Gestão de Risco

    Riscos que podem ocorrer em empresas:

1. Erro humano
2. Espionagem
3. Roubo físico
4. Phishing
5. Botnets
6. Ataques DDoS
7. Ransomware
8. Etc.

    Pra lidar com riscos, temos que aprender gestão de riscos.

Pilares da segurança da informação

    CID: Confidencialidade, Integridade e Disponibilidade

Ativos

    Coisas de valor da empresa. Toda empresa tem:

1. Ativos de informação
2. Ativos de software
3. Ativos físicos
4. Serviços
5. Pessoas
6. Intangíveis

Sistema de gestão de risco (SGR)

    Procedimentos pra gerenciar riscos.

Sistema de Gestão de Segurança da Informação (SGSI) - Termos e definições.

1. Controle: Medida de proteção concretizada.
2. Ameaça: Física ou lógica. Algo que pode causar dano a empresa.
3. Vulnerabilidade: Fragilidade de um ativo que pode ser explorada por ameaças.
4. Análise de vulnerabilidades: Análise de falhas num sistema.
5. Avaliação de vulnerabilidades: A partir da análise, mede o quanto a vulnerabilidade é perigosa.
6. Evento de segurança da informação: Ocorrência notável que talvez ou não gere um acidente.
7. Incidente de segurança de informação: Evento indesejado que ameaça a empresa.
8. Risco: Probabilidade + impacto de ameaça explorar uma vulnerabilidade.
9. Impacto: Mudança não desejável nos objetivos de negócios.
10. Escopo de ativos: Conjunto de ativos protegidos no sistema de segurança.
11. Parte envolvida: Pessoas com algum papel no SGSI.
12. Parte interessada: Grupo com interesse em uma empresa.

Risco a segurança da informação

    Abaixo, um exemplo de gestão de riscos. A organização XPTO tem um servidor com um banco de dados. Elementos analisados serão:

• Escopo de ativos: Servidor de banco de dados.
• Vulnerabilidades identificadas: Falha no software que pode ser explorada devido a outra no SO.
• Ameaça: Malware codificado para explorar vulnerabilidades e roubar dados.
• Medidas de controle adotadas: Instalação de antivírus.
• Medidas de controle não adotadas: Atualização de SO e software.
• Possível incidente de segurança da informação: Malware chega por e-mail para um usuário, que executa o arquivo anexado.
• Impactos: Roubo de dados sensíveis e prejuízo financeiro.
• Risco: Risco extremo.

    A XPTO analisou a ameaça, um malware. Uma vez percebido, o risco passa pelo critério de risco, a empesa vê se ele é tolerável ou não, e vê se ele vai ser tratado ou não. A XPTO classificou seu risco como extremo. A solução que pensaram foi atualizar o sistema operacional e seu software. Depois disso, o risco será monitorado para evitar futuras vulnerabilidades. após o tratamento, sobram os riscos residuais, que são pequenos, mas ainda devem ser monitorados.

Gestão de risco

    É o processo que identifica e trata riscos e ameaças ao três pilares CID. Pra ter sucesso, tem que ser contínuo. A ISO 27005 (Gestão de riscos e segurança da informação) e a ISO 31000 (Gestão de riscos - princípio de diretrizes) são normas relacionadas a gestão de risco.

Etapas de gestão de risco

1. Estabelecimento do contexto

    Primeiro, se escreve uma lista e resumo dos objetivos organizacionais da empresa pra todos saberem como ela funciona e por que ela quer a GSI. Na análise tem que botar:

• Propósito principal da organização
• Negócio
• Missão
• Visão de futuros
• Valores
• Estrutura organizacional
• Organograma
• Estratégias
• Produtos
• Parceiros
• Terceiros
• Instalações
• Funcionários

    Com isso, a empresa vê quais riscos são toleráveis e quais devem ser tratados. 

2. Análise de riscos

    A análise/avaliação de riscos se divide em:

1. IDENTIFICAÇÃO DE RISCOS: Mapeiam e acham os riscos. Fazem uma lista detalhada sobre os riscos, com possíveis causas e consequências de cada um deles.
2. ESTIMATIVA DE RISCOS: Calcula níveis de risco, a probabilidade e seu impacto, e ainda as medidas de controle que existem pra impedir um risco. Com isso sobra o risco residual, eles checam quais devem ser tratados com prioridade e quais não.
1.  Conforme os exemplos a seguir:
   
   
   
   
   

   

   
   
   
   
3. AVALIAÇÃO DE RISCOS: Define como tratar os riscos. Do lado de cada um, é informada a forma de tratamento: Aceitar, Mitigar, Transferir ou Evitar o risco.
1.  Conforme essa imagem:
   
   
   

3. Tratamento de risco

    Tem que ver como cada risco vai ser tratado (mitigado, transferido, aceito, etc.) com medidas específicas, prazos e responsáveis (gestores do risco). Depois se determinar as ações pra reduzir os riscos e aplicam elas, considerando custos e eficácia.

    Deve se perguntar:

1. O que deve ser protegido?
2. A que custo?
3. De quem proteger?
4. Com que riscos?

    Proteções não garantem segurança total, mas ajudam a mitigar riscos. Os tipos dessas medidas são:

• PREVENTIVA: Evita que incidentes ocorram.
• DESENCORAJADORA: Desencoraja a prática de ações.
• MONITORADORA: Monitora o estado e o funcionamento.
• CORRETIVA: Corrige falhas existentes.
• RECUPERADORA: Repara danos causados por incidentes.
• REATIVA: Reage a determinados incidentes.
• DETECTORA: Detecta a ocorrência de incidentes.
• LIMITADORA: Diminui os danos causados.

4. Aceitação do risco residual

    Se o risco residual for pequeno, dá pra aceitar. Agora, tem que se responsabilizar por ele e ficar de olho.

5. Comunicação do risco

    O tomador de decisão deve informar os outros sobre os riscos pra ter um consenso de como eles devem ser administrados.

6. Monitoramento e análise critica

    Vê se o plano foi seguido direitinho e vê se precisa de ajustes. Verifica:

• Se os objetivos tão certos.
• Se os riscos  tão sendo controlados direito.
• Se os níveis de risco foram calculados direito.
• Se precisa atualizar algo.

Governança, risco e compliance

    A GRC é uma ferramenta que a GR compõe. GRC significa:

1. Governança: Governança corporativa. Garante que o controle da gestão seja tão importante quando as própria gestão.
2. Risco: Gestão de riscos. Cuida do que deu ou pode dar errado.
3. Compliance: Significa conformidade. Garante o seguimento das leis.

    Abaixo, algumas informações que consegui tirar depois de ler um estudo de caso sobre como uma empresa de energia aplica a GRC na área de TI:

• A empresa avalia a maturidade da GRC em TI em 5 dimensões: G-TI, gR-TI, C-TI, GRC-TI e GRC/GRC-TI.
• A Governança de TI (G-TI) tem alta maturidade, é bem estruturada, com liderança clara e foco em valor para o negócio.
• O Gerenciamento de Riscos de TI (gR-TI) também é considerado maduro, usa software de apoio e segue princípios da ISO 27005.
• O Compliance de TI (C-TI) está integrado ao gerenciamento de riscos, mas é menos formalizado, então tem maturidade média.
• A integração entre G-TI, gR-TI e C-TI (GRC-TI) é média: processos e pessoas estão bem integrados, mas a tecnologia ainda é um ponto fraco.
• A integração da GRC corporativa com a GRC da TI (GRC/GRC-TI) também é média; falta uma ferramenta centralizada e há baixa automação.
• O estudo mostra que, mesmo com boas práticas, a falta de integração tecnológica prejudica a maturidade geral da GRC-TI.