A realização de avaliações de riscos de segurança de TI nas empresas é uma parte do programa de implementação do Sistema de Gerenciamento de Segurança da Informação (SGSI). Identificar, analisar e avaliar os riscos. Com as novas regulamentações, as parcerias comerciais já demandam a adequação de qualquer tamanho de empresa. Ou seja, pequenas empresas também precisam olhar com cuidado para essa cena. Basta alguma ligação como fornecedor para estar
sujeito a ser acionados e avaliados por uma auditoria. Quando se trata de dados críticos e confidenciais, ativos de informações e instalações de uma empresa, existe algum nível de risco envolvido. A identificação de riscos é baseada na C.I.D. (confidencialidade, integridade e disponibilidade) da informação. Isso é fundamental termos em mente. Riscos são “incidentes em potencial”. O objetivo de uma avaliação de risco de segurança de TI é fazer a identificação de ativos, vulnerabilidades, ameaças, impactos e probabilidade, segundo os padrões normativos de segurança da informação, como o ISO 27001 (norma internacional de gestão de segurança da informação). Determinar quais os riscos de segurança representam para os ativos críticos da empresa e finalmente definir o nível de risco aceitável e saber o quanto irá investir, o esforço humano que será envolvido e de tempo é a principal missão desse trabalho. Em uma visão geral sobre as etapas de uma avaliação de risco, teremos:
Os resultados de uma avaliação de risco ajudam a orientar e determinar as ações de gestão apropriadas e as prioridades para gerenciar os recursos, o tempo e os controles de segurança da informação de forma contínua, já que novos tipos de ameaças surgem constantemente. A abordagem de ciclo PDCA (ferramenta de gestão de qualidade) aplicado à gestão de riscos de TI e previsto na ISO 27001 pode nos apoiar e muito para eficácia alocação de recursos e principalmente proteção da reputação empresarial. No processo de avaliação de risco, uma pergunta comum feita pelas organizações é fazer uso da abordagem quantitativa ou qualitativa. A boa notícia é que, por meio das abordagens, você pode de fato, melhorar a eficiência do seu processo para atingir os níveis desejados de segurança. Este artigo irá apresentar os conceitos de avaliação qualitativa e quantitativa, as suas semelhanças e diferenças, e como ambas podem ser usadas na ISO 27001 para realizar de avaliações de risco de segurança da informação eficazes e eficientes. Avaliação de risco qualitativaNa avaliação de risco qualitativa, o foco é na percepção das partes interessadas sobre a probabilidade de um risco ocorrer e seu impacto sobre aspectos organizacionais pertinentes (por exemplo, financeiro, reputação, etc.). Esta percepção é representada em escalas como “baixa – média – alta” ou “1 – 2 – 3”, que são usadas para definir o valor final do risco. Uma vez que ela tem pouca dependência matemática (o risco pode ser definido através de uma simples soma, multiplicação, ou outra forma de combinação não-matemática de valores de probabilidade e impacto), avaliação de risco qualitativa é fácil e rápida de se fazer, permitindo que uma organização tire vantagem da experiência e do conhecimento do usuário do processo / ativo que está sendo avaliado. Veja abaixo um exemplo de uma tabela usada para a avaliação de risco qualitativa: Um problema com a avaliação qualitativa é que ela é altamente tendenciosa, tanto em termos de probabilidade quanto de definição de impacto, por aqueles que a realizam. Por exemplo, para pessoas de RH, os impactos de RH serão mais relevantes que os impactos na qualidade, e vice-versa. Em relação ao viés em probabilidade, a falta de compreensão dos tempos de outros processos pode levar alguém a pensar que erros e falhas ocorrem mais frequentemente em seu próprio processo do que nos outros, e isso pode não ser verdade. Esta situação com tendência geralmente faz com que a avaliação qualitativa seja útil apenas no contexto local onde é realizada, porque as pessoas fora do contexto, provavelmente, terão divergências sobre definição de valor de impacto e probabilidade. Avaliação de risco quantitativaPor outro lado, a avaliação quantitativa do risco concentra-se em dados factuais e mensuráveis, e bases altamente matemáticas e computacionais, para calcular os valores de probabilidade e impacto, normalmente expressando valores de risco em termos monetários, o que torna seus resultados úteis fora do contexto da avaliação (perda de dinheiro é compreensível para qualquer unidade de negócio). Para chegar a um resultado monetário, avaliação quantitativa dos riscos muitas vezes faz uso destes conceitos: SLE (Single Loss Expectancy – Expectativa de uma única perda): dinheiro que se espera perder caso um incidente ocorra uma vez. ARO (Annual Rate of Occurrence – Taxa anual de ocorrência): quantas vezes dentro de um período de um ano se espera que o incidente ocorra. ALE (Annual Loss Expectancy – Expectativa de perda anual): dinheiro que se espera perder em um ano considerando o SLE e o ARO (ALE = SLE * ARO). Para a avaliação de risco quantitativa, este é o valor do risco. Ao se basear em dados factuais e mensuráveis, a avaliação quantitativa dos riscos tem como principais benefícios a apresentação de resultados muito precisos sobre o valor do risco, e o investimento máximo que faria o tratamento de risco valer a pena, de forma que ele seja lucrativo para a organização. Abaixo está um exemplo de como os valores de risco são calculados através da avaliação quantitativa de risco: Valor da base de dados: USD 2,5 milhões (SLE) Estatísticas do fabricante informam que uma falha catastrófica da base de dados (devido a software ou hardware) ocorre uma vez a cada 10 anos (ARO = 1/10 = 0.1) ALE = 2,5 * 0,1 = USD 250K Isto é, neste caso a organização tem um risco anual de sofre uma perda de USD 250K em um evento de perda de sua base de dados. Assim, qualquer controle implementado (ex.: cópias de segurança, gestão correções, etc.) que custe menos do que este valor seria lucrativo. O problema com a avaliação quantitativa é que na maior parte dos casos, não existem dados suficientes para serem analisados, ou o número de variáveis envolvidas é demasiado elevada, tornando a análise impraticável. Combinando abordagensComo você percebeu, avaliações qualitativas e quantitativas têm características específicas que tornam cada uma melhor para um cenário específico de avaliação de risco, mas no contexto maior, combinar ambas as abordagens pode se provar ser a melhor alternativa para um processo de avaliação de riscos. Ao usar a abordagem qualitativa primeiro, você pode identificar rapidamente a maior parte dos riscos às condições normais de operação. E as preocupações das pessoas sobre seus trabalhos podem ser usadas como uma referência rápida para ajudar a avaliar estes riscos como sendo ou não relevantes. Depois disso, você pode usar a abordagem quantitativa sobre os riscos relevantes, para ter informações mais detalhadas para a tomada de decisão. Um exemplo geral seria uma consulta médica. O médico primeiro faz algumas perguntas simples e, a partir das respostas do paciente, decide quais exames mais detalhados pedir, ao invés de tentar cada exame que ele conhece desde o início. Adapte sua abordagem para otimizar seus esforços e resultadosA avaliação de risco é uma das partes mais críticas da gestão de riscos, e também uma das mais complexas – afetada por questões administrativas, humanas e técnicas. Se não for feita corretamente, ela pode comprometer todos os esforços para implementar um Sistema de Gestão de Segurança da Informação ISO 27001, o que faz as organizações pensarem sobre realizar avaliações qualitativas ou quantitativas. Mas, você não precisa se basear em uma única abordagem, porque a ISO 27001 permite que tanto a avaliação de risco qualitativa quanto a quantitativa sejam realizadas. Se a sua empresa precisa de uma avaliação de risco rápida e fácil, você pode fazer avaliações qualitativas (e é isso que 99% das empresas fazem). No entanto, se você precisa fazer um investimento realmente grande que seja fundamental para a segurança, talvez faça sentido investir tempo e dinheiro em uma avaliação quantitativa dos riscos. Em suma, através da adopção de uma abordagem combinada, considerando as informações e o tempo de resposta necessários, e os dados e conhecimento disponíveis, você pode melhorar a eficácia e eficiência do processo de avaliação de riscos de segurança da informação baseado na ISO 27001, e também estar em conformidade com os requisitos da norma. Para saber mais sobre avaliação de riscos, registre-se para este webinar gratuito: The basics of risk assessment and treatment according to ISO 27001. Quais os três protocolos que podem utilizar o Advanced Encryption Standard AES )?WEP, WPA e EAP.
Qual opção e uma característica de uma função hash criptográfica?certificados digitais Qual opção é uma característica de uma função hash criptográfica? A função hash é uma função matemática unidirecional. Qual técnica cria hashes diferentes para a mesma senha? salting Técnicos estão testando a segurança de um sistema de autenticação que usa senhas.
Qual o método e utilizado por estenografia para ocultar o texto em um arquivo de imagem?Esteganografia é uma técnica que consiste em esconder um arquivo dentro do outro, de forma criptografada.
Que estado de dados que e mantido nos serviços NAS e SAN?2 / 2 ptsPergunta 7 Qual estado de dados é mantido nos serviços de NAS e SAN? dados em trânsito dados armazenados Correto! Correto!
|