À medida que sua empresa adota sua estratégia de transformação digital, você aumenta sua dependência de provedores de serviços em nuvem (CSPs). Com mais fornecedores acessando suas informações, você aumenta a complexidade do seu programa de gerenciamento de riscos corporativos.
Além de fornecedores terceirizados, provedores de serviços de quarta ou quinta parte que sofrem uma violação de dados podem deixar as informações de sua organização vulneráveis a hackers mal-intencionados. Compreender sobre gerenciamento de risco de informações e como mitigar esses riscos pode ser o primeiro passo para proteger você e seus clientes.
O que é risco de informação?
O risco de informação é um cálculo baseado na probabilidade de um usuário não autorizado impactar negativamente a confidencialidade, integridade e disponibilidade dos dados que você coleta, transmite ou armazena. Mais especificamente, você precisa revisar todos os ativos de dados para garantir:
- Confidencialidade: Estabeleça e aplique controles de autorização apropriados para que apenas os usuários que precisam de acesso tenham acesso
- Integridade: estabeleça e aplique controles que impeçam a alteração de informações sem a permissão do proprietário dos dados
- Disponibilidade: Estabeleça e aplique controles que impeçam que sistemas, redes e software fiquem fora de serviço
O que é gerenciamento de riscos de tecnologia da informação (TI)?
O gerenciamento de riscos de tecnologia da informação consiste nas políticas, procedimentos e tecnologias que uma empresa usa para mitigar ameaças de hackers mal-intencionados e reduzir vulnerabilidades de tecnologia da informação que afetam negativamente a confidencialidade, integridade e disponibilidade dos dados.
Qual é a importância do gerenciamento de riscos de TI?
Ao identificar e analisar potenciais vulnerabilidades com uma rede de tecnologia da informação corporativa, as empresas podem se preparar melhor para ataques cibernéticos e trabalhar para minimizar o impacto de um vazamento de dados, caso ocorra. Os procedimentos e políticas implementadas com um programa de gerenciamento de riscos de tecnologia da informação podem ajudar a orientar a tomada de decisões futuras. Sobretudo de como controlar os riscos de crimes cibernéticos, dando espaço para que os líderes se concentrem nos objetivos da empresa.
Quais são as cinco etapas do processo de gerenciamento de riscos da informação?
As etapas críticas que as empresas envolvidas em um programa de gerenciamento de riscos de tecnologia da informação precisam executar incluem identificar a localização das informações, analisar o tipo de informação, priorizar o risco, estabelecer uma tolerância ao risco para cada ativo de dados e monitorar continuamente a rede de tecnologia da informação da empresa.
Vamos explorar a aparência de cada uma dessas etapas e por que cada uma é relevante para um programa eficaz de gerenciamento de riscos de tecnologia da informação:
1. Identificar potenciais pontos de vulnerabilidade
Conceitualmente, identificar os locais onde seus dados residem parece bastante simples. A maioria das empresas começa com seus bancos de dados ou aplicativos colaborativos. No entanto, à medida que mais empresas adotam estratégias que priorizam a nuvem ou somente a nuvem, os dados se tornam mais dispersos e vulneráveis a ameaças cibernéticas.
As organizações não armazenam mais apenas dados em servidores locais. Muitos agora usam locais de armazenamento sem servidor ou outros baseados em nuvem, como unidades compartilhadas. Além disso, muitas empresas coletam dados de novas maneiras, como por meio de portais da Web voltados para o cliente. Novos canais de transmissão de dados, como e-mail e serviços de mensagens, também mudam a forma como as organizações compartilham informações com stakeholders internos e externos.
Os locais de coleta, transmissão e armazenamento de dados baseados em nuvem representam um risco maior de roubo porque as empresas geralmente não têm visibilidade da eficácia de seus controles de proteção. Assim, o hardware do servidor em um local pode ser um risco menor do que um servidor baseado em nuvem. Ao se envolver em uma análise de gerenciamento de risco de informações, você precisa identificar a miríade de locais e usuários que “tocam” em suas informações.
2. Analise os tipos de dados
Você não apenas precisa saber onde seus dados residem, mas, também, quais dados você coleta. Nem todos os tipos de dados são criados igualmente. As informações de identificação pessoal (PII) incluem dados como nome, data de nascimento, CPF ou até mesmo endereço IP. Como os hackers mal-intencionados geralmente visam as PII, para poder vendê-las na Dark Web, as informações são um ativo de alto risco.
3. Avaliar e priorizar o risco da informação
Agora que você revisou todos os ativos de dados e os classificou, precisa analisar o risco sobre cada tipo de ativo de dados que reside em um local específico. Você precisa determinar como o risco que cada um representa, se sobrepõe e facilita um potencial ataque de um hacker mal-intencionado. A melhor maneira de fazer isso é calcular:
Nível de risco = Probabilidade de uma violação de dados X Impacto financeiro de uma violação de dados
Por exemplo, um ativo de dados de baixo risco, como um arquivo da sua empresa sem inteligência de negócio, pode estar em um local de alto risco, como uma ferramenta de compartilhamento de arquivos. Porém, a consequência de um ataque, como o impacto financeiro em sua empresa nesse caso é mínimo. Assim, isso pode ser categorizado como risco baixo ou moderado.
Enquanto isso, um ativo de dados de alto risco, como um arquivo médico do consumidor, em um local de risco moderado, como uma nuvem privada, levaria a um grande impacto financeiro . Dessa forma, gerando um grande prejuízo a sua empresa.
4. Defina uma tolerância a riscos e estabeleça processos de gerenciamento de riscos de TI
Definir sua tolerância ao risco significa decidir se deve aceitar, transferir, mitigar ou recusar o risco. Um exemplo de controle para transferência de risco pode ser a compra de um seguro contra riscos cibernéticos. Um exemplo de controle para mitigar o risco pode ser a instalação de um firewall para impedir o acesso ao local onde os dados residem.
Controles de mitigação, como firewalls ou criptografia, atuam como barreiras de crimes cibernéticos. No entanto, mesmo os controles de mitigação podem falhar.
5. Monitore continuamente através do gerenciamento de riscos
Atores maliciosos nunca param de desenvolver suas metodologias de ameaças. À medida que as empresas melhoram a identificação e a proteção contra novas cepas de ransomware, os hackers mal-intencionados responderam concentrando-se mais em criptomoedas e phishing. Em outras palavras, os controles eficazes de hoje podem ser os pontos fracos de amanhã.
