0
0
A metodologia de avaliação de risco é um pilar fundamental da segurança da informação eficaz e existem inúmeras metodologias de risco disponíveis para permitir que as organizações identifiquem, quantifiquem e mitiguem os riscos de segurança da informação para seus ativos de informação. Mas, como todos sabemos, o risco é subjetivo.
Experiência pessoal, conhecimento do assunto e fontes anedóticas podem resultar em resultados mistos. Como entendemos os riscos às informações e apresentamos essas informações de maneira significativa é onde entra a avaliação de riscos, permitindo que o negócio identifique riscos, determine impactos potenciais e analise esses riscos para determinar o nível de risco, os controles apropriados e para calcular uma classificação de risco.
Determinar as metodologias de avaliação de risco corretas para o seu negócio dependerá de vários fatores. Isso pode incluir o setor em que a empresa opera, seu tamanho e escopo e os regulamentos de conformidade aos quais está sujeito.
O ajuste certo
A menos que especificado contratualmente, a metodologia de risco deve se adequar ao negócio, e não o contrário. Uma compreensão clara dos riscos enfrentados na coleta, processamento, armazenamento, compartilhamento e descarte de informações é fundamental para garantir que esses riscos sejam gerenciados de forma adequada ao impacto de uma violação, seja de dados próprios ou de clientes.
Você também precisará decidir se está procurando uma abordagem qualitativa ou quantitativa ou uma combinação dos dois métodos, e o que está tentando alcançar, ou seja, os riscos que deseja mitigar e onde. Você está procurando lidar com ameaças e vulnerabilidades; proteger informações pessoais, conjuntos de dados ou informações críticas para os negócios; ou reduzir o risco representado aos serviços da empresa, seu hardware físico ou equipe?
O risco orientado a componentes se concentra nos componentes técnicos e nas ameaças e vulnerabilidades que eles enfrentam, portanto, analisa os elementos individuais. O risco orientado pelo sistema, por outro lado, analisa os sistemas ou processos como um todo, portanto, é mais uma visão geral. Embora diferentes, eles são considerados complementares. A maioria das organizações adota a metodologia de componentes, que exige que a organização identifique ativos de informações específicos e seus riscos associados à sua confidencialidade, integridade e disponibilidade (também conhecido como CIA).
A tríade CIA permite que a equipe de segurança mantenha os dados seguros enquanto garante o acesso legítimo aos dados. É essencial usar junto com sua estrutura de risco, pois pode ajudar a controlar o risco aos dados associados à introdução de novos sistemas ou dispositivos, por exemplo.
Dadas todas essas variáveis, é claro que existem inúmeras estruturas para escolher. Algumas das mais conhecidas são ISO 27005:2011, ISF IRAM2, NIST (SP800-30), Octave Allegro e ISACA COBIT 5 para riscos, por exemplo. Não existe uma abordagem única para todos, e todos têm seus pontos fortes e fracos, levando muitas equipes a adotar mais de uma abordagem.
Armadilhas a evitar
As metodologias de risco serão tão boas quanto os dados que colocamos nelas . Isso significa que é relativamente comum que as equipes sejam muito restritivas em seu escopo e negligenciem os ativos. Com muita frequência, vimos exemplos de listas de ativos que contêm apenas ativos de TI, sem incluir ativos de informações, por exemplo. Um ativo de informação tem seu próprio valor, que não muda se está na forma física, eletrônica ou tácita, mas excluí-lo da lista de ativos da organização distorceria os resultados.
Outra falha comum é restringir a forma como a avaliação de risco é usada. Muitas vezes, é considerado um exercício negativo porque vê a aplicação de controles, por isso é importante combater isso garantindo que a avaliação beneficie os objetivos da organização e não impeça ou reprima seu sucesso.
Compreender o que está por trás do risco também é fundamental, ou seja, as ameaças/vulnerabilidades e sua probabilidade de realização — e isso precisa ser traduzido de forma significativa.
A avaliação de risco pode levar a registros de risco produzindo matrizes de risco e indicadores de status vermelho-âmbar-verde (RAG) sem transmitir o impacto relativo em uma linguagem comercial. Ser capaz de comunicar o risco de forma eficaz aos responsáveis pelo gerenciamento dos cordões à bolsa é vital para garantir fundos para proteção contra riscos. Por exemplo, descrever um risco como vermelho, ou 43, significará muito pouco para a maioria dos leigos, enquanto uma descrição do impacto nas operações, reputação, finanças ou medidas punitivas verá os problemas descritos usando linguagem comercial que será facilmente compreendida por alta administração. De fato, a importância de ser capaz de traduzir o risco em impactos comerciais significativos é uma habilidade frequentemente subestimada.
O resultado das avaliações de risco deve orientar o negócio a investir nos controles que melhor atendam aos seus objetivos. Eles também devem, com a mesma importância, destacar quando os gastos com novas tecnologias ou controles não contribuem para esses objetivos.
Finalmente, é importante que a metodologia de risco aplicada crie um ambiente onde resultados consistentes e repetíveis sejam produzidos. Isso ajudará a empresa a avaliar se os riscos aumentaram, se os controles existentes são adequados e onde a exposição aumentou, levando a um perfil de risco mais preciso e a uma compreensão mais clara da postura geral de risco de segurança.
FONTE: DARK READING