2.2. Gerenciamento de Riscos

Gerenciamento de riscos é o processo de identificar, avaliar e mitigar os riscos que podem impactar negativamente os ativos de uma organização, incluindo dados, sistemas e operações. No contexto da cibersegurança, o gerenciamento de riscos é fundamental para proteger a organização contra ameaças cibernéticas e minimizar as consequências de possíveis incidentes.

A gestão de riscos institucional é especialmente importante em ambientes complexos e em constante mudança, nos quais as organizações enfrentam diversos tipos de riscos, como tecnológicos, operacionais, estratégicos, legais, de conformidade, financeiros e reputacionais.

A Gestão de Riscos em Segurança da Informação, segundo o Glossário de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República, está definida como: "[...] processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificação, avaliação e gerenciamento de potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos [...]"

Art. 11. O processo de gestão de riscos de segurança da informação deve estar alinhado com o modelo de gestão de riscos institucional, compatível com a missão e os objetivos estratégicos do órgão ou entidade, além de considerar, preliminarmente:

I - os processos internos institucionais;

II - os requisitos legais;

III - a política de segurança da informação do órgão ou da entidade;

IV - a política de gestão de riscos institucional, caso exista; e

V - a estrutura do órgão ou da entidade.

Art. 12. O processo de gestão de riscos de segurança da informação deverá fornecer à organização os seguintes documentos:

I - plano de gestão de riscos de segurança da informação;

II - relatório de identificação, análise e avaliação dos riscos de segurança da informação; e

III - relatório de tratamento de riscos de segurança da informação

Definições

Risco: no sentido amplo, trata-se da possibilidade de ocorrência de um evento que pode impactar o cumprimento dos objetivos. Pode ser mensurado em termos de impacto e de probabilidade.

Risco de Segurança da Informação: risco potencial associado à exploração de uma ou mais vulnerabilidades de um ou mais ativos de informação, por parte de uma ou mais ameaças, com impacto negativo no negócio da organização.

Identificação de riscos: processo de localizar, listar e caracterizar elementos de risco.

Avaliação de riscos: processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.

Mitigação de riscos: processo de ações para reduzir a probabilidade do impacto dos riscos, considerando a implementação de controles de segurança.

Aceitação de riscos: processo para classificar os riscos como aceitáveis, considerando se o custo de mitigação for maior do que o próprio risco.

Transferência dos riscos: forma de tratamento de risco na qual a alta administração decide realizar a atividade, compartilhando com outra entidade o ônus associado a um risco.

Controle dos riscos: medidas implementadas para reduzir a probabilidade de um evento de risco ou seu impacto. Eles podem ser técnicos, operacionais ou administrativos.

Análise dos riscos: uso sistemático de informações para identificar fontes e estimar o risco.

Análise de Custo – Benefício: antes de implementar medidas de mitigação, a organização avalia se os custos associados à mitigação superam os benefícios esperados em termos de redução de risco.

Monitoramento dos Riscos: a gestão de riscos é um processo contínuo de monitoramento, que demanda um método para acompanhar a eficácia das ações de mitigação e identificar mudanças nos riscos ao longo do tempo.

Comunicação de Riscos: processo para compartilhar informações sobre riscos com as partes interessadas internas e externas, garantindo transparência e ação coordenada.

Plano de Resposta a Riscos: plano estruturado que detalha como a organização responderá a eventos adversos caso ocorram. Ele inclui etapas de resposta, atribuições e recursos necessários.

Cultura de Riscos: processo para implementar um conjunto de práticas de sensibilização, conscientização e treinamentos para tornar o ambiente corporativo alinhado com a gestão de riscos.

Processo de Gerenciamento de Riscos

  1. Identificação de Riscos

    • Inventário de Ativos: Criar um inventário abrangente de todos os ativos da organização, incluindo hardware, software, dados e redes.

    • Mapeamento de Ameaças: Identificar e documentar todas as ameaças potenciais que podem impactar os ativos da organização. Isso inclui ameaças internas e externas, como malware, phishing, ataques de negação de serviço (DDoS), e erros humanos.

    • Vulnerabilidades: Realizar avaliações de vulnerabilidade para identificar pontos fracos nos sistemas e processos que podem ser explorados por ameaças.

  2. Avaliação de Riscos

    • Análise de Impacto: Avaliar o impacto potencial de cada risco identificado. Isso inclui considerar as consequências financeiras, operacionais, legais e reputacionais de um incidente de segurança.

    • Probabilidade de Ocorrência: Estimar a probabilidade de ocorrência de cada risco. Isso pode ser baseado em dados históricos, tendências atuais de segurança cibernética e a eficácia das medidas de controle existentes.

    • Classificação de Riscos: Priorizar os riscos com base em sua severidade e probabilidade de ocorrência. Riscos com alto impacto e alta probabilidade devem ser tratados com maior urgência.

  3. Mitigação de Riscos

    • Implementação de Controles de Segurança: Desenvolver e implementar medidas de controle para mitigar os riscos identificados. Isso pode incluir políticas de segurança, controle de acesso, criptografia, firewalls, e sistemas de detecção e prevenção de intrusões.

    • Redução de Vulnerabilidades: Corrigir vulnerabilidades identificadas durante as avaliações. Isso pode envolver a aplicação de patches de software, reconfiguração de sistemas, e treinamento de funcionários para aumentar a conscientização sobre segurança.

    • Planos de Continuidade de Negócios e Recuperação de Desastres: Desenvolver e testar planos de continuidade de negócios e recuperação de desastres para garantir que a organização possa continuar operando após um incidente e recuperar-se rapidamente.

  4. Monitoramento e Revisão Contínuos

    • Monitoramento Contínuo: Implementar sistemas de monitoramento contínuo para detectar e responder a incidentes de segurança em tempo real. Isso inclui a utilização de ferramentas de SIEM (Security Information and Event Management) e SOC (Security Operations Center).

    • Auditorias e Avaliações Regulares: Conduzir auditorias de segurança regulares e avaliações de risco para garantir que as medidas de controle estão funcionando conforme esperado e para identificar novos riscos.

    • Revisão e Melhoria Contínua: Revisar e atualizar regularmente o plano de gerenciamento de riscos com base em novas informações, mudanças no ambiente de ameaças e lições aprendidas com incidentes anteriores.

Ferramentas e Técnicas de Gerenciamento de Riscos

  1. Análise SWOT (Strengths, Weaknesses, Opportunities, Threats)

    • Ferramenta que ajuda a identificar as forças, fraquezas, oportunidades e ameaças relacionadas à segurança cibernética da organização.

  2. Matriz de Riscos

    • Uma matriz que ajuda a visualizar e priorizar os riscos com base em sua severidade e probabilidade. Riscos são categorizados em quadrantes para facilitar a tomada de decisões.

  3. Modelos de Maturidade

    • Modelos como CMMI (Capability Maturity Model Integration) que ajudam a avaliar a maturidade dos processos de segurança da organização e identificar áreas de melhoria.

  4. Frameworks de Segurança

    • Utilização de frameworks de segurança reconhecidos, como NIST (National Institute of Standards and Technology) Cybersecurity Framework e ISO/IEC 27001, para estruturar e guiar o processo de gerenciamento de riscos.

Casos Práticos de Gerenciamento de Riscos

  1. Setor Financeiro

    • Bancos e instituições financeiras frequentemente utilizam o gerenciamento de riscos para proteger dados de clientes e transações financeiras. Eles implementam medidas rigorosas de controle de acesso, criptografia e monitoramento contínuo para mitigar riscos cibernéticos.

  2. Saúde

    • Organizações de saúde enfrentam riscos significativos relacionados à privacidade e segurança de dados de pacientes. Elas utilizam avaliações de risco e planos de contingência para garantir a proteção de informações de saúde eletrônicas (EHR) e a continuidade do atendimento médico.

  3. Manufatura

    • Empresas de manufatura enfrentam riscos cibernéticos relacionados a sistemas de controle industrial (ICS) e Internet das Coisas (IoT). Elas implementam medidas de segurança robustas para proteger suas operações e evitar interrupções na produção.

Conclusão

O gerenciamento de riscos é um componente essencial da cibersegurança que ajuda as organizações a identificar, avaliar e mitigar ameaças potenciais. Um processo de gerenciamento de riscos bem-estruturado permite que as organizações protejam seus ativos, garantam a continuidade dos negócios e mantenham a confiança dos clientes e stakeholders. A implementação contínua e a revisão das estratégias de gerenciamento de riscos são cruciais para se adaptar ao cenário de ameaças em constante evolução.

4o

Previous2.1. Confidencialidade, Integridade e Disponibilidade (CIA)Next2.3. Políticas e Procedimentos de Segurança

Last updated