Segurança da informação – Gestão de Riscos
Durante esse semestre percebi que no que tange a segurança da informação um dos artefatos mais importantes que podem ser gerados por um Security Officer é a Gestão de Riscos.
Através da Gestão de Riscos podemos gerenciar e administrar os tudo o que diz respeito a riscos na instituição.
O negocio da empresa é o foco da Gestão de Risco, o documento deve estar totalmente alinhado com o negocio.
Conceitos importantes:
Riscos:
Combinação de probabilidade da ocorrência de um evento com o seu respectivo impacto sobre um ativo.
Evento:
É quando há uma relação entre uma ameaça, vulnerabilidades e impacto (danos).
Ex: Atacante consegue acesso privilegiado a sistema web devido a falha de filtragem de dados no formulário de login.
Escopo:
Parte mais sensível de um projeto. A escolha do escopo correto pode fazer toda a diferença no sucesso da gestão de riscos.
Como mencionado anterior mente a Gestão de Riscos visa o negocio, proteger o que gera o lucro da empresa, porém a escolha do escopo não precisa ser necessariamente um processo. Algumas classificações de escopo:
- Processo de negócio
- Localidade Física
- Por Ativo
- Mista
Identificando riscos:
A técnica usada durante o semestre para levantar riscos foi de identificar:
- Ativos
- Vulnerabilidades
- Ameaças
- Danos
Identificar impactos:
Pode ser feito de modo qualitativo ou quantitativo.
Análise de riscos:
Trabalhar com as informações levantadas para estimar os riscos.
Para cada item do CID estimar probabilidade, impacto e valor do risco.
Para calcular probabilidade e impacto deve ser levado em consideração o histórico da instituição.
Avaliação dos riscos:
Deve ser pré-definido qual será o nível de aceitação que empresa usará para tratar os riscos.
Tratamento dos riscos:
Baseado nos critérios definidos pela empresa deve ser implementado os controles para modificar cada risco encontrado.