O ano passa e os desafios da Segurança da Informação aumentam de tamanho a cada dia. A maioria dos problemas que os profissionais de TI possuem estão relacionados com a dificuldade de se manterem atualizados com a enorme quantidade de novas vulnerabilidades e a necessidade contínua da atualização de sistemas de informação.
Há sem dúvida a necessidade de aplicarmos sólidos princípios de Gestão de Riscos para que possamos focar os recursos nas áreas problemáticas mais críticas. Os riscos mais importantes priorizados e as proteções apropriadas selecionadas, podemos estar certos que os maiores incidentes de segurança serão evitados ou reduzidos.
Todo processo de negócio é um conjunto de informações de diferentes níveis de sigilo. Certas informações podem ser confidenciais e precisam ser protegidas contra acesso não autorizado, enquanto outras informações críticas para o funcionamento contínuo da organização.
Um dos componentes mais importantes da Gestão de Segurança da Informação (GSI) como todo, a Gestão de Riscos é o nosso tema do artigo e é por meio deste processo que os riscos são identificados e tratados de forma sistemática e contínua.
A forma como o risco é percebido
A forma como um risco é visto por uma parte envolvida pode variar em virtude dos critérios, valores, interesses e prioridades usados por ela. Por isso, quando o risco é encontrado com esses pontos específicos, nós chamamos de risco percebido.
Segundo a ISO/IEC Guide 73:2002 o Risco possui três vertentes: Probabilidade, Evento e Conseqüência.
Uma pessoa que tenha sido assaltada várias vezes em uma cidade pacífica pode achar que ela é muito mais perigosa que uma metrópole violenta na qual tenha morado sem nunca sofrer um assalto. Nem sempre o risco percebido é o risco verdadeiro.
Objetivos e benefícios da GR
Em síntese, podemos citar os seguintes:
- Priorização dos riscos e ações.
- Maior conhecimento sobre os riscos.
- Mecanismo para obtenção de consenso.
- Embasamento para as proteções atuais.
- Métrica e indicadores de resultados.
Gestão de Riscos
A GR Contempla uma série de atividades relacionadas à forma como uma organização lida com o risco. Ela cobre todo o ciclo de vida de tratamento do risco, desde a sua identificação até a sua comunicação às partes envolvidas, passando pelo seu tratamento de forma a atingir objetivos pré-estabelecidos em termos de tolerância. A Gestão de Riscos é composta de quatro atividades principais:
- Análise e Avaliação
- Tratamento
- Aceitação
- Comunicação
Primeiro passo: Análise e Avaliação de Riscos
Esse passo originou do termo inglês Risk Assessment onde é o processo dividido em duas partes.
A primeira, denominada Análise de Riscos (Risk Analysis), cobre o processo de Identificação de ameaças (Threat Identification) e Estimativa do Risco (Risk Estimation). A identificação de ameaças é feita através de busca em bases de informação que possam servir como fonte sobre os diversos tipos de ameaças existentes para os ativos que estamos avaliando.
A segunda parte, a Avaliação de Riscos (Risk Evaluation) compreende o processo de comparar os riscos que foram previamente identificados e estimados com os critérios de risco definidos pela organização. Com esta comparação decidimos se tratamos ou aceitamos o risco em questão.
Segunda parte: Tratamento do Risco
Onde selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. As medidas mais comuns são:
- Evitar - Não se expor a uma situação de risco.
- Transferir - Fazer um seguro para cobrir eventuais prejuízos.
- Reter - Fazer um auto-seguro.
- Reduzir - Implementar uma proteção que reduza o risco.
- Mitigar - Tomar medidas que diminuam apenas o impacto.
Terceira parte: Aceitação do Risco
Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Isso normalmente ocorre quando o custo de proteção é maior que o custo do próprio ativo que está sendo protegido ou figura em escala muito próxima a isso. A aceitação também pode ocorrer quando os riscos identificados já se encontram dentro de patamares aceitáveis.
Quarta parte: Comunicação do Risco
O último componente do processo de GR e tem o propósito de fechar o ciclo por meio da divulgação de informações sobre os riscos que forem identificados, tenham eles sido tratados ou não, a todas as partes envolvidas que precisam ter conhecimento a respeito deles. Compartilhar a responsabilidade dos riscos é uma atividade que contempla a comunicação do risco mas convém lembrar que nem todos os riscos precisam ser comunicados.
Conclusão
A importância cada vez maior da Gestão de Riscos vem tomando a consciência dos empresários e incorporando suas técnicas na gestão global das corporações. A tendência é que tenhamos investimentos maiores em ações preventivas que justifiquem a incorporação de sistemas de gestão de risco e projetando-os de maneira eficaz. Além disso, outros fatores como a cultura da empresa, necessidades jurídicas, práticas e métodos de gestão influenciam também no projeto.
Referência:
RAMOS, Anderson (org.). Security Officer - 1: Guia Oficial para Formação de Gestores em Segurança da Informação. Porto Alegre, RS: Zouk, 2008.
