Alta Disponibilidade e Contingência e a Gestão de Riscos na Segurança da Informação
A gestão de riscos quantifica e descreve qualitativamente o risco de Segurança da Informação, permitindo que as empresas priorizem os riscos de acordo com sua gravidade e possam, desta maneira, garantir a continuidade dos negócios.
A gestão de riscos determina o valor de um ativo de informação, identifica as ameaças e vulnerabilidades aplicáveis que existem (ou poderiam existir), bem como os controles existentes e seus efeitos sobre os riscos identificados, determina as consequências potenciais e finalmente as prioriza.
Após essa definição, como é possível desenvolver uma estratégia para a gestão de riscos dentro de uma empresa? Quais são os principais riscos associados à Segurança da Informação? Além disso, saiba o que Alta Disponibilidade e Contingência tem a ver com gestão de riscos e quais as suas principais diferenças para manter o seu sistema seguro.
Continue a leitura deste artigo e entendacomo a gestão de riscos em segurança da informação pode contribuir para a continuidade dos seus negócios.
Como funciona a Gestão de Riscos em Segurança da Informação?
A gestão de riscos em segurança da informação é o processo de gerenciamento de riscos associados ao uso de tecnologia da informação. Envolve identificar, avaliar e tratar os riscos à confidencialidade, integridade e disponibilidade dos ativos de uma empresa.
O objetivo final deste processo é tratar os riscos de acordo com a tolerância ao risco de uma empresa. As empresas não devem esperar eliminar todos os riscos. Em vez disso, elas devem procurar identificar e atingir um nível de risco aceitável para a continuidade dos negócios.
Como desenvolver uma estratégia de Gestão de Riscos em Segurança da Informação?
Gerenciar riscos é uma tarefa contínua e o seu sucesso dependerá de como eles são avaliados, os planos são comunicados e as funções são mantidas. Identificar as pessoas, os processos e as tecnologias essenciais para ajudar a lidar com as etapas abaixo é uma tarefa que gera uma base sólida para uma estratégia e programa de gerenciamento de risco das empresas, o que pode ser desenvolvido com o tempo.
Identificação
Este estágio é o processo de identificação de seus ativos digitais, que podem incluir uma ampla variedade de informações: informações confidenciais da empresa, como desenvolvimento de produtos e segredos comerciais; dados pessoais que podem expor os funcionários a riscos de segurança cibernética, como regulamentos de roubo de identidade. Outro exemplo, são aquelas empresas que lidam com transações de cartão de crédito e precisam da conformidade com o PCI-DSS.
Avaliação
Este é o processo de combinar as informações que você reuniu sobre ativos, vulnerabilidades e controles para definir um risco. Existem muitas estruturas e abordagens para isso.
Tratamento
Uma vez que um risco foi avaliado e analisado, a empresa precisará selecionar as opções de tratamento do risco. Nesse cenário, podem aceitar o risco ou remediá-lo.
Comunicação
Independentemente de como um risco é tratado, a decisão precisa ser comunicada dentro da empresa. As partes interessadas precisam entender os custos de tratar ou não um risco e a razão por trás dessa decisão. Responsabilidade e prestação de contas precisam ser claramente definidas e associadas a indivíduos e equipes na empresa para garantir que as pessoas certas sejam engajadas nos momentos certos no processo.
Principais Riscos Associados à Segurança da Informação
Os riscos de segurança são inevitáveis, portanto, a capacidade de compreender e gerenciar riscos para sistemas e dados é essencial para o sucesso de uma empresa.
Se você for capaz de lidar com os riscos abaixo e responder com eficácia aos incidentes de segurança, poderá descobrir como resistir melhor às ameaças cibernéticas e reduzir os riscos potenciais no futuro.
Abuso de Privilégio
Na maioria dos ambientes de tecnologia, o princípio de privilégio mínimo não é válido. Há muitas razões pelas quais privilégios maiores que o necessário são concedidos a um usuário.
Conceder permissões excessivas é problemático por duas razões: aproximadamente 80% dos ataques a dados corporativos são, na verdade, executados por colaboradores ativos ou desligados. Privilégios concedidos em excesso ou não revogados no tempo correto tornam simples a execução de ações maliciosas.
Acesso de Terceiros
Uma série de terceiros, incluindo fornecedores, terceirizados, consultores e provedores de serviço têm acesso aos recursos de rede, o que lhes permite modificar, substituir ou impactar o serviço operacional da sua empresa. Este acesso é considerado privilegiado e precisa estar até mais protegido do que o acesso de um colaborador próprio.
As empresas empregam esforços para proteger suas redes, mas se esquecem de controles de segurança de acesso de terceiros. Esses controles podem proteger acesso de terceiros a credenciais privilegiadas, além de fortalecer aspectos de segurança que normalmente são explorados por invasores para terem acesso à rede corporativa.
Ameaças Internas
Quando se trata de violações de dados, os próprios colaboradores podem ser um dos maiores riscos à empresa. Essas ameaças podem ser acidentais, quando o pessoal está apenas mal treinado; negligentes, quandoos colaboradores tentam burlar as políticas implantadas; ou maliciosas (a mais perigosa), quando o funcionário está motivado por ganhos financeiros, espionagem ou vingança, por exemplo.
HA (High Availability) e DR (Disaster Recovery/Contingency) como métricas para Gestão de Riscos
Hoje em dia, qualquer bom sistema deve ser construído para esperar o inesperado. Nenhum sistema é perfeito e, em algum ponto, algo pode acontecere e tornar um sistema inoperante (um incêndio, um furacão, um terremoto, erro humano) a lista continua. Como os sistemas podem falhar de diferentes maneiras, eles precisam ser projetados com a expectativa de que ocorra uma falha.
Assim, existem dois tópicos relacionados, mas geralmente confusos, que atuam na arquitetura do sistema que atenuam as falhas: alta disponibilidade (HA) e recuperação de desastres (DR).
A alta disponibilidade, simplesmente, elimina pontos únicos de falha, e a recuperação de desastres é o processo de colocar um sistema de volta em um estado operacional quando um sistema fica inoperante. Em essência, a recuperação de desastres é acionada quando a alta disponibilidade falha.
Fundamentalmente, a alta disponibilidade e a recuperação de desastres visam ao mesmo objetivo: manter os sistemas em funcionamento e funcionando em um estado operacional. A principal diferença é que a alta disponibilidade destina-se a lidar com problemas enquanto um sistema está em execução, enquanto a recuperação de desastres deve lidar com problemas após uma falha do sistema.
Independentemente da alta disponibilidade de um sistema, qualquer sistema em produção, por mais trivial que seja, precisa ter algum tipo de plano de recuperação de desastre implementado. E isso deve ser incluído em sua estratégia de gestão de riscos em segurança da informação.