Neste primeiro post da série "8 passos para avaliar os riscos de cibersegurança de uma empresa", separamos os primeiros quatro passos que precisam ser dados ao avaliar os riscos de segurança de uma organização. Na segunda publicação desta série, iremos verificar os quatro ações restantes para completar a lista de oito passos com o objetivo de avaliar os riscos de segurança de acordo com a abordagem da OCTAVE Allegro (Operationally Critical Threat, Asset, and Vulnerability Evaluation).
Este guia de 8 etapas de avaliação de riscos de segurança foi desenvolvido pelo SEI (Software Engineering Institute) e conta com documentação disponível de forma gratuita.
Critérios para análise e avaliação de riscos
Uma abordagem muito comum em segurança da informação é aplicar controles de segurança como resultado da avaliação e do tratamento de riscos. O uso do modelo da OCTAVE Allegro (e outros modelos semelhantes) permite trabalhar preventivamente para enfrentar os riscos de segurança que surgem continuamente em uma organização, pois eles visam antecipar a materialização das ameaças identificadas.
De acordo com este método, o desafio é considerar todas as ameaças que podem afetar negativamente os objetivos de uma organização, a fim de fazer uma análise de riscos e tentar reduzi-los a um nível aceitável. Por exemplo, uma metodologia como a MAGERIT pode ser usado para esta finalidade.
Os primeiros quatro passos da OCTAVE Allegro são descritos abaixo. No final desta publicação você encontrará o link para a segunda parte desta série com as quatro etapas restantes.
Primeiros quatro passos para a realização de uma análise de riscos de segurança
1. Estabelecer critérios de medição de risco
O primeiro passo é definir critérios que permitam conhecer a postura da organização em quanto a sua propensão aos riscos. Esta é a base para a avaliação, pois sem esta atividade não é possível medir o grau em que a organização é afetada quando uma ameaça se materializa.
O método estabelece a criação de um conjunto de critérios qualitativos através dos quais o efeito do risco contra a missão e os objetivos da organização pode ser avaliado em 5 categorias:
- Reputação do cliente/confiança
- Financeiro
- Produtividade
- Segurança/saúde
- Multas / penalidades legais
Além disso, existe uma última categoria que o usuário pode definir e que pode ser usada para uma preocupação específica da empresa.
Uma característica da OCTAVE Allegro é que ela usa folhas de trabalho para registrar todas as informações geradas durante sua aplicação. Isto é uma vantagem, pois algumas normas de segurança exigem que o processo de avaliação de riscos seja documentado.
Posteriormente, essas áreas devem ser priorizadas de acordo com os interesses da organização, de modo que a ordem pode variar de uma empresa para outra. A categoria mais importante recebe a pontuação mais alta e a menos importante recebe a pontuação mais baixa, com uma escala de 1 a 5 se o usuário não definir uma área de impacto e só usar as descritas na OCTAVE Allegro:
2. Desenvolver um perfil de ativos de informação
A avaliação de riscos que é desenvolvida enfoca os ativos de informação, ou seja, conhecimentos ou dados que são de valor para a organização. É necessário documentar e descrever as razões pelas quais eles são escolhidos.
É necessário definir um responsável para cada um destes ativos de informação e outro pela definição dos requisitos de segurança para os mesmos: confidencialidade, integridade e disponibilidade, de acordo com seu critério e experiência.
É fundamental criar um perfil para cada ativo de informação que os avaliadores consideram crítico, já que forma parte da base para identificar ameaças e riscos nas etapas subsequentes. Esta atividade é necessária para assegurar que os ativos sejam descritos de forma clara e consistente, bem como suas exigências de segurança, a fim de definir as opções de proteção que devem ser aplicadas.
3. Identificar repositórios de ativos de informação
A terceira etapa identifica os repositórios, ou seja, onde esta informação é armazenada, pois estes são os locais onde os ataques contra os dados são geralmente realizados. Portanto, eles são também os locais onde os controles de segurança devem ser aplicados.
De acordo com este método, estes repositórios podem ser do tipo técnico, físico ou humano, pois as informações podem ser encontradas de diferentes maneiras, por exemplo, em formato digital (arquivos em mídia eletrônica ou óptica), em formato físico (escritas ou impressas em papel), bem como informações não representadas, tais como as ideias ou conhecimentos dos membros da organização.
No mesmo sentido, as informações podem ser armazenadas, processadas ou transmitidas de diferentes maneiras, eletronicamente, verbalmente ou através de mensagens escritas ou impressas, de modo que também seja possível encontrá-las em diferentes estados.
4. Identificar as áreas de preocupação
Esta etapa inicia o processo de desenvolvimento de perfis de risco para ativos de informação, resultantes da combinação da probabilidade de uma ameaça se materializar (probabilidade) e suas consequências (impacto).
De acordo com o método, uma área de preocupação é uma declaração descritiva que detalha uma condição ou situação do mundo real que pode afetar um ativo de informação na organização. Tantas áreas quantas forem necessárias devem ser geradas para cada um dos ativos perfilados na etapa 2.
O objetivo é documentar as condições que preocupam a organização em termos de suas informações críticas, para que riscos óbvios sejam identificados sem a necessidade de uma revisão mais intensa, registrando informações sobre quem pode realizar esta ameaça (atacantes), os meios pelos quais ela pode ser executada, os motivos e seus resultados. Para finalizar, é necessário documentar a forma como as ameaças podem afetar os requisitos de segurança descritos no segundo passo.