A gestão e análise de riscos em Segurança da Informação, é um estudo que visa identificar e analisar os possíveis riscos presentes na organização, considerando vários fatores e medindo o impacto destes riscos sobre o negócio, construindo assim medidas e controles necessários para manter os objetivos do negócio de forma contínua.
A L4SEC obteve a homologação desta solução pelo Ministério da Defesa, conferindo-lhe o status de Produto Estratégico de Defesa (PED). Essa distinção evidencia a relevância singular desta solução para as operações de segurança e defesa.
Por que realizar uma avaliação de risco de Segurança da informação?
O processo de identificação, análise e avaliação de riscos, é a única maneira de garantir que os controles de segurança escolhidos sejam adequados aos riscos que sua organização enfrenta.
Sem uma avaliação de risco para informar suas escolhas de segurança, você pode perder tempo, esforço e recursos, afinal, não faz sentido implementar medidas de defesa contra eventos que provavelmente não ocorrerão ou que não terão muito impacto material em sua organização.
Da mesma forma, é possível que você subestime ou ignore os riscos que podem causar danos significativos à sua organização.
O que inclui em uma avaliação de risco de segurança da informação?
Uma avaliação de risco de segurança da informação. identifica os vários ativos de informações que podem ser afetados por um agente interno ou externo.
Uma estimativa e avaliação de risco geralmente é realizada, seguida pela seleção de controles para tratar os riscos identificados. É importante monitorar e revisar continuamente o ambiente de risco para detectar quaisquer mudanças no contexto da organização e manter uma visão geral de todo o processo de gerenciamento de risco.
ISO 27001 e riscos em Segurança da Informação
O padrão internacional ISO / IEC 27001:2013 (ISO 27001) fornece as especificações de uma melhor prática de ISMS (sistema de gerenciamento de segurança da informação) – uma abordagem baseada em risco para o gerenciamento de risco de segurança da informação corporativa que aborda pessoas, processos e tecnologia.
A cláusula 6.1.2 da norma estabelece os requisitos do processo de avaliação de risco de segurança da informação.
Quais são os processos?
- Estabelecer e manter certos critérios de risco de segurança da informação.
- Garantir que as avaliações de risco repetidas “produzam resultados consistentes, válidos e comparáveis”.
- Identificar “riscos associados à perda de confidencialidade, integridade e disponibilidade de informações no âmbito do sistema de gestão de segurança da informação” e identificar os proprietários desses riscos.
- Analisar e avaliar os riscos de segurança da informação, de acordo com os critérios estabelecidos anteriormente.
Evidências
Para demonstrar que estão em conformidade com os requisitos de segurança da informação, é fundamental que as organizações mantenham registros documentados do processo de avaliação de riscos. Durante o processo de tratamento de riscos, é necessário seguir uma série de etapas e produzir documentação relevante. Nesse sentido, as normas ISO/IEC 27005 e 31000 fornecem orientações para a avaliação de riscos de segurança da informação e ajudam na implementação de um sistema de gerenciamento de segurança da informação baseado em riscos (ISMS).
