Ciberssegurança

Cinco passos para alcançar uma estratégia de segurança baseada em riscos

Por:
Michael Cobb, CISSP-ISSAP

Saiba sobre os cinco passos para implementar uma estratégia de segurança baseada em riscos que naturalmente proporciona conformidade como uma consequência de uma postura de segurança aprimorada.

A conformidade com padrões de cibersegurança, como ISO/IEC 27001, PCI DSS, CCPA e GDPR, não torna necessariamente os controles de segurança de uma empresa eficazes e econômicos. Simplesmente seguir listas de verificação extensas e implementar controles básicos para atender aos requisitos de um padrão não cria automaticamente uma estratégia coerente que construa um ambiente operacional resiliente capaz de lidar com ameaças atuais e futuras. Por isso, as organizações precisam adotar a segurança baseada em riscos.

O que é segurança baseada em riscos?

Uma estratégia de segurança baseada em riscos identifica os verdadeiros riscos cibernéticos para os ativos mais valiosos de uma organização e prioriza os gastos para mitigar esses riscos a um nível aceitável. Uma abordagem de segurança moldada por decisões baseadas em riscos permite que uma organização desenvolva metas de segurança mais práticas e realistas e gaste seus recursos de maneira mais eficaz. A segurança baseada em riscos ajuda as organizações a prevenir ataques cibernéticos e violações de dados. Também proporciona conformidade, não como um fim em si mesmo, mas como consequência natural de uma postura de segurança forte e otimizada.

Embora um programa de segurança baseado em riscos precise de um planejamento cuidadoso, monitoramento e avaliações contínuas, não precisa ser um processo complexo. Existem cinco passos-chave para implementar a segurança baseada em riscos, e, embora demorados, eles alinham a segurança com os objetivos da organização.

Passo 1: Avaliação de ativos

Determine quais são os ativos de informação chave da organização, onde estão e quem os possui. Olhe além dos termos materiais para determinar o seu valor. Inclua qualquer impacto comercial e custos associados à confidencialidade, integridade ou disponibilidade de um ativo comprometido em uma avaliação, como receitas perdidas de um sistema de entrada de pedidos fora do ar ou o dano à reputação causado por um site hackeado.

Avaliar os ativos desta forma garante que aqueles mais importantes para a continuidade do dia-a-dia da organização recebam a mais alta prioridade quando se trata de segurança.

Passo 2: Identificação de ameaças

Identifique quem pode querer roubar ou danificar os ativos identificados no passo um, bem como por que e como eles podem fazer isso. Isso pode incluir concorrentes, nações hostis, funcionários ou clientes descontentes, terroristas e ativistas, bem como ameaças não hostis, como funcionários não treinados. Considere também a ameaça de desastres naturais, como enchentes e incêndios.

Atribua a cada ameaça identificada um nível de ameaça com base na probabilidade de ocorrer. A probabilidade de um cenário específico ocorrer requer a contribuição de gestores de negócios para fornecer conhecimento específico do setor para complementar as avaliações de inteligência de ameaças da equipe de segurança.

Passo 3: Identificação de vulnerabilidades

Uma vulnerabilidade é uma fraqueza que uma ameaça pode explorar para violar a segurança e roubar ou danificar ativos-chave. Durante este passo, testes de penetração e ferramentas automatizadas de varredura de vulnerabilidades podem ajudar a identificar vulnerabilidades de software e rede.

Leve em conta as vulnerabilidades físicas. Os perímetros estão seguros e patrulhados? Os extintores são verificados regularmente? Os sistemas de geradores de backup são testados?

Considere também as vulnerabilidades associadas a funcionários, contratados e fornecedores, incluindo sua suscetibilidade a ataques de engenharia social.

Passo 4: Perfil de riscos

Após identificar os ativos, ameaças e vulnerabilidades da organização, inicie o perfil de riscos. Pense no risco como a probabilidade de uma ameaça explorar uma vulnerabilidade, resultando em um impacto comercial. O processo de perfil de riscos avalia os controles e salvaguardas existentes e mede o risco para cada combinação ativo-ameaça-vulnerabilidade e, em seguida, atribui uma pontuação de risco. As pontuações baseiam-se no nível de ameaça e no impacto na organização caso o risco ocorra.

Essa abordagem baseada em riscos permite que uma organização priorize corretamente as vulnerabilidades identificadas e concentre seus esforços nos riscos mais significativos para suas operações.

Passo 5: Tratamento e remediação de riscos

Os riscos variam desde aqueles baixos o suficiente para que uma organização possa aceitá-los sem impacto adverso até aqueles tão graves que precisam ser evitados a todo custo.

Após avaliar cada risco, decida como tratá-lo, transferi-lo, tolerá-lo ou encerrá-lo. Documente cada decisão juntamente com as razões que levaram à decisão. Repita o processo para cada cenário de ameaça, para que os recursos sejam aplicados adequadamente aos riscos mais propensos a ter o efeito mais significativo no negócio. Uma vez implementadas, realize testes para simular ameaças-chave e garantir que os novos controles de segurança realmente mitiguem os riscos mais perigosos.

Dicas úteis

Conseguir o apoio do conselho ao criar uma estratégia de segurança baseada em riscos é primordial. A contribuição de inúmeros interessados em toda a organização é essencial, pois as decisões de mitigação de riscos podem ter um efeito sério nas operações, o que as equipes de segurança podem não compreender totalmente se tomarem essas decisões isoladamente.

Embora realizar uma avaliação de segurança baseada em riscos pareça uma tarefa assustadora, existem muitas ferramentas online para ajudar na avaliação de ativos, níveis de ameaça e pontuações de risco. Análise de Fatores de Risco da Informação e o Framework de Gerenciamento de Riscos do NIST são dois exemplos de estruturas que quantificam o risco operacional. Elas ajudam a garantir que uma empresa compreenda os verdadeiros riscos para os ativos-chave por trás de suas operações diárias e como mitigá-los da melhor forma possível.

Alcançar segurança total em uma organização é impossível, mas ao implantar recursos e expertise de maneira inteligente e eficaz, os profissionais de TI podem aproveitar ao máximo seus orçamentos conquistados com dificuldade.

Tradução livre do artigo “5 steps to achieve a risk-based security strategy” , feito pela Equipe Divibank.
Confira na íntegra: https://www.techtarget.com/searchsecurity/tip/5-ways-to-achieve-a-risk-based-security-strategy


Share this post