Os riscos em segurança da informação

Os dados de missão crítica da empresa, as informações dos clientes e os registros de pessoal estão protegidos contra invasões de cibercriminosos, hackers e até uso indevido ou destruição interna? Se a organização tem certeza de que esses dados estão seguros, outras empresas tiveram o mesmo sentimento. Um empresa varejistas foi vítima de um ataque cibernético maciço em 2013, com informações pessoais de 110 milhões de clientes e 40 milhões de registros bancários comprometidos. Isso resultou em danos a longo prazo à imagem da empresa e em um acordo de mais de 18 milhões de dólares. Uma empresa de crédito foi atacada por um período de meses, descoberta em julho de 2017. Ladrões cibernéticos fugiram com dados sensíveis de mais de 143 milhões de clientes e 200.000 números de cartão de crédito. Estes são apenas exemplos de ataques altamente públicos que resultaram em multas e acordos consideráveis. Sem mencionar danos à imagem da marca e à percepção do público. Um estudo sobre segurança cibernética revelou que por ano ocorrem, em média, mais de 758 milhões de ataques cibernéticos maliciosos e incidentes de segurança em todo o mundo. Dessa forma, deve-se conhecer as diretrizes para o processo de gestão de riscos de segurança da informação e estabelecer uma implementação satisfatória da segurança da informação tendo como base uma abordagem na gestão de riscos.

riscos2Hayrton Rodrigues do Prado Filho –

A gestão de riscos é o processo de identificação, avaliação e limitação de ameaças aos sistemas e dados de informação mais importantes da universidade. Há uma ampla diversidade de ativos de informações, incluindo dados regulamentados, informações de identificação pessoal e propriedade intelectual em uma organização. Um programa de gestão de riscos é projetado para fornecer informações e ferramentas para informar a tomada de decisões sobre mitigação de riscos, aceitação de riscos e alocação de recursos.

O processo de avaliação de riscos de segurança da informação detalhado envolve a minuciosa identificação e valoração dos ativos, a avaliação das ameaças aos ativos, e a avaliação das vulnerabilidades. Os resultados dessas atividades são, então, usados para avaliar os riscos e, depois, para identificar o tratamento do risco. A etapa detalhada normalmente demanda bastante tempo, esforço e experiência, e pode, portanto, ser mais adequada para os sistemas de informação de alto risco.

A etapa final do processo de avaliação de riscos de segurança da informação detalhado consiste no cálculo do risco total. As consequências podem ser avaliadas de várias maneiras, incluindo a abordagem quantitativa (usando-se, por exemplo, uma unidade monetária), a qualitativa (que podem ser baseada no uso de adjetivos qualificadores tais como moderado ou severo) ou ainda uma combinação de ambas.

Para avaliar a probabilidade de ocorrência de uma ameaça, convém que se estabeleça o período no qual o ativo é considerado como de valor ou durante o qual ele precisará ser protegido. A probabilidade da ocorrência de uma ameaça específica é afetada pelos seguintes itens: a atratividade do ativo ou do impacto potencial, aplicável quando uma ameaça intencional de origem humana estiver sendo considerada; a facilidade de converter a exploração de uma vulnerabilidade de um ativo em recompensa, aplicável quando uma ameaça intencional de origem humana está sendo considerada; a capacitação técnica do agente da ameaça, aplicável a ameaças intencionais de origem humana; e a susceptibilidade da vulnerabilidade à exploração, aplicável tanto a vulnerabilidades técnicas quanto a não técnicas.

Muitos métodos fazem uso de tabelas, e combinam medidas empíricas com medições subjetivas. É importante que a organização use um método com o qual ela se sinta confortável, no qual ela acredite, e que produza resultados reproduzíveis. Ao considerar as restrições para a modificação do risco, convém que algumas restrições sejam consideradas

Pode haver muitos tipos de restrições de tempo. Por exemplo, convém que os controles sejam implementados dentro de um período de tempo aceitável para os gestores da organização. Outro tipo de restrição temporal é se um controle pode ser implementado durante o período de vida útil da informação ou do sistema. Um terceiro tipo de restrição temporal pode ser representado pelo período de tempo que os gestores da organização definem como aceitável para ficar exposto a um determinado risco.

Quanto às restrições financeiras, convém que a implementação ou a manutenção dos controles não sejam mais custosos do que o valor dos riscos que eles foram projetados para proteger. Convém que todos os esforços sejam feitos para que os orçamentos alocados não sejam excedidos, e também para que vantagens financeiras, pelo uso de controles, sejam obtidas.

Contudo, em alguns casos, pode não ser possível implementar a segurança desejada e alcançar o nível de risco formalmente aceito, devido a restrições orçamentárias. Essa situação requer, então, uma decisão dos gestores da organização para a sua resolução. Convém que se tenha muito cuidado no caso de restrições orçamentárias provocarem a redução do número ou da qualidade dos controles a serem implementados, pois isso pode levar à aceitação implícita de mais riscos do que o planejado. Convém que a utilização do orçamento alocado para os controles como fator limitante, se necessária, seja acompanhada por cuidados especiais.

As restrições técnicas, como a compatibilidade de hardware ou de programas, podem ser facilmente evitados se forem levados em conta durante a seleção dos controles. Além disso, a implementação retroativa dos controles em um processo ou sistema existente é frequentemente dificultada por restrições técnicas. Essas dificuldades podem deslocar o foco dos controles em direção aos aspectos procedurais e físicos da segurança.

Pode ser necessário revisar os programas de segurança da informação, a fim de alcançar os objetivos de segurança. Isso pode ocorrer quando controles não conseguem atingir os resultados previstos na modificação do risco sem afetar a produtividade.

As restrições operacionais, como, por exemplo, a necessidade de manter as operações em um regime de 24/7 e, ainda assim, executar back-ups, podem resultar em controles de implementação complexa e onerosa, a menos que eles sejam incorporados ao projeto desde o início. As restrições culturais em relação à seleção de controles podem ser específicas a um país, a um setor, a uma organização ou mesmo a um departamento dentro de uma organização.

Nem todos os controles podem ser aplicados em todos os países. Por exemplo, pode ser possível implementar buscas em bolsas e bagagens em partes da Europa, mas não em partes do Oriente Médio. Não é possível ignorar aspectos culturais, pois muitos controles contam com o apoio ativo do pessoal. Se o pessoal não compreende a necessidade do controle ou não acham que ele seja culturalmente aceitável, o controle se tornará ineficaz ao passar do tempo.

As restrições éticas podem ter grandes implicações sobre os controles na medida em que a ética muda tendo como base as normas sociais. Isso pode impedir a implementação de alguns controles em alguns países, como por exemplo, a varredura de correspondência eletrônica (e-mail scanning). A privacidade das informações pode ser entendida de diferentes maneiras dependendo da ética da região ou do governo. Essas questões podem causar maiores preocupações em alguns setores de atividade econômica do que em outros, por exemplo: o setor governamental e o da saúde.

As restrições ambientais, como a disponibilidade de espaço, condições climáticas extremas e o meio geográfico natural ou urbano, podem influenciar a seleção de controles. Por exemplo, as instalações à prova de terremoto podem ser necessárias em alguns países, porém desnecessárias em outros.

Para a facilidade de uso, uma interface de usuário mal projetada resulta em erro humano e pode tornar o controle inútil. Convém que os controles selecionados sejam de fácil utilização, além de garantirem um nível aceitável de risco residual ao negócio. Os controles de difícil utilização têm sua eficácia prejudicada, já que os usuários tentarão contorná-los ou ignorá-los tanto quanto possível. Os controles de acesso complexos dentro da organização podem estimular os usuários a acharem algum método de acesso alternativo não autorizado. Quanto às restrições de recursos humanos, convém que sejam considerados o custo salarial e a disponibilidade de profissionais com as competências especializadas necessárias para a implementação dos controles, bem como a capacidade de deslocar o pessoal em condições adversas de operação. O conhecimento necessário para a implementação dos controles planejados pode não estar prontamente disponível ou pode representar um custo excessivo para a organização.

Outros aspectos, como a tendência de parte do pessoal discriminar outros membros da equipe que não passaram por verificações de segurança, podem ter grandes implicações para as políticas e práticas de segurança. Além disso, a necessidade de achar e contratar as pessoas certas para o trabalho pode resultar na sua contratação antes que as verificações de segurança sejam concluídas. Requerer que a verificação de segurança seja finalizada antes da contratação é a prática normal e a mais segura.

Em relação às restrições ligadas à integração dos controles novos aos já existentes, a integração de controles novos a uma infraestrutura existente e a interdependência entre controles são fatores frequentemente ignorados. Controles novos podem não ser facilmente implementados se houver incongruência ou incompatibilidade com controles existentes.

Por exemplo, um plano para usar dispositivos de identificação biométrica para controle de acesso físico pode conflitar com um sistema que se baseie na digitação de números de identificação pessoal (personal identification number – PIN) para o controle de acesso. Convém que o custo da mudança dos controles existentes para os planejados inclua também os itens a serem adicionados ao custo geral do tratamento do risco. Talvez não seja possível implementar alguns dos controles selecionados devido aos conflitos com os controles atuais.

A NBR ISO/IEC 27005 de 10/2019 – Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação fornece diretrizes para o processo de gestão de riscos de segurança da informação. Este documento estabelece os conceitos gerais especificados na NBR ISO/IEC 27001 e foi elaborado para facilitar uma implementação satisfatória da segurança da informação tendo como base uma abordagem de gestão de riscos. O conhecimento dos conceitos, modelos, processos e terminologias descritos na NBR ISO/IEC 27001 e na NBR ISO/IEC 27002 é importante para um entendimento completo deste documento. Este documento é aplicável a todos os tipos de organização (por exemplo: empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos), que pretendam gerenciar os riscos que podem comprometer a segurança da informação da organização.

Este documento fornece diretrizes para a gestão de riscos de segurança da informação em uma organização. Entretanto, este documento não fornece um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, considerando, por exemplo, o escopo de um sistema de gestão de segurança (SGSI), o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita neste documento para implementar os requisitos de um SGSI.

Este documento é baseado no método de identificação de riscos de ativos, ameaças e vulnerabilidades, que não é mais requerido pela NBR ISO/IEC 27001. Existem outras abordagens que podem ser usadas. Este documento não contém orientação direta sobre a implementação dos requisitos do SGSI fornecidos na NBR ISO/IEC 27001.

Este documento é aplicável a gestores e pessoal envolvidos com a gestão de riscos de segurança da informação em uma organização e, quando apropriado, em entidades externas que dão suporte a essas atividades. Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para se identificar as necessidades da organização em relação aos requisitos de segurança da informação e para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. Convém que esta abordagem seja adequada ao ambiente da organização e em particular esteja alinhada com o processo maior de gestão de riscos corporativos.

Convém que os esforços de segurança lidem com riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessários. Convém que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão da segurança da informação e seja aplicada tanto à implementação quanto à operação cotidiana de um SGSI.

Convém que a gestão de riscos de segurança da informação seja um processo contínuo. Convém que o processo defina o contexto interno e externo, avalie os riscos e os trate usando um plano de tratamento a fim de implementar as recomendações e decisões. Convém que a gestão de riscos analise os possíveis acontecimentos e suas consequências, antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível aceitável.

Convém que a gestão de riscos de segurança da informação contribua para o seguinte: identificação de riscos; processo de avaliação de riscos em função das consequências ao negócio e da probabilidade de sua ocorrência; comunicação e entendimento da probabilidade e das consequências destes riscos; estabelecimento da ordem prioritária para tratamento do risco; priorização das ações para reduzir a ocorrência dos riscos; envolvimento das partes interessadas nas decisões de gestão de riscos tomadas e para informação sobre a situação da gestão de riscos; eficácia do monitoramento do tratamento do risco; monitoramento e análise crítica periódica dos riscos e do processo de gestão de riscos; coleta de informações de forma a melhorar a abordagem da gestão de riscos; treinamento de gestores e pessoal sobre os riscos e as ações para mitigá-los.

O processo de gestão de riscos de segurança da informação pode ser aplicado à organização como um todo, a uma área específica da organização (por exemplo: um departamento, um local físico, um serviço), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle (por exemplo: o plano de continuidade de negócios). Uma visão de alto nível do processo de gestão de riscos é especificado na NBR ISO 31000 e apresentado na figura abaixo.

riscos3

A figura abaixo apresenta como este documento é aplicado ao processo de gestão de riscos. O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12).

riscos4

Como mostra a figura acima, o processo de gestão de riscos de segurança da informação pode ser iterativo para o processo de avaliação de riscos e/ou para as atividades de tratamento do risco. Um enfoque iterativo na execução do processo de avaliação de riscos torna possível aprofundar e detalhar a avaliação em cada repetição. O enfoque iterativo permite minimizar o tempo e o esforço despendidos na identificação de controles e, ainda assim, assegura que riscos de alto impacto ou de alta probabilidade possam ser adequadamente avaliados.

Primeiramente, o contexto é estabelecido. Em seguida, executa-se um processo de avaliação de riscos. Se ele fornecer as informações suficientes para que se determine de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento do risco pode ser realizado. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração do processo de avaliação de riscos, revisando-se o contexto (por exemplo: os critérios de avaliação de riscos, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo.

A eficácia do tratamento do risco depende dos resultados do processo de avaliação de riscos. Notar que o tratamento do risco envolve um processo cíclico para: avaliar um tratamento do risco; decidir se os níveis de risco residual são aceitáveis; gerar um novo tratamento do risco se os níveis de risco não forem aceitáveis; e avaliar a eficácia do tratamento.

É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável. Nessa situação, pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto (por exemplo: os critérios para o processo de avaliação de riscos, de aceitação do risco e de impacto), seguida por uma fase adicional de tratamento do risco (ver figura acima, Ponto de Decisão 2).

A atividade de aceitação do risco tem de assegurar que os riscos residuais sejam explicitamente aceitos pelos gestores da organização. Isto é especialmente importante em uma situação em que a implementação de controles é omitida ou adiada, por exemplo, devido aos custos. Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados.

Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser muito úteis para gerenciar incidentes e ajudar a reduzir possíveis prejuízos. A conscientização dos gestores e pessoal em relação aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização, auxiliam a lidar com os incidentes e eventos não previstos da maneira mais efetiva.

Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre o processo de avaliação de riscos e sobre o tratamento do risco (representadas pelos dois pontos de decisão na figura acima), sejam documentados. A NBR ISO/IEC 27001 especifica que os controles implementados no escopo, limites e contexto do SGSI devem ser baseados em risco. A aplicação de um processo de gestão de riscos de segurança da informação pode satisfazer a esse requisito. Há várias abordagens pelas quais os controles podem ser determinados para implementar as opções de tratamento do risco escolhidas.

Há métodos proativos, como testar os sistemas de informação, que podem ser utilizados para identificar as vulnerabilidades existentes, dependendo da criticidade do sistema de Tecnologia da Informação e Comunicação (TIC) e dos recursos disponíveis (por exemplo, verba alocada, tecnologia disponível, profissionais com a experiência necessária para a realização do teste). Entre os métodos de teste, as ferramentas automatizadas de procura por vulnerabilidades; a avaliação e os testes da segurança; o teste de invasão; e a análise crítica de código.

As ferramentas automatizadas de procura por vulnerabilidades são utilizadas para varrer um grupo de computadores ou uma rede em busca de serviços reconhecidamente vulneráveis (por exemplo, o protocolo de transferência anônima de arquivos ‒ anonymous FTP ‒ e o recurso de retransmissão do sendmail – sendmail relaying). Convém ressaltar, contudo, que nem todas as potenciais vulnerabilidades encontradas pela ferramenta necessariamente representam vulnerabilidades reais no contexto do sistema e de seu ambiente. Por exemplo, algumas dessas ferramentas de varredura avaliam as vulnerabilidades potenciais sem levar em consideração o ambiente da instalação e os seus requisitos.

Algumas das vulnerabilidades encontradas pelo software de varredura podem não representar uma vulnerabilidade real em uma determinada instalação, mas sim o resultado de uma configuração requerida por seu ambiente. Assim, esse método de teste pode gerar falsos positivos. A avaliação e testes da segurança (ATS) é uma outra técnica que pode ser utilizada na identificação de vulnerabilidades em sistemas de TIC durante o processo de avaliação de riscos.

Ela inclui o desenvolvimento e a execução de planos de teste (por exemplo: roteiros e procedimentos para testes, lista de resultados previstos). O propósito dos testes da segurança do sistema é verificar a eficácia dos controles de segurança de um sistema de TIC, considerando-se a forma com que estão implementados no ambiente operacional. O objetivo é assegurar que os controles aplicados satisfazem às especificações de segurança do software e do hardware, implementam a política de segurança da organização, e/ou atendem aos padrões de mercado.

Testes de invasão podem ser usados para complementar o processo de análise crítica dos controles de segurança, assegurando-se que as diversas facetas do sistema de TIC estão protegidas. Testes de invasão, quando utilizados durante o processo de avaliação de riscos, servem para avaliar a capacidade do sistema de TIC de resistir a tentativas intencionais de se driblar a segurança do sistema. O objetivo é testar o sistema de TIC do ponto de vista da fonte da ameaça, identificando possíveis falhas no esquema de proteção do sistema.

A análise crítica de código é a mais minuciosa (embora também a mais dispendiosa) forma de avaliação de vulnerabilidades. Os resultados desses tipos de testes de segurança ajudam a identificar as vulnerabilidades de um sistema. É importante notar que as ferramentas e as técnicas de invasão podem gerar resultados falsos quando a vulnerabilidade não é explorada com sucesso.

Para explorar vulnerabilidades específicas, a exata configuração do sistema, da aplicação e das atualizações (patches) instaladas no sistema testado precisa ser conhecida. Se esses dados não são conhecidos quando o teste está sendo realizado, pode não ser possível explorar uma determinada vulnerabilidade com sucesso (por exemplo, o acesso remoto a shell reverso). No entanto, ainda assim, talvez seja possível causar uma pane no sistema ou processo testado ou mesmo forçar o seu reinício. Nesse caso, convém que o objeto testado seja considerado vulnerável. Entre os métodos existentes: as entrevistas com pessoas e usuários; os questionários; a inspeção física; e a análise de documentos.



Categorias:Normalização, Qualidade

Tags:, , , , , , , , ,

Deixe uma resposta

%d blogueiros gostam disto: