Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Exemplo de Análise de Risco: Como Avaliar Riscos

Exemplo de Análise de Risco: Como Avaliar Riscos

Apr 6, 2020

Organizações estão lutando contra riscos em várias frentes, incluindo cibersegurança, responsabilidade, investimento e mais. Análise de risco, ou avaliação de risco, é o primeiro passo no processo de gestão de riscos. Análise de risco de TI foca nos riscos que ameaças internas e externas representam para a disponibilidade, confidencialidade e integridade dos seus dados. Durante a análise de risco, uma empresa identifica riscos e o nível de consequências, como perdas potenciais para o negócio, se um incidente acontecer.

O processo de análise de risco envolve definir os ativos (sistemas de TI e dados) em risco, as ameaças que cada ativo enfrenta, quão críticas são cada uma dessas ameaças e quão vulnerável o sistema está a essa ameaça. É prudente adotar uma abordagem estruturada e baseada em projetos para a análise de risco, como as oferecidas no NIST SP 800-30 ou ISO/IEC 27005:2018 e 31010:2019.

A análise de risco é importante por várias razões. Profissionais de TI responsáveis por mitigar riscos na infraestrutura frequentemente têm dificuldade em decidir quais riscos precisam ser resolvidos o mais rápido possível e quais podem ser abordados mais tarde; a análise de risco ajuda a priorizar adequadamente. Além disso, muitos requisitos regulatórios e de conformidade incluem security risk assessment como um componente obrigatório.

Neste artigo, vamos examinar um exemplo de análise de risco e descrever os principais componentes do processo de análise de risco de TI.

Exemplo de Análise de Risco

As seções a seguir apresentam os componentes-chave de um documento de análise de risco.

Introdução

Esta parte explica o porquê e como o processo de avaliação foi conduzido. Inclui uma descrição dos sistemas analisados e especifica a atribuição de responsabilidades necessárias para fornecer e coletar as informações e analisá-las.

Propósito

Nesta seção, você define o propósito de uma avaliação detalhada de um sistema de TI. Aqui está um exemplo:

De acordo com a avaliação anual de risco empresarial, < system name > foi identificado como um sistema potencialmente de alto risco. O propósito da avaliação de risco é identificar as ameaças e vulnerabilidades relacionadas a < system name > e identificar planos para mitigar esses riscos.

Escopo

Nesta seção, você define o escopo da avaliação do sistema de TI. Descreva os componentes do sistema, usuários e outros detalhes do sistema que devem ser considerados na avaliação de risco.

O escopo desta avaliação de risco é avaliar o uso de recursos e controles (implementados ou planejados) para eliminar e/ou gerenciar vulnerabilidades exploráveis por ameaças internas e externas ao < system name >.

Descrição do Sistema

Liste os sistemas, hardware, software, interfaces ou dados que são examinados e quais deles estão fora do escopo da avaliação. Isso é necessário para analisar mais a fundo os limites do sistema, funções, criticidade e sensibilidade do sistema e dos dados. Aqui está um exemplo:

< system name > é composto por < components, interfaces > que processam dados < sensitive / critical / regulated >. < system name > está localizado < details on physical environment >. O sistema fornece < core functions >.

Participantes

Esta seção inclui uma lista com os nomes dos participantes e seus papéis. Deve incluir os proprietários dos ativos, as equipes de TI e segurança, e a equipe de avaliação de riscos.

Abordagem de Avaliação

Esta seção explica toda a metodologia e técnicas utilizadas para avaliação de risco. Por exemplo:

O risco será determinado com base em um evento de ameaça, a probabilidade de ocorrência desse evento de ameaça, vulnerabilidades conhecidas do sistema, fatores de mitigação e impacto na missão da empresa. A fase de coleta de dados inclui a identificação e entrevista de pessoal chave na organização e a realização de revisões de documentos. As entrevistas se concentrarão no ambiente operacional. As revisões de documentos fornecem à equipe de avaliação de riscos uma base para avaliar a conformidade com políticas e procedimentos.

Identificação e Avaliação de Riscos

Aqui começa a parte central da avaliação de risco de security risk de informação, onde você compila os resultados do seu trabalho de campo de avaliação.

Conteúdo relacionado selecionado:

Inventário de Dados

Identifique e defina todos os ativos valiosos abrangidos: servidores, dados críticos, dados regulamentados ou outros dados cuja exposição teria um grande impacto nas operações comerciais. Por exemplo:

Tipo de dados

Descrição

Nível de sensibilidade (Alto, Moderado, Baixo)

Informações pessoalmente identificáveis
  • Nome
  • Endereço
  • Número de Segurança Social
  • Número do cartão de crédito

Alto

Informações financeiras
  • Número do cartão de crédito
  • Código de verificação
  • Data de validade
  • Referência de autorização
  • Referência da transação

Alto

Usuários do Sistema

Descreva quem está usando os sistemas, com detalhes sobre a localização do usuário e o nível de acesso. Você pode usar o exemplo abaixo:

Nome do sistema

Categoria de Usuário

Nível de Acesso (Leitura, Escrita, Total)

Número de usuários

Organização Doméstica

Localização Geográfica

<Nome do aplicativo empresarial>

Usuário comum

Leitura/Escrita

10

ABC Group

Atlanta

Identificação de Ameaças

Desenvolva um catálogo de fontes de ameaças. Descreva brevemente os riscos que podem afetar negativamente as operações da organização, desde violações de segurança e erros técnicos até erros humanos e falhas de infraestrutura:

Fonte de ameaça

Ação de ameaça

Criminoso cibernético
  • Defacement de sites
  • Engenharia social
  • Intrusões no sistema (arrombamentos)
  • Roubo de identidade

Insider malicioso
  • Navegação de informações pessoais identificáveis
  • Acesso não autorizado ao sistema
  • Ações acidentais ou mal aconselhadas tomadas por funcionários que resultam em danos físicos não intencionais, interrupção do sistema ou exposição

Funcionários
  • Doença, morte, lesão ou outra perda de um indivíduo chave

Reputação
  • Perda de confiança dos funcionários
  • Dano à reputação da empresa

Organizacional (planejamento, cronograma, estimativa, controle, comunicação, logística, recursos e orçamento)
  • Ações inadequadas de demissão e realocação de funcionários

Ações legais e administrativas
  • Penalidades regulatórias
  • Processos criminais e civis

Técnico
  • Código malicioso (por exemplo, vírus)
  • Erros de sistema
  • Falha de um computador, dispositivo, aplicativo ou tecnologia de proteção ou controle que interrompe as operações ou expõe o sistema a danos

Ambiental
  • Desastres naturais ou provocados pelo homem

Identificação de Vulnerabilidades

Avalie quais vulnerabilidades e fraquezas podem permitir que ameaças comprometam sua segurança. Aqui está um exemplo:

Vulnerabilidade

Descrição

Força de senha insuficiente

As senhas utilizadas são fracas. Os atacantes poderiam adivinhar a senha de um usuário para obter acesso ao sistema.

Falta de recuperação de desastres

Não existem procedimentos para garantir a operação contínua do sistema no caso de uma interrupção significativa dos negócios ou desastre.

Determinação de Risco

Aqui, você avalia a probabilidade de ameaças e vulnerabilidades causarem danos e a extensão dessas consequências.

Determinação da Probabilidade de Risco

Durante esta etapa, concentre-se em avaliar a probabilidade de risco — a chance de que um risco ocorra.

Nível

Definição de Probabilidade

Exemplo

Alto

A fonte da ameaça é altamente motivada e suficientemente capaz, e os controles para prevenir que a vulnerabilidade seja explorada são ineficazes.

Divulgação, modificação ou destruição maliciosa não autorizada de informações

Moderado

A fonte da ameaça está motivada ou é capaz, mas existem controles em vigor que podem impedir o exercício bem-sucedido da vulnerabilidade.

Erros e omissões não intencionais

Baixo

A fonte da ameaça carece de motivação ou capacidade, ou controles estão em vigor para prevenir, ou pelo menos impedir significativamente, que a vulnerabilidade seja explorada.

Interrupções de TI devido a desastres naturais ou causados pelo homem

Análise de Impacto

Realize uma análise de impacto de risco para entender as consequências para o negócio se um incidente acontecer. A análise de risco pode incluir avaliações de risco qualitativas para identificar os riscos que representam maior perigo, como perda de dados, inatividade do sistema e consequências legais. A avaliação de risco quantitativa é opcional e é usada para medir o impacto em termos financeiros.

Incidente

Consequência

Impacto

Divulgação não autorizada de informações sensíveis

A perda de confidencialidade com grande dano aos ativos organizacionais.

O incidente pode resultar na perda custosa de importantes ativos ou recursos tangíveis, e pode violar, prejudicar ou impedir significativamente a missão, reputação ou interesses da organização.

Alto

Interrupções de TI devido a alterações não autorizadas no sistema

A perda de disponibilidade com um sério efeito adverso nas operações organizacionais.

A organização é capaz de realizar suas funções primárias, mas a eficácia das funções é significativamente reduzida.

Médio

Dados não sensíveis são perdidos devido a alterações não autorizadas nos dados ou no sistema

A perda de integridade com um efeito limitado nas operações organizacionais, ativos ou indivíduos.

A organização é capaz de realizar suas funções primárias, mas a eficácia das funções é notavelmente reduzida.

Baixo

Avaliação do Nível de Risco

Durante esta etapa, os resultados da análise de risco são comparados aos critérios de avaliação de risco. Os resultados são utilizados para priorizar riscos de acordo com o nível de risco.

Nível de Impacto

Definição do Nível de Risco

Alto

Há uma forte necessidade de medidas corretivas. O sistema pode continuar a operar, mas um plano de ação corretiva deve ser implementado o mais rápido possível.

Moderado

São necessárias ações corretivas e um plano deve ser desenvolvido para incorporar essas ações dentro de um período de tempo razoável.

Baixo

O proprietário do sistema deve determinar se ainda são necessárias ações corretivas ou decidir aceitar o risco.

Resultados da Avaliação de Risco

Liste os riscos na tabela de Resultados da Avaliação de Risco. O relatório deve descrever as ameaças e vulnerabilidades, medir o risco e fornecer recomendações para a implementação de controles.

Ameaça

Vulnerabilidades

Mitigação

Probabilidade

Impacto

Risco

Furacão

Queda de energia

Instale geradores de reserva

Moderado

Baixo

Baixo

Falta de plano de recuperação de desastres

Recuperação de desastres

Desenvolva e teste um plano de recuperação de desastres

Moderado

Alto

Moderado

Usuários não autorizados podem acessar o servidor e navegar por arquivos sensíveis da empresa

Acesso aberto a conteúdo sensível

Realize monitoramento e testes de segurança do sistema para garantir que uma segurança adequada seja fornecida para <server name>.

Moderado

Alto

Moderado


Conclusão

A análise de risco permite que você saiba quais riscos são sua maior prioridade. Ao revisar continuamente as áreas-chave, como permissões, política, dados e usuários, você pode determinar quais ameaças representam o maior risco para o seu ecossistema de TI e ajustar os controles necessários para melhorar a segurança e a conformidade.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Ryan Brooks

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança