A importância da análise de riscos
Diferenciar ameaça, vulnerabilidade e risco é fundamental para evitar desgastes empresariais
A construção de boas políticas e controles eficazes para manter a proteção empresarial passa por alguns fatores. Entre eles, a compreensão de alguns termos, como ameaça, vulnerabilidade e risco, que são comumente confundidos. Mas, antes, precisamos definir a palavra “ativo”, que é muito importante e usada frequentemente quando falamos em proteção.
Ativo é aquilo que se protege. Em quase qualquer contexto, um ativo é um item positivo e, geralmente, possui valor. O dinheiro é um ativo, por exemplo. Ao listarmos ativos e passivos, a primeira palavra apresenta valor. Em termos gerais, um ativo pode ser pessoas, propriedades ou informações, mas, também, pode incluir a reputação da companhia ou um banco de dados de informações de clientes. Os registros financeiros também são ativos. Enfim, tudo o que precisa ser protegido é um ativo.
Ameaça: algo que pode danificar ou destruir um ativo. Se um ativo é o que precisamos proteger, então, é preciso estar pronto para barrar variadas ameaças. Ou seja, qualquer tipo de perigo, que pode danificar ou roubar dados, criar uma interrupção ou causar danos gerais, como malware, phishing, violações de dados e até mesmo funcionários desonestos. Se descoberta, a ameaça é algo com potencial para prejudicar pessoas, sistemas ou sua organização. Existem três tipos:
- Ameaças naturais: Incluem inundações, furacões e tornados;
- Não intencional: Podem incluir funcionários excluindo ou alterando informações acidentalmente;
- Intencional: Intenção de causar danos. Isso pode ser malware, funcionários insatisfeitos ou hackers.
Ameaças são manifestadas por atores de ameaças, que são indivíduos ou grupos com várias origens e motivações. Compreendê-los é fundamental para construir mitigações eficazes e tomada de decisões assertivas.
Vamos usar o exemplo da casa própria para ilustrar isso. Sua residência seria seu trunfo. Uma ameaça seria um ladrão, ou mesmo as ferramentas usadas para, por exemplo, romper uma fechadura. Essas ameaças podem causar danos, caso não haja proteção contra elas.
Vulnerabilidade: uma fraqueza ou lacuna em sua proteção. A única maneira que uma ameaça pode causar danos ao seu ativo é se você tiver uma vulnerabilidade não verificada. Uma vulnerabilidade é uma fraqueza, por exemplo, no hardware, software, pessoal ou procedimentos, que pode ser explorada pelos agentes da ameaça para atingir objetivos. As vulnerabilidades podem ser físicas, como um dispositivo de rede exposto publicamente, baseadas em software, como uma vulnerabilidade de estouro de buffer em um navegador, ou mesmo humanas, que inclui um funcionário suscetível a ataques de phishing.
Ainda no exemplo da casa, uma vulnerabilidade pode ser representada por um sistema de segurança que depende de eletricidade. Se não houver gerador de reserva, o ladrão pode desligar a energia e ter acesso livre à casa. Ou, então, pode algo mais simples, como uma janela destrancada. Qualquer coisa de que um ladrão possa se aproveitar é uma sinal de vulnerabilidade.
No seu site pode ter itens vulneráveis dos quais os hackers podem se aproveitar. Códigos ou plug-ins antigos que não são atualizados ou mantidos podem ser tão perigosos quanto deixar uma porta destrancada em uma casa. Se você não está atualizando seu site regularmente, pode permitir os hackers avancem livremente.
Risco: Onde ativos, ameaças e vulnerabilidades se cruzam. O risco é uma combinação da probabilidade da ameaça e do impacto de uma vulnerabilidade. Em outras palavras, é a chance de um agente de ameaça explorar, com sucesso, uma fragilidade, que também pode ser definida pela seguinte fórmula: Risco = Probabilidade de ameaça * Impacto de vulnerabilidade.
Recomendados pelo LinkedIn
Identificar todos os riscos potenciais, analisar impactos e avaliar respostas apropriadas representam o gerenciamento de risco. É um processo sem fim, que avalia constantemente as ameaças e vulnerabilidades recém-encontradas. Com base em uma resposta escolhida, os riscos podem ser evitados, mitigados, aceitos ou transferidos para terceiros.
Ameaças, como hackers, podem existir. Mas se você não tem vulnerabilidades, o risco é muito baixo. Podem existir vulnerabilidades em seu site, mas se as ameaças não existirem, você ainda terá poucos riscos. O risco é uma função de ameaças que exploram vulnerabilidades para obter, danificar ou destruir ativos. Assim, podem existir ameaças, mas se não houver vulnerabilidades, haverá pouco ou nenhum risco. Da mesma forma, você pode ter uma vulnerabilidade, mas se não houver ameaça, terá pouco ou nenhum risco.
Avaliar com precisão as ameaças e identificar vulnerabilidades é fundamental para compreender o risco para os ativos. Compreender a diferença entre ameaças, vulnerabilidades e riscos é a primeira etapa para um processo de sucesso.
Diante disso, as empresas devem estar cientes das ameaças e vulnerabilidades comuns na infraestrutura para identificar e responder adequadamente a todos os riscos. Uma gestão de risco bem planejada ajudará a proteger dados e salvar a sua empresa de um tempo de inatividade indesejável.
Referências:
https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/administrative/securityrule/nist800-30.pdf