Como avaliar riscos e ameaças nas PME

Partilhar

Junte-se a nós neste artigo em que tentaremos abordar a forma de avaliar riscos e ameaças nas PME.

Um dos maiores problemas que encontramos quando queremos começar a trabalhar na definição e tratamento dos planos de segurança e recuperação de desastres das empresas (Disaster Recovery, ou DR) é a identificação, avaliação e priorização de riscos e ameaças.

 

 

Uma breve introdução sobre como avaliar riscos e ameaças nas PME:

 

O processo de cálculo de risco é um processo fundamental que visa identificar e gerir possíveis ameaças que possam ocorrer e afetar as operações da empresa e, portanto, a sua sobrevivência.

Cientes disso, na Jotelulu pensamos que seria interessante criar um pequeno guia para manter qualquer organização preparada para qualquer eventualidade.

Apresentamos a seguir um método que permite, através de nove passos simples, gerir os riscos da nossa PME.

As etapas são as seguintes (entraremos em detalhes mais à frente):

 

  • Passo 1 – Identificar os ativos da empresa.
  • Passo 2 – Identificar as ameaças
  • Passo 3 – Avaliar as vulnerabilidades.
  • Passo 4 – Calcular o impacto.
  • Passo 5 – Calcular probabilidades de acontecimentos.
  • Passo 6 – Priorizar os riscos.
  • Passo 7 – Desenvolver estratégias de mitigação.
  • Passo 8 – Desenvolver medidas de controlo.
  • Passo 9 – Manutenção do modelo.

Agora que já os conhecemos, vamos ver como podemos usá-los.

 

Passo 1: identificar os ativos da empresa.

Você deve lembrar-se do anúncio de pneus que dizia: “Potência não é nada sem controlo”, uma das melhores campanhas de marketing já lançadas. Ou se calhar conhece a famosa frase de Lord Kelvin: “O que não está definido não pode ser medido. O que não é medido não pode ser melhorado. O que não é melhorado acaba por degradar-se.”

Bem, quer você se lembre destas coisas ou não, elas são a base do que vamos discutir agora. O primeiro passo que temos de dar é identificar os ativos que a nossa organização possui, prestando especial atenção àqueles que são ativos críticos: se degradados, podem pôr fim à produção e afetar a economia da empresa.

O que pretendemos neste passo é listar e categorizar todos os elementos da empresa que afetam a produção ou outras atividades críticas da empresa.

Mas o que é um ativo? Bom, para responder a isso vamos buscar a definição à ITIL, que é um framework e padrão nas TI. A ITIL define um ativo como qualquer componente que possa contribuir para a prestação de um produto ou serviço de TI. Ou seja, pode ser qualquer coisa, do servidor até às cadeiras onde nos sentamos.

Agora que sabemos o que é um ativo, podemos dizer que o objetivo é listar e categorizar itens como sistemas de informática, equipamentos, instalações físicas, dados e até recursos humanos.

Esta operação inclui também a identificação de informações confidenciais, dados de clientes, propriedade intelectual e outros ativos críticos para o funcionamento do negócio.

 

Passo 2: identificar possíveis ameaças.

O segundo passo que devemos realizar é, uma vez identificados os ativos, analisar e determinar as possíveis ameaças que podem materializar-se e afetar os ativos que identificamos anteriormente.

Nesta etapa, ao pensar em ameaças, é normal acabar por identificar novos ativos que podem ser suscetíveis a ameaças, e por isso existe o passo 9, que é basicamente uma etapa dedicada à melhoria contínua.

Entre as ameaças potenciais encontram-se tanto as ameaças físicas como as ameaças cibernéticas, sendo as primeiras desastres naturais como terremotos, inundações, incêndios, etc., e as últimas casos como vírus, malware, phishing, filtração de dados, falhas de segurança, etc. Também é preciso ter em conta eventos como roubos, ataques terroristas, acidentes, sabotagens, erros humanos e muitos mais.

NOTA: Nunca se esqueça que as ameaças podem ser externas ou internas.

 

Passo 3: avaliar as vulnerabilidades.

Agora que temos os ativos e ameaças identificados, é o momento ideal para rever minuciosamente as possíveis vulnerabilidades que todos os elementos da organização apresentam. Devemos rever todos os sistemas, processos, controlos de segurança, etc. É importante analisar todos os pontos que podem ser explorados.

Nesta etapa devemos incluir todas as lacunas de segurança nos elementos de rede, protocolos, sistemas operativos, etc. Os elementos de software como aplicações, serviços e, sobretudo, sistemas não atualizados e obsoletos, através dos quais uma falha de segurança, um bug ou similar podem ocorrer, também são fulcrais.

NOTA: é uma boa prática manter aplicações e sistemas atualizados, além de manter relatórios de ataques, tendências de segurança ou zero day.

 

Passo 4: calcular o impacto.

Neste ponto devemos pensar no possível impacto que cada uma das ameaças que descrevemos pode ter com base nos pontos anteriores. Além disso, como devemos fazer em cada etapa, trataremos todos os ativos, mas principalmente aqueles que são críticos para a empresa.

A estimativa de impacto deve avaliar vários domínios:

  • O impacto ou custo financeiro.
  • A interrupção operacional da empresa.
  • Perda de dados.
  • O impacto na reputação.
  • E acima de tudo o custo do capital humano.

 

Passo 5: calcular probabilidades de acontecimentos.

Após estes pontos devemos calcular, ou melhor, determinar a probabilidade de que cada uma das ameaças que identificamos nos pontos anteriores se materialize e cause um impacto nos ativos da nossa organização.

Para isso, podem ser utilizados dados sobre análises de tendências, novas avaliações de risco ou avaliações de risco existentes, séries de dados históricos, etc.

 

Passo 6: priorizar os riscos.

Agora que catalogamos as ameaças e a probabilidade de que essas ameaças se materializem, devemos classificar e priorizar os riscos.

Um risco é geralmente descrito pela seguinte fórmula:

RISCO = PROBABILIDADE x IMPACTO.

Descrever o risco permite atribuir os recursos necessários para abordar alguns dos riscos mais urgentes ou mais críticos, ou ambos.

Além disso, geralmente é feita uma matriz, chamada matriz de riscos, que ajuda a identificar graficamente os riscos com um mapa de calor.

Imagem. Matriz de avaliação de riscos e ameaças

 

Passo 7: desenvolver estratégias de mitigação.

Agora que temos tudo identificado e avaliado, é hora de escolher e desenvolver as estratégias e controlos que visam reduzir ou eliminar os riscos, começando, como não poderia deixar de ser, pelos mais críticos e por aqueles que exigem menor esforço para serem eliminados.

Existem basicamente quatro técnicas de gestão:

  • Transferência de risco: Consiste na gestão do risco por um terceiro, como um seguro, um subcontratado, etc.
  • Eliminação do risco: Esta técnica pode ser realizada, por exemplo, retirando uma máquina ou um serviço; noutros casos, é algo improvável.
  • Aceitação do risco: Consiste em rever quanto custa resolver o risco e quanto custa o seu impacto. Se resolvê-lo for mais caro do que o dano que ocorre quando ele se materializa, pode ser assumido. NOTA: esta decisão deve ser perfeitamente justificada e em nenhum caso pode ser aplicada quando há vidas humanas em risco.
  • Mitigação do risco: Ocorre quando não o risco não pode ser completamente eliminado, mas sim minimizado. Isto é o que fazemos, por exemplo, quando construímos clusters de servidores.

 

Passo 8: desenvolver medidas de controlo.

Como tudo na vida, e principalmente quando falamos de segurança, é importante estabelecer e implementar medidas de controlo e mitigação para reduzir os riscos e mantê-los em níveis aceitáveis.

Para tal, deve ser estabelecida na empresa uma política de investimento que conduza à atualização de políticas e procedimentos, bem como à melhoria da tecnologia em geral e mais especificamente à atualização da segurança. É claro que a formação do pessoal técnico, e especificamente do pessoal de segurança informática, bem como a sensibilização de todo o pessoal, deve ser um “must”.

 

Passo 9: Manutenção do modelo.

Por último, devemos estabelecer um processo contínuo de monitorização e revisão de riscos para garantir que as medidas descritas permaneçam atualizadas.

De nada servirá criar uma política de gestão de riscos se não a mantivermos e melhorarmos posteriormente, pois as ameaças são continuamente atualizadas e devemos tentar acompanhá-las.

Para manter corretamente o modelo, devem ser estabelecidas avaliações periódicas de risco, prestar atenção às diferentes fontes para saber quando surgem novas ameaças, como vírus, bugs, vulnerabilidades, novas atualizações, etc., e por fim devemos reajustar continuamente a forma como agimos em caso de ameaça.

 

Resumo e conclusões:

Neste artigo, em que vimos como avaliar riscos e ameaças nas PME, olhámos para uma das estratégias mais comuns para o desenvolvimento de uma política de riscos e ameaças. Para isso, seguimos um método de nove passos que se afasta um pouco das tradicionais políticas de seis passos para, desta forma, facilitar a sua implementação e, sobretudo, a sua manutenção.

Com estes passos, acreditamos que lhe será mais fácil identificar, avaliar riscos e ameaças e geri-los eficazmente. Ao seguir este processo, que pretende evitar que o funcionamento da sua PME seja afetado, estará a proteger os ativos com os quais opera e a garantir a continuidade dos negócios.

Se quiser ver mais artigos relacionados com riscos e continuidade do negócio, recomendamos que visite:

Agradecemos a sua companhia até aqui!

Categorias:Sysadmin

Outros artigos que podem interessar-lhe

11 de Setembro de 2024
Ao longo das próximas linhas, vamos fazer uma breve análise do Windows Server 2025, onde nos concentraremos nas novidades,
3 de Julho de 2024
O Disaster Recovery da Jotelulu é uma solução desenvolvida a pensar nas PME. Que argumentos deve a empresa de
2 de Julho de 2024
Acompanhe-nos neste artigo se quiser conhecer as principais chaves para entender um plano de Disaster Recovery com a JOTELULU.