Gestão de Riscos em Ativos de Informação

Risco de Ativos em Segurança da Informação
(Tempo de Leitura: 4 min.)

Com a transformação digital, a quantidade de vulnerabilidades que podem ser exploradas por diversas ameaças e, assim, comprometer as informações é cada vez maior. Nesse cenário, mensurar e gerenciar riscos é uma prática fundamental para garantir que as informações relevantes, estratégicas e confidenciais estejam protegidas, assegurando a imagem, reputação e valor de mercado de sua empresa. Mas como gerenciar o risco de ativos em termos de Segurança da Informação?

Mas, afinal, o que é Risco?

A ISO 31000 define risco como sendo o “efeito da incerteza no alcance dos objetivos da organização”. Quando falamos sobre Segurança da Informação, essas incertezas estão relacionadas a vulnerabilidades presentes em ativos (informação digital ou física, hardware, software, pessoa ou ambiente físico). O risco é o resultado obtido quando uma potencial ameaça passa a explorar as vulnerabilidades presentes em um ou mais ativos de informação, podendo trazer impactos significativos e negativos nas atividades e nos negócios da organização.

Para identificar quais são os  riscos aos quais o seu negócio está exposto, é preciso construir o bom hábito de se executar uma análise de riscos de segurança da informação, que consiste em identificar vulnerabilidades, ameaças e os riscos, avaliando assim os possíveis impactos aos ativos da organização. Facilitando, portanto, a adoção dos melhores controles para protegê-los.

As ameaças são reais

A fim de evitar que qualquer informação crítica para a organização não seja considerada, é preciso muito foco e cuidado para analisar os riscos de maneira realista e detalhada. 

Segundo dados do 14º Relatório Anual sobre Segurança da Infraestrutura Global de Redes (WISR – Worldwide Infrastructure Security Report) da Netscout Arbor em 2018, o Brasil teve o maior percentual de alvos de ataques DDoS – Distributed Denial of Service – sendo ativos do tipo Infraestrutura e ativos relacionados a aplicações voltadas aos clientes finais os mais afetados.

Além disso tivemos um percentual maior do que a média global de ataques do tipo:

  • Perda acidental de dados
  • Congestionamento da internet ocasionada por ataques DDoS
  • Extorsão por ataque ou ameaça de DDoS
  • Interrupção de serviço acidental
  • Insider malicioso
  • Espionagem industrial ou extração de dados
  • Exposição de dados sujeitos à regulamentação
  • IoTs comprometidos
Maiores vazamento de dados e hacks
Essa imagem mostra alguns dos maiores vazamentos de dados e hacks

O que são ativos e como protege-los?

Um ativo é todo elemento que agregue valor ao negócio, podendo ser uma informação digital ou física, hardware, software, pessoa ou ambiente físico, cuja a quebra da confidencialidade, integridade ou disponibilidade trará prejuízo. E justamente por ser fundamental ao negócio, deve ser adequadamente protegido.

Identifique

Antes de tudo, é preciso mapear quais ativos são cruciais para o dia a dia operacional e estratégico do negócio. Quais destes ativos de informação, se impactados, podem parar a operação? Este mapeamento é de suma importância, exatamente para garantir que controles sejam aplicados em todos os recursos relevantes do negócio.

Entenda as consequências

Qual é o tipo de impacto que acontece caso cada ativo for comprometido? Se a informação estiver indisponível por um período de tempo, qual é o grau de risco? Com estas questões, você passará a entender o grau de risco em caso de indisponibilidade, perdas, roubos ou alterações das informações. Quais destes ativos de informação, se impactados, podem parar a operação?

Teste e monitore continuamente

Teste para ver as reais vulnerabilidades das informações. Os testes vão demonstrar se existe risco real de as informações serem perdidas ou não. A partir disso, levante quais são as opções para proteger as informações importantes para a empresa. Monitore continuamente. O processo de gestão de riscos de segurança da informação é cíclico, deve ser revisado, e atualizado dentro de períodos regularmente definidos. Saiba o quanto antes se apareceu alguma brecha ou ocorreu algum tipo de alteração ou problema. Crie um ciclo de análise das informações, verifique as vulnerabilidade e, continuamente, busque as soluções.

Como o risco de ativos pode ser gerenciado com o GAT Core

No GAT Core cada ativo possui uma severidade, que varia de Informativo para Crítico. Essa severidade é definida pelo próprio usuário e varia de acordo com seu ambiente e regras de negócio. A severidade do ativo deve representar sua importância para a empresa. Por exemplo, um servidor Active Directory geralmente possui severidade crítica às empresas, enquanto uma impressora possui severidade baixa. Ao definir os níveis de severidade para os ativos, o GAT Core é capaz de calcular o risco que aquele ativo está trazendo ao negócio, atribuindo-lhe uma pontuação de risco (score).

Utilizando uma ferramenta de gestão de risco como o GAT Core é possível ainda definir um grupo de ativos, e cada grupo de ativos também terá uma severidade. Isso permite focar e isolar determinadas áreas ou processos da empresa além de ter a visão segmentada da evolução do programa de segurança e priorizar corretamente esforços para os grupos de ativos de maior severidade.

Atualmente, o GAT Core trabalha com os seguintes tipos de Ativos:

  • Host (baseado no endereço IP)
  • Aplicação (baseado na URL)
  • Pessoa (baseado no endereço de email)
  • Empresa
  • Processo
  • Cloud

A principal vantagem de investir em uma plataforma para gestão de riscos voltada para a segurança da informação é o ganho de eficiência na priorização das ações de acordo com a necessidade e os objetivos da empresa e a utilização de métricas e indicadores de resultados. 

Risco de Ativos no GAT

Com o GAT Core é possível enfrentar alguns dos principais desafios gestão de riscos como:

  • Implementar e gerir controles que tenham como foco principal os objetivos do negócio; 
  • Promover ações corretivas e preventivas de forma eficiente;
  • Garantir o cumprimento de regulamentações;
  • Ter visão das vulnerabilidades associadas a cada ativo e seu histórico;
  • Atribuir responsáveis e datas limite para correções;
  • Definir e automatizar os processos de gestão da Segurança da Informação.

Saiba mais sobre como o GAT Core pude ajudar com a gestão de risco de ativos em sua operação. Agende uma demonstração para entender como podemos ajudar você a aprimorar seu programa de Segurança da Informação.

Você também pode curtir isso:

13 jun

Automatize sua Segurança da Informação com o GA

05 abr

Due Diligence Cibernética de Terceiros

13 ago

Implementação do Checklist CIS Controls V8

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos

Linkedin-in Facebook-f Twitter Instagram Youtube

Conteúdo

Links

×