A avaliação de risco de segurança é um processo sistemático utilizado para identificar, analisar e avaliar os riscos potenciais que podem afetar a segurança da informação de uma organização. Essa avaliação envolve a identificação de ameaças, vulnerabilidades e possíveis impactos na segurança dos ativos da organização, como dados, sistemas e infraestrutura.
É importante realizar uma avaliação de risco de segurança porque ajuda as organizações a entenderem melhor suas vulnerabilidades e os possíveis riscos que enfrentam. Ao identificar e avaliar esses riscos, as organizações podem tomar medidas proativas para mitigá-los e fortalecer sua postura de segurança. Isso inclui a implementação de controles de segurança adequados, a alocação eficaz de recursos e a conformidade com requisitos legais e regulamentares. Em última análise, uma avaliação de risco de segurança é essencial para proteger os ativos de uma organização contra ameaças cibernéticas e garantir a continuidade dos negócios.
Algumas definições técnicas de avaliação de risco:
O processo de identificação de riscos para as operações organizacionais (incluindo missão, funções, imagem, reputação), ativos organizacionais, indivíduos, outras organizações e a Nação, resultantes da operação de um sistema de informação. Parte do gerenciamento de riscos, incorpora análises de ameaças e vulnerabilidades e considera as mitigações fornecidas pelos controles de segurança planejados ou em vigor. Sinônimo de análise de risco.O Fontes: NIST SP 1800-21B sob Avaliação de Risco NIST SP 800-137 sob Avaliação de Risco de CNSSI 4009
Processo para compreender a natureza do risco e determinar o nível de risco. Fontes: NIST SP 800-160 Vol. 2 Rev. 1 sob análise de risco do Guia ISO 73 NIST SP 800-160v1r1 sob análise de risco do Guia ISO 73
Processo geral de identificação de riscos, análise de riscos e avaliação de riscos. Fontes: NIST SP 800-160 Vol. 2 Rev. 1 do Guia ISO 73 NIST SP 800-160v1r1 do Guia ISO 73
O processo de identificação de riscos para as operações da agência (incluindo missão, funções, imagem ou reputação), ativos da agência ou indivíduos, determinando a probabilidade de ocorrência, o impacto resultante e controles de segurança adicionais que poderiam mitigar esse impacto. Parte do gerenciamento de riscos, sinônimo de análise de riscos, e incorpora análises de ameaças e vulnerabilidades. Fontes: NIST SP 800-18 Rev. 1 sob Avaliação de Risco
Passos de uma avaliação de riscos em segurança da informação:
- Identificação: Determine todos os ativos críticos da infraestrutura tecnológica. Em seguida, identifique os dados sensíveis criados, armazenados ou transmitidos por esses ativos. Crie um perfil de risco para cada ativo.
- Avaliação: Administre uma abordagem para avaliar os riscos de segurança identificados para os ativos críticos. Após uma avaliação cuidadosa, determine como alocar efetiva e eficientemente tempo e recursos para a mitigação de riscos. A abordagem ou metodologia de avaliação deve analisar a correlação entre ativos, ameaças, vulnerabilidades e controles mitigadores.
- Mitigação: Defina uma abordagem de mitigação e aplique controles de segurança para cada risco.
- Prevenção: Implemente ferramentas e processos para minimizar ameaças e vulnerabilidades nos recursos da empresa.
Uma norma de segurança como a ISO 27005 pode auxiliar na compreensão e execução da avaliação e o tratamento de riscos de segurança da informação.
Realizar a avaliação de risco de segurança não é um projeto de segurança único, mas sim uma atividade contínua que deve ser realizada pelo menos uma vez a cada dois anos. A avaliação contínua fornece à organização uma visão atualizada das ameaças e riscos aos quais está exposta.
