Suas aplicações são seguras?

Conheça a Conviso!

Como montar um bom documento de gestão de risco?

Conforme a área de TI se desenvolveu dentro das empresas, também cresceu a necessidade de maior segurança no que se refere à informação. Por isso, são necessárias avaliações periódicas que, a partir da identificação dos ativos, do escopo e das ameaças consideradas, forneçam material para a elaboração do documento de gestão de riscos.

À vista disso, elaboramos um post sobre como montar um bom documento de gestão de riscos! Confira!

Introdução

Na introdução, será explicada a finalidade do trabalho, aquilo que se pretende atingir com o registro das informações. Nessa introdução estarão descritos quais são os componentes do sistema, as pessoas que o utilizam (usuários) e demais pontos que sejam necessários para a compreensão do texto.

Abordagem

A segunda parte do documento corresponde à abordagem do assunto, descrevendo de que maneira foi efetuada a avaliação de riscos e apresentando dados importantes como:

  • Nomes dos membros da equipe que realizou a avaliação;

  • Técnicas utilizadas para recolher informações;

  • Descrição dos riscos que foram identificados.

Existem diferentes metodologias usadas para a avaliação de riscos, sendo que a ISO 27005:2008 é um referencial na área — bem como a sua implementação no novo formato da ISO 31000:2009.

Caracterização do sistema

O próximo passo é caracterizar o sistema que foi submetido à avaliação dos riscos. As características englobam:

  • Hardwares;

  • Softwares;

  • Usuários;

  • Links;

  • Topologia da rede;

  • Fluxo de entrada e saída dos dados.

E outros aspectos que ajudem a definir a abrangência da avaliação de riscos.

Definição das ameaças

Nessa parte do documento de gestão de riscos, serão identificadas e descritas as possíveis origens das ameaças. Vale lembrar que, conforme a Norma 27005:2008, “uma ameaça tem o potencial de comprometer os ativos e, por isso, também as organizações”. Portanto, considerar uma grande quantidade de ameaças é requisito para garantir maior segurança ao sistema.

Contudo, torna-se inviável considerar uma quantidade excessiva de ameaça durante uma avaliação de riscos, pois tornará mais complexo um trabalho que visa exatamente o contrário. Deve-se limitar a quantidade de ameaças em função dos ativos avaliados e do escopo analisado — o alvo que se pretende atingir.

Resultados

Essa parte do documento deve conter os resultados da avaliação de riscos, dispostos da forma mais clara possível e devidamente mensurados. O ideal é uma tabela com a relação de todos os ativos que foram avaliados, as respectivas ameaças a que estão sujeitos e a probabilidade de que elas aconteçam, o impacto que causarão, as vulnerabilidades do sistema — que podem ser consideradas como fatores de risco —, os cálculos de risco, controles sugeridos — que corresponde ao tratamento dos riscos — e outros pontos.

O impacto pode ser dividido em níveis, ou seja, quanto mais alto o nível, piores as consequências:

  • Baixo: pode acontecer a perda de ativos ou de recursos e as atividades da empresa, bem como sua reputação, podem ser afetadas negativamente.

  • Médio: podem acontecer perdas financeiras relacionadas a ativos e recursos, interrupção na prestação de serviços ao cliente, comprometimento da reputação da empresa e também graves ferimentos de pessoas.

  • Alto: perdas financeiras de ativos e recursos são elevadas, interrupção na prestação de serviços aos clientes, comprometimento da reputação da empresa, graves ferimentos de pessoas e até morte de algumas.

O cálculo do risco, que é uma forma de mensuração, consiste em multiplicar os valores atribuídos à probabilidade das ameaças pelo valor do impacto. Em geral esses valores são de:

  • Probabilidade: 0,1 (baixo), 0,5 (médio) e 1 (alto);

  • Impacto: 10 (baixo), 50 (médio) e 100 (alto).

Resumo

Para finalizar o documento, é importante fazer uma síntese de tudo que foi avaliado e registrado, acompanhado de observações. Uma dica é utilizar gráficos que relacionem os controles aos diferentes tipos de ameaças.

Já sabe montar um documento eficiente de gestão de riscos? Como costuma proceder nas avaliações? Deixe um comentário!

Deixe um comentário

topo
%d blogueiros gostam disto: