Uma estratégia de segurança baseada em risco é aquela em que uma organização identifica as precauções de segurança específicas que devem ser tomadas em um ambiente de tecnologia da informação (TI) e documentos quando e onde essas precauções devem ser aplicadas. Estratégias de segurança baseadas em risco ajudam as organizações a identificar quais ativos digitais requerem mais proteção. Três áreas essenciais que uma empresa deve abordar com uma estratégia de segurança baseada em risco são: quais são seus principais ativos de informação, quem tem acesso a esses ativos/como eles são protegidos e quem pode querer roubar ou danificar esses ativos.
Segurança baseada em risco deve ser cuidadosamente planejada e continuamente monitorada para garantir que as estratégias suportem uma abordagem bem fundamentada e profunda da ciber-segurança. As práticas de segurança baseada em risco mais eficazes complementam as outras estratégias de gerenciamento de risco corporativo (ERM) da organização.
>>i data-icon="1">Elementos da estratégia de segurança baseada em risco
Existem cinco passos básicos da estratégia de segurança baseada em risco que uma organização deve seguir ao praticar a segurança baseada em risco. Estes passos incluem:
- Asset valuation -- Neste passo, uma organização deve determinar o que e onde estão seus principais ativos e quem os possui. Este passo também deve incluir qualquer impacto no negócio e custos que venham com a integridade ou disponibilidade de um ativo comprometido avaliado. O objetivo é assegurar que os ativos mais importantes para a operação diária de uma organização recebam alta prioridade.
- > forte>Identificando ameaças -- A organização deve identificar atores maliciosos que possam querer roubar informações ou danificar ativos. Isso inclui concorrentes, funcionários enraivecidos ou ameaças não hostis, tais como trabalhadores sem treinamento. Outras ameaças potenciais a ter em mente incluem desastres naturais, tais como inundações ou incêndios. A cada ameaça deve ser atribuído um nível de ameaça baseado na sua probabilidade de ocorrência.
- > forte>Identificar vulnerabilidades -- Este passo é sobre a identificação de potenciais vulnerabilidades de software e rede. Testes com caneta e ferramentas automatizadas de varredura de vulnerabilidades podem ajudar nisto.
- Risk profiling -- Este passo avalia a probabilidade de uma ameaça explorar uma vulnerabilidade. As atividades de perfilagem avaliam as salvaguardas existentes e medem o risco para ativos específicos. O objetivo é atribuir a cada ativo a sua própria pontuação de risco.
- Tratamento de risco -- Este passo envolveu a decisão de tolerar, tratar ou terminar os riscos. É importante que cada decisão seja documentada, com as razões dadas para cada escolha. Os testes de penetração devem ser usados para simular cada ameaça e garantir a segurança de ativos específicos. Este processo deve ser repetido para cada ameaça que tenha sido identificada.
Implementação de estratégia de segurança baseada em risco
Embora a implementação da segurança baseada em risco possa ser uma tarefa demorada, ela irá garantir a segurança dos ativos de informação e alinhar os esforços de segurança com os objetivos do negócio. As discussões entre profissionais de segurança e gerentes de negócios devem começar pela identificação de ameaças potenciais e da probabilidade de ocorrência de uma ameaça potencial. Isso permitirá que as partes interessadas comecem a atribuir níveis de risco a cada ameaça e vulnerabilidade potencial.
Após a conclusão desse trabalho, os administradores de rede podem rever suas políticas de controle de acesso para verificar se a organização está aplicando o princípio do privilégio mínimo (PoLP). Uma vez que uma auditoria de controles técnicos é realizada para garantir que tudo está funcionando como esperado, testes podem então ser iniciados para simular cada ameaça.
Este vídeo explica porque é importante obter suporte executivo ao implementar estratégias de segurança baseadas em riscos.