Avaliação de riscos de segurança de TI – Primeiros passos
A realização de avaliações de riscos de segurança de TI nas empresas é uma parte do programa de implementação do Sistema de Gerenciamento de Segurança da Informação (SGSI).
Identificar, analisar e avaliar os riscos.
Com as novas regulamentações, as parcerias comerciais já demandam a adequação de qualquer tamanho de empresa. Ou seja, pequenas empresas também precisam olhar com cuidado para essa cena. Basta alguma ligação como fornecedor para estar sujeito a ser acionados e avaliados por uma auditoria.
Quando se trata de dados críticos e confidenciais, ativos de informações e instalações de uma empresa, existe algum nível de risco envolvido.
A identificação de riscos é baseada na C.I.D. (confidencialidade, integridade e disponibilidade) da informação. Isso é fundamental termos em mente.
Riscos são “incidentes em potencial”.
O objetivo de uma avaliação de risco de segurança de TI é fazer a identificação de ativos, vulnerabilidades, ameaças, impactos e probabilidade, segundo os padrões normativos de segurança da informação, como o ISO 27001 (norma internacional de gestão de segurança da informação).
Determinar quais os riscos de segurança representam para os ativos críticos da empresa e finalmente definir o nível de risco aceitável e saber o quanto irá investir, o esforço humano que será envolvido e de tempo é a principal missão desse trabalho.
Em uma visão geral sobre as etapas de uma avaliação de risco, teremos:
- Identificar os ativos e o escopo – Identificar os ativos a serem avaliados e determinar o escopo da avaliação.
- Determinar o valor dos ativos – O “valor” inclui mais fatores do que o que você pagou pelo item físico. Essas questões subjetivas devem ser consideradas conforme o seu negócio.
- Calcular a probabilidade e o impacto de perda anualmente – Uma coisa liga a outra, você as usará para calcular sua expectativa de perda, que, por sua vez, indica quanto gastar para mitigar os riscos identificados.
- Pesar o custo da prevenção em relação ao valor do ativo – Porque você gastaria mais na proteção do ativo do que seria o prejuízo da perda? Vale a reflexão.
- Tratamento de Riscos de TI – Vamos manusear o risco já descoberto e avaliado. Como? Evitar, Aceitar (reter), transferir ou Reduzir o risco até um nível aceitável.
- Reduzir o risco – Implementar e monitorar controles de segurança reavaliando o risco.
Os resultados de uma avaliação de risco ajudam a orientar e determinar as ações de gestão apropriadas e as prioridades para gerenciar os recursos, o tempo e os controles de segurança da informação de forma contínua, já que novos tipos de ameaças surgem constantemente.
A abordagem de ciclo PDCA (ferramenta de gestão de qualidade) aplicado à gestão de riscos de TI e previsto na ISO 27001 pode nos apoiar e muito para eficácia alocação de recursos e principalmente proteção da reputação empresarial.
Sem resposta