An�lise e Gest�o do Risco em Seguran�a da Informa��o

� praticamente imposs�vel debru�armo-nos sobre a tem�tica da seguran�a da informa��o sem nos depararmos com termos como 'Gest�o do Risco' ou 'An�lise de Risco'. De facto, ambos os conceitos encontram-se intimamente relacionados com o processo de Gest�o da Seguran�a da Informa��o, nomeadamente ao n�vel organizacional e institucional, constituindo aspectos determinantes para a escolha das medidas e controlos de seguran�a a implementar, de acordo com as necessidades e objectivos espec�ficos destas entidades no que concerne � garantia da manuten��o da confidencialidade, integridade e disponibilidade da sua informa��o cr�tica de neg�cio

A significativa relev�ncia destas duas disciplinas para a seguran�a da informa��o resultou na sua inclus�o nos referenciais de excel�ncia a este n�vel - as normas BS ISO/IEC 27001 (Requisitos para Sistemas de Gest�o da Seguran�a da Informa��o) e BS ISO/IEC 17799 (C�digo de Pr�ticas para a Gest�o da Seguran�a da Informa��o) - e posteriormente no desenvolvimento de um referencial espec�fico que esclarece e complementa directrizes e conceitos apresentados nos referenciais supra mencionados, o recentemente publicado BS 7799-3:2006 (Directrizes para a Gest�o do Risco para a Seguran�a da Informa��o).

Neste sentido, importa introduzir alguns conceitos relacionados com a problem�tica da an�lise e gest�o do risco:

Vulnerabilidade. Termo normalmente utilizado para designar um ponto fraco ou falha existente num determinado sistema ou recurso, que poder� ser explorada, propositada ou inadvertidamente, causando preju�zo ao sistema ou recurso em quest�o.
Amea�a. Circunst�ncia ou evento cuja verifica��o ou concretiza��o se traduz num conjunto de impactos negativos sobre um sistema ou recurso que apresenta uma ou mais vulnerabilidades pass�veis de serem exploradas pela amea�a em quest�o.
Impacto. O conceito de impacto prende-se com o resultado decorrente da verifica��o de um determinado evento de seguran�a sobre um ou mais recursos, evento este que se traduz normalmente em consequ�ncias nefastas, directas ou indirectas, para os recursos mencionados.
Risco. Potencial associado � explora��o de uma ou mais vulnerabilidades de um recurso (ou conjunto de recursos), por parte de uma ou v�rias amea�as, com impacto negativo nos recursos afectados, e por conseguinte na actividade e neg�cio da organiza��o.

O n�vel de risco subjacente � explora��o de uma determinada vulnerabilidade, por parte de uma ou mais amea�as, pode ser caracterizado ou calculado atendendo a tr�s factores distintos, mas relacionados:

O grau de vulnerabilidade existente;
A probabilidade da ocorr�ncia de um incidente de seguran�a (concretiza��o de uma amea�a);
O impacto resultante do mesmo.

Desta forma, qualquer altera��o ao n�vel dos recursos de uma organiza��o e das vulnerabilidades directamente associadas, das amea�as a que estes se encontram expostos e dos controlos de seguran�a utilizados para proteg�-los, ter�o necessariamente efeito positivo ou negativo no que concerne ao n�vel de risco existente.

Atendendo a que a mudan�a � uma constante na realidade organizacional, quer ocorra interna ou externamente, � fundamental que as organiza��es incorram nos esfor�os necess�rios para monitorizar quaisquer altera��es na envolvente externa, mas tamb�m ao n�vel dos seus pr�prios recursos, no sentido de identificar elementos ou factores que podem colocar em causa a normal concretiza��o das suas actividades de neg�cio, representando uma altera��o no n�vel de risco que sobre este pende.

Ao processo de levantamento e identifica��o dos recursos cr�ticos, determina��o das vulnerabilidades e amea�as existentes, bem como do seu impacto e probabilidade de ocorr�ncia, e posterior c�lculo do n�vel de risco associado a cada um dos recursos d�-se correntemente a designa��o de 'An�lise de Risco'.

Etapas da an�lise de risco

O termo 'An�lise de Risco', inserido no contexto da seguran�a da informa��o, pode ser entendido como o "processo que identifica e avalia de forma sistem�tica, metodol�gica e repet�vel os riscos de seguran�a a que os recursos cr�ticos de neg�cio das organiza��es se encontram sujeitos, possibilitando a defini��o dos meios atrav�s dos quais estes podem ser protegidos".

A realiza��o de uma an�lise de risco compreende genericamente diversas etapas ou passos:

Identifica��o dos recursos considerados cr�ticos para a actividade e sobreviv�ncia da organiza��o, recursos estes que s�o valorizados de acordo com a sua relev�ncia para o neg�cio, facilidade de substitui��o e investimento (directo e/ou indirecto) necess�rio para repara��o ou substitui��o.
Identifica��o das vulnerabilidades que se encontram associadas a estes recursos e das amea�as a que estes se encontram expostos, bem como a sua probabilidade de ocorr�ncia e impacto esperado (quantificado, sempre que poss�vel).
Determina��o, o mais realista poss�vel, das perdas e danos (tang�veis e intang�veis) associados aos impactos resultantes da concretiza��o de uma ou mais amea�as, sobre um dado recurso. Deste c�lculo decorre o n�vel de risco associado ao recurso em quest�o.
De acordo com o n�vel de risco identificado, segue-se a classifica��o deste quanto � sua aceita��o ou necessidade de mitiga��o, atendendo ao grau de conforto pretendido pela organiza��o.
Um n�vel de risco pode ser aceite caso a organiza��o decida que este n�o acarreta consequ�ncias significativas para a concretiza��o das suas actividades cr�ticas de neg�cio, sendo que a aceita��o de um determinado n�vel de risco pode, contudo, presumir a realiza��o de esfor�os no sentido de mitig�-lo, reduzindo-o a um valor considerado aceit�vel para a organiza��o, dotando-a de um n�vel de conforto desej�vel.

No sentido de reduzir, quer a probabilidade de verifica��o de um determinado n�vel de risco sobre um recurso, quer as suas consequ�ncias, ou mesmo facilitar o restauro do normal funcionamento desse mesmo recurso e actividades associadas, as organiza��es devem definir e implementar medidas de seguran�a, traduz�veis em controlos tecnol�gicos ou processuais, a t�tulo de exemplo, adequadas � sua cultura e situa��o espec�ficas.

O grau de risco que permanece ap�s o processo de 'Tratamento do Risco', quer envolva a mitiga��o, elimina��o, transfer�ncia ou simples aceita��o da presen�a desse mesmo risco, � usualmente denominado de 'n�vel de risco residual' ou 'n�vel de risco aceit�vel'.

� importante referir que uma an�lise de risco est� intimamente relacionada com a an�lise custo/benef�cio da implementa��o (ou n�o) dos controlos considerados necess�rios ou adequados aos requisitos de seguran�a da informa��o da organiza��o. Uma organiza��o pode considerar que o investimento associado � implementa��o destas medidas n�o se justifica, atendendo aos seus objectivos de neg�cio, ou simplesmente por n�o ter liquidez financeira para o realizar, pelo que nestes casos deve haver um compromisso entre o ideal e as reais possibilidades da organiza��o, devendo ser formalmente assumido o n�vel de risco deste decorrente.

Outro aspecto importante � a necessidade da realiza��o regular de an�lises de risco, de acordo com uma metodologia repet�vel e sustentada, considerando que devido � volatilidade dos mercados em que as organiza��es se inserem actualmente, altera��es a este n�vel podem afectar o equil�brio entre os controlos e as vulnerabilidades/amea�as que afectam os recursos organizacionais.

� indispens�vel a monitoriza��o do n�vel de risco a que os recursos, e por acr�scimo o neg�cio da organiza��o, se encontram expostos, de forma a garantir a efici�ncia e a efic�cia da gest�o desse mesmo risco, processo que compreende, tanto a an�lise, como o tratamento dos riscos identificados previamente. Maria

Manuela Gaiv�o, consultora na unidade estrat�gica de neg�cio Seguran�a da Informa��o da Sinfic.

Produzido em 2007

Topo

Agenda

Destaques