*Mileny Ferreira
Atualmente as empresas estão focadas em seu desenvolvimento digital, rapidamente se adequando e evoluindo tecnologicamente. À medida que isto vem acontecendo, a ocorrência de ataques cibernéticos e vazamento de informações aumentam na mesma proporção.
A exposição da organização por ameaças cibernéticas, causam danos que podem acarretar o comprometimento do negócio, das informações de clientes, parceiros, fornecedores, operações e até mesmo a reputação e marca, que por muito tempo, mesmo após a solução de um incidente, pode ficar prejudicada.
Torna-se uma necessidade, realizar corretamente um gerenciamento de riscos e executá-los com as devidas tratativas para mitigá-los, de forma que, a organização consiga estruturar seus processos de negócio para que não sofram uma afetação drástica em caso destes riscos se materializarem.
Para auxiliar as organizações, foi criada a norma ISO/IEC 27005, que traz diretrizes e técnicas para gerenciar riscos de segurança da informação. A norma dá as diretrizes, mas cada organização deve implantar da maneira que for mais conveniente, o refinamento e melhoria deve ser uma decorrência da maturidade do processo de Gestão de Riscos de Segurança da Informação.
Processos do SGSI X Processo de Gestão de Riscos de SI
Assim como todos os processos do SGSI, o Sistema de Gerenciamento de Riscos também adota o modelo PDCA (planejar, fazer, checar e agir).
Planejar:
– É necessário que seja definido: o escopo, o objetivo, os critérios básicos (avaliação, impacto e tratamento de risco);
– Realizar a análise de risco: Identificar as ameaças, vulnerabilidades, os impactos, os controles existentes e a efetividade destes. Com estas informações, é definido o nível de risco. A organização tem a oportunidade de definir a tratativa: mitigar, aceitar, evitar ou transferir. Feito isso, restará o risco residual (aquele que permanece, mesmo depois de implementado os controles), o qual a organização terá que decidir a ação a ser tomada.
– Realizar a avaliação de riscos: tendo a visão dos riscos existentes, será necessário priorizar as ações sobre estes, considerando os impactos causados.
Executar:
– Implementar o plano de tratamento do risco;
Verificar:
– Monitorar continuamente e realizar uma análise crítica de riscos;
Agir:
– Manter e melhorar o processo de gestão de riscos de segurança da informação.
Vantagens da implementação da ISO 27005 na organização:
- Maior efetividade nos investimentos através de priorização baseada em riscos e alinhamento estratégico da segurança com os processos de negócios da organização;
- Garantir ao conselho de administração/gestão da organização a visibilidade da segurança da informação;
- Entendimento da maturidade de controles referente a segurança da informação e revisão contínua dos controles.
As organizações costumavam ter uma visão interna do risco cibernético, visando a integridade e preservação dos seus próprios dados, processos críticos e informações. Porém, a importância vai além de manter sua própria integridade. Trata-se tanto de uma perspectiva interna, quanto englobada, por todas as partes interessadas.
Conclusão
Por este motivo, entendemos que cada vez mais as organizações estão utilizando tecnologias em seu ambiente de negócio e se preocupam em realizar a gestão de riscos cibernéticos integrada à estratégia do negócio. As empresas passam a ter a ciência que atualmente não é mais só um risco tecnológico para o setor de TI se responsabilizar e tratar, surge a necessidade de manter a efetividade dos processos, uma vez que a organização estará preparada proativamente e reativamente a qualquer risco que possa a atingir, se a sua gestão de risco for bem estruturada.
*Mileny Ferreira é GRC and Information Security Consultant na [SAFEWAY]
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil. Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
