5 Coisas que Você Precisa Saber sobre Avaliação de Risco de TI

Com as ameaças aos dados sensíveis crescendo em número e sofisticação todos os dias, as organizações não podem se dar ao luxo de ter uma abordagem dispersa em relação à segurança. Em vez disso, precisam concentrar seus limitados orçamentos e recursos de TI nas vulnerabilidades específicas de sua postura de segurança única. Para fazer isso, precisam identificar, analisar e priorizar os riscos para a confidencialidade, integridade ou disponibilidade de seus dados ou sistemas de informação, com base tanto na probabilidade do evento quanto no nível de impacto que teria nos negócios.

Este processo é chamado de avaliação de risco de TI. Neste post, revelaremos as cinco coisas mais importantes a saber sobre avaliação de risco de segurança de TI e como implementá-la no seu ambiente de TI.

1. A avaliação de risco de TI deve ser a base da sua estratégia de segurança de TI

Primeiro, precisamos diferenciar entre avaliação de risco e gestão de risco. Embora ambos sejam componentes essenciais para um ecossistema de segurança de TI robusto, eles não são idênticos. Na verdade, a gestão de risco é uma parte da avaliação de risco, proporcionando controle sobre riscos empresariais, operacionais, de segurança da informação e outros. A avaliação de risco de TI envolve a tarefa muito mais ampla de compreender as paisagens de risco internas e externas para uma abordagem holística e abrangente da segurança organizacional.

Em outras palavras, a avaliação de risco de segurança de TI ajuda você a entender quais eventos podem afetar sua organização de maneira negativa e quais lacunas de segurança representam uma ameaça às suas informações críticas, para que você possa tomar decisões de segurança melhores e adotar medidas proativas mais inteligentes. Por exemplo, ao revelar uma estrutura de privilégios organizada de forma caótica, contas de usuário ocultas ou direitos administrativos emaranhados, a avaliação de risco ajuda você a tomar as etapas adequadas de gerenciamento de risco para minimizar o risco de abuso de privilégios ou roubo de dados antes que seja tarde demais.

2. A avaliação de risco de TI é exigida por muitas regulamentações de conformidade

O uso de avaliação de risco para segurança da informação é apenas parte do cenário. Avaliação de risco de segurança da informação também é um dos principais requisitos de muitos padrões de conformidade. Por exemplo, se sua organização deve cumprir com a HIPAA ou poderia enfrentar auditorias do GDPR a partir de maio de 2018, então a avaliação de risco de segurança da informação é essencial para sua organização a fim de minimizar o risco de não conformidade e multas elevadas.

Embora as regulamentações não forneçam instruções específicas sobre como as organizações devem controlar e proteger seus sistemas de TI, elas exigem que as organizações protejam esses sistemas e forneçam aos auditores evidências de que os controles de segurança necessários estão implementados e para reduzir Data Security Risks.

3. Adotar um framework apropriado facilita o início da avaliação de risco de TI

Um framework de avaliação de risco de segurança de TI é um conjunto de regras que define:

• O que deve ser avaliado
• Quem deve estar envolvido nos procedimentos de avaliação de risco
• Quais ameaças uma organização possui
• Como esses riscos identificados serão analisados e priorizados
• Como o risco será calculado com base na probabilidade e no impacto
• Qual documentação deve ser coletada e produzida como resultado da avaliação

Obviamente, essas regras serão diferentes para cada organização, dependendo de suas necessidades e objetivos, seu tamanho, a complexidade e maturidade de seus processos de negócios, os tipos de dados envolvidos, o tamanho do departamento de TI, os controles de segurança existentes, os requisitos da indústria aplicáveis e mais.

No entanto, não há necessidade de criar sua estrutura de avaliação de risco de segurança da informação do zero. Em vez disso, você pode adotar e adaptar um desses frameworks de risco comumente usados:

• Avaliação Operacionalmente Crítica de Ameaças, Ativos e Vulnerabilidades (OCTAVE) projetada pela Universidade Carnegie Melon
• A estrutura de avaliação de risco do NIST, conforme documentada na publicação especial SP 800-30
• ISO/IEC 27001:2013

Observe que todos esses padrões exigem que as organizações documentem seus processos de avaliação de risco de segurança da informação para que possam fornecer evidências de que todos os procedimentos de segurança de dados necessários estão sendo seguidos diligentemente.

4. A avaliação de risco de TI precisa ser um processo contínuo

Sistemas de segurança são como carros de corrida de alta performance — precisam ser constantemente mantidos, atualizados e ajustados. A avaliação de risco não é um evento único que fornece informações permanentes e definitivas para que os tomadores de decisão informem suas respostas aos riscos de segurança da informação. Em vez disso, como tanto o ambiente de TI quanto a paisagem de risco estão sempre mudando, a avaliação de risco precisa ocorrer de forma contínua ao longo do ciclo de vida do desenvolvimento do sistema, desde o planejamento do sistema até a aquisição e uso, até a aposentadoria do sistema.

Além disso, a avaliação de risco deve ser realizada com frequência suficiente para identificar possíveis lacunas de segurança que podem surgir rapidamente, como o aumento excessivo de privilégios, contas inativas e contas administrativas com configurações inadequadas de senha que colocam dados sensíveis e sistemas em risco.

5. A avaliação de risco de TI envolve três etapas

O processo de avaliação de risco pode ser grosseiramente dividido em três etapas:

• Identificação de riscos — Determine as vulnerabilidades nos sistemas de informação e no ambiente de TI mais amplo, como permissões de acesso excessivas ou aninhamento de grupos confuso, que podem levar a danos se não forem tratadas a tempo.
• Estimativa de risco — Avalie a probabilidade de um evento arriscado ocorrer analisando a probabilidade de uma ameaça específica ser capaz de explorar uma vulnerabilidade dada.
• Priorização de riscos — Classifique os riscos com base na estimativa de risco combinada com o nível de impacto que causaria se ocorresse. Considere o impacto para o negócio da divulgação, modificação ou destruição não autorizada de informações, ou da perda de disponibilidade do sistema de informação. Atenda primeiro às ameaças com maior probabilidade e impacto.

A avaliação de risco de TI é crítica para a proteção de dados e continuidade dos negócios, e deve ser realizada periodicamente para detectar novos riscos e melhorar as estratégias de segurança. Se a sua avaliação de risco está desatualizada, suas estratégias também estão — é tão simples quanto isso.

Descubra quais primeiros passos para uma avaliação de risco eficiente você pode tomar agora mesmo. Para aprender algumas das melhores práticas na criação de um processo contínuo de avaliação e mitigação de riscos, assista a este IT risk assessment webinar.

Você utiliza avaliação de risco de TI no seu ambiente de TI? Quais ferramentas você usa?