Como gerenciar o Risco de Ativos em Segurança da Informação? Com a transformação digital, a quantidade de vulnerabilidades que podem ser exploradas por diversas ameaças e assim comprometer as informações é cada vez maior. Nesse cenário, mensurar e gerenciar riscos é uma prática fundamental para garantir que as informações relevantes, estratégicas e confidenciais estejam protegidas, assegurando a imagem, reputação e valor de mercado de sua empresa.
Nesse artigo falamos sobre:
A ISO 31000 define risco como sendo o “efeito da incerteza no alcance dos objetivos da organização”. Quando falamos sobre Segurança da Informação, essas incertezas estão relacionadas a vulnerabilidades presentes em ativos (informação digital ou física, hardware, software, pessoa ou ambiente físico). O risco é o resultado obtido quando uma potencial ameaça passa a explorar as vulnerabilidades presentes em um ou mais ativos de informação, podendo trazer impactos significativos e negativos nas atividades e nos negócios da organização.
Para identificar quais são os riscos aos quais o seu negócio está exposto, é preciso construir o bom hábito de se executar uma análise de riscos de segurança da informação, que consiste em identificar vulnerabilidades, ameaças e os riscos, avaliando assim os possíveis impactos aos ativos da organização. Facilitando, portanto, a adoção dos melhores controles para protegê-los.
A fim de evitar que qualquer informação crítica para a organização não seja considerada, é preciso muito foco e cuidado para analisar os riscos de maneira realista e detalhada.
Segundo dados do 14º Relatório Anual sobre Segurança da Infraestrutura Global de Redes (WISR – Worldwide Infrastructure Security Report) da Netscout Arbor em 2018, o Brasil teve o maior percentual de alvos de ataques DDoS – Distributed Denial of Service – sendo ativos do tipo Infraestrutura e ativos relacionados a aplicações voltadas aos clientes finais os mais afetados.
Além disso tivemos um percentual maior do que a média global de ataques do tipo:
Um ativo é todo elemento que agregue valor ao negócio, podendo ser uma informação digital ou física, hardware, software, pessoa ou ambiente físico, cuja a quebra da confidencialidade, integridade ou disponibilidade trará prejuízo. E justamente por ser fundamental ao negócio, deve ser adequadamente protegido.
Antes de tudo, é preciso mapear quais ativos são cruciais para o dia a dia operacional e estratégico do negócio. Quais destes ativos de informação, se impactados, podem parar a operação? Este mapeamento é de suma importância, exatamente para garantir que controles sejam aplicados em todos os recursos relevantes do negócio.
Qual é o tipo de impacto que acontece caso cada ativo for comprometido? Se a informação estiver indisponível por um período de tempo, qual é o grau de risco? Com estas questões, você passará a entender o grau de risco em caso de indisponibilidade, perdas, roubos ou alterações das informações. Quais destes ativos de informação, se impactados, podem parar a operação?
Teste para ver as reais vulnerabilidades das informações. Os testes vão demonstrar se existe risco real de as informações serem perdidas ou não. A partir disso, levante quais são as opções para proteger as informações importantes para a empresa. Monitore continuamente. O processo de gestão de riscos de segurança da informação é cíclico, deve ser revisado, e atualizado dentro de períodos regularmente definidos. Saiba o quanto antes se apareceu alguma brecha ou ocorreu algum tipo de alteração ou problema. Crie um ciclo de análise das informações, verifique as vulnerabilidade e, continuamente, busque as soluções.
A plataforma de Gestão de Risco e Conformidade GAT se diferencia da maioria das demais soluções permitindo a visão e o gerenciamento da segurança de diversos tipos de Ativos.
No GAT cada ativo possui uma severidade, que varia de Informativo para Crítico. Essa severidade é definida pelo próprio usuário e varia de acordo com seu ambiente e regras de negócio. A severidade do ativo deve representar sua importância para a empresa. Por exemplo, um servidor Active Directory geralmente possui severidade crítica às empresas, enquanto uma impressora possui severidade baixa. Ao definir os níveis de severidade para os ativos, o GAT é capaz de calcular o risco que aquele ativo está trazendo ao negócio, atribuindo-lhe uma pontuação de risco (score).
Utilizando uma ferramenta de gestão de risco como o GAT é possível ainda definir um grupo de ativos, e cada grupo de ativos também terá uma severidade. Isso permite focar e isolar determinadas áreas ou processos da empresa além de ter a visão segmentada da evolução do programa de segurança e priorizar corretamente esforços para os grupos de ativos de maior severidade.
Atualmente, o GAT trabalha com os seguintes tipos de Ativos:
A principal vantagem de investir em uma plataforma para gestão de riscos voltada para a segurança da informação é o ganho de eficiência na priorização das ações de acordo com a necessidade e os objetivos da empresa e a utilização de métricas e indicadores de resultados.
Com o GAT é possível enfrentar alguns dos principais desafios gestão de riscos como:
Saiba mais sobre como GAT trata Risco de Ativos e agende uma demonstração para entender melhor como podemos agregar valor à sua Gestão de Segurança.
Siga o GAT