Este artigo tem como objetivo apresentar um panorama geral do gerenciamento de riscos de segurança da informação, explorando alguns conceitos e etapas envolvidas no processo. Afinal, saber identificar, avaliar e tratar os riscos é fundamental para proteger os dados da empresa, garantir a continuidade dos negócios e preservar sua reputação.
1. Estabeleça um ponto de partida comum
Primeiramente, é importante começar estabelecendo um vocabulário comum para o gerenciamento de riscos de segurança da informação. Em outras palavras, você precisa definir o que significa um "risco" para sua organização. O que constitui um impacto "alto", o que constitui um risco de probabilidade "improvável" e assim por diante.
Definindo claramente esses termos, você pode garantir uma abordagem consistente em toda a sua organização, mesmo quando pessoas diferentes e com diferentes experiências estão envolvidas.
2. Determine seu apetite a riscos
Definir sua tolerância ao risco ou "apetite ao risco" é um dos pontos importantes para gerenciar os riscos. Afinal, a organização precisa decidir quanto de risco está disposto a aceitar.
Isso varia para cada organização, depende do tamanho, setor e assim por diante. Pode até variar de departamento para departamento, por exemplo, a área de segurança da informação é, provavelmente, mais avessa ao risco do que a área de vendas. Isso é reflexo da natureza do trabalho, não significa que alguém está errado em sua atitude em relação ao risco.
Contudo, a empresa precisa de uma abordagem consistente em toda a organização para determinar parâmetros para o risco de segurança da informação. Para isso, a alta administração preciosa definir formalmente o apetite ao risco da empresa, levando em consideração o contexto do negócio, como:
Estratégia de negócio
Situação financeira, tamanho e setor da organização
Expectativas dos clientes e outras partes interessadas
Requisitos legais, regulatórios e contratuais
As organizações também podem adotar estratégias e aumentar o seu apetite ao risco por um período determinado. Por exemplo, uma rede de cartão de crédito pode, em períodos em que há mais transações no ano, como o Natal, decidir relaxar alguns dos seus controles. Mas, este deve ser um risco calculado, para que reduzir as verificações antifraude e de identidade sejam benéficas, resultando em ganhos adicionais de receita em relação ao custo da fraude que ocorrerá como resultado do relaxamento dos controles.
Isso faz parte da tolerância ao risco. Contudo não é uma decisão que o gerente de riscos ou o gerente de segurança da informação pode tomar, ela precisa vir do topo da organização.
3. Identifique e avalie os riscos
A partir deste ponto, a organização pode iniciar o processo de identificar os riscos, o que consiste em fazer uma lista de todos os eventos que podem gerar uma consequência para a segurança da informação da empresa, e avaliar estes riscos, com base nos critérios de probabilidade de ocorrência e nível de impacto no negócio, já definidos anteriormente.
Após esta análise, será possível classificá-los e, então, priorizar os riscos de alto nível. Estes devem ser os primeiros a serem tratados, pois são os que, caso se materializem, podem ser mais prejudiciais ao negócio.
4. Trate os riscos
Respostas ao risco
Despois de identificar, avaliar e priorizar, há quatro possibilidades de respostas ao risco:
Implementar controles para reduzir o risco.
Transferir a atividade que gera o risco para um terceiro.
Aceitar o risco e monitorá-lo.
Evitar o risco eliminando a atividade que pode ocasioná-lo.
Tratar o risco implementando um controle é, normalmente, a resposta mais comum.
Reduzir o risco
Mitigar um risco significa aplicar os controles necessários para diminuir a probabilidade de ocorrência e/ou minimizar as consequências de um risco, caso ele ocorra.
Escolher o controle correto para reduzir um risco é uma tarefa complexa e requer uma análise profunda sobre o evento que pode causar o risco, as consequências deste para o negócio e de que forma a empresa deseja lidar com ele. Por isso, um bom ponto de partida para escolher uma medida de controle é a ISO 27001, a norma internacional que define um conjunto de controles existentes para a segurança da informação.
Assim, depois de escolher um ou mais controles e implementá-los, é preciso se certificar de que eles são eficazes. Por isso, é necessário verificar se estão funcionando conforme o previsto e, caso não, deve-se fazer as alterações para que funcionem corretamente.
Por exemplo, suponha que a empresa está sofrendo mais ataques de malware. Isso sugere que algo não está funcionando corretamente, mas o quê? Qual é a causa raiz do problema? Pode ser que o software anti-malware não esteja mais fazendo o trabalho necessário, então você pode precisar de um sistema mais robusto. Ou, talvez, o treinamento de conscientização da equipe seja ineficaz, então a empresa precisará fazer alterações em seu programa de treinamentos.
Transferir o risco
Compartilhar as atividades que geram riscos com uma terceira parte é uma estratégia comum para tratar riscos. No entanto, a organização precisa estar ciente de que a terceirização não elimina sua responsabilidade. Ao transferir uma atividade para um fornecedor, a empresa mantém a responsabilidade pela escolha do parceiro, pela definição dos níveis de serviço esperados e pela monitoração contínua do desempenho. Essa relação envolve uma "responsabilidade compartilhada".
Contratos de nível de serviço (SLAs) são ferramentas essenciais nesse contexto, definindo claramente as obrigações de cada parte e os indicadores de desempenho que serão monitorados. Além disso, uma gestão de fornecedores eficaz é fundamental para garantir que os riscos associados à terceirização sejam adequadamente gerenciados.
É importante ressaltar que a terceirização pode introduzir novos riscos. Ao transferir dados para um data center externo, por exemplo, a empresa se expõe a riscos adicionais relacionados à segurança da informação e à continuidade do negócio.
Ao implementar um novo controle, as empresas devem realizar uma análise cuidadosa dos riscos potenciais e também tratar esses novos riscos. A terceirização pode ser uma estratégia eficaz para tratar riscos, mas deve ser realizada de forma planejada e com a devida atenção aos detalhes.
Aceitar um risco
Aceitar um risco significa reconhecer a existência de uma possibilidade de consequência negativa, mas não interferir na ação que pode gerar o dano. É uma decisão feita conscientemente, calculando as consequências.
O exemplo clássico é um aplicativo personalizado (desenvolvido pela empresa e apenas para ela), rodando em um sistema operacional antigo que não recebe mais suporte e não é mais atualizado. Sendo o aplicativo antigo, mas de importância secundária, vale a pena investir em uma atualização? Esta é uma análise que deve ser feita com base em dados, considerando o custo da atualização do aplicativo, o custo da implantação dos controles e o custo do impacto para o negócio caso o sistema pare de funcionar.
Assim, se o custo da atualização exceder o custo dos controles e da materialização do risco, mesmo que a empresa ainda não possa parar a atividade, deve-se simplesmente aceitar que o aplicativo atinja seu final de vida.
Ressalto que aceitar um risco não deve ser uma decisão isolada do responsável pelo gerenciamento de riscos ou do gerente de segurança da informação. Essa análise deve ser apresentada à alta liderança para que tenha ciência das consequências e possa tomar a decisão de aceitar o risco. Além do mais, é importante continuar monitorando esse risco.
5. Monitore e revise os riscos
Um risco consiste em uma ameaça explorando uma vulnerabilidade. Esse cenário é dinâmico, com novas ferramentas e vulnerabilidades surgindo constantemente. Por isso, os riscos também evoluem e exigem monitoramento contínuo para garantir a eficácia das medidas de segurança.
É crucial avaliar periodicamente:
A eficácia dos controles implementados: Os controles ainda são capazes de neutralizar as ameaças atuais?
A adequação ao apetite ao risco: Os riscos estão alinhados com a tolerância da organização?
A evolução da exposição ao risco: A empresa está mais ou menos exposta a riscos ao longo do tempo?
A eficácia dos sistemas e métodos de tratamento de riscos: As medidas adotadas estão surtindo o efeito esperado?
6. Desafios ao gerenciar riscos de segurança da informação
Outro ponto crucial na análise de riscos é a necessidade de eliminar vieses e conflitos de interesse. Quando uma mesma pessoa é responsável por implementar, monitorar e avaliar um controle, a objetividade pode ser comprometida. Por exemplo, um gerente de segurança da informação que também realiza auditorias internas pode ter dificuldade em identificar falhas nos próprios controles devido a um conflito de interesse inerente.
É nesse contexto que a contratação de um consultor externo se mostra vantajosa. Sendo uma figura independente, fora da hierarquia da organização, o consultor geralmente possui maior experiência em auditorias e pode oferecer:
Conhecimento especializado: profundo conhecimento em segurança da informação e normas como a ISO 27001.
Independência: liberdade para identificar e relatar falhas sem medo de retaliações.
Uma prática comum que observo em minhas auditorias internas é a discrepância entre a criação e a implementação de políticas. Muitas empresas, especialmente ao implementar a ISO 27001, demonstram grande eficiência na elaboração de políticas. No entanto, a aplicação dessas políticas no dia a dia costuma ser ineficiente.
Um exemplo de situação que aconteceu quando auditava a segurança física de um cliente, especificamente, a política de mesa limpa e tela limpa. Perguntei a um gerente se os funcionários estavam cientes dessa política. Ele respondeu “sim”. Então, perguntei com qual frequência o responsável pela conformidade desta política rondava o escritório ao final do dia para verificar se as pessoas estavam mesmo desligando seus computadores e guardando os documentos confidenciais. A resposta foi “nunca fizemos isso”.
Esse cenário demonstra que, mesmo com políticas bem definidas, a falta de monitoramento e medição compromete a eficácia dos controles, resultando em não conformidades.
Conclusão
Riscos são inerentes a qualquer negócio. Eles só acabam se o seu negócio parar ou você parar de fazer a atividade que dá origem ao risco. Portanto, o risco é algo que você precisa avaliar e reavaliar constantemente para saber quais controles estão em vigor e se são eficazes, tanto imediatamente após a implementação quanto ao longo do tempo.
Essa prática permite que as organizações tomem decisões mais informadas sobre os investimentos em segurança, priorizando as medidas que oferecem maior proteção e retorno sobre o investimento.
Além de prevenir perdas financeiras e danos à reputação, a análise de risco também demonstra o compromisso da empresa com a segurança da informação, o que pode fortalecer a confiança de clientes, parceiros e colaboradores. Ao identificar e tratar os riscos de forma proativa, as empresas podem responder de forma mais eficaz a incidentes de segurança, minimizando seus impactos.
Precisa de ajuda para proteger a sua empresa? Oferecemos suporte em TI, Telecom, segurança da informação e conformidade com a LGPD. Conheça nossos planos ou entre em contato para saber mais!
Andressa Segantini
Consultora de Privacidade e Proteção de Dados Pessoais
Andressa é especialista em privacidade e proteção de dados, com formação em relações internacionais, administração de empresas e direito digital. Sua expertise em gestão de projetos garante a implementação eficaz de programas de compliance com as leis de proteção de dados. Possui diversas certificações na área e demonstra seu compromisso com a atualização e o domínio das melhores práticas do mercado.
Comments