A realização de avaliações de riscos de segurança de TI nas empresas é uma parte do programa de implementação do Sistema de Gerenciamento de Segurança da Informação (SGSI).

Identificar, analisar e avaliar os riscos.

Com as novas regulamentações, as parcerias comerciais já demandam a adequação de qualquer tamanho de empresa. Ou seja, pequenas empresas também precisam olhar com cuidado para essa cena. Basta alguma ligação como fornecedor para estar sujeito a ser acionados e avaliados por uma auditoria.

Quando se trata de dados críticos e confidenciais, ativos de informações e instalações de uma empresa, existe algum nível de risco envolvido.

A identificação de riscos é baseada na C.I.D. (confidencialidade, integridade e disponibilidade) da informação. Isso é fundamental termos em mente.

Riscos são “incidentes em potencial”.

O objetivo de uma avaliação de risco de segurança de TI é fazer a identificação de ativos, vulnerabilidades, ameaças, impactos e probabilidade, segundo os padrões normativos de segurança da informação, como o ISO 27001 (norma internacional de gestão de segurança da informação).

Determinar quais os riscos de segurança representam para os ativos críticos da empresa e finalmente definir o nível de risco aceitável e saber o quanto irá investir, o esforço humano que será envolvido e de tempo é a principal missão desse trabalho.

Em uma visão geral sobre as etapas de uma avaliação de risco, teremos:

1. Identificar os ativos e o escopo – Identificar os ativos a serem avaliados e determinar o escopo da avaliação.

2. Determinar o valor dos ativos – O “valor” inclui mais fatores do que o que você pagou pelo item físico. Essas questões subjetivas devem ser consideradas conforme o seu negócio.

3. Calcular a probabilidade e o impacto de perda anualmente – Uma coisa liga a outra, você as usará para calcular sua expectativa de perda, que, por sua vez, indica quanto gastar para mitigar os riscos identificados.

4. Pesar o custo da prevenção em relação ao valor do ativo – Porque você gastaria mais na proteção do ativo do que seria o prejuízo da perda? Vale a reflexão.

5. Tratamento de Riscos de TI – Vamos manusear o risco já descoberto e avaliado. Como? Evitar, Aceitar (reter), transferir ou Reduzir o risco até um nível aceitável.

6. Reduzir o risco – Implementar e monitorar controles de segurança reavaliando o risco.

Os resultados de uma avaliação de risco ajudam a orientar e determinar as ações de gestão apropriadas e as prioridades para gerenciar os recursos, o tempo e os controles de segurança da informação de forma contínua, já que novos tipos de ameaças surgem constantemente.

A abordagem de ciclo PDCA (ferramenta de gestão de qualidade) aplicado à gestão de riscos de TI e previsto na ISO 27001 pode nos apoiar e muito para eficácia alocação de recursos e principalmente proteção da reputação empresarial.