O gerenciamento de riscos é fundamental para o processo de gerenciamento de cibersegurança de uma organização, pois permite identificar, avaliar e reduzir os perigos identificados a um nível aceitável e enquadrá-los em um modelo de melhoria contínua. O gerenciamento de riscos determina a propensão ou aversão a incidentes inesperados e indesejados nas organizações.
Em um segundo nível de granularidade está a avaliação de riscos, que é uma fase do processo de gerenciamento de riscos geralmente usada como base para a elaboração de estratégias de proteção baseadas em metodologias que permitem classificar os riscos e seus critérios de aceitação.
Objetivos da avaliação de riscos
A avaliação de riscos visa determinar o valor qualitativo ou quantitativo dos riscos relacionados à informação; portanto, a metodologia de avaliação de riscos usada deve permitir a identificação de vulnerabilidades, ameaças e seu impacto sobre a confidencialidade, integridade e disponibilidade de nossos ativos. A avaliação geralmente inclui atividades como:
- Identificação de ativos de informações críticas;
- Identificação de vulnerabilidades;
- Identificação de ameaças;
- Identificação de impacto e probabilidade de ocorrência;
- Cálculo dos riscos identificados;
- Definição de opções de tratamento dos riscos.
Existem diversas metodologias e ferramentas para conduzir a avaliação de riscos; algumas destas metodologias são geralmente aplicáveis (para qualquer tipo de organização), para regiões específicas, para setores ou indústrias específicas, baseadas em ativos ou mesmo com elementos mais estruturados para implementar o processo de gerenciamento de riscos.
Diante dessas possibilidades, as organizações podem usar a metodologia que melhor se adapta às suas necessidades, características ou condições.
Que metodologia pode ser usada para o gerenciamento de riscos de segurança?
A Agência da União Europeia para Cibersegurança (ENISA) publicou em janeiro de 2022 o documento "Compendium of Risk Management Frameworks with Potential Interoperability" (em português, Compêndio de Estruturas de Gerenciamento de Riscos com Potencial Interoperabilidade) sobre estruturas de gerenciamento de riscos. Este trabalho inclui normas conhecidas e bastante usadas que descrevem as principais características de cada uma das estruturas e metodologias.
A seleção de estruturas e metodologias de gerenciamento de riscos foi feita com base em uma pesquisa realizada em diferentes setores e considerou critérios como: melhores práticas na indústria; estruturas propostas por órgãos de reguladores nacionais e internacionais, tais como normas e diretrizes; e também estruturas propostas pelo meio acadêmico.
Para este documento, foram excluídas estruturas e metodologias desatualizadas para o gerenciamento de riscos. Ou seja, aquelas que não foram atualizadas em mais de dez anos, as que não incluíam os processos fundamentais de gerenciamento de risco e as que não fornecem orientação específica para a implementação. Portanto, foram consideradas estruturas e metodologias avançadas de gerenciamento de riscos que se encaixam na teoria de gerenciamento de riscos definida, em vez de uma extensa lista.
Na segunda etapa, foram identificadas fontes de busca (incluindo repositórios de recursos relevantes); websites, revistas comerciais e de negócios; e literatura acadêmica. Após várias iterações de busca e revisão, foi gerada uma lista de cerca de 30 estruturas e metodologias de gerenciamento de riscos.
A descrição das normas selecionadas inclui características como: nome completo, link do website, fornecedor e origem, escopo geográfico de uso, se suportam necessidades de gerenciamento de riscos genéricas ou setoriais, se estão disponíveis gratuitamente ou não, se são suportadas por uma ferramenta automatizada ou outro material, idiomas suportados, entre outros elementos que podem ser fundamentais para a tomada de decisões.
Interoperabilidade das estruturas e metodologias de gerenciamento de riscos
Na etapa final deste trabalho, foi identificado um conjunto de características para potencial interoperabilidade. Embora esta análise não esteja incluída no relatório, há uma série de características que permitem (ou limitam) o potencial de interoperabilidade entre estruturas de trabalho ou frameworks.
Essas características compreendem aspectos como: conformidade ou suporte às normas de gerenciamento de riscos (ISO, NIST, etc.); processo de gerenciamento de riscos (identificação, avaliação, tratamento e monitoramento de riscos); abordagem de identificação de riscos (baseada em ativos ou em cenários); abordagem de avaliação de riscos (quantitativa ou qualitativa); método de cálculo de riscos; uso de catálogos ou bibliotecas específicas; idiomas suportados; custos de licenciamento, entre outros.
O resultado deste trabalho nos dá uma visão ampla das possibilidades para as organizações implementarem um processo de gerenciamento de riscos de acordo com as melhores práticas do setor, com metodologias atualizadas e eficazes. Além disso, este trabalho disponibiliza um compêndio de estruturas que são muito úteis para o cumprimento dos objetivos: mitigar os ciberataques em larga escala e manter uma postura sólida de cibersegurança nas organizações.