AT02_LSIRC-3A-1S-SC-Avaliação de Riscos

Escola Superior de Tecnologia e Gestão - P. Porto

Gestão de Riscos: Processo de Avaliação de Riscos

LSIRC - Sistemas Críticos / 2022

Sumário

  • Ciclo PDCA

  • Estabelecimento de contexto, política e âmbito

  • Identificação de riscos

  • Avaliação de riscos

  • Monitorização e análise crítica

  • Exemplos

LSIRC – Sistemas Críticos / 2022

Ciclo PDCA

LSIRC – Sistemas Críticos / 2023Plan (Planejar)

  • Estabelecer o Sistema de Gestão de Segurança da Informação (SGSI).

  • Definir o contexto da organização, considerando fatores como o ambiente de operação e as exigências legais.

  • Definir o âmbito do SGSI, delineando suas delimitações e abrangência.

  • Definir a política de segurança da informação, alinhando-a com os objetivos estratégicos da organização.

  • Abordagem sistemática à avaliação de risco, incorporando métodos qualitativos e quantitativos.

  • Identificação de bens/ativos, incluindo hardware, software e dados, e os riscos associados a cada um.

  • Selecionar objetivos de controle e os controles a implementar para mitigar riscos críticos.

  • Preparar a Declaração de Aplicabilidade (SoA - Statement of Applicability), documentando os controles aplicáveis.

Do (Executar)

  • Implementar o SGSI com a participação dos stakeholders relevantes, promovendo uma cultura de segurança.

  • Formular um plano abrangente de tratamento do risco, documentando as ações a serem tomadas.

  • Implementar controles e treinar o staff adequadamente para garantir a conformidade.

  • Gerir operações e recursos, assegurando que as práticas de segurança estão sendo seguidas.

  • Implementar procedimentos eficazes para a detecção e resposta a incidentes, minimizando danos potenciais.

Check (Verificar)

  • Monitorização sistemática, revisão, teste e auditoria do SGSI para garantir sua eficácia.

  • Act/Adjust (Agir/Ajustar)

  • Realizar revisões baseadas em testes e auditorias pela gestão, promovendo a evolução do SGSI.

  • Documentar melhorias ao SGSI, refletindo uma abordagem proativa na gestão de riscos.

  • Aplicar o conceito de “constante melhoria” para adaptar-se a novas ameaças e vulnerabilidades.

Ciclo PDCA - Relação com SGSI

O Ciclo PDCA é fundamental para garantir a eficácia do SGSI, estabelecendo um processo de feedback que permite otimização contínua. As partes interessadas, como colaboradores e reguladores, devem ser envolvidas na gestão de riscos, assegurando que as suas necessidades e expectativas sejam atendidas.

Contexto, Política e Âmbito

  • Determinar questões internas e externas relevantes, como fatores econômicos, tecnológicos e sociais que podem impactar a organização.

  • Compreender as necessidades e expectativas das partes interessadas, criando um ambiente de transparência e confiança.

  • Determinar o apetite ao risco, que reflete a disposição da organização em aceitar riscos.

Contexto Organizacional

  • Identificação de setores relevantes (Construção, Agricultura, Comunicação, etc.) e suas vulnerabilidades específicas no espectro de risco.

Determinação do Âmbito

  • Delimitar os limites e a aplicabilidade do SGSI, considerando as operações e os ativos críticos.

  • Estabelecer um perímetro de bens/ativos no SGSI, garantindo que todos os elementos relevantes sejam incluídos no processo de gestão de riscos.

Comprometimento da Administração

  • Assegurar que a política de segurança está alinhada com a estratégia organizacional.

  • Garantir que os recursos necessários para o SGSI estão disponíveis, promovendo uma cultura de segurança entre todos os níveis da organização.

Política de Segurança

  • Apropriada ao propósito da organização e orientada para seus objetivos estratégicos.

  • Inclusão de objetivos específicos e um comprometimento claro com a melhoria contínua.

Processo de Avaliação de Riscos - ISO 31000

Passos na avaliação:

  1. Preparar para a Avaliação

  2. Conduzir Análise de Risco

  3. Comunicar Resultados

  4. Manter a Avaliação

Atividades Relacionadas à Avaliação de Risco

  • Estudar motivação da fonte de ameaça e a capacidade e natureza das vulnerabilidades.

  • Realizar análise de impacto que determina as repercussões de um incidente de segurança.

Considerações Iniciais na Avaliação de Risco

  • Criação de critérios de aceitação de risco que orientam a disposição da organização para aceitar os riscos.

  • Eliminação ou mitigação do risco identificado através de medidas preventivas e corretivas.

Definição da Metodologia de Avaliação

  • Gestão de risco deve ser executada de forma consistente, garantindo a comparabilidade dos resultados ao longo do tempo.

Envolvimento no Processo de Avaliação de Riscos

  • Identificação dos riscos associados à confidencialidade, disponibilidade e integridade da informação, considerando todas as camadas organizacionais.

Terminologia

  • Risco: Potencial de uma ameaça explorar vulnerabilidades.

  • Ameaça e Vulnerabilidades: Referem-se a ameaças internas e externas e fraquezas que podem ser exploradas.

Identificação de Bens/Ativos

  • Importância de identificar ativos-chave para a organização para priorizar a proteção onde é mais crítico.

Bens/Ativos Sensíveis

  • Identificação de informações críticas, como dados de clientes e segredos comerciais, que devem ser protegidas.

Análise de Riscos e Ameaças

  • Identificação de ameaças naturais, humanas e acidentais que podem impactar a organização.

Exemplos de Ameaças

  • Tais como tentativas de acesso direto, agentes automatizados de quebra, ataques de negação de serviço (DoS), etc.

Identificação de Vulnerabilidades

  • Avaliação das falhas em sistemas que podem ser exploradas por ameaças, utilizando métodos e ferramentas apropriadas.

Metodologias de Identificação de Vulnerabilidades

  • Utilização de ferramentas como scanners de vulnerabilidades e analisadores de protocolos para garantir proteção eficaz.

Responsabilidade na Gestão de Risco

  • Papel dos responsáveis pela supervisão do risco e controle na organização, assegurando a ação correta em resposta a incidentes.

Avaliação da Probabilidade dos Riscos

  • Estimativas de probabilidade de ocorrência e avaliação de consequências, apoiando a tomada de decisão informada.

Comparação da Análise do Risco

  • Priorização de riscos com base nos critérios estabelecidos, considerando a situação atual da organização.

Métricas de Risco

  • Exposure Factor, Single Loss Expectancy, Annualised Rate of Occurrence, Annualised Loss Expectancy: terminais que facilitam a quantificação do risco.

Cálculo de Expectativa de Perda

  • Métodos estatísticos para prever a perda potencial por ano e suas implicações financeiras.

Avaliação Qualitativa

  • Uso de técnicas como brainstorming e questionários para determinar riscos em diferentes contextos.

Tratamento dos Riscos

  • Definição e aplicação de um plano de tratamento adequado, alinhado com a política de segurança da informação.

Custo de Tratamento de Risco

  • Avaliação dos custos associados à mitigação e à redução de riscos.

Custo-Benefício

  • Comparação entre gastos com prevenção e perdas esperadas, proporcionando informação útil para decisões estratégicas.

Tratamento dos Riscos - Eliminação

  • Medidas proativas para eliminar a vulnerabilidade que origina o risco.

Tratamento dos Riscos - Redução

  • Implementação de políticas para mitigar riscos associados a ameaças relevantes.

Tratamento dos Riscos - Aceitação

  • Documentação e aceitação de riscos com controle apropriado, garantindo transparência nas decisões.

Tratamento dos Riscos - Transferência

  • Transferência do risco para terceiros ou seguradoras, quando aplicável, para melhor gestão.

Declaração de Aplicabilidade (SoA)

  • Justificação de controles e sua eficácia, incluindo a documentação de segurança necessária.

Seleção de Controles

  • Seleção baseada em objetivos organizacionais e evidências de eficácia de cada controle.

Risco Residual

  • Necessidade de revisar riscos e controles regularmente para manter a eficácia do SGSI.

Implementação do SGSI

  • Atividades relacionadas à implementação e desafios a serem considerados.

Monitorização

  • Identificação de erros e eventos de segurança, assegurando uma resposta adequada.

Auditoria

  • Planejamento e execução de auditorias dos controles para garantir conformidade e eficácia.

Revisão/Análise Crítica

  • Revisão periódica da eficácia do SGSI, utilizando resultados para aprimorar processos.

Análise Crítica

  • Uso de descobertas para ações corretivas e melhoria contínua do SGSI.

Comunicação e Consulta

  • Importância do feedback contínuo e ações corretivas baseadas em avaliações de riscos.

Implementação da ISO 27001

  • Visão geral e tarefas complexas relacionadas à implementação das normas de segurança da informação da ISO 27001.

Exemplos de Avaliação Qualitativa - Ataque DoS

  • Uso dos logs de sistema para prever a frequência de ataques e implementar ações preventivas.

Avaliação do SLE e ALE

  • Cálculos claros para determinar perdas potenciais e avaliações de risco que informam decisões críticas.

Taxa de Retorno sobre o Investimento

  • Cálculo de ROI para medidas de segurança, considerando a proporção de custos e benefícios tangíveis.

Indústria Mineira e Avaliação Qualitativa

  • Contexto específico e gestão de riscos na infraestrutura de TI, evidenciando a importância da segurança em ambientes críticos.

Identificação de Bens/Ativos

  • Importância da disponibilidade e integridade de serviços críticos para a operação da organização.

Resultado da Avaliação Qualitativa

  • Resultados que determinam o nível de risco, prioridades e controles aplicados aos ativos, proporcionando uma visão clara para a gestão de riscos.