Chegaremos algum dia no momento em que empresas poderão prever e se prevenir de ataques cibernéticos antes deles acontecerem? Essa utopia precisaria de sistemas de inteligência de ameaças alimentados por deep learning. Então, por enquanto, cada organização deve assumir que alguém definitivamente a atacará, e se preparar de acordo.
Kevin Mitnick, possivelmente o hacker mais famoso mundialmente, afirma, “Você nunca conseguirá estar 100 por cento protegido. O que você pode fazer é se proteger o tanto quanto for possível e mitigar riscos até um grau aceitável. Você nunca conseguirá remover todos os riscos.” A presença constante do risco torna a análise de riscos de TI crítica para negócios. Para fazer uma Análise de Risco de TI efetiva, organizações precisam:
1.Identificar todos os dados valiosos: A melhor maneira de uma empresa identificar quais dados são valiosos é entendendo a natureza do seu negócio. Companhias devem se perguntar como geram receita e lucro – identificando os dados que são críticos para o dia a dia de suas operações. As empresas devem considerar coisas como informações de contato de clientes, arquivos de design de produtos, segredos do trade e documentos de planejamento como seus dados mais importantes. Independentemente do tipo de dado que as organizações considerem críticos, é necessário que elas entendam como todos esses dados circulam em suas redes e identificar quais computadores e servidores estão sendo usados para armazená-los.
Para proteger da melhor forma esses dados, empresas precisam de um time central de risco. Em pequenos e médios negócios, isso é comumente feito por executivos de topo. Para organizações maiores, um modelo de gestão de risco híbrido pode ser necessário, onde cada diretor pode ser delegado como o responsável pelo risco da função do seu departamento.
2.Estimar o impacto ao negócio devido a perdas: Análise de riscos e impacto andam lado a lado para cada conjunto de dados valiosos, as organizações devem estimar o impacto financeiro negativo correspondente a sua perda ou danos. Além de custos diretas, estimativas de perda devem também incluir custos intangíveis como reputação prejudicada e ramificações legais. Um formato comum para a documentação deve ser usado por todos os times de maneira uniforme.
3.Determinar ameaças ao negócio: Uma ameaça é qualquer coisa que tem o potencial de causar prejuízos aos conjuntos de dados valiosos de um negócio. As ameaças que podem afetar uma organização podem incluir desastres naturais, falhas de energia, falhas de sistema, ações internas acidentais (como a exclusão acidental de um arquivo importante), ações internas maliciosas (como um agente desonesto se filiando a um grupo privilegiado de segurança), e ações externas maliciosas (como ataques de phishing, malware, spoofing, etc.). Cada empresa deve ter seu time central de riscos que vai determinar as ameaças mais prováveis e se planejar de acordo.
4.Analisar vulnerabilidades: Uma vulnerabilidade é uma fraqueza ou falha na rede, sistemas, aplicações ou até mesmo processos de uma organização, que podem ser exploradores para impactar negativamente o negócio. Vulnerabilidades podem ter natureza física (como um equipamento obsoleto), podem envolver configurações fracas de um sistema (como deixar um sistema desprotegido ou não seguir o princípio do menor privilégio), ou podem resultar em problemas de conscientização (como equipes mal treinadas). Similar às ameaças determinantes, analisar vulnerabilidades é também melhor completada pelo time de riscos central. O time pode achar útil usar ferramentas de rastreamento para fazer uma análise minucioso do sistema, e técnicas de teste de penetração ou hacking ético podem também utilizadas para investigar a fundo.
5.Estabelecer um plano de gestão de risco: Risco é um conceito de negócios, mas pode ser representado pela seguinte fórmula: Risco = Ameaça X Vulnerabilidade X Impacto no negócio. Para reduzir os riscos, os times de TI devem minimizar as ameaças às quais estão expostos, as vulnerabilidades que existem em seu ambiente, ou a combinação de ambos. Do ponto de vista do negócio, gestores pode também decidir avaliar o impacto ao negócio de cada conjunto de dados e tomar medidas para reduzí-lo.
A equipe central de riscos deve atribuir níveis de risco de alto, médio ou baixo para a perda potencial de cada conjunto de dados valiosos. Usando esse processo, a organização pode determinar que recursos precisam ser priorizados. Esse processo é de alto envolvimento e precisa ser feito cuidadosamente. Uma vez completo, uma empresa deve criar soluções ou resoluções para cada risco identificado, e o custo associado a cada uma delas.
Depois do plano formado, as organizações devem determinar que nível de risco eles estão confortáveis em ter. Querem agir em cima de todos os riscos ou só os que estão identificados com nível alto? A resposta para essa pergunta vai variar de empresa para empresa, e o total de custos de soluções estimado, assim como a projeção de retorno do investimento, terão uma influência enorme no Apetite ao Risco.
*Por Ram Vaidyanathan, Gerente de Marketing na ManageEngine
