Recursos Sysadmin
Como avaliar riscos e ameaças nas PME
23 de Abril de 2024
Junte-se a nós neste artigo em que tentaremos abordar a forma de avaliar riscos e ameaças nas PME.
Um dos maiores problemas que encontramos quando queremos começar a trabalhar na definição e tratamento dos planos de segurança e recuperação de desastres das empresas (Disaster Recovery, ou DR) é a identificação, avaliação e priorização de riscos e ameaças.
O processo de cálculo de risco é um processo fundamental que visa identificar e gerir possíveis ameaças que possam ocorrer e afetar as operações da empresa e, portanto, a sua sobrevivência.
Cientes disso, na Jotelulu pensamos que seria interessante criar um pequeno guia para manter qualquer organização preparada para qualquer eventualidade.
Apresentamos a seguir um método que permite, através de nove passos simples, gerir os riscos da nossa PME.
As etapas são as seguintes (entraremos em detalhes mais à frente):
Agora que já os conhecemos, vamos ver como podemos usá-los.
Você deve lembrar-se do anúncio de pneus que dizia: “Potência não é nada sem controlo”, uma das melhores campanhas de marketing já lançadas. Ou se calhar conhece a famosa frase de Lord Kelvin: “O que não está definido não pode ser medido. O que não é medido não pode ser melhorado. O que não é melhorado acaba por degradar-se.”
Bem, quer você se lembre destas coisas ou não, elas são a base do que vamos discutir agora. O primeiro passo que temos de dar é identificar os ativos que a nossa organização possui, prestando especial atenção àqueles que são ativos críticos: se degradados, podem pôr fim à produção e afetar a economia da empresa.
O que pretendemos neste passo é listar e categorizar todos os elementos da empresa que afetam a produção ou outras atividades críticas da empresa.
Mas o que é um ativo? Bom, para responder a isso vamos buscar a definição à ITIL, que é um framework e padrão nas TI. A ITIL define um ativo como qualquer componente que possa contribuir para a prestação de um produto ou serviço de TI. Ou seja, pode ser qualquer coisa, do servidor até às cadeiras onde nos sentamos.
Agora que sabemos o que é um ativo, podemos dizer que o objetivo é listar e categorizar itens como sistemas de informática, equipamentos, instalações físicas, dados e até recursos humanos.
Esta operação inclui também a identificação de informações confidenciais, dados de clientes, propriedade intelectual e outros ativos críticos para o funcionamento do negócio.
O segundo passo que devemos realizar é, uma vez identificados os ativos, analisar e determinar as possíveis ameaças que podem materializar-se e afetar os ativos que identificamos anteriormente.
Nesta etapa, ao pensar em ameaças, é normal acabar por identificar novos ativos que podem ser suscetíveis a ameaças, e por isso existe o passo 9, que é basicamente uma etapa dedicada à melhoria contínua.
Entre as ameaças potenciais encontram-se tanto as ameaças físicas como as ameaças cibernéticas, sendo as primeiras desastres naturais como terremotos, inundações, incêndios, etc., e as últimas casos como vírus, malware, phishing, filtração de dados, falhas de segurança, etc. Também é preciso ter em conta eventos como roubos, ataques terroristas, acidentes, sabotagens, erros humanos e muitos mais.
NOTA: Nunca se esqueça que as ameaças podem ser externas ou internas.
Agora que temos os ativos e ameaças identificados, é o momento ideal para rever minuciosamente as possíveis vulnerabilidades que todos os elementos da organização apresentam. Devemos rever todos os sistemas, processos, controlos de segurança, etc. É importante analisar todos os pontos que podem ser explorados.
Nesta etapa devemos incluir todas as lacunas de segurança nos elementos de rede, protocolos, sistemas operativos, etc. Os elementos de software como aplicações, serviços e, sobretudo, sistemas não atualizados e obsoletos, através dos quais uma falha de segurança, um bug ou similar podem ocorrer, também são fulcrais.
NOTA: é uma boa prática manter aplicações e sistemas atualizados, além de manter relatórios de ataques, tendências de segurança ou zero day.
Neste ponto devemos pensar no possível impacto que cada uma das ameaças que descrevemos pode ter com base nos pontos anteriores. Além disso, como devemos fazer em cada etapa, trataremos todos os ativos, mas principalmente aqueles que são críticos para a empresa.
A estimativa de impacto deve avaliar vários domínios:
Após estes pontos devemos calcular, ou melhor, determinar a probabilidade de que cada uma das ameaças que identificamos nos pontos anteriores se materialize e cause um impacto nos ativos da nossa organização.
Para isso, podem ser utilizados dados sobre análises de tendências, novas avaliações de risco ou avaliações de risco existentes, séries de dados históricos, etc.
Agora que catalogamos as ameaças e a probabilidade de que essas ameaças se materializem, devemos classificar e priorizar os riscos.
Um risco é geralmente descrito pela seguinte fórmula:
RISCO = PROBABILIDADE x IMPACTO.
Descrever o risco permite atribuir os recursos necessários para abordar alguns dos riscos mais urgentes ou mais críticos, ou ambos.
Além disso, geralmente é feita uma matriz, chamada matriz de riscos, que ajuda a identificar graficamente os riscos com um mapa de calor.
Agora que temos tudo identificado e avaliado, é hora de escolher e desenvolver as estratégias e controlos que visam reduzir ou eliminar os riscos, começando, como não poderia deixar de ser, pelos mais críticos e por aqueles que exigem menor esforço para serem eliminados.
Existem basicamente quatro técnicas de gestão:
Como tudo na vida, e principalmente quando falamos de segurança, é importante estabelecer e implementar medidas de controlo e mitigação para reduzir os riscos e mantê-los em níveis aceitáveis.
Para tal, deve ser estabelecida na empresa uma política de investimento que conduza à atualização de políticas e procedimentos, bem como à melhoria da tecnologia em geral e mais especificamente à atualização da segurança. É claro que a formação do pessoal técnico, e especificamente do pessoal de segurança informática, bem como a sensibilização de todo o pessoal, deve ser um “must”.
Por último, devemos estabelecer um processo contínuo de monitorização e revisão de riscos para garantir que as medidas descritas permaneçam atualizadas.
De nada servirá criar uma política de gestão de riscos se não a mantivermos e melhorarmos posteriormente, pois as ameaças são continuamente atualizadas e devemos tentar acompanhá-las.
Para manter corretamente o modelo, devem ser estabelecidas avaliações periódicas de risco, prestar atenção às diferentes fontes para saber quando surgem novas ameaças, como vírus, bugs, vulnerabilidades, novas atualizações, etc., e por fim devemos reajustar continuamente a forma como agimos em caso de ameaça.
Neste artigo, em que vimos como avaliar riscos e ameaças nas PME, olhámos para uma das estratégias mais comuns para o desenvolvimento de uma política de riscos e ameaças. Para isso, seguimos um método de nove passos que se afasta um pouco das tradicionais políticas de seis passos para, desta forma, facilitar a sua implementação e, sobretudo, a sua manutenção.
Com estes passos, acreditamos que lhe será mais fácil identificar, avaliar riscos e ameaças e geri-los eficazmente. Ao seguir este processo, que pretende evitar que o funcionamento da sua PME seja afetado, estará a proteger os ativos com os quais opera e a garantir a continuidade dos negócios.
Se quiser ver mais artigos relacionados com riscos e continuidade do negócio, recomendamos que visite:
Agradecemos a sua companhia até aqui!
