Baixe o app para aproveitar ainda mais
Prévia do material em texto
61 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Unidade II 3 GESTÃO E ANÁLISE DE RISCO Risco: apesar de lhe conferirmos a acepção de algo negativo ou perigoso, não nos damos conta de que ele está presente no cotidiano não apenas dos seres humanos, como de todos os seres vivos. Não seria exagero afirmar que a reação diante de uma situação de risco é quase instintiva, o que nos leva à pergunta: os animais irracionais possuem a percepção de uma situação de risco, e, no seu extremo, do risco de morte? A resposta a essa pergunta pode causar muitas controvérsias, mas a verdade é a seguinte: com aprendizado e experiência de vida, até os animais irracionais reconhecem essas situações e tomam determinadas atitudes diante delas. Se os animais irracionais aprendem com o risco, por que com o homem racional seria diferente? Os seres humanos desenvolvem estratégias para lidar com essas situações de risco desde os primórdios da humanidade e, quanto mais informações sobre a forma e a possibilidade desses riscos ocorrerem, maiores serão as chances de êxito no processo de gestão dos riscos. Outro dado importante é que o risco evolui conjuntamente com a própria transformação tecnológica e social, quem viveu no Brasil há 40 anos lembra que o uso do cinto de segurança nos veículos era facultativo e mesmo seu uso seria pouco efetivo, uma vez que eram compostos por duas pontas e fixavam apenas a cintura do ocupante ao banco do veículo, deixando todo seu tronco livre para ação do risco de colisão. Aceitar esse risco nos dias de atuais pode ser considerado uma loucura e passível de multa de trânsito, mas, quando analisamos o momento histórico da sociedade daquela época, podemos perceber que a tecnologia e até mesmo o conhecimento na época eram limitados. O aperfeiçoamento da tecnologia automotiva fez os carros andarem cada vez mais rápido o que elevou o risco de morte dos ocupantes, obrigando o estudo da probabilidade de o risco se concretizar e dos impactos que ele poderia causar aos ocupantes nas mais variadas velocidades, surgindo assim o aprendizado sobre as probabilidades de risco de morte em colisões de trânsito. Isso, aliado ao maior controle de qualidade na produção, fez a indústria da segurança automotiva evoluir e ter seu trabalho amparado na avaliação e gestão de riscos. No que tange à segurança da informação, os riscos que enfrentávamos há 40 anos eram simplórios quando comparados com os riscos atuais, e provavelmente os que enfrentamos hoje serão simplórios daqui a alguns anos. Dessa forma devemos aprender a realizar a análise e gestão de riscos de forma sistemática, levando em conta o processo, e não os riscos identificados, pois sabemos que os riscos se transformam, surgem ou desaparecem rapidamente. Cabe ressaltar que o risco pode ser negativo ou positivo, por exemplo um apostador corre o risco de vencer, todavia, quando estudamos segurança da informação, a análise e gestão é focada no risco no seu lado negativo. 62 Unidade II Quando o assunto é segurança da informação, a análise e avaliação de riscos representam o início de tudo, a base para o estabelecimento dos controles tecnológicos, do desenvolvimento das políticas, das normas e dos procedimentos corporativos de proteção, levando aos programas de conscientização e educação em segurança da informação, proporcionando a robustez necessária aos pilares da segurança da informação, a integridade, a disponibilidade e a confidencialidade das informações. 3.1 O que é risco Compreender o risco na sua essência não é algo complexo, uma vez que lidamos com ele desde sempre, segundo a NBR ISO 31000 (ABNT, 2018b), o risco é o efeito da incerteza, sendo que o efeito é entendido como um desvio em relação ao esperado. Para Galante (2015), estudar o risco é compreender as suas origens determinando as causas, efeitos e potenciais danos nas mais diversas atividades, estruturas, projetos e processos, a fim de conseguir, de forma profissional, controlar e/ou mitigar seus efeitos sobre o aspecto abordado. Importante compreender que no final do processo da avalição e análise dos riscos, em qualquer que seja o contexto e com o uso de diversas ferramentas, os objetivos centrais almejados são: Identificar antecipadamente os perigos nas instalações, processos, produtos e serviços Verificar os danos eventuais (consequências, severidade) e a frequência (probabilidade) de ocorrência Quantificar os riscos associados para o homem, o meio ambiente e a propriedade Propor medidas para o seu controle . Objetivos do estudo dos Riscos Figura 19 – Objetivos de estudo dos riscos Adaptada de: Galante (2015, p. 15). Basicamente a busca pela melhor compreensão, tratamento e gestão dos riscos passam por um processo, que, de forma bem resumida, pode ser definido em quatro etapas, nas quais iremos nos aprofundar no decorrer dos nossos estudos. Identificar ameaças e vulnerabilidades Estimar o risco de cada vulnerabilidade a ser explorada (probabilidade e gravidade do dano) Decidir sobre a melhor forma de tratar o risco Figura 20 – Objetivos de estudo dos riscos 63 GESTÃO DA SEGURANÇA DA INFORMAÇÃO É importante considerar a origem dos riscos e a necessidade de seguir as melhores práticas nas análises de riscos; é essencial levar em conta alguns aspectos como a cultura da empresa e sua predisposição ao risco, ressaltando que existem ramos de atividade que possuem regulamentações e leis rígidas que devem ser cumpridas, o que pode alterar a predisposição a correr riscos. Geralmente áreas que influenciam diretamente remetem à economia nacional, a exemplo do Sistema Financeiro Nacional. Quando o assunto é segurança da informação, as decisões sobre a criação da política, das normas e a adoção de controles tecnológicos de segurança são alicerçados e ocorrem após uma análise de riscos eficaz, mas não seria exagero afirmar que tudo é amparado em uma prévia análise de riscos. Podemos enumerar diversos exemplos, desde atravessar uma rua na faixa de pedestres ou fora dela até a decisão sobre a implantação de uma nova plataforma de petróleo. Sim, tomamos decisões o tempo todo amparados nas análises de riscos. As organizações de sucesso possuem análises de riscos sistematizadas e devidamente profissionalizadas, a isso se dá o nome de gerenciamento de riscos. Para a NBR ISO 31000 (ABNT, 2018b), as mais variadas organizações de todos os tipos e tamanhos são influenciadas por fatores externos e internos que tornam a tarefa administrativa incerta em relação aos objetivos desejados. Lembrando que gerenciar riscos é um processo interativo e que acaba ajudando as empresas no processo de definição das estratégias para alcance dos objetivos e na tomada de decisões importantes. Dessa forma a gerência de riscos faz parte da governança e liderança e é parte crucial na maneira como a organização é gerenciada em todas as esferas administrativas, levando à melhora do processo de gestão. O gerenciamento dos riscos deve fazer parte de todas as atividades de uma organização e isso inclui a interação com as partes interessadas, devendo levar em consideração os cenários externos e internos da organização, inclusive o comportamento humano e os fatores culturais. Lembrete Identificar os riscos e desenvolver medidas para evitar suas consequências é tão antigo quanto a própria origem do homem, podemos dizer que se chegamos até aqui foi porque nossos ancestrais mais remotos entenderam rapidamente essa necessidade. Não seria incorreto afirmar que a gestão de riscos é amparada em princípios, estrutura e em processos, conforme as recomendações das melhoras práticas definidas na NBR ISO 31000 (ABNT, 2018b) e suas correlatas. 64 Unidade II Evidente que a grande maioria das organizações já exercem atuação total ou parcial nesses componentes, todavia, como o processo de gestão de riscos é dinâmico, necessita estar em constante melhoria para a eficácia do processo. Com o intuito de facilitar o entendimento e padronizar ostermos e definições utilizado para análise de riscos, a NBR ISO 31000 (ABNT, 2018b) descreve os principais termos utilizados: Quadro 16 – Termos e definições Terminologia Descrição Risco – o efeito da incerteza Nota 1 de entrada: um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e ameaças Nota 2 de entrada: objetivos podem possuir diferentes aspectos e categorias e podem ser aplicados em diferentes níveis Nota 3 de entrada: risco é normalmente expresso em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades Gestão de riscos Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos Parte interessada Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade Nota 1 de entrada: o termo ‘parte interessada” pode ser utilizado como alternativa a “stakeholder”. Fonte de risco Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco Evento Ocorrência ou mudança em um conjunto específico de circunstâncias Nota 1 de entrada: um evento pode consistir em uma ou mais ocorrências e pode ter vária causas e várias consequências Nota 2 de entrada: um evento pode também ser algo que é esperado, mas não acontece, ou algo que não é esperado, mas acontece Nota 3 de entrada: um evento pode ser uma fonte de risco Consequência Resultado de um evento que afeta os objetivos Nota 1 de entrada: uma consequência pode ser certa ou incerta e pode ter efeitos positivos ou negativos, diretos ou indiretos, nos objetivos Nota 2 de entrada: as consequências podem ser expressas qualitativa ou quantitativamente. Nota 3 de entrada: qualquer consequência pode escalar por meio de efeitos cascata e cumulativos. Probabilidade Chance de algo acontecer Nota 1 de entrada: na terminologia de gestão de riscos, a palavra “probabilidade” é utilizada para se referir à chance de algo acontecer, não importando se definida, medida ou determinada, ainda que objetiva ou subjetivamente, qualitativa ou quantitativamente, e se descrita utilizando-se termos gerais ou matemáticos (como probabilidade ou frequência durante um determinado período de tempo) Gestão de riscos Atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos Parte interessada Pessoa ou organização que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade Nota 1 de entrada: o termo “parte interessada” pode ser utilizado como alternativa a “stakeholder” Fonte de risco Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco Controle Medida que mantém e/ou modifica o risco Nota 1 de entrada: controles incluem, mas não estão limitados a qualquer processo, política, dispositivo, prática ou outras condições e/ou ações que mantêm e/ou modificam o risco Nota 2 de entrada: controles nem sempre podem exercer o efeito modificador pretendido ou presumido Adaptado de: ABNT (2018b). 65 GESTÃO DA SEGURANÇA DA INFORMAÇÃO As terminologias a presentadas pela ISO 31000 (ABNT, 2018b) são referências aceitas por qualquer instituição ao redor do mundo e dessa maneira representa uma linguagem única e internacionalmente conhecida para a concepção, identificação, análise, gestão e tratamento dos riscos nas mais variadas formas e nos mais diversificados ramos de atividade. Observação É importante conhecer as terminologias de riscos utilizadas para identificar os agentes e definições utilizadas pelo mercado, isso ocorre para manter padrão conhecido para integração com as demais áreas, parceiros, reguladores e auditorias. 3.2 Tratamento dos riscos à segurança da informação A definição dos critérios para tratamento dos riscos de segurança da informação passa pela compreensão dos riscos que envolvem os ativos de informação e por consequência os processos de negócio da organização, dessa forma é possível decidir o que fazer em relação a esse risco identificado e devidamente categorizado. Após o processo de identificação e categorização é necessário dar uma resposta ao risco e isso pode ocorrer basicamente de quatro formas: • evitando; • controlando; • transferindo; • aceitando. Ao contrário do que se possa pensar, nem todo tipo de risco é evitado ou controlado. Analisando cada caso, as outras opções podem ser bastante razoáveis. Quando a opção de resposta ao risco é simplesmente evitá-lo, tecnologias ou processos que ofereçam riscos ao negócio não são adotadas. Isso pode parecer impossível, mas não é. Tomemos como exemplo uma organização que atua no mercado de fabricação e venda de móveis sob encomenda há muitos anos e mantém o nível de demanda relativamente estável por muito tempo. É proposta a oferta do serviço de organização por meio da internet, o que envolverá a contratação de profissionais qualificados, equipamentos específicos e outros pontos a serem considerados. Essa decisão trará um novo risco para a organização, o risco de incidentes de segurança da informação, tais como eventual indisponibilidade dos serviços, tentativas de invasão e contaminação por vírus. Quando avaliados todos os riscos envolvidos e contrapostos à relevância do processo para o negócio da organização, chega-se à 66 Unidade II conclusão de que o novo processo é inviável. Então a organização decide simplesmente continuar como está, evitando assim qualquer um dos riscos mencionados. A decisão pode ser de controlar o risco. Geralmente ocorre quando a maior parte dos riscos não pode ser evitada e faz parte do negócio. Sendo assim, nesse caso, uma das opções é tomar ações que diminuam as vulnerabilidades dos ativos que suportam os processos. Um bom exemplo seria o caso de uma organização que oferece seus serviços pela internet e vem sofrendo invasões regulares. A organização não pode deixar de trabalhar nesse modelo, logo a opção é controlar o risco, tentando reduzir sua incidência. Dessa forma a organização decide implementar dois controles: • Um sistema firewall, que impede a invasão dos computadores servidores através de portas lógicas eventualmente abertas. • Um sistema de IDS (intruder detection system), que, a despeito da proteção oferecida pelo firewall, continua monitorando as tentativas de ataque e possibilitando o fortalecimento das barreiras de defesa, ao passo que as técnicas de ataque se tornam conhecidas. Existem casos em que o custo do impacto relacionado à concretização do risco é extremamente alto e a organização simplesmente não conseguiria absorvê-lo, a melhor saída, então, é a transferência. Quando a análise de risco recomenda transferir o risco para outra entidade ou organização, uma das maneiras de fazê-lo é pela contratação de um seguro cujo prêmio garanta a cobertura dos danos causados com a concretização do risco por meio de incidente de segurança da informação. Outra forma de transferência é o repasse do serviço para prestação de outra organização, firmando um contrato de prestação de serviço que garanta um nível mínimo de serviço tendo por base um acordo de nível de serviço (ANS) ou do inglês um service level agreement (SLA). Seguindo os exemplos anteriores, em que duas organizações precisavam manter um site na internet, uma delas decidiu não seguir para evitar o risco e a outra, que já possuía o site, teve de pensar em como controlar o risco, e, em seguida, transferi-lo, contratando uma empresa especializada para manter ou até mesmo implantar um serviço ativo e seguro que lhe exija um nível mínimo de serviços e garanta um máximo de horas do site inativo por mês ou por ano. Cabe ressaltar que, quanto maior for a aderência da contratada às exigências do contratante, maior será a responsabilidade pela segurança e consequentemente maior será o custo do contrato. A última forma de tratar o risco seria o de simplesmente aceitar. Até mesmo isso requer procedimentos bem estabelecidos e devidamente alicerçados.Quando analisados, são identificados os riscos relevantes, mas que ficam abaixo do risco considerado mínimo, de modo que ações como evitar, controlar ou transferir seriam desnecessárias ou até mesmo inviáveis financeiramente. Nesse caso, o custo dos controles será alto em relação à probabilidade de algo ocorrer com o ativo identificado. Com essa análise em mãos é possível direcionar os recursos financeiros de implantação de controles para os ativos que também foram identificados como relevantes, mas que apresentam probabilidades maiores ou até mesmo danos maiores na ocorrência de incidentes de segurança da informação. Para esses casos, resta apenas aceitar, e, quando a organização decide por esse caminho, sua abordagem 67 GESTÃO DA SEGURANÇA DA INFORMAÇÃO para o tratamento de risco deverá especificar o que é considerado risco aceitável e o que é considerado risco inaceitável. Dessa forma, apenas o risco inaceitável é tratado de alguma maneira, uma vez que tratamento implica alterações em processos, procedimentos, implantação de novos controles tecnológicos e assim por diante, o que impactaria o negócio; sem contar os custos financeiros envolvidos. O exemplo de Campus (2006) pode exemplificar bem essa situação. Uma organização que tem um arquivo de pastas (físico) contendo documentos importantes, mas que fica em uma área de difícil acesso (baixa vulnerabilidade), cuja existência é pouco conhecida ou notada (baixa ameaça), e que, mesmo em caso de roubo, significaria pouco prejuízo para a organização (baixo impacto), por que gastar tempo e recurso para proteger esse ativo de informação? Talvez seja este o caso para aceitar esse risco (CAMPUS, 2006, p. 70). Cabe ressaltar que é preciso ter em mente que o risco existe, mesmo nesse caso. Existe uma diferença muito grande entre aceitar o risco e ignorá-lo. Ignorar o risco não é uma opção para as organizações no cenário atual, podendo ser considerado um despautério administrativo. Conhecer o risco permite o seu monitoramento constante e a tomada de ação caso ele venha a crescer. Evitar: não adotar tecnologias ou processos que ofereçam riscos ao negócio Controlar: quando o risco ou a maior parte dos riscos não pode ser evitada Transferir: o risco é extremamente alto, a organização não conseguiria absorvê-lo Aceitar: o risco fica abaixo do risco considerado mínimo. Todavia, não deve ser ignorado . Tratamento do risco do SI Figura 21 – Tratamento do risco Segundo Campus (2006), após efetivado o processo, a análise de risco aponta para as ações mais importantes e urgentes e para os controles que precisam ser implementados prioritariamente. Mesmo assim, existem mais de uma centena de controles que podem ser implementados e que são propostos na norma NBR ISO 27001 e 27002. De forma simples a ISO 27001 (ABNT, 2013a) propõe uma lista de controles mínimos a ser considerados e a ISO 27002 (ABNT, 2013b), o formato de implantação para esses controles mínimos. Com a análise de riscos concluída e as listas de possíveis controles, será possível pensar em duas formas de atuação. • Implementar todos os controles apontados pela análise de risco. • Implementar todos os controles da lista. 68 Unidade II O problema da primeira opção é que há a probabilidade de não serem analisados controles importantes para a organização; controles que, por algum motivo, não são indicados pela análise de risco. Erros na análise de risco impediriam a implementação de controles que poderiam comprometer o negócio da organização. Sendo assim, esse método pode ser eficiente, mas pouco abrangente, pois vários controles importantes poderiam ser deixados de fora. O problema da segunda opção é que a ordem de implementação, apesar de garantir a implementação de todos os controles considerados como as melhores práticas de segurança da informação, pode não endereçar as necessidades mais urgentes, fazendo com que recursos preciosos sejam desperdiçados em ações de baixo impacto. Dessa forma esse método pode ser abrangente, mas pouco eficiente. Uma saída para essa situação seria listar todos os controles possíveis e, depois disso, com base na análise de risco, selecionar aqueles que devem ser implementados primeiro, considerando: • A lista de controles e seus objetivos (no quadro foram mencionados apenas 10 controles dos 134 propostos pela ISO 27002). • Os motivos da seleção dos controles. • Os motivos da eventual exclusão de algum controle. Cabe ressaltar que esse documento dever ser revisitado periodicamente ou assim que a matriz de risco da organização sofrer alguma atualização ou alteração, possibilitando, dessa forma, manter sempre atualizada. Lembrete A organização deve estabelecer a sua declaração de aplicabilidade, que deve refletir os seus processos amparados evidentemente nas melhores práticas. 3.3 Sistema de gestão de risco A gestão de riscos e a segurança da informação são praticamente complementares. A gestão de riscos à segurança da informação pode ser considerada a base para todos as ações de segurança da informação, pois coloca as ações de proteção aos ativos de informação alinhadas aos riscos emergentes e à estratégia corporativa de análise, gestão e tratamento dos riscos. A NBR ISO 27001 (2018a) auxilia na compreensão da importância das ações para contemplar o risco e oportunidades no planejamento da segurança da informação, ressaltando que se deve considerar as questões relacionadas a: • assegurar que o sistema de gestão da segurança da informação possa alcançar seus resultados pretendidos; 69 GESTÃO DA SEGURANÇA DA INFORMAÇÃO • prevenir ou reduzir os efeitos indesejados; • alcançar a melhoria contínua; Sendo assim, a organização deve: • planejar devidamente as ações, para considerar os riscos e oportunidades; • planejar como integrá-las e implementá-las dentro dos processos do seu sistema de gestão da segurança da informação; • avaliar a eficácia destas ações. No que tange às avaliações de riscos de segurança da informação, a NBR ISO 27001 (2018a) recomenda que a organização defina e aplique um processo de avaliação de riscos de segurança da informação que: • Estabeleça e mantenha critérios de riscos de segurança da informação que incluam os critérios de aceitação do risco e os critérios para o desempenho das avaliações dos riscos de segurança da informação. • Assegure que as contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis, válidos e consistentes. • Identifique os riscos de segurança da informação aplicando o processo de avaliação do risco de segurança da informação para apontar os riscos associados com a perda de confidencialidade, integridade e disponibilidade da informação dentro do escopo do sistema de gestão da segurança da informação e identificando os responsáveis dos riscos. • Analise os riscos de segurança da informação avaliando as consequências potenciais, se os riscos identificados forem materializados, e a probabilidade realística da ocorrência dos riscos identificados e determinando os níveis de risco. • Avalie os riscos de segurança da informação comparando os resultados da análise dos riscos com os critérios de riscos estabelecidos e priorizando os riscos analisados para o tratamento do risco. Deve ser mantido devidamente documentado todo o processo de avaliação de risco de segurança da informação No que se refere ao tratamento dos riscos, a NBR ISO 27001 (2018a) recomenda que a organização defina e aplique um processo de tratamento de riscos à segurança da informação para: • Selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco. 70 Unidade II • Determinar todos os controles necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação, sendo que as organizações podem projetar os controles, conforme requerido, ou identificá-los de qualquer outra fonte. •Comparar os controles determinados com aqueles identificados nos modelos existentes no mercado e definidos na NBR ISO 27001 (2018a) para verificar se algum controle necessário foi omitido. Cabe ressaltar que a NBR ISO 27001 (2018a) contém uma lista detalhada dos controles e dos objetivos de controle recomendados para garantir que nenhum controle necessário seja omitido, sendo que os objetivos de controle estão implicitamente incluídos nos controles escolhidos. Os objetivos de controle e os controles listados na NBR ISO 27001 (2018a) não são exaustivos, e controles e objetivos de controles adicionais podem ser necessários conforme avanço tecnológico ou modelos de marcado. • Elaborar uma declaração de aplicabilidade que contenha os controles necessários e justificar as inclusões, sejam eles implementados ou não, bem como justificar a exclusão de algum dos controles listados na NBR ISO 27001 (2018a). • Preparar um plano para tratamento dos riscos de segurança da informação. • Obter aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação. A organização deve manter todo o processo devidamente documentado relativo ao tratamento dos riscos à segurança da informação. Importante salientar que todas as recomendações constantes no processo de tratamento e a avaliação dos riscos de segurança da informação recomendadas na NBR ISO 27001 (2018a) estão alinhadas com os princípios e diretrizes gerais definidos na NBR ISO 31000 (ABNT, 2018b). Segundo Sêmola (2014), assim que aprofundado o aspecto da gestão dos riscos focado na segurança da informação, é razoável que cada negócio, independentemente de seu segmento de mercado e ramo de atuação, apresente dezenas ou centenas de variáveis que se relacionam direta e indiretamente com a definição de seu nível de risco. Considerada a definição do risco da NBR ISO 31000, que diz que o risco é o efeito da incerteza, os riscos à segurança da informação podem de forma lógica ser positivos ou negativos. Identificar as variáveis passa a ser a primeira etapa do desafio de implementação de um processo efetivo de gestão de riscos. Segundo Sêmola (2014), interpretar a equação nada mais é do que a compreender a probabilidade de agentes, que são as ameaças, explorarem vulnerabilidades, expondo ativos a perdas de confidencialidade, integridade e disponibilidade e causando impactos nos negócios. Esses impactos são limitados por medidas de segurança que protegem os ativos, evitando que as ameaças explorem as vulnerabilidades, diminuindo assim o risco. 71 GESTÃO DA SEGURANÇA DA INFORMAÇÃO R V A I M Risco Vulnerabilidades Ameaças X Impactos Medidas de segurança = X Figura 22 – Equação do risco à segurança da informação Adaptada de: Sêmola (2014, p. 56). Segundo Sêmola (2014), por mais protegidos que estejam os ativos, novas tecnologias, mudanças organizacionais, novos processos, produtos e serviços podem criar novas vulnerabilidades, identificar ou dar mais ênfase aos que já existiam, assim como novas ameaças podem surgir ampliando significativamente a possibilidade de impactos aos ativos de informação. Por isso medidas corretivas de segurança precisam ser consideradas, sabendo que sempre haverá a possibilidade de impactos no negócio. As medidas corretivas de segurança devem ser analisadas, pois sempre haverá a possibilidade de um incidente ocorrer, por mais que todas as medidas preventivas estejam devidamente implantadas e testadas. Ter em mente que não existe segurança total é fundamental, pois as corporações devem estar preparadas para suportar as mudanças e as mais diversas variações da equação, reagindo com velocidade e ajustando o risco aos padrões considerados aceitáveis ante à cultura, anseios estratégicos, gestão de riscos e aos interessados externos e internos. Tudo isso nos leva à conclusão de que nunca haverá um R (risco) igual para todos. Dessa forma será necessário avaliar o nível de segurança apropriado para cada momento e assim refletir sobre os riscos de forma periódica e regular para estabelecer a melhor forma de dosar no momento certo esse remédio amargo chamado segurança da informação, que advém da necessidade periódica de buscar o peso ideal (nível de risco) para cada momento. A cada dia é mais importante que as organizações realizem análise de segurança, isso demonstra a percepção da necessidade de se identificarem os riscos. Todavia, ainda existe muito a evoluir no entendimento do que seja uma análise de risco eficaz. Quando retomado o assunto referente aos pilares de sustentação do negócio, observam-se as mais diversas inciativas de mapeamento das vulnerabilidades concentradas puramente nos ativos tecnológicos, ou seja, instrumentos dedicados a analisar e identificar falhas em computadores, redes e sistemas. Para Sêmola (2014), analisar as vulnerabilidades do ambiente tecnológico é importante, mas não é suficiente para, isoladamente, diagnosticar com precisão os riscos que envolvem a operação da empresa. Muitas outras fontes convivem com o ambiente tecnológico e, conforme sua natureza e negócio, podem ser ainda mais relevantes para a organização. 72 Unidade II Negócio Processo de negócio Processos Ambientes físicos Sistemas Sistemas Informações Pessoas Processo de negócio Processo de negócio Processo de negócio Figura 23 – Fatores de relevância ao negócio Nesse sentido há muito a se compreender, os riscos de uma empresa não estão associados ao volume de falhas tecnológicas, à qualificação das ameaças, a quem pode explorá-las ou aos impactos potenciais. Diagnosticar o risco envolve a análise das mais diversas variáveis que ultrapassam os aspectos tecnológicos, deve-se, portanto, considerar os comportamentos das pessoas, aspectos voltados ao ambiente físicos, legais e um grande volume de variáveis que interferem direta ou indiretamente na proteção do negócio. Segundo Sêmola (2014), uma alteração de estratégia, a presença de um novo concorrente ou um fator representativo na economia pode provocar alterações nos níveis de risco do negócio, tirando a organização de seu ponto de risco aceitável. Nessas condições, a análise de riscos tem que ser encarada como um instrumento primordial para compreender a situação atual de segurança da empresa por meio da sinergia e do entendimento dos desafios do negócio; do mapeamento das funcionalidades dos processos de negócios; da interligação entre eles com a diversidade de ativos físicos, tecnológicos e humanos que hospedam as falhas de segurança. Sendo assim, há que se compreender que existem duas linhas metodológicas para orientar as análises de riscos. Quantitativa, que é estruturada para mensurar os impactos financeiros provocados por uma situação de quebra de segurança violando os próprios ativos; qualitativa, que é estruturada por critérios que permitem estimar os impactos provocados pela exploração de vulnerabilidades por ação de uma ameaça. Para Sêmola (2014), as duas abordagens possuem pontos positivos e negativos, todavia, a análise quantitativa tem grande grau de subjetividade no processo de violação dos ativos e, ainda, dos impactos em cascata, direitos e indiretos potencialmente provocados por uma quebra de segurança. A análise quantitativa tem demonstrado eficiência superior. 73 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Quando aplicada a metodologia no mapeamento dos processos de negócio e incorporada no plano diretor de segurança, é feito o mapa de relacionamento e dependência dos ativos. Nessa fase, se iniciam as atividades de coleta de evidências e identificação de ameaças e vulnerabilidades potencialmente inerentes aos ativos. Cabe ressaltar o que menciona Sêmola (2014), segundo o qual é importante compreender que a vulnerabilidade isolada não causa qualquer dano ao ativo, apenas aponta uma fragilidade. O dano somente acontecerá mediante a exploração da vulnerabilidade por ação de uma ameaça. Sêmolatambém ressalta os aspectos a serem considerados em uma análise de riscos: • Relação de relevância que um processo de negócio tem para o negócio. • Relação de dependência que um ou mais processos de negócio têm do ativo. • Projeção do impacto resultante da concretização da ação de uma ameaça. • Probabilidade de a ameaça explorar uma vulnerabilidade. • Severidade potencial da exploração no ativo. • Qualificação das vulnerabilidades presentes nos ativos. • Qualificação das ameaças potenciais. Com base nessa lista, é possível estruturar um mapa de relacionamento que permite projetar situações de causa e efeito. As múltiplas ligações, pontuações e a qualificação das ameaças e vulnerabilidades, comparadas aos estudos probabilísticos e impactos, tornam-se elementos que agregam ao cálculo do risco. Por se tratar de uma análise que contempla ativos físicos, tecnológicos e humanos dentro da fase de identificação das ameaças e vulnerabilidades, deve ser conduzida por entrevistas com os gestores, usuários, observação comportamental dos recursos humanos, inspeção física presencial nos ambientes, estudo de documentos e análises técnicas dos ativos tecnológicos, com o intuito de coletar evidência da presença de falhas. Essas atividades devem ser suportadas por metodologias e instrumentos de apoio, comumente baseados em padrões de mercado; por normas específicas, como a para cabeamento estruturado TIA/ EIA 568 e NBR 14565:2013, e por sistemas especializados em plataformas e tecnologias específicas. O motivo para as ações presenciais, entrevistas, análises físicas e até mesmo parte das análises técnicas se dá pela impossibilidade natural de coletar todas as evidências por meio de dispositivos automatizados ou informatizados. Por exemplo, quando analisado um sistema operacional de rede, se pode verificar seu universo de potenciais falhas; parte delas pode ser identificada por sistema de varredura ou scanner, enquanto outra parte necessita de intervenção humana, seja para coletar, seja para mensurar a possibilidade e o impacto potencial. Existem percepções que nos levam a concluir que uma análise de riscos deve sempre se apoiar em recursos humanos com competências variadas; ferramentas automatizadas de apoio à gestão do levantamento, principalmente de uma base de conhecimento em segurança incessantemente atualizada. 74 Unidade II Assim sendo, é possível afirmar que a base de segurança; a base de conhecimento de vulnerabilidades; ameaças e novas tecnologias são os pilares de uma boa análise de risco, pois são responsáveis em guardar, gerenciar e suportar as ações de diagnóstico e fornecimento de informações atualizadas que possibilitarão aos analistas comprovar as técnicas mais eficientes e localizar as mais recentes falhas e dessa forma atingir maior precisão na mensuração do nível de risco da empresa. Relevância dos processos para os negócios Processos de negócios Ativos Vulnerabilidades Ameaças Probabilidade 1 - 5 Severidades 1 - 5 Impactos Riscos do ativo 5 Vital 3 Importante 4 Crítico PIN 1 PIN 2 PIN 3 Servidor 1 Data center Banco de dados Banco de dados 1 - Conta Adm com Full Control 2 - Sistema operacional desatualizado Ataque de DDOs Sabotagem Vírus Incêndio Sabotagem 3 5 Indisponibilidade dos serviços e dos processos de negócos dependentes 3,72 Figura 24 – Exemplo de cálculo de risco Adaptada de: Sêmola (2014, p. 111). Ba ix o Al to Baixa Alta 2 3 1 2 Im pa ct o Probabilidade Figura 25 – Exemplo de quadrante de risco Adaptada de: Sêmola (2014, p. 112). 75 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Aplicado o cálculo da probabilidade e a severidade de uma ameaça em explorar cada uma das vulnerabilidades descobertas em cada ativo, pode-se obter o nível de risco final de cada ativo. Segundo Sêmola (2014), a partir desse resultado parcial projeta-se o nível de risco de cada processo de negócio, considerando os riscos de cada ativo que sustenta o negócio. Nesse momento, é possível estimar o risco do negócio de uma forma geral, calculando de forma ponderada os riscos de cada um dos processos de negócio que o suporta, conforme demonstrado na figura anterior. O resultado atingido permite organizar as prioridades e ter a real dimensão para elaboração do plano de ação de curto, médio e longo prazo, baseado na distribuição dos processos de negócio e dos ativos no mapa de quadrantes de risco. Com isso é possível conseguir a orientação necessária para apoiar as decisões e modelar as contramedidas específicas a cada área de empresa, propondo medidas para reduzir o risco, transferi-lo ou aceitá-lo. Ressaltando que, em qualquer que seja a situação, limitações orçamentárias, dificuldades técnicas ou fatores externos tendem a impedir a implementação de todas as contramedidas especificadas, o que força a organização a buscar níveis controlados e em conformidade com a natureza do negócio, o chamado posicionamento consciente dos recursos, prevalecendo a máxima da administração de fazer mais com menos. N ív el d e se gu ra nç a de se ja do N ív el d e se gu ra nç a di ag no st ic ad o N ív el d e se gu ra nç a ad m in ist ra do N ív el d e se gu ra nç a es ta gn ad o N ív el d e se gu ra nç a es ta gn ad o Fa lh a de se gu ra nç a Ri sc o to le rá ve l Ri sc o ev ol ut iv o Ri sc o ev ol ut iv o GA P de g es tã o do ri sc o Tempo Figura 26 – Gestão do risco Adaptada de: Sêmola (2014, p. 113). 76 Unidade II Conforme mencionado anteriormente, viver é gerenciar riscos e, para as organizações, segurança é administrar riscos. Toda corporação possui características singulares, planos e atitudes especificas, dessa forma necessitam desenvolver análises de riscos para encontrar o nível de risco mais adequado para trabalhar. Para Sêmola (2014), diante desse cenário, a análise de risco é a ferramenta ideal para dimensionar a situação de segurança atual, trazendo à consciência os riscos e capacitando a busca de soluções que levam o risco ao patamar de risco aceitável, lembrando que esse nível aceitável depende muito dos fatores já mencionados, como ramo de atividade, partes interessadas internas e externas que definem o que chamamos de apetite ao risco. A velocidade com que as mudanças ocorrem no ambiente corporativo, influenciadas por fatores ambientais, mercadológicos, estratégicos, econômicos, tecnológicos, estruturais, entre outros, fazem parte da própria análise de risco e conduz a um processo contínuo de gestão que deve ser capaz de diagnosticar novas vulnerabilidades e ameaças, elevando assim os índices de manutenção do risco controlado. Trata-se de uma tendência a realização de análises de riscos amparadas na medição de presença ou ausência de controles de segurança, e não apenas nas vulnerabilidades presentes nos ativos como fonte principal. Essa opção é um reflexo das consagradas abordagens produzidas pela norma de gestão da segurança da informação NBR ISO 27002 e pela norma NBR ISO 31000, que apresentam propostas amparadas no interesse e na necessidade principal dos gestores de segurança da informação em proteger o ativo sem, no entanto, se preocupar em eliminar ou administrar cada uma das vulnerabilidades de forma individual com cada uma das centenas de vulnerabilidades de um sistema operacional. Segundo Sêmola, um exemplo seria a preocupação de se concentrar na verificação da presença ou ausência de aplicação de patch, ou programa de correção, disponibilizado pelo fabricante. Dessa forma, agrega-se no desempenho e na eficácia na obtenção dos resultados e aproxima a organização dos controles recomendados pela ISO. Enquanto as metodologias de análise de riscos não aderem por completo aos controles de segurança propostos pelas normas internacionais de segurança, como instrumento de medição e recomendação de ações, compete ao security officer caminhar em direção à sintonia com os padrões e melhorespráticas. Por causa disso, convém alinhar os resultados da análise de riscos aos controles sugeridos pela norma ISO 27002 e identificar o nível de conformidade atingido pela empresa por meio da medição de aderência a cada um dos 114 controles de segurança. Assim que estabelecidos os princípios que a organização declara como metodologia de análise de riscos, bem como as condições de diagnóstico, de mensuração, formato e equação de risco a ser utilizada, definindo assim o padrão corporativo de análise de risco e encontrando o chamado risco aceitável ou risco mínimo, caberá à segurança da informação acoplar seu modelo dentro do mapa de risco corporativo, para atingir a sinergia de governança necessária. Isso é primordial para que o projeto de implantação da gestão de riscos à segurança da informação seja conduzido de forma eficaz. Muitas vezes os princípios para as análises de risco à segurança da informação são academicamente perfeitos, todavia não refletem a cultura de riscos corporativa, isso acontece pela tendência natural dos gestores de segurança da informação em pensar em riscos mínimos e máximos diferentes dos padrões corporativos e da cultura da própria organização. A situação na qual a segurança da informação 77 GESTÃO DA SEGURANÇA DA INFORMAÇÃO está inserida, no contexto externo, pode levar esses gestores a pensar o assunto como algo que nunca poderá sofrer com vazamentos, invasões ou qualquer tipo de ataque produzidos interna ou externamente. Quando pensamos em segurança das informações, pensamos em algo extremamente seguro e à prova de qualquer falha, perigo, ameaças e, consequentemente, risco, e isso cria uma sensação de extrema responsabilidade nos profissionais de segurança, que tendem a pecar pelo excesso em suas análises de risco e nas medidas de proteção. Esse excesso de zelo com a segurança da informação acaba levando a conflitos nada produtivos com as áreas de negócio, que definitivamente não estão preparadas para pensar na informação como algo a ser protegido, e sim para ser usado na alavancagem do próprio negócio. Exemplo desse conflito reflete na análise de risco à segurança da informação para os dados a serem colocados em uma contratação de serviço de cloud computer (nuvem). Na visão da segurança da informação, os riscos são inúmeros, já na visão de negócios, é uma grande oportunidade de custo e benefício. O profissional de segurança deve aprender rapidamente que a segurança da informação não pode engessar o negócio ou frear o avanço, o que sobra disso é uma equação bem simples: o controle não pode ficar mais caro do que o resultado esperado daquele ativo, por isso o alinhamento das gestões de risco corporativa e de segurança é primordial. Não é tarefa fácil manter a segurança das informações quando os ativos de informação estão envoltos em complexas estruturas que demandam altos investimentos para mantê-las a salvo das ameaças aos princípios da segurança da informação (confidencialidade, integridade e disponibilidade). Quando adicionamos aqui o princípio de legalidade, a situação fica ainda mais complexa. A Lei n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados – LGPD) exige o cumprimento de requisitos que se transformaram em riscos adicionais à segurança das informações caso não sejam devidamente cumpridos. Beal (2008) afirma que é de extrema importância a adoção de um enfoque de gestão baseada nos riscos específicos para cada negócio. Cabe então à segurança da informação identificar as ameaças, mapear as vulnerabilidades e analisar os impactos que podem ocorrer comprometendo a segurança das informações, dessa forma é possível fundamentar e subsidiar a tomada de decisão sobre o quanto gastar com a proteção dos dados corporativos. Para Beal (2008), a gestão de riscos à segurança da informação é um conjunto de processos que permite que as organizações identifiquem e implementem medidas de proteção necessárias para diminuir o risco a que estão sujeitos os ativos de informação, com a incumbência de equilibrar os custos operacionais e financeiros envolvidos no processo de proteção das informações. Assim como foi visto na unidade I deste livro-texto, existem termos que devemos conhecer acerca dos próprios riscos e em relação aos riscos à segurança da informação. Dessa forma cabe revisitar alguns termos e adicionar alguns outros referentes à gestão dos riscos à segurança da informação com o intuito de nivelá-los e incorporar os termos da ISO Guide 73 de 2009, que em sua versão em inglês estabelece um vocabulário de termos relacionados à gestão de riscos: 78 Unidade II Quadro 17 – Termos e Definições Terminologia Descrição Termos básicos Consequência Resultado de um evento Critério de risco Termos de referência pelos quais a relevância do risco é avaliada Evento Ocorrência de um conjunto particular de circunstâncias, que caracterizam uma única ocorrência ou uma série delas Fonte Item ou atividade associada a uma consequência potencial Gestão do risco Coordena atividades para direcionar e controlar uma organização com relação ao risco. A gestão do risco normalmente inclui avaliação, tratamento, aceitação e comunicação do risco Probabilidade Associada a um evento, é calculada para determinado período e é definida como número real na escala de O a 1. Associada a um evento aleatório, que pode estar relacionado a uma frequência de ocorrência relativa de longo prazo ou a um grau de confiança de que um evento ocorrerá (para um alto grau de confiança na ocorrência, a probabilidade é próxima de 1) Risco Combinação da probabilidade de um evento e sua consequência Termos relacionados às pessoas ou organizações afetadas pelo risco Comunicação do risco Troca ou compartilhamento da informação sobre o risco feita entre o tomador de decisão e outros stakeholders. A informação pode estar relacionada à existência, natureza, forma, probabilidade, gravidade, aceitabilidade, tratamento ou outros aspectos do risco Parte interessada Pessoa ou grupo que possui interesse no desempenho ou sucesso de uma organização. Exemplos: clientes; proprietários; integrantes da organização; fornecedores; bancos; sindicatos; parceiros; sociedade Percepção do risco Maneira pela qual um stakeholder vê um risco, com base em um conjunto de valores ou preocupações Stakeholder Qualquer indivíduo, grupo ou organização que pode influir, sofrer influência ou perceber-se como sendo afetado por um risco. O termo stakeholder inclui, mas tem significado maior do que partes interessadas (termo definido na ISO 9000) Termos relacionados à avaliação de riscos Análise de risco Uso sistemático de informação (dados históricos, análise teórica, opiniões fundamentadas, preocupações dos stakeholders) para identificar fontes e estimar o risco. A análise de risco oferece uma base para a avaliação, o tratamento e a aceitação do risco Avaliação do risco (risk evaluation) Processo de comparação do risco estimado com determinado critério de risco para determinar sua relevância. A avaliação do risco pode ser usada para subsidiar a decisão de aceitar ou tratar um risco Estimativa do risco (risk estimation) Processo usado para atribuir valores à probabilidade e às consequências de um risco. A estimativa do risco pode considerar custo, benefícios, preocupações de stakeholders e outras variáveis apropriadas para a avaliação do risco Estudo do risco (risk assessment): Processo global de análise e avaliação do risco. Identificação do risco: processo de localizar, listar e caracterizar elementos do risco. Os elementos podem incluir fonte, evento, consequência e probabilidade Termos relacionados ao tratamento e ao controle do risco Aceitação do risco Decisão de aceitar um risco Atenuação Limitação de quaisquer consequências negativas de um evento em particular Controle do risco Ações para implementação das decisões de gestão do risco. O controle do risco pode envolver monitoração, reavaliação e conformidade com decisões Evasão do risco Decisãode não se envolver, ou ação de fuga de uma situação de risco Otimização do risco Processo relacionado a um risco para minimizar as consequências negativas e maximizar as consequências positivas e suas respectivas probabilidades Redução do risco Ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas, associadas a um risco Risco residual Risco remanescente após o tratamento do risco Transferência do risco Compartilhamento com um terceiro do prejuízo da perda ou benefício do ganho em relação a determinado risco (a transferência do risco pode ser feita por meio de seguros ou outros tipos de acordo) Tratamento do risco Processo de seleção e implementação de medidas para modificar o risco. A expressão tratamento do risco é às vezes utilizada para se referir às próprias medidas de proteção usadas para atenuar, reduzir, transferir ou evitar o risco Adaptado de: ISO (2009). 79 GESTÃO DA SEGURANÇA DA INFORMAÇÃO É possível determinar o risco dentro do contexto da segurança da informação alinhado aos termos e definições elencados no quadro anterior; a ISO Guide 73 (ISO, 2009) afirma que todo e qualquer tipo de situação (ou evento) que possibilitar uma oportunidade de favorecer ou prejudicar o sucesso de projeto, processo, produto é considerado risco. Segundo a Norma ISO Guide 73 (ISO, 2009), é necessário que se estabeleça um vocabulário básico para desenvolver o entendimento comum sobre a gestão de riscos em todas as organizações ao redor do mundo, sendo necessárias apenas algumas adaptações em expressões regionalizadas para atender às necessidades dentro de um domínio específico. Beal (2008) exemplifica com o caso do setor financeiro, em que o risco está associado a flutuações monetárias representadas por oportunidades de ganho ou perda, e consequentemente o processo de gestão de risco trabalha igualmente com os aspectos negativos e positivos da situação de risco. Evidentemente que em outras áreas, como o exemplo da prevenção de acidentes, a gestão do risco tem a preocupação de evitar o risco negativo relacionado aos acidentes. Com os diversos cenários existentes para aplicação da gestão de riscos, faz-se necessário promover ajustes na terminologia, alterando-a ou expandindo-a conforme necessário para tratar a questão dentro do escopo definido de avaliação e gestão dos riscos. Quando o assunto é segurança da informação, é necessário que os termos sejam revistos e complementados para refletir a necessidade desse escopo: • Ameaça: expectativa de acontecimento acidental ou proposital, causado por um agente, que pode afetar um ambiente, sistema ou ativo de informação. • Vulnerabilidade: fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque. • Impacto: efeito ou consequência de um ataque ou incidente para a organização (corresponde ao termo consequência da ISO Guide 73, sendo que, para a segurança da informação, está sempre relacionada ao aspecto negativo). Segundo Beal (2008), no contexto da segurança da informação, a ameaça é algo normalmente externo ao ativo que se deseja proteger (falha de energia elétrica, vírus, ataques cibernéticos), já a vulnerabilidade está relacionada ao próprio ativo, podendo ser originada de diversos fatores diferentes, como exemplo falta de conhecimento, falta de atualização no sistema operacional ou falha na manutenção. Essas falhas podem comprometer a segurança da informação se forem exploradas por alguma ameaça. Observação Os termos assessment e evaluation, usados no ISO Guide 73, têm como equivalente em português o termo avaliação. Optou-se pela expressão “estudo do risco” para traduzir “risk assessment” que corresponde ao processo global de análise e avaliação (evaluation) do risco. 80 Unidade II Alguns outros termos são importantes para a gestão de riscos à segurança da informação: • Agente: fonte produtora de um evento que pode ter efeitos adversos sobre um ativo de informação. Exemplos de agente: funcionários, meio ambiente, hackers etc. • Alvo: ativo de informação que pode ser objeto de um ataque/incidente. Exemplos: base de dados, equipamentos de hardware, sistema de informação, serviço de comunicação. • Ataque: evento decorrente da exploração de uma vulnerabilidade por uma ameaça. Exemplos de ataque: digitação incorreta de dados pelo usuário, vazamento de água, inclusão indevida no sistema de pagamento de compra fictícia. • Incidente: evento com consequências negativas resultante de um ataque bem-sucedido. Exemplos de incidentes: dados incorretos armazenados num sistema, inundação que danifica as máquinas do CPD, pagamento indevido em decorrência da inclusão indevida de fatura de compra no sistema. Tais incidentes podem não se concretizar, em caso de ataque, se houver controles suficientes para interrompê-los (rejeição de dados incorretos inseridos pelo usuário, barreiras e alertas para evitar que o vazamento de água atinja os equipamentos, controles gerenciais que impeçam o pagamento sem a prévia conferência por um supervisor). A próxima figura retrata a ligação existente entre os termos relacionados às análises de risco e à segurança da informação, em que a ameaça é um elemento do risco que pode ser associado a uma probabilidade de atuação, em que o valor compõe o cálculo da estimativa de risco. Em diversas situações a probabilidade está associada a uma ameaça e é calculada levando em consideração a frequência de ocorrência (por exemplo, a frequência de ataques de negação de serviço DDOs nas últimas semanas ou meses). Em outras situações os dados da frequência não estão à disposição, nesse caso a probabilidade pode ser estimada levando em consideração o grau de confiança atribuída à ocorrência (por exemplo, o grau de confiança de que ocorrerá uma ou mais tentativas de invasão a determinado sistema). Por sua vez, as medidas de proteção, que também podem ser chamadas de controles, têm como objetivo reduzir o risco por meio da mitigação da probabilidade de concretização de uma ameaça. Quando nos referimos às vulnerabilidades, precisamos ter em mente que elas sempre podem ser exploradas por uma ameaça refletida em incidentes de segurança, causando impactos que, para a gestão de riscos à segurança da informação, serão sempre negativos. 81 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Agente Incidente Impacto Alvo Medidas de proteção Ameaça Vulnerabilidade (probabilidade) Produz Reduzem Protege Aplicadas Evitam Afastam Explora Ajuda Foca Causa Evitam Gera Provoca Ataque Figura 27 – Relacionamento entre os termos associados aos riscos à segurança da informação Segundo Beal (2008), é importante compreender a gestão de riscos à segurança da informação como um processo contínuo que deve ser melhorado constantemente, dessa maneira é necessário ter mapeadas as várias etapas cíclicas que levam à redução do risco, partindo da análise até o tratamento, passando pela aceitação e comunicação. Para que tudo isso ocorra de forma eficaz, é aconselhável que o processo de gestão de risco seja apresentado ao processo de melhoria contínua chamado de PDCA (do idioma inglês, plan, do, check e action, na tradução, planejamento, execução, avaliação e ação corretiva). AGIR Action • Ação corretiva no insucesso • Padronizar e buscar o sucesso aprendendo com os erros • Verificar se os objetivos foram atingidos • Verificar os indicadores • Localizar os riscos de SI • Estabelecer o plano de ação para gestão dos riscos de SI • Executar o plano de tratamento dos riscos identificados • Colocar o plano em prática PLANEJAR Plan FAZER Do CHECAR Check Figura 28 – Ciclo PDCA para gestão de riscos à segurança da informação 82 Unidade II A gestão do risco é complexa e deve ser tratada por etapas dentro das organizações, levando em consideração que faz parte de um ciclo que deve ser constantemente renovado e aperfeiçoado. Estabelecendo o contexto Identificndo o risco Análise do risco Análise do risco Tratamento do risco Aceitação dorisco residual Co m un ic aç ão d o ris co M on ito ra çã o e av al ia çã o do s r es ul ta do s Ameaça Probabildade Vulnerabilidade Estimativa de risco Critérios de risco Grau de incerteza Impacto Perda estimada Figura 29 – Etapas da gestão de riscos Adaptada de: Beal (2008, p. 17). O processo de gestão de risco se inicia com a análise do contexto, do cenário de risco no qual aquele artefato a ser analisado está inserido, por exemplo, quando falamos de um escopo de acesso remoto externo por funcionários, alguns cenários de risco devem ser traçados, entre eles, a configuração dos roteadores dos funcionários, se certificar de que todos estejam devidamente configurados. Uma vez determinado o contexto a ser analisado, temos a identificação dos riscos inseridos naquele cenário escolhido. Aqui são considerados os elementos-alvos, agentes, ameaças, vulnerabilidades e impactos. Lembrando que ameaças podem ser classificadas como: • Ambientais: ameaças naturais, como fogo, chuva, raio, terremoto; decorrentes de condições do ambiente, como interferência eletrônica, contaminação por produtos químicos, falhas no suprimento de energia elétrica ou no sistema de climatização. • Técnicas: configuração incorreta de componentes de TI; falhas de hardware e software. • Lógicas: códigos maliciosos; invasão de sistemas. • Humanas: erro de operação; fraude; sabotagem. 83 GESTÃO DA SEGURANÇA DA INFORMAÇÃO As ameaças exploram vulnerabilidades para atingir seus alvos em forma de ataque, já as vulnerabilidades demonstram o grau de exposição que um ativo de informação está sujeito. Falhas em um ambiente ou sistema ou falta de treinamento dos usuários, por exemplo, representam uma vulnerabilidade em relação à ameaça de erro humano, assim como a instalação de um data center no subsolo de um prédio produz uma vulnerabilidade associada à ameaça de inundação. Segundo Beal (2008), são exemplos de vulnerabilidades associadas a ameaças ambientais (comumente encontradas em processos de auditoria de riscos físicos em instalações de processamento de informações): • Materiais estocados dentro do data center, aumentando o risco de incêndio. • Fitas de backup armazenadas em armários sem proteção, dentro de caixas de papelão. • Excesso de poeira. • Cabeamento de rede desorganizado e desprotegido. Vulnerabilidades lógicas observadas em sistemas conectados à internet incluem senhas de administrador mantidas de fábrica (não são alteradas na instalação do software); ausência de instalação de patches após a descoberta de um bug no sistema; permanência de utilitários e ferramentas de administração que tornam o computador inseguro e são desnecessários para o seu funcionamento no dia a dia. Hackers dispõem de várias técnicas para descobrir vulnerabilidades dessa natureza e, com esse conhecimento, planejar ataques. No quadro a seguir estão mencionados as ameaças e impactos relacionados a instalações e componentes de TI, para exemplificação prática. Quadro 18 – Lista de ameaças e impactos relacionados a ti Ameaça Tipo de recurso vulnerável Impacto para o objetivo de confidencialidade Impacto para o objetivo de integridade Impacto para o objetivo de disponibilidade Desastres naturais como terremoto, nevasca e furacão Edifícios torres de comunicação Controles físicos de acesso podem ser desconsiderados durante a recuperação do desastre e equipamentos descartados podem conter informações confidenciais Falhas ambientais, incluindo queda da energia elétrica Hardware Serviços podem ser interrompidos e hardware pode ser danificado Furto Equipamentos valiosos e portáteis Equipamentos furtados podem conter informações confidenciais Serviços podem ser interrompidos e dados podem ser perdidos 84 Unidade II Ameaça Tipo de recurso vulnerável Impacto para o objetivo de confidencialidade Impacto para o objetivo de integridade Impacto para o objetivo de disponibilidade Vírus Principalmente computadores pessoais conectados em rede Dados podem ser corrompidos pelo vírus Computadores infectados podem parar de funcionar e dados importantes podem ser apagados Hacking Todos os sistemas em rede O objetivo dos hackers pode ser a quebra do sigilo de informações ou a indisponibilidade dos serviços (ataque do tipo DoS, denial of service), a alteração ou destruição de dados ou a utilização dos recursos informatizados da organização para realizar invasões a terceiros Código escondido Todo o software Código não autorizado pode levar ao vazamento de informações sigilosas, tais como senhas de acesso Funções escondidas podem manipular dados indevidamente Programas podem ser projetados para destruir dados ou negar acesso autorizado a serviços Falha de hardware Todo o hardware Hardware danificado pode ser enviado para manutenção contendo informação sigilosa Dados podem ser corrompidos quando o hardware falha Serviço indisponível Falha de software Todo o software A falha dos controles de acesso pode levar à divulgação indevida de dados e informações Dados podem ser corrompidos Serviço indisponível Erro humano Todos os sistemas Funcionários podem divulgar acidentalmente informações sigilosas, por exemplo, enviando dados para a impressora errada Funcionários podem inserir dados incorretamente Funcionários podem destruir informações acidentalmente, danificar hardware ou interromper o funcionamento do sistema por erro de configuração Fonte: Beal (2008 p. 20-21). Observação Os gestores de riscos à segurança da informação devem estar atentos às principais ameaças que rondam e que podem aumentar os riscos para as organizações. Além disso, devem consultar os relatórios de ameaças emergentes publicados pelas grandes empresas de consultoria em tecnologia. A implantação dos processos de gestão de riscos requer aplicação sistemática de políticas, normas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecendo o contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos. A figura a seguir demonstra a sequência lógica dos processos dentro da estrutura da gestão de riscos. 85 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Processo de gestão de riscos Escopo, contexto e critério Tratamento de riscos Processo de avaliação de riscos Identificação de riscos Análise de riscos Registro e relato Co m un ic aç ão e c on su lta M onitoram ento e análise crítica Avaliação de riscos Figura 30 – Processos de gestão de riscos Fonte: ABNT (2018b, p. 9). Segundo Campos (2006), a definição e direcionamento do sistema de gestão da segurança da informação é o primeiro passo para uma governança eficaz, o que exige necessariamente a compreensão dos riscos da organização. Definição de escopo Análise de risco Planejamento de tratamento do risco Figura 31 – Etapas do planejamento do sistema de segurança Adaptada de: Campos (2006, p. 37). Para Campus (2006), a gestão e análise de risco deve ser o primeiro passo. O objetivo é definir os resultados almejados e, por conseguinte, o que deverá ser feito. As equipes de segurança da informação menos experientes, sobretudo aquelas que fazem sua primeira análise de risco, tendem a querer produzir resultados em um curto espaço de tempo; a busca por resultados imediatos pode limitar os esforços de definição de objetivos e de planejamento. Como se sabe: é difícil chegar quando não se sabe para onde vai. Dessa forma, na definição do método de análise de risco, é fundamental ter em mente que existem duas categorias, ou métodos, de análise de risco: a qualitativa e a quantitativa. As duas envolvem cálculos, mas a qualitativa é a que utiliza cálculos simplificados e, também, é menos precisa do ponto de vista financeiro. 86 Unidade II Observação Importante ressaltar que não é uma questão de escolha entre os métodos quantitativos ou qualitativos de análise de riscos à segurança da informação,e sim uma orientação conforme a modalidade de risco analisada, pois ambas possuem benefícios e limitações. A seguir, se pode comparar os dois modelos: Quantitativo Qualitativo Resultados baseados em valores objetivos Resultados baseados em valores subjetivos Cálculos complexos Cálculos simples Valores financeiros são atribuídos ao risco Não há valoração do risco Grande tempo e esforço são necessários para atribuir as taxas de risco Menor trabalho para atribuir as taxas de risco Facilita o cálculo de custo/benefício Dificulta o cálculo de custo/benefício. Fonte: Campos (2006, p. 45). Evidentemente que os dados desse quadro são uma parte das duas categorias, como foi visto anteriormente, existem diversos outros pontos que devem ser levados em consideração para a seleção da melhor metodologia de análise de risco. Segundo Campos (2006), existem dois pontos que defendem cada um dos métodos com argumentos convincentes. Os dois métodos são práticos e até certo ponto eficazes, e a escolha deve ser realizada com base no perfil da organização. Por exemplo, aquelas organizações que nunca fizeram qualquer análise de risco, se escolherem pelo método quantitativo, mais complexo, terão maior probabilidade de fracasso em uma primeira tentativa. Já as organizações que fazem análise de risco por alguns anos e que precisam avaliar seus riscos a partir de uma visão financeira, deverão fazer os empenhos necessários para implementar o método quantitativo. Outro ponto a ser relacionado é o desenvolvimento de uma política para redução dos riscos, em que, segundo Campos (2006), deve ser definida de forma prioritária uma política para redução de riscos ou um conjunto de conceitos aceitáveis na organização, a se considerarem investimentos de tempo e recursos. Obviamente varia de organização para organização, mas algumas diretrizes podem ser utilizadas como padrão. Por exemplo, a política pode determinar que: o investimento destinado à redução do risco deve ser proporcional ao valor da informação a ser protegida; que os investimentos pretendem diminuir os riscos de forma gradual; os investimentos em redução dos riscos não devem exceder a 5% do faturamento da organização; os riscos relacionados com a disponibilidade da informação devem ser considerados prioritários em relação àqueles relacionados com confidencialidade e disponibilidade. 87 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Segundo Campos (2006), essas e outras prioridades devem estar devidamente definidas no estágio inicial do projeto, com o direcionamento de esforços de todos as partes envolvidas, até mesmo quando são definidas logo no início do projeto. Novas necessidades podem surgir durante a realização da análise de riscos, o que é totalmente viável. A definição dos critérios para identificação e aceitação do risco são a base para a decisão sobre o nível do risco. Dessa forma os critérios devem ser estabelecidos para conduzir os trabalhos de identificação e avaliação do risco. Entre os critérios definidos, é necessário compor aqueles que hierarquizarão as ameaças, vulnerabilidades e impactos. Outras considerações podem ser realizadas quanto aos critérios do risco. A organização precisa definir que nível de risco é aceitável e a partir de que nível o risco passa a ser inaceitável e precisa ser tratado. Algumas questões necessitam ser avaliadas para se chegar a um indicador de risco. Por exemplo, a organização pode definir que riscos com nível a partir de 20% precisam ser tratados, ao passo que riscos abaixo desse percentual podem ser ignorados ou aceitos. Após a definição dos critérios de análise e níveis de aceitação de risco, é necessário que as ameaças sejam graduadas quanto ao grau de exposição que apresentam para o ativo em avaliação. Por exemplo, um sistema de firewall ligado diretamente à internet está mais exposto a ataques de crackers do que um servidor de correio eletrônico protegido por esse firewall dentro da rede local. A tabela a seguir é um exemplo de como podem ser definidos os critérios para classificação da ameaça quanto ao grau de exposição que ela oferece para os ativos de informação. Repare que os critérios apresentados são exatamente os mesmos do quadro anterior, que mostra a matriz de relevância do processo. Isso se dá em virtude da padronização dos critérios. Tabela 2 – Sugestão de matriz graduação das ameaças Ameaça Grau Faixa percentual Mínima 1 20 Baixa 21 40 Média 41 60 Alta 61 80 Máxima 81 100 Fonte: Campos (2006 p. 46). Seguindo o exemplo apresentado e considerando os ativos de informação envolvidos, temos: • sistema firewall; • servidor de correio eletrônico. 88 Unidade II E a seguinte ameaça: • invasor externo (hacker). Poderíamos dizer, então, que o grau de exposição da ameaça seria de 100%, ou seja, o máximo para o primeiro ativo, enquanto que de apenas 30%, ou seja, baixo, para o segundo ativo. Segundo Campos (2006), similarmente aos critérios anteriormente expostos, podem ser estabelecidos critérios para as vulnerabilidades. Sendo assim, algumas vulnerabilidades contam com alguma forma de controle, ou seja, são baixas, e enquanto outras vulnerabilidades não receberam qualquer tipo de controle e devem ser definidas como altas. A tabela a seguir mostra uma proposta para critério de graduação das vulnerabilidades. Tabela 3 – Sugestão de matriz graduação das vulnerabilidades Vulnerabilidade Grau Faixa percentual Mínima 1 20 Baixa 21 40 Média 41 60 Alta 61 80 Máxima 81 100 Fonte: Campos (2006, p. 47). Importante ressaltar que o padrão de nomenclatura para relevância, ameaça e vulnerabilidade devem ser os mesmos de modo a permitir comparativos. Nesse exemplo, consideremos os seguintes ativos de informação: • servidor de arquivos; • servidor de correio eletrônico. E a seguinte vulnerabilidade: • portas TCP do protocolo TCP/IP. Na suposição de que no primeiro ativo todas as portas TCP estejam fechadas, podemos concluir que se trata de uma vulnerabilidade mínima, talvez 5%, enquanto no segundo ativo, na hipótese de que pelo menos as portas SMTP e POP estejam abertas, inferimos que se trata de uma vulnerabilidade pelo menos média, talvez 50%. Segundo Campos (2006), os critérios para impacto deverão ser estabelecidos, lembrando que o impacto se refere ao dano ou prejuízo causado ao negócio por um incidente. Certamente existem diversas 89 GESTÃO DA SEGURANÇA DA INFORMAÇÃO formas de relacionar as informações – consequentemente, os ativos que as suportam – ao negócio; uma das mais utilizadas relaciona as informações aos processos do negócio, como foi demonstrado na figura anterior. Dessa maneira, é possível identificar qual processo será prejudicado por um incidente e, conhecendo a relevância do processo, é possível determinar o impacto do incidente de segurança. Podemos citar como exemplo a relação do nível de impacto à duração da interrupção de determinado processo de negócio, dessa forma pode-se continuar em operação sem prejuízo. Na tabela a seguir, está disposto o modelo de graduação utilizado para quantificar a análise dos impactos. Repare que os números se mantêm em relação às demais análises anteriormente apresentadas. Tabela 4 – Sugestão de matriz – graduação das vulnerabilidades Impacto Grau Faixa percentual Mínima 1 20 Baixa 21 40 Média 41 60 Alta 61 80 Máxima 81 100 Fonte: Campos (2006, p. 48). Usemos o exemplo anterior de ativos para exemplificar esse conceito: • servidor de arquivos; • servidor de correio eletrônico. Se na organização em questão os processos são fortemente baseados na troca de mensagens eletrônicas entre as áreas, poderíamos supor que a interrupção desse serviço não seria tolerada por mais que um dia, o que classificaria o grau do impacto em 75%, por exemplo. Já quanto ao servidor de arquivos usado com menos frequência e intensidade – a organização suportaria ficar sem seus serviços por alguns dias ou até uma semana –, talvez pudéssemos classificar o grau de impacto em 55%. Quando nosreferimos a esse método, citamos apenas um exemplo simples de consideração dos conceitos. Evidentemente que um método mais adequado para medir os prejuízos financeiros de um incidente pode representar uma tarefa bem mais complexa. Segundo Campos (2006), para a definição dos critérios para cálculo do risco, outras definições devem ser utilizadas na identificação e avaliação dos riscos, com destaque para o critério de composição; deve-se saber como o risco é visto pela organização, em outras palavras, qual é a fórmula para o risco. Embora existam os defensores de outros modelos, não existe um consenso definitivo e suficientemente convincente, cada organização deve avaliar a melhor maneira de compor a fórmula que melhor lhe 90 Unidade II atenda. Dessa forma, ao definir a fórmula, é necessário estabelecer as variáveis a serem utilizadas, entre elas, recomendam-se, no mínimo: • probabilidade: se refere à chance de o incidente acontecer; • impacto: se refere ao impacto no negócio provocado pelo incidente, caso ocorra; • ocorrências: refere-se ao número de vezes que o incidente ocorreu no passado; • relevância do processo: refere-se à importância do processo para o negócio da organização. 3.4 Implantação do sistema de gestão de risco O projeto de implantação pode ser significativamente facilitado quando se estabelece uma metodologia de implantação ágil, que leva a um processo estruturado e gerido de forma organizada. O modelo a ser apresentado analisará as competências e pode seguir a gestão de projetos por competências demonstrada pelo Centro de Educação Corporativa da Boston University, uma proposta derivada do próprio PMBOK, que enfatiza as competências necessárias para a obtenção de sucesso em projetos. Nessa etapa, deve-se concentrar em todas as competências para o gerenciamento do projeto de implantação da análise de riscos à segurança da informação. Conforme já o afirmamos, essa fase pode ser suprida com o gerenciamento complexo apresentado na metodologia proposta pelo PMBOK (PMI, 2013) e aprimorado no Centro de Educação Corporativa da Boston University. Todavia, como mencionado, existem várias metodologias de projetos e algumas se apresentam como mais simples e mais flexíveis em controles e atividades. Como exemplo temos o Control objectives for information and related technologies (Cobit), um modelo (framework) de boas práticas criado pela Information systems audit and control association (Isaca) para a governança de tecnologia de informação. Foi desenvolvido o modelo de identificação pela análise das capacidades; quando definidas e analisadas, as capacidades levam a um diagnóstico preciso. Ressaltando que isso não substitui a gestão de projetos, todavia, facilita a criação das competências, levando mais rapidamente a um plano de implantação. As capacidades a serem analisadas são cinco: governança, organização, processos, tecnologia e métrica, que ao final resultam em um plano de ação factível e orientado a projetos. A abordagem teórica a seguir foi baseada no projeto-alvo da análise e implantação da gestão de riscos à segurança da informação. Para compreender como o modelo é estabelecido, devemos verificar como funciona a estrutura de análise, em que é realizada uma análise da situação atual sobre a capacidade. Após a análise, a situação é comparada com um modelo de negócio ou de melhores práticas. No nosso projeto, utilizaremos o Standard of good practice for information security (ISF) de 2018. O comparativo entre a situação atual e o ISF levará a direcionadores que devem ser implantados para melhora da maturidade e da performance, no nosso caso, da gestão e análise de riscos à segurança da informação. A seguir estudaremos cada uma das capacidades. 91 GESTÃO DA SEGURANÇA DA INFORMAÇÃO Saiba mais Investimentos em tempo e dinheiro devem ser dispendidos para a implantação de um sistema de gestão de riscos à segurança das informações e cibernética, mas de nada adiantam os investimentos, se a implantação não estiver alinhada à estratégia organizacional. Para saber mais acesse: ROSTI, A. A importância de a gestão de riscos cibernéticos fazer parte da estratégia das empresas. SafeWay, 25 set. 2020. Disponível em: https://bit.ly/3fIBbGX. Acesso em: 2 jun. 2021. Capacidade de governança Responsável pela gestão geral da gestão do risco. Nessa capacidade, devem ser analisados os seguintes itens: políticas, normas, controles e elementos de conformidade. Capacidade de organização Responsável pela gestão das pessoas envolvidas no sistema de gestão da segurança da informação. Devem ser analisados os seguintes itens: papéis, responsabilidades, habilidades e competências. Capacidade de processo Responsável em operacionalizar a execução das atividades da gestão de risco. Devem ser analisados os seguintes itens: fluxos, workflows, procedimentos e atividades. Capacidade de tecnologia Fornece as especificações em alto nível e tipos de tecnologias, de maneira a suportar tecnicamente o tema gestão e análise de riscos à segurança da informação. Devem ser analisados os seguintes itens: ferramentas, aplicações e infraestrutura. Capacidade de métrica Fornece os indicadores que medem a capacidade da gestão e análise de risco em atender aos seus destinos estratégicos e ao tema estratégico. Cada indicador deve ser relativo ao atendimento aos controles e direcionadores indicados nas demais capacidades analisadas e deve fornecer informações para que os gestores da organização possam tomar decisões referentes ao modelo operacional de segurança da informação e de gestão e análise de riscos à segurança da informação. Deve propor: relatórios, KPIs, KRIs e dashboards. Após completadas as análises das capacidades, a tarefa de desenvolver um plano de implantação fica facilitada, uma vez que o gestor do projeto vai endereçar suas ações nas melhores práticas ainda 92 Unidade II não implantadas ou parcialmente implantadas, lembrado que deve existir uma base de controles para ser feita a comparação com os processos já implantados. O resultado dessa análise pode definir os requisitos do projeto de implantação da gestão e análise de riscos à segurança da informação. Capacidade de governança Capacidade de organização Capacidade de processo Capacidade de tecnologia Capacidade de métrica Modelo de análise das cinco capacidades • Política • Normas • Controles • Elementos de conformidade • Papéis • Responsabilidades • Competências • Habilidades • Fluxos • Workflows • Procedimentos • Atividades • Ferramentas • Aplicações • Infraestrutur • Relatórios • KPIs • KRIs • Dashboards Figura 32 – Modelo de análise das cinco capacidades A gestão e análise dos riscos são parte integrante da estratégia organizacional e sua implantação requer acompanhamento e aval da alta direção. Sendo assim, o primeiro passo é definir o objetivo da atividade ou área, o que se pretende ter implantado ao final, ou seja, o que deve estar operacionalizando, ressaltando que o objetivo e o escopo do projeto podem ser coisas distintas. Como exemplo de objetivo para o nosso projeto, temos: gerir, identificar, avaliar e categorizar os riscos vinculados à segurança da informação e cibernética nos produtos, serviços, processos e projetos da organização, suportando os gestores na tomada de decisão; estabelecer critérios e programa de compliance e conformidade de segurança da informação e cibernética, amparado nas políticas e normas corporativas de segurança da informação e cibernética, leis, regulamentações, autorregulamentação e padrões de mercado. Apesar de parecer um escopo bem ambicioso, os objetivos refletem o que recomenda a NBR ISO 31000 (ABNT, 2018b), que estabelece os seguintes focos estratégicos: • Instaurar cultura corporativa consciente do risco. Ela deve ser institucionalizada para auxiliar a organização a reduzir os riscos de segurança da informação, por meio da implantação de políticas e procedimentos adequados para todos os funcionários
Compartilhar