Conforme a área de TI se desenvolveu dentro das empresas, também cresceu a necessidade de maior segurança no que se refere à informação. Por isso, são necessárias avaliações periódicas que, a partir da identificação dos ativos, do escopo e das ameaças consideradas, forneçam material para a elaboração do documento de gestão de riscos.
À vista disso, elaboramos um post sobre como montar um bom documento de gestão de riscos! Confira!
Introdução
Na introdução, será explicada a finalidade do trabalho, aquilo que se pretende atingir com o registro das informações. Nessa introdução estarão descritos quais são os componentes do sistema, as pessoas que o utilizam (usuários) e demais pontos que sejam necessários para a compreensão do texto.
Abordagem
A segunda parte do documento corresponde à abordagem do assunto, descrevendo de que maneira foi efetuada a avaliação de riscos e apresentando dados importantes como:
-
Nomes dos membros da equipe que realizou a avaliação;
-
Técnicas utilizadas para recolher informações;
-
Descrição dos riscos que foram identificados.
Existem diferentes metodologias usadas para a avaliação de riscos, sendo que a ISO 27005:2008 é um referencial na área — bem como a sua implementação no novo formato da ISO 31000:2009.
Caracterização do sistema
O próximo passo é caracterizar o sistema que foi submetido à avaliação dos riscos. As características englobam:
-
Hardwares;
-
Softwares;
-
Usuários;
-
Links;
-
Topologia da rede;
-
Fluxo de entrada e saída dos dados.
E outros aspectos que ajudem a definir a abrangência da avaliação de riscos.
Definição das ameaças
Nessa parte do documento de gestão de riscos, serão identificadas e descritas as possíveis origens das ameaças. Vale lembrar que, conforme a Norma 27005:2008, “uma ameaça tem o potencial de comprometer os ativos e, por isso, também as organizações”. Portanto, considerar uma grande quantidade de ameaças é requisito para garantir maior segurança ao sistema.
Contudo, torna-se inviável considerar uma quantidade excessiva de ameaça durante uma avaliação de riscos, pois tornará mais complexo um trabalho que visa exatamente o contrário. Deve-se limitar a quantidade de ameaças em função dos ativos avaliados e do escopo analisado — o alvo que se pretende atingir.
Resultados
Essa parte do documento deve conter os resultados da avaliação de riscos, dispostos da forma mais clara possível e devidamente mensurados. O ideal é uma tabela com a relação de todos os ativos que foram avaliados, as respectivas ameaças a que estão sujeitos e a probabilidade de que elas aconteçam, o impacto que causarão, as vulnerabilidades do sistema — que podem ser consideradas como fatores de risco —, os cálculos de risco, controles sugeridos — que corresponde ao tratamento dos riscos — e outros pontos.
O impacto pode ser dividido em níveis, ou seja, quanto mais alto o nível, piores as consequências:
-
Baixo: pode acontecer a perda de ativos ou de recursos e as atividades da empresa, bem como sua reputação, podem ser afetadas negativamente.
-
Médio: podem acontecer perdas financeiras relacionadas a ativos e recursos, interrupção na prestação de serviços ao cliente, comprometimento da reputação da empresa e também graves ferimentos de pessoas.
-
Alto: perdas financeiras de ativos e recursos são elevadas, interrupção na prestação de serviços aos clientes, comprometimento da reputação da empresa, graves ferimentos de pessoas e até morte de algumas.
O cálculo do risco, que é uma forma de mensuração, consiste em multiplicar os valores atribuídos à probabilidade das ameaças pelo valor do impacto. Em geral esses valores são de:
-
Probabilidade: 0,1 (baixo), 0,5 (médio) e 1 (alto);
-
Impacto: 10 (baixo), 50 (médio) e 100 (alto).
Resumo
Para finalizar o documento, é importante fazer uma síntese de tudo que foi avaliado e registrado, acompanhado de observações. Uma dica é utilizar gráficos que relacionem os controles aos diferentes tipos de ameaças.
Já sabe montar um documento eficiente de gestão de riscos? Como costuma proceder nas avaliações? Deixe um comentário!
