O que é Risk Management?

O gerenciamento de riscos de segurança cibernética (Risk Management) é o processo estratégico de encontrar, analisar, priorizar e abordar as ameaças à segurança cibernética. Ele garante que as ameaças mais significativas sejam tratadas rapidamente, abordando-as com base em seu impacto potencial.

Os ataques cibernéticos não acontecem ao acaso. Os especialistas em segurança sabem onde procurar sinais de um ataque iminente. Alguns dos sinais mais comuns são:

Menções à empresa na dark web
Dados confidenciais, como credenciais de contas de usuários, à venda
Registro de nome de domínio semelhante para ataques de phishing

Embora muitas organizações realizem uma avaliação inicial dos riscos de segurança cibernética, elas não criam um processo e uma prática de revisão contínua. Isso pode levar as empresas a uma falsa sensação de segurança à medida que o ambiente e os riscos mudam.

O gerenciamento contínuo de riscos é essencial para garantir a segurança contínua. Ele exige que os administradores fiquem a par dos métodos de ataque mais recentes para cada dispositivo de rede. Em seguida, eles devem atualizar sua proteção para combater novas táticas de hacking ou ataque.

Requer a cooperação de todos os usuários de uma organização para manter a segurança da rede. Todos precisam ter total propriedade e responsabilidade pelos riscos de segurança. Os dias em que departamentos isolados trabalhavam em paralelo uns com os outros acabaram. Em vez disso, o gerenciamento eficaz de riscos exige uma solução unificada, disciplinada, coordenada e consistente. Alguns dos componentes mais importantes das ações de gerenciamento de riscos incluem:

Implementação de políticas e soluções sólidas para avaliar o risco do fornecedor
Encontrar pontos fracos internos, como software desatualizado
Identificação de novos riscos, como novos processos regulatórios
Reduzir as ameaças de TI por meio de novas políticas, programas de treinamento ou controles internos
Testar a postura de segurança
Documentar o gerenciamento de riscos do fornecedor

5 estágios das avaliações de gerenciamento de riscos

Há cinco estágios envolvidos na avaliação do gerenciamento de riscos, sendo eles:

1 . Determinação do escopo da avaliação

A primeira etapa do gerenciamento de riscos é determinar o escopo total de cada avaliação. Embora você possa avaliar toda a sua organização, isso normalmente é um empreendimento muito grande para uma única avaliação. Normalmente, é melhor começar com um local, uma unidade de negócios ou um aspecto comercial específico. Por exemplo, um único aplicativo da Web ou o processamento de pagamentos são aspectos a serem avaliados.
Ao realizar uma avaliação de riscos, todas as partes interessadas dentro do escopo devem oferecer total apoio.
Sua contribuição é vital para:

Identificar os processos e ativos mais críticos.
Encontrar riscos.
Avaliar o impacto de cada risco.
Decidir o nível aceitável de tolerância a riscos de sua organização

Isso requer que todos entendam a terminologia da avaliação de riscos (como impacto e probabilidade) para que todos estejam na mesma página quando se trata de enquadrar os riscos. Crucialmente, você deve estabelecer um nível e saber que sempre haverá riscos e que é impossível lidar com todos eles, seja do ponto de vista técnico ou de recursos.

Detectar riscos

Depois que o escopo e o entendimento comum estiverem concluídos, é hora de encontrar os riscos para a sua organização:

Determinação dos ativos

Você só pode proteger os ativos que conhece, portanto, é necessário um inventário completo dos ativos lógicos e físicos para o escopo da sua avaliação. Isso significa mais do que apenas os ativos comerciais críticos e os alvos prováveis. Ele precisa incluir qualquer ativo que os atacantes possam querer controlar como ponto de articulação, como, por exemplo:

Um arquivo de imagens
Sistemas de comunicação
Servidor do Active Directory

Use sua lista de inventário de ativos para criar um diagrama de arquitetura de rede para visualizar os caminhos de comunicação e a interconectividade entre processos e ativos. Um diagrama também pode ajudá-lo a identificar os pontos de entrada da rede para agilizar a identificação de ameaças.

(Veja como os CMDBs podem dar suporte a essa etapa).

Identificação de ameaças

Ameaças são quaisquer técnicas, táticas ou métodos usados para prejudicar os ativos de sua organização. As bibliotecas e os recursos de ameaças podem ajudá-lo a encontrar ameaças novas e potenciais aos seus ativos. Órgãos governamentais, como a NITTF Resource Library, mantêm-se atualizados sobre as ameaças mais recentes, reunindo informações de sua comunidade.

Identificação das consequências

A ordem e a forma como você responde às ameaças devem depender:

Da gravidade do risco
A gravidade do que pode dar errado

Especifique quais são as consequências de uma ameaça identificada se os malfeitores explorarem a vulnerabilidade. Por exemplo, há multas regulatórias, os dados dos clientes podem ser roubados ou isso prejudicará sua reputação? Resuma as consequências em cenários simples para que cada parte interessada entenda os riscos relacionados aos objetivos comerciais. Isso ajuda a sua equipe de segurança a decidir sobre as medidas adequadas para neutralizar a ameaça.

Análise de riscos e seu impacto

O risco de TI, de acordo com o Gartner, é “o potencial de um resultado comercial negativo e não planejado envolvendo a falha ou o mau uso da TI”. Qual é a probabilidade de uma ameaça explorar sua vulnerabilidade e qual seria a gravidade dela? Depois de identificar os riscos, é fundamental analisá-los sob esse ponto de vista, determinar a probabilidade de os riscos que você identificou realmente acontecerem e o impacto que teriam em sua organização.

Determine o risco com base na probabilidade de que os criminosos cibernéticos possam descobrir, explorar e reproduzir a ameaça ou a vulnerabilidade em ocorrências históricas. O impacto é o nível de dano que causaria à sua organização se a vulnerabilidade for explorada. O impacto deve incluir integridade, confidencialidade e disponibilidade em cada cenário.

Como essa parte da avaliação é subjetiva, é fundamental obter a opinião das partes interessadas e dos especialistas em segurança para garantir que ela seja precisa. Use o impacto mais alto em sua pontuação final:

Classifique a probabilidade em uma escala de 1 (raro) a 5 (muito provável).

Classifique o impacto em uma escala de 1 (insignificante) a 5 (muito grave).

Priorização dos riscos

Depois de entender os riscos e os possíveis resultados de suas vulnerabilidades, você pode priorizá-los. A criação de uma matriz de riscos (ou o preenchimento de uma matriz on-line gratuita) pode ajudá-lo a priorizar o tratamento necessário para garantir que ele esteja dentro do nível de tolerância a riscos com o qual sua organização se sente confortável.
Há três maneiras comuns de lidar com um risco:

Evitar: Determine se o risco é muito maior do que os benefícios. Se for, você pode decidir interromper uma determinada atividade para eliminar qualquer ameaça.
Transferir: A terceirização pode permitir que você compartilhe seu risco com terceiros. Por exemplo, o seguro cibernético ou a mitigação de DDoS evitarão que você lide com a ameaça sozinho. No entanto, embora isso possa reduzir o risco financeiro, o seguro não pode cobrir custos intangíveis, como a perda de sua reputação.
Mitigar: Medidas específicas podem impactar e reduzir o nível de risco a um nível aceitável. Designe uma equipe apropriada responsável pelo emprego de medidas para reduzir os riscos elevados.

É impossível eliminar todos os riscos. Sempre haverá um risco residual que precisa ser aceito pelas partes interessadas na sua estratégia de segurança cibernética.

Documentação dos riscos

É fundamental documentar todos os riscos em um registro de riscos. Como o gerenciamento de riscos é contínuo, ele deve ser revisado regularmente para manter-se atualizado sobre todos os riscos de segurança cibernética. Alguns itens a serem incluídos no seu registro de riscos são

Cenários de riscos
Data em que o risco foi identificado
Quaisquer controles de segurança atuais
Plano de mitigação
Nível de risco atual
Status do progresso
Risco residual
Proprietário do risco
Garantir a segurança contínua com o gerenciamento de riscos

O gerenciamento de riscos é um empreendimento significativo que precisa de suporte contínuo. É preciso dedicar recursos, esforços e tempo à sua prática de gerenciamento de riscos de segurança cibernética para garantir a segurança de longo prazo da sua organização. À medida que surgem novas ameaças cibernéticas e a TI lança novos sistemas, atividades e normas, uma avaliação contínua reduzirá o risco de um ataque cibernético que afetará negativamente os objetivos comerciais da sua organização.

Com as organizações mais vulneráveis a ataques, um processo de monitoramento contínuo é fundamental para reduzir os riscos e lidar com as possíveis ameaças.

Fonte:

Risk Management (Fevereiro 2023) – Splunk

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.