Frequentemente, ao abordarmos a segurança cibernética, focamos em como nos defender de ameaças e ataques virtuais.
O cerne da discussão reside em como garantir a proteção e como agir quando as coisas dão errado. No entanto, como identificar os alvos potenciais? Quais são os motivos para um ataque? E qual seria o custo para reerguer uma organização após um incidente cibernético?
Uma análise de risco em segurança cibernética pode fornecer respostas a todas essas questões. Portanto, essa avaliação é um dos pilares fundamentais no desenvolvimento de uma estratégia de segurança eficaz.
O que é uma Avaliação de Risco em Segurança Cibernética?
Uma avaliação de risco em segurança cibernética é um procedimento que auxilia no alinhamento do plano de segurança cibernética de uma organização com seus objetivos e metas de negócios. Ela também oferece uma melhor compreensão desses objetivos e avalia os recursos disponíveis e necessários para manter as operações em funcionamento.
O relatório resultante dessa avaliação abrange tecnicamente todos os aspectos relevantes para a segurança cibernética da sua organização. Além disso, contribui para o aumento da resiliência cibernética.
Desde a identificação de ameaças até a avaliação de ativos e coberturas de seguro, todas essas informações são projetadas para auxiliar as partes interessadas e a administração na tomada de decisões informadas diante do risco de ataques cibernéticos (ou após a ocorrência de um incidente).
A Relevância da Avaliação de Risco na Segurança Cibernética
Por meio de uma avaliação de risco, obtém-se um panorama das ameaças, o que ajuda a dimensionar as chances de um ataque, os alvos potenciais de agentes maliciosos contra sua organização e os danos que tais ataques podem causar.
Não apenas se limitando aos tipos de ameaças que sua organização enfrenta, mas também compreendendo o que elas podem realizar e como isso afetaria a organização.
Assim, essa avaliação oferece uma visão geral de como agir em caso de um ataque cibernético bem-sucedido contra sua empresa.
Em outras palavras, a avaliação de risco em segurança cibernética possibilita a percepção do nível de risco associado a um ataque cibernético. Isso auxilia a organização, seus acionistas e todos os responsáveis a se prepararem para minimizar riscos e estabelecer um plano sólido para todas as eventualidades.
Tipos de Avaliações de Risco
Embora as etapas das avaliações de risco em segurança cibernética sigam um padrão geral, os tipos de avaliações podem variar.
O tipo de avaliação direciona o foco da organização na avaliação das necessidades de segurança específicas do seu negócio.
#1. Avaliação Genérica
Uma avaliação baseada em questionários aborda aspectos simples, porém eficazes, que reduzem os riscos de segurança.
Exemplos incluem a política de senhas, o tipo de firewall implementado, a regularidade de atualizações de segurança e as políticas de autenticação e criptografia.
Embora simples e direta, essa abordagem pode não ser adequada para todos os tipos de organizações. Ela pode ser mais apropriada para organizações com ativos limitados e dados menos confidenciais.
#2. Avaliação Qualitativa de Risco
A avaliação qualitativa de riscos pode ser um tanto especulativa, uma vez que depende da análise e verificação de antecedentes por indivíduos ou grupos para abordar temas como violações de dados e riscos financeiros.
Não envolve um relatório formal, mas sim sessões de brainstorming entre os membros de alto escalão da organização.
#3. Avaliação Quantitativa de Risco
Ao considerar a avaliação quantitativa, o foco é nos dados e insights, calculando o risco com base neles.
Essa avaliação é mais abrangente e adequada para organizações maiores, onde o risco financeiro é maior e os ativos de dados são mais valiosos.
#4. Avaliação de Risco Específica do Local
A avaliação de risco específica do local se concentra em um único caso de uso. Seja uma seção da organização ou um local específico, esse tipo de avaliação é ideal para análises de nicho.
Ela avalia apenas uma rede específica, uma tecnologia ou outros componentes estáticos similares. Não é esperado que ela seja útil para o restante da organização.
#5. Avaliação Dinâmica de Riscos
A avaliação dinâmica de riscos confronta riscos que se modificam em tempo real.
Para que seja eficaz, a organização deve monitorar e lidar com ameaças e ataques à medida que eles ocorrem.
Etapas para Realizar uma Avaliação de Risco de Segurança Cibernética
As etapas para a realização da avaliação dependem da organização e dos recursos disponíveis para esse fim.
Embora o processo seja semelhante, ajustes podem ser necessários para diferentes organizações, por exemplo, no número de etapas, na categorização e na priorização de cada fase.
A seguir, abordaremos nove etapas que nos permitem cobrir todos os detalhes essenciais, auxiliando na realização adequada de uma avaliação de risco em segurança cibernética.
#1. Identifique seus Ativos
A identificação dos ativos de sua organização é essencial e deve ser a principal prioridade.
Os ativos podem incluir hardware (laptops, celulares, pen drives), software (gratuito ou licenciado), arquivos, documentos em PDF, infraestrutura de energia elétrica e documentos impressos.
Em alguns casos, pode ser necessário incluir os serviços online dos quais a organização depende como ativos, pois eles influenciam direta ou indiretamente nas operações.
Por exemplo, a solução de armazenamento em nuvem utilizada para guardar documentos.
#2. Identifique suas Ameaças
Com base em seus ativos, é possível identificar as ameaças potenciais associadas a eles.
Como realizar essa identificação? Uma das formas é monitorando tendências e notícias sobre ameaças cibernéticas, mantendo a organização ciente do cenário geral.
Em seguida, podem ser utilizadas bibliotecas de ameaças, bases de conhecimento e recursos governamentais ou de agências de segurança para obter informações sobre todos os tipos de ameaças cibernéticas.
Finalmente, estruturas como a cadeia de destruição cibernética podem auxiliar na avaliação das medidas necessárias para proteger os ativos contra essas ameaças.
#3. Avalie suas Vulnerabilidades
Com o conhecimento dos seus ativos e ameaças, a questão é: como um invasor poderia acessá-los?
Se dispositivos, rede ou outros ativos possuírem vulnerabilidades, um agente malicioso pode explorá-las para obter acesso não autorizado.
As vulnerabilidades podem surgir em sistemas operacionais, laptops, celulares, sites ou contas online. Qualquer ponto pode apresentar vulnerabilidades, até mesmo senhas simples e fáceis de serem descobertas.
Para mais informações, pode-se consultar o catálogo de vulnerabilidades exploradas do governo.
As vulnerabilidades podem estar presentes tanto dentro como fora do sistema, e a adoção de medidas para eliminar as vulnerabilidades comuns ou conhecidas é uma ação fundamental.
#4. Calcule seu Risco
O risco é calculado com base na ameaça, vulnerabilidade e valor do ativo.
Risco = Ameaça x Vulnerabilidade x Valor
A avaliação do risco refere-se à probabilidade de uma ameaça afetar a organização.
Quanto maior a probabilidade, maior o risco. No entanto, essa probabilidade não pode ser prevista com exatidão, pois o cenário de ameaças está em constante mudança.
Portanto, o nível de risco deve ser calculado, indicando a gravidade do risco em caso de exploração. Esse nível pode ser determinado avaliando o valor de cada ativo e o impacto que sua perda ou comprometimento causaria na organização.
Esse impacto pode variar entre organizações. Um arquivo PDF, por exemplo, pode ser uma informação pública para uma empresa e altamente confidencial para outra.
#5. Priorize seus Riscos
Após avaliar os níveis de risco, a priorização se torna mais fácil.
Quais os pontos que devem ser protegidos primeiramente? Aqueles com maior probabilidade de serem atacados e que causariam maiores danos, certo?
Como em muitas situações, a análise pode ser subjetiva. Entretanto, a categorização dos riscos contribui para o estabelecimento de uma ordem de prioridade.
Essa priorização pode se basear em:
- A priorização dos riscos de acordo com o valor a eles associado.
- A filtragem dos riscos com base em hardware, software e outros fatores externos, como fornecedores e serviços de remessa.
- A filtragem dos riscos através da projeção de ações futuras caso um determinado risco se concretize.
Para esclarecer, vejamos exemplos:
Se um risco é avaliado em US$1 milhão e outro em US$1 bilhão, o último certamente terá maior atenção.
Se os objetivos de negócios dependerem do hardware e não de fatores externos, o hardware será priorizado.
Da mesma forma, se um risco específico exigir uma grande iniciativa para ser resolvido, ele também terá maior prioridade.
#6. Implemente Controles
A implementação de controles refere-se às medidas de segurança que ajudam a gerenciar os riscos.
Os controles podem reduzir ou até mesmo eliminar riscos.
Desde o controle de acesso até políticas de senhas rigorosas e firewalls, todas as medidas contribuem para a gestão de riscos.
#7. Monitore e Melhore
Todos os ativos, correções de vulnerabilidade e riscos potenciais devem ser monitorados para identificar oportunidades de melhoria.
Diante da constante evolução das ameaças cibernéticas, que podem comprometer até mesmo uma estratégia de segurança robusta, é fundamental que toda a preparação seja revisada periodicamente.
As auditorias de segurança são importantes, mas não se pode relaxar o monitoramento após obter resultados positivos em uma auditoria.
A falta de monitoramento pode deixar a organização vulnerável a ameaças cibernéticas.
#8. Conformidade e Regulamentos
Embora a conclusão de uma avaliação de segurança cibernética possa naturalmente alinhar a organização com padrões e leis específicas, é importante realizar uma verificação mais aprofundada nesse aspecto.
A avaliação não deve ser realizada unicamente com o intuito de cumprir uma exigência de conformidade, mas sim buscando atender às necessidades de segurança e, posteriormente, fazendo ajustes para atender aos requisitos de conformidade que permitam operar sem infringir nenhuma lei ou padrão.
Por exemplo, a conformidade com o HIPAA é obrigatória se a organização lida com informações de saúde nos Estados Unidos.
É essencial explorar os requisitos regulamentares da região onde sua empresa ou organização está localizada e trabalhar para atendê-los.
#9. Melhoria Contínua
Não importa quão boas sejam as medidas, controles e análises de ameaças, sempre haverá espaço para melhorias contínuas.
Se uma organização não revisar, melhorar ou realizar ajustes para aperfeiçoar sua estratégia de segurança cibernética, essa estratégia pode falhar antes do esperado.
A Avaliação de Riscos de Segurança Cibernética é Essencial
A avaliação de risco em segurança cibernética é um elemento fundamental para todos os tipos de organizações.
Sejam elas grandes ou pequenas, dependendo de mais ou menos serviços online, a avaliação é de grande importância. Ela auxilia gestores, partes interessadas e fornecedores a entenderem os recursos necessários para garantir a segurança e a se prepararem para minimizar danos após um ataque cibernético.
Você também pode consultar a lista de verificação de segurança cibernética para pequenas e médias empresas.