$XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR Gerenciamento de Riscos em Segurança da informação cynaracarvalho@yahoo.com.br
Introdução Não podemos listar os diversos riscos associados aos aspectos de negócio, mas prover ajuda na preparação de um sistema de gestão de riscos dentro da organização. A pró-atividade no tratamento dos riscos vem ao longo do tempo demonstrando cada vez mais a minimização das ameaças e incertezas que se torna mais efetiva com a antecipação do problema. Os riscos podem ter conseqüências que podem variar da mais impactante para menos significante, porém, nenhum risco pode ser negligenciado, mesmo que a decisão final seja aceitá-lo.
Fatores externos que influenciam a operacionalização de riscos (FRQ{PLFRV fatos relacionados a competição, movimentos de mercado, condições macro ou micro-econômicas; $PELHQWDLV situações relacionadas a desastres naturais; 3ROtWLFRV cenário político do país, guerra, terrorismo, nova legislação, etc.; 7HFQROyJLFRV evolução da tecnologia que impacte em mudança de processos e/ou cultura, deficiências na geração das informações ou a adequação das modificações nos sistemas de informação;,qiudhvwuxwxud custos inesperados de evolução, manutenção,ou incapacidade dos equipamentos suprirem a demanda; 3HVVRDV aumento no número de acidentes pessoais, erros humanos ou propensão a comportamentos fraudulentos; 4XDOLGDGHdeficiências na cadeia produtiva dos produtos, atrasos dos serviços ou prazo de entrega.
Conceitos importantes Gestão de riscos:programa que define os conceitos e práticas para monitoramento e tratamento de riscos de ambiente, sendo operacionalizado por políticas e processos; Risco: trata-se de um possível evento/ação que, se efetivado, gera um impacto negativo, em função da exploração da fraqueza/vulnerabilidade, considerando tanto a probabilidade quanto o impacto de ocorrência; Impacto: resultado ou efeito decorrentes da materialização do risco; Exposição: resultados possíveis decorrentes da ocorrência de riscos;
Conceitos importantes Causa: principal fator interno ou externo que resulta em um risco; Conformidade:cumprimento de regulamentos e normas internas e externas à organização; Control self-assessment: processo de diagnóstico realizado pelo próprio gestor do processo ou controle, de forma a identificar e conhecer suas fragilidades e necessidades de melhoria; Controles internos:conjunto de atividades de controle que suportam os processos e operações da organização, criadas para garantir a efetividade das operações e eventuais regulamentos e normas internas e externas da organização; Métricas: conjunto de medidas, através dos quais a Gestão de Riscos pode ser mensurada.
Responsabilidades da Gestão Definir as políticas de gestão de riscos, processos operacionais e, o principal, a missão e os objetivos dessa gestão na organização; Suportar e capacitar a implementação e manutenção das políticas, processos e procedimentos de gestão de riscos; Identificar os riscos e criar planos de ação para minimizá-los; Melhorar a estrutura de controles internos composta por atividades de controle; Monitorar o cumprimento das políticas e procedimentos;
Responsabilidades da Gestão Efetuar os trabalhos de diagnósticos de riscos; Garantir a implementação das recomendações e sugestões dos diagnósticos Prever avaliações periódicas; Promover, rever e efetuar a cultura do diagnóstico, por meio de revisões periódicas
Execução da Gestão de Riscos A organização deve realizar periodicamente trabalhos de diagnósticos do nível de riscos, partindo da necessidade do negócio, observando a materialidade nas operações. Investimento em controles baseados em riscos que representem ameaças e fraquezas potenciais as operações da organização. Além da gestão de riscos, auxílio das áreas de inspetoria, auditoria e governança coorporativa.
Estratégia de Avaliação de Risco A gestão de Riscos deve estabelecer uma estratégia capaz de: Estabelecer seu escopo; Assegurar por meio de métodos e práticas, que a metodologia necessária para execução do trabalho de diagnóstico esteja bem definida; e Se responsabilizar pela identificação da solução de controle definitivo junto às áreas do negócio.
Tipos de análises Quantitativa esta análise deve trazer os valores financeiros no caso da materialização do risco, como ex, se um backup falhar, qual o valor da informação que estava na mídia. Tal análise utiliza valores numéricos em vez de escalas descritivas Qualitativa Faz uso da percepção, por meio de entrevistas, estruturas dadas por técnicas e práticas. Podem utilizar cenários apresentados em escalas descritivas que expressam a magnitude da conseqüência e da probabilidade de um risco.
Variáveis que compõem o risco Valor dos ativos e se os mesmos são tangíveis ou intangíveis. Quais as ameaças que cercam os ativos; Conseqüências e relacionamento entre as ameaças; Associar ativos a aspectos operacionais, de regulamentações e tecnologia.
Plano de ação Os riscos podem ser aceitos,minimizados, eliminados. Nos casos de minimização e eliminação deve-se implementar controles. Estes controles devem possuir um custo/investimento inferior ao impacto financeiro que o risco proporcione a organização. Os controles devem assegurar a prevenção e detecção dos riscos. Aceitação formal no nível executivo da organização.
Diagnósticos periódicos É importante o diagnóstico periódico dos riscos, pois no mercado atual, as organizações estão em constante mutação, seja pela concorrência, pela necessidade de inovação de seus produtos e serviços,pela necessidade de regulamentação, entre outras. Os risco podem variar de período para outro.
Metodologia SP-800-30. Risc Management Guide for Information Technology Systems, do National Institute of Standards and Technology. A metodologia de avaliação de riscos contempla 9 passos a serem seguidos: 1- Caracterização dos sistemas 2 - Identificação das ameaças 3 Identificação das vulnerabilidades 4 Análise dos controles de segurança 5 Determinação da probabilidade 6 Análise de impacto 7 Determinação do risco 8 Recomendação dos controles 9 Documentação dos resultados
Caracterização dos sistemas Caracterizar um sistema informatizado ajuda na definição do escopo e abrangência, delineia os limites para autorizações e fornece informações essenciais para definir o risco. (ex.: hardware, software,profissionais, etc.) Identificação das ameaças Ameaça é a possibilidade de um invasor ou evento inesperado explorar uma vulnerabilidade de forma eficaz. A meta desse passo é a identificação efetiva das fontes de ameaças e sua formalização, destacando as ameaças potenciais que são aplicáveis ao ambiente avaliado.
Identificação das vulnerabilidades O objetivo desta etapa é desenvolver uma relação das vulnerabilidades do sistema ( falhas ou fraquezas) que podem ser exploradas pelas potenciais fontes de ameaças. Análise dos controles de segurança O objetivo desta etapa é analisar os controles que foram, ou serão implementados, visando diminuir ou eliminar a probabilidade de incidentes de segurança
Determinação da Probabilidade Para determinar a probabilidade de ocorrência que uma potencial vulnerabilidade possa ser explorada, os seguintes fatores devem ser considerados: Motivação da fonte da ameaça Natureza da vulnerabilidade Existência e eficácia dos controles de segurança 'HILQLomRGRQtYHOGHSUREDELOLGDGH$OWR0pGLR%DL[R Análise de Impacto A melhor forma para determinar o grau de risco é relacionar em detalhes quais seriam os impactos para a organização, se uma ameaça conseguir explorar uma vulnerabilidade. Antes de iniciar uma análise de impacto, é necessário ter em mãos informações que podem ser obtidas por meio de documentações, relatórios de avaliações anteriores.
Determinação do Risco O objetivo desta etapa é avaliar o nível de risco dos sistemas. A determinação do risco de uma ameaça /vulnerabilidade específica pode ser expressada da seguinte forma: A probabilidade de ocorrência O nível de impacto causado pelo sucesso da exploração de uma vulnerabilidade; A eficácia dos controles de segurança existentes para minimizar o risco. Recomendações dos controles de segurança O objetivo dos controles que serão recomendados é reduzir o nível de risco que os sistemas estão expostos até um nível aceitável. 5HFRPHQGDomRGRVFRQWUROHVHVROXo}HVDOWHUQDWLYDVSDUDGLPLQXLomR GRVULVFRV
Documentação dos Resultados Concluindo a avaliação de risco, os resultados devem ser formalizados. O relatório de avaliação deve ser destinado a alta administração e partes interessadas para ajudá-los na tomadas de decisões. 5HODWyULRGHDYDOLDomRGHULVFRGHVFUHYHDVDPHDoDV YXOQHUDELOLGDGHVULVFRVHUHFRPHQGDo}HVSDUDLPSOHPHQWDomRGRV FRQWUROHVGHVHJXUDQoD
Referências bibliográficas FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de Política de Segurança da Informação Guia Prático para elaboração e implementação 2 ª edição,ed Ciência Moderna, RJ, 2008