O que é uma análise de risco e qual a importância deste processo?

Como parte do Sistema de Gestão de Segurança da Informação, é necessário que as empresas realizem uma gestão de riscos adequada que lhe permita saber quais são as principais vulnerabilidades de seus ativos de informação e quais são as ameaças que podem explorar essas falhas. Na medida em que a empresa tiver clareza sobre esta identificação de riscos, ela poderá estabelecer medidas preventivas e corretivas viáveis que garantam níveis mais altos de segurança digital.

Há muitas metodologias que são usadas para o gerenciamento de riscos, mas todas partem de um ponto em comum: a identificação dos ativos de informação, ou seja, todos os recursos envolvidos no gerenciamento de informações, desde dados e hardware até documentos escritos e recursos humanos. A identificação de ameaças ou riscos e de vulnerabilidades é baseada nestes ativos de informação.

Neste caso, uma ameaça é definida como um evento que pode afetar os ativos de informação e que esteja relacionado com o recurso humano, eventos naturais ou falhas técnicas, como ataques digitais externos, erros ou omissões de profissionais da empresa, infecções por malware, terremotos, tempestades elétricas ou picos de energia.

Por outro lado, uma vulnerabilidade é uma característica de um ativo de informação e representa um risco à segurança da informação. Quando uma ameaça se concretiza e há uma falha que pode ser explorada, há uma exposição a algum tipo de perda para a empresa. Por exemplo, senhas fracas em sistemas e uma rede de dados protegida de forma inadequada podem ser exploradas por ataques cibernéticos externos.

Para que a empresa possa tomar decisões sobre como lidar com os diferentes riscos, é necessário fazer uma avaliação para determinar quais riscos são mais críticos. Esta avaliação geralmente é feita em termos da probabilidade de ocorrência do risco e do impacto de sua materialização. A avaliação do impacto pode ser medida através de vários fatores: a perda econômica, se for possível quantificar o valor total de dinheiro perdido, a reputação da empresa, dependendo se o risco pode afetar a imagem da empresa no mercado ou de acordo com o nível de afetação pela perda ou dano de informações.

Neste momento, os principais riscos que podem afetar os ativos de informação da empresa devem ser identificados e avaliados. Mas será que é suficiente saber o que pode acontecer? A resposta é não. Uma vez identificadas as ameaças, a parte mais importante da análise de riscos é a identificação dos controles para mitigar a possibilidade de ocorrência da ameaça ou para mitigar seu impacto. As medidas de controle que uma empresa pode adotar estarão relacionadas ao tipo de ameaça e ao nível de exposição que ela representa para as informações corporativas.

Uma empresa pode lidar com um risco de quatro maneiras diferentes: aceitar, transferir, mitigar ou evitar. Se um risco não for suficientemente crítico para a empresa, a medida de controle pode ser aceitá-lo, ou seja, estar ciente de que o risco existe e monitorá-lo. Se o risco representar uma ameaça significativa à segurança das informações, pode-se tomar a decisão de transferir ou mitigar o risco.

A primeira opção está relacionada à contratação de alguma forma de seguro para reduzir o valor de uma possível perda, e a segunda está relacionada à implementação de medidas preventivas ou corretivas para reduzir a probabilidade ou o impacto do risco. Por fim, se o nível de risco for muito alto para a empresa assumir, ela pode optar por evitar o risco eliminando os ativos de informação ou a atividade associada.

O gerenciamento de riscos deve garantir à empresa a tranquilidade de ter identificado seus riscos e os controles que lhe permitirão agir caso eles se materializem ou simplesmente evitar que ocorram. Este gerenciamento deve manter um equilíbrio entre o custo de uma atividade de controle, a importância do ativo de informação para os processos da empresa e o nível de criticidade do risco.