o quanto antes se apareceu alguma brecha ou ocorreu algum tipo de alteração ou problema. Crie um ciclo de análise das informações, verifique as vulnerabilidade e, continuamente, busque as soluções.

Como o Risco de Ativos pode ser gerenciado no GAT

A plataforma de Gestão de Risco e Conformidade GAT se diferencia da maioria das demais soluções permitindo a visão e o gerenciamento da segurança de diversos tipos de Ativos. 

No GAT cada ativo possui uma severidade, que varia de Informativo para Crítico. Essa severidade é definida pelo próprio usuário e varia de acordo com seu ambiente e regras de negócio. A severidade do ativo deve representar sua importância para a empresa. Por exemplo, um servidor Active Directory geralmente possui severidade crítica às empresas, enquanto uma impressora possui severidade baixa. Ao definir os níveis de severidade para os ativos, o GAT é capaz de calcular o risco que aquele ativo está trazendo ao negócio, atribuindo-lhe uma pontuação de risco (score).

Utilizando uma ferramenta de gestão de risco como o GAT é possível ainda definir um grupo de ativos, e cada grupo de ativos também terá uma severidade. Isso permite focar e isolar determinadas áreas ou processos da empresa além de ter a visão segmentada da evolução do programa de segurança e priorizar corretamente esforços para os grupos de ativos de maior severidade.

Atualmente, o GAT trabalha com os seguintes tipos de Ativos:

• Host (baseado no endereço IP)
• Aplicação (baseado na URL)
• Pessoa (baseado no endereço de email)
• Empresa
• Processo
• Cloud

A principal vantagem de investir em uma plataforma para gestão de riscos voltada para a segurança da informação é o ganho de eficiência na priorização das ações de acordo com a necessidade e os objetivos da empresa e a utilização de métricas e indicadores de resultados. 

Com o GAT é possível enfrentar alguns dos principais desafios gestão de riscos como:

• Implementar e gerir controles que tenham como foco principal os objetivos do negócio; 
• Promover ações corretivas e preventivas de forma eficiente;
• Garantir o cumprimento de regulamentações;
• Ter visão das vulnerabilidades associadas a cada ativo e seu histórico;
• Atribuir responsáveis e datas limite para correções;
• Definir e automatizar os processos de gestão da Segurança da Informação.

Saiba mais sobre como GAT trata Risco de Ativos e agende uma demonstração para entender melhor como podemos agregar valor à sua Gestão de Segurança.