Pesquisar neste blog

18 de dez. de 2011

Segurança: A importância da Gestão de Riscos Orientada a Ativos de Informação

Por: José de Souza
Em: http://www.tiespecialistas.com.br/2011/12/seguranca-a-importancia-da-gestao-de-riscos-orientada-a-ativos-de-informacao/

Segurança: A importância da Gestão de Riscos Orientada a Ativos de Informação
Uma gestão de Riscos com eficácia é proposta, com a principal finalidade de se identificar tais ameaças que rondam a confiabilidade das informações e possíveis impactos, em caso de materialização dos riscos, além de prover uma orientação no que tange a melhor estratégia de medidas a serem tomadas.Atualmente, praticamente em todas as organizações do mundo, a segurança da informação é tida como uma área crítica, tendo em vista, todas as ameaças internas e externas a confiabilidade das informações organizacionais.
Para tanto, é altamente recomendado pela norma ISO/IEC 27002, que seja realizada uma analise de riscos orientada aos ativos de informação, com o propósito de determinar quais desses podem afetar a entrega de um produto ou serviço, em caso de violação de sua integridade, disponibilidade e/ou confidencialidade, podendo vir a causar danos, muitas vezes irreparáveis, a organização. Avaliar e aplicar medidas de proteção e gestão de riscos, segmentadas por ativos organizacionais, é uma tática bastante eficaz, tendo em vista prover o alinhamento entre tais, e os processos de negócio que utilizam as mesmas. Esta análise deve ser realizada de forma realista e detalhada, com a principal finalidade de cobrir todas as informações criticas para a organização.
São propostos quatro passos, para que seja realizada a gestão de riscos orientada aos ativos de informação:
  • Primeiramente, estes ativos devem ser identificados, e sua criticidade para o negócio, em termos de segurança deve ser definida, além de documentação de informações como tipo de ativo, responsável, localização e valor para o negócio. Esta é uma atividade que demandará bastante tempo e esforço, e deverá também, contar com o apoio das principais partes interessadas e usuárias da informação que é suportada pelo ativo em questão. Esta atividade é de suma importância, para que recursos não sejam desperdiçados, através de aplicação de controles a informações que não são de alta relevância para o negócio.
  • Com base na criticidade de cada ativo de informação, devem ser identificadas as vulnerabilidades e ameaças relacionadas a tal, levando em consideração aspectos externos, e internos ao negócio. Devem ser consideradas todas as ameaças internas e externas, durante esta atividade, para que nada deixe de ser considerado durante o processo de gestão de riscos.
  • Uma saída da atividade de avaliação de criticidade dos ativos,  será a determinação de probabilidade de ocorrência xs impacto, para que sejam determinados os riscos inerentes a tal ativo, e informação organizacional em questão. Nesta atividade é importante que seja realizado um balanceamento, entre análises qualitativas e quantitativas, pois não se pode limitar uma análise de riscos, apenas a aspectos subjetivos e técnicos, por exemplo, como também estes são de grande importância para que sejam identificados os aspectos mensuráveis as áreas de negócio, ou seja, os riscos de segurança da informação devem ser analisados qualitativa e quantitativamente, promovendo o alinhamento com processos de negócio impactados em eventuais materializações destes riscos.
  • Tendo em vista a eficiência e efetividade, deve ser analisada qual a melhor estratégia a ser seguida, e medidas de segurança para tratamento de tais riscos. Não é interessante para a organização, por exemplo, investir recursos que ultrapassem o benefício proporcionado por tal proteção, ou seja, em casos onde o valor investido para se proteger a informação, ultrapassa o valor de perda em eventual dano e incidente relacionado à informação em questão. Com base nesta saída, podem ser desenvolvidos e atualizados planos de continuidade, planos de recuperação de desastres e medidas de proteção, identificação e recuperação de incidentes.
O processo de gestão de riscos de segurança da informação é cíclico, deve ser revisado, e atualizado dentro de períodos regularmente definidos. A identificação de riscos, de acordo com os ativos de informação, é sem dúvidas, uma medida eficaz, que agrega valor e alinha as atividades de segurança da informação, com os processos críticos de negócio.

Nenhum comentário:

Postar um comentário