Na primeira parte desta série de dois artigos que chamamos de "8 etapas para avaliar os riscos de cibersegurança de uma empresa", analisamos as quatro primeiras etapas para fazer a avaliação de riscos de uma empresa de acordo com o método OCTAVE Allegro. Um guia útil para realizar uma análise dos possíveis riscos de segurança e definir opções para seu tratamento, como forma de evitar que as ameaças se concretizem. Nesta segunda parte, continuaremos com as últimas quatro etapas propostas por essa metodologia.
5. Identificar cenários de ameaças
No quinto passo, as áreas de preocupação são ampliadas para cenários de ameaças, ou seja, a identificação de outras preocupações para a empresa relacionadas aos seus ativos de informações críticas e que não são visíveis à primeira vista, como no passo anterior.
Para este processo, podemos usar um questionário para cada tipo de contêiner do passo 3 (técnico, físico ou humano), contendo um conjunto de condições e perguntas criadas para detalhar a identificação de ameaças.
Outra maneira de identificar as condições de risco é por meio de árvores de ameaças, que são estruturas lógicas para visualizar combinações de eventos e considerar ameaças por meios técnicos e físicos, com atores internos ou externos, por motivos acidentais ou intencionais, que podem causar alguma consequência, como divulgação, modificação, interrupção ou destruição de um ativo de informações, conforme pode ser visto na imagem a seguir:
Outras árvores de ameaças consideram problemas técnicos, como defeitos de software e hardware, falhas de sistema ou incidentes provocados por códigos maliciosos. Além disso, falhas de energia e de telecomunicações, problemas relacionadas a terceiros e até mesmo desastres naturais podem afetar os ativos.
É importante mencionar que nem todas as combinações representam uma ameaça real à empresa, portanto, algumas podem ser descartadas.
6. Identificar riscos
Aqui o risco é calculado através da seguinte equação:
Risco = Ameaça (condição) + Impacto (consequência)
É possível desenvolver uma declaração de impacto que descreva detalhadamente como uma empresa pode ser afetada, mas é necessário identificar áreas de preocupação (ponto 4) e cenários de ameaça (ponto 5). Por sua vez, cada um dos critérios definidos no passo 1, que explica como estabelecer critérios de medição de riscos, deve ser usado como referência.
Opcionalmente, a probabilidade realista de ocorrência da ameaça pode ser definida, o que é altamente recomendado. Isso permite priorizar riscos que devem ser abordados e requer um amplo conhecimento dos problemas de segurança enfrentados pela empresa. Informações estatísticas, como registros de incidentes, podem ser usadas para essa finalidade. Se a probabilidade de ocorrência for alta, será atribuído o valor 3, se for média, o valor 2, e se a probabilidade for baixa, o valor 1.
7. Analisar riscos
Nessa passo é necessário medir de forma qualitativa o grau em que a empresa é afetada por uma ameaça e calcular uma pontuação para cada risco de cada ativo de informação. Para isso, as áreas de impacto de cada uma das categorias detalhadas na Passo 1 são comparadas com o cenário da ameaça.
Uma pontuação deve ser calculada para cada cenário de ameaça gerado. Neste caso, é considerado um incidente de segurança que é de conhecimento público, portanto, o valor do impacto é alto (correspondente a 3). Para cada critério, pode haver mais de uma área de impacto, portanto, o impacto com o valor mais alto é considerado no cálculo. O valor do impacto da área é então multiplicado pela prioridade definida no Passo 1:
O resultado final, ou pontuação total, é a soma dos produtos da pontuação. O resultado é um valor quantitativo que pode variar de 0 a 45. Quanto mais alto for o valor, maior será o impacto sobre os ativos da empresa.
8. Seleção de uma abordagem de mitigação
A última etapa é determinar as opções de tratamento de riscos com base nos resultados da análise, ou seja, usando os valores de impacto e probabilidade calculados nos passos anteriores. Este critério pode variar de uma empresa para outra, mas, em geral, o objetivo é mitigar os riscos com um valor alto (próximo a 45) e uma alta probabilidade de ocorrência.
Com o método OCTAVE Allegro, é possível fazer uso da matriz de risco relativo, um elemento que permite visualizar os riscos que devem ser tratados com base na probabilidade e na pontuação de risco. Os grupos de cenários de riscos são categorizados para tratamento com base nesses resultados, conforme pode ser visto na imagem a seguir. Os riscos pertencentes ao grupo 1 devem ser tratados com maior prioridade:
As abordagens de tratamento para este método são mitigar, adiar, transferir ou aceitar. Estas opções podem variar de uma metodologia para outra, mas geralmente coincidem. Por fim, é conveniente priorizar os riscos para identificar aqueles que devem ser tratados primeiro.
Com esse método, é possível obter um resultado numérico a partir de critérios qualitativos, ou seja, um valor quantitativo que permite a priorização dos riscos com base em uma pontuação e em sua probabilidade de ocorrência.
O método OCTAVE Allegro pode ser muito útil, pois se concentra nos ativos de informação e oferece opções para criar cenários de ameaças, o que permite um escopo mais amplo de identificação para análise e prevenção de riscos com base na propensão da empresa e nos critérios definidos pelos tomadores de decisão.
Confira a série completa: