IT Risk Assessment

Checklist

Identifique seus riscos para iniciar

um programa de mitigação de
riscos de primeiro nível
O que é avaliação de risco de TI??
Com as ameaças a dados confidenciais crescendo em número e sofisticação todos os dias, as organizações não
podem definir uma abordagem dispersa da segurança. Em vez disso, eles precisam focar seus orçamentos e
recursos de TI limitados nas vulnerabilidades específicas em sua postura de segurança exclusiva.

Para fazer isso, eles precisam identificar, analisar e priorizar os riscos à confidencialidade, integridade ou
disponibilidade de seus dados ou sistemas de informação, com base na probabilidade do evento e no nível de
impacto que ele teria sobre os negócios. Esse processo é chamado de avaliação de risco de TI.

A avaliação de riscos é principalmente um conceito de negócios e trata-se de dinheiro. Você deve pensar
primeiro em como sua organização ganha dinheiro, como funcionários e ativos afetam a rentabilidade dos
negócios e quais riscos podem resultar em grandes perdas monetárias para a empresa. Depois disso, você deve
pensar em como aprimorar sua infraestrutura de TI para reduzir os riscos que podem levar às maiores perdas
financeiras para a organização.

A avaliação básica de riscos envolve apenas três fatores: a importância dos ativos em risco, a importância da
ameaça e a vulnerabilidade do sistema a essa ameaça. Usando esses fatores, você pode avaliar o risco - a
probabilidade de perda de dinheiro por sua organização. Embora a avaliação de risco seja sobre construções
lógicas, não sobre números, é útil representá-la como uma fórmula:

Risco = Ativo * Ameça * Vulnerabilidade

Embora o risco seja representado aqui como uma fórmula matemática, não se trata de números; é uma
construção lógica. Por exemplo, suponha que você queira avaliar o risco associado à ameaça de hackers
comprometerem um sistema específico. Se sua rede estiver muito vulnerável (talvez porque você não tenha
firewall e nenhuma solução antivírus) e o ativo seja crítico, seu risco é alto. No entanto, se você tiver boas
defesas de perímetro e sua vulnerabilidade for baixa, e mesmo que o ativo ainda seja crítico, seu risco será
médio.

Há dois casos especiais a serem lembrados:

Qualquer coisa que seja zero é zero. Se qualquer um dos fatores for zero, mesmo se os outros forem
altos ou críticos, seu risco será zero.

Risco implica incerteza. Se algo é garantido para acontecer, não é um risco.

2
Por que você precisa da avaliação de riscos de TI?
A avaliação de riscos de TI deve ser a base de sua estratégia de segurança de TI para entender quais eventos
podem afetar sua organização de maneira negativa e quais falhas de segurança representam uma ameaça
para suas informações críticas, para que você possa tomar melhores decisões de segurança e tomar medidas
proativas mais inteligentes.

A avaliação de riscos de TI ajuda a determinar as vulnerabilidades nos sistemas de informação e no ambiente

de TI mais amplo, a probabilidade de ocorrência de um evento de risco e a classificação dos riscos com
base na estimativa de risco combinada com o nível de impacto que causaria se ocorresse.

A avaliação de riscos de TI é exigida por muitos regulamentos de conformidade. Por exemplo, se sua
organização deve obedecer ao HIPAA ou pode enfrentar auditorias de GDPR, a avaliação de risco de
segurança da informação é essencial para sua organização, a fim de minimizar o risco de não conformidade
e grandes multas.

#1
Colete as informações necessárias para avaliar os riscos. Aqui estão algumas maneiras de fazer isso:

Gerenciamento de entrevistas, proprietários de dados e outros funcionários

Analise seus sistemas e infraestrutura

Revisar a documentação

#2
Encontre todos os ativos valiosos da organização que podem ser danificados pelas ameaças. Aqui estão
alguns exemplos:

Servidores

Website

Informação de contato de clientes

Segredos comerciais

Dados de cartão de crédito

Como a maioria das organizações tem um orçamento limitado para avaliação de riscos, você provavelmente terá
que limitar o escopo do projeto a ativos de missão crítica. Portanto, você precisa definir um padrão para
determinar a importância de cada ativo. Os critérios comuns incluem o valor monetário do ativo, posição legal e
importância para a organização. Depois que o padrão for aprovado pela gerência e formalmente incorporado à
política de segurança de avaliação de riscos, use-o para classificar cada ativo que você identificou como crítico,
maior ou menor.

3
#3
Identifique possíveis consequências. Determine que mal a organização sofreria se um determinado ativo
fosse danificado. Esse é um conceito de negócio, a probabilidade de perdas sejam elas financeiras ou não.
Aqui estão algumas conseqüências com as quais você deve se preocupar:

Consequências legais. Se alguém roubar os dados de um dos seus bancos de dados, mesmo que estes
dados não sejam valiosos, você pode ser multado e arcar com outros custos legais por falhar em cumprir
com os requisitos de segurança de proteção de dados da HIPPA, PCI DSS e outras conformidades.

Perda de dados. O roubo de segredos comerciais pode fazer com que você perca negócios para seus
concorrentes. O roubo de informações do cliente pode resultar em perda de confiança e atrito com o
cliente.

Tempo de inatividade do sistema ou aplicativo. Se um sistema falhar em desempenhar sua função

principal, os clientes podem não conseguir fazer pedidos, os funcionários podem não conseguir realizar
suas tarefas ou se comunicar, e assim por diante.
#4
Identifique ameaças e seu nível. Uma ameaça é qualquer coisa que possa explorar uma vulnerabilidade para
violar sua segurança e causar danos aos seus ativos. Aqui estão alguns tipos comuns de ameaças:

Desastres naturais. Inundações, furacões, terremotos, incêndio e outros desastres naturais podem
destruir muito mais do que um hacker. Você pode perder não apenas dados, mas também os servidores e
dispositivos. Ao decidir onde alojar seus servidores, pense nas chances de um desastre natural. Por
exemplo, não coloque sua sala de servidores no primeiro andar se sua área tiver um alto risco de
inundações.

Falha de sistema. A probabilidade de falha do sistema depende da qualidade do seu computador. Para
equipamentos relativamente novos e de alta qualidade, a chance de falha no sistema é baixa. Mas se o
equipamento for antigo ou de um fornecedor sem nome, a chance de falha é muito maior. Portanto, é
aconselhável comprar equipamentos de alta qualidade ou, pelo menos, equipamentos com bom suporte.

Interferência humana acidental. O nível dessa ameaça é sempre alta, não importa em que negócio
você esteja. Qualquer pessoa pode cometer erros, como excluir acidentalmente arquivos importantes, clicar
em links de malware ou danificar acidentalmente uma parte do equipamento. Portanto, você deve
fazer backup regularmente de seus dados, incluindo configurações do sistema, ACLs e outras
informações de configuração, e acompanhar cuidadosamente todas as alterações nos sistemas críticos.

Humanos maliciosos. Existem três tipos de comportamento malicioso:

Interferência é quando alguém causa danos aos seus negócios, excluindo dados, criando um DDOS
(Distributed Denial of Service) distribuído no site, roubando fisicamente um computador ou servidor e
assim por diante.

Interceptação é o hacking clássico, onde eles roubam seus dados.

Representação é o uso indevido das credenciais de outra pessoa, que geralmente são adquiridas por
ataques de engenharia social ou força bruta ou compradas na dark web.

4
#5
Analisar controles. Analise os controles existentes ou no estágio de planejamento para minimizar ou eliminar a
probabilidade de uma ameaça explorar a vulnerabilidade no sistema. Os controles podem ser implementados
por meios técnicos, como hardware ou software de computador, criptografia, mecanismos de detecção de
intrusões e subsistemas de identificação e autenticação. Os controles não técnicos incluem políticas de
segurança, ações administrativas e mecanismos físicos e ambientais.

Os controles técnicos e não técnicos podem ainda ser classificados como controles preventivos ou detectivos.
Como o nome indica, os controles preventivos tentam antecipar e interromper os ataques. Exemplos de
controles técnicos preventivos são dispositivos de criptografia e autenticação. Os controles de detetive são
usados para descobrir ataques ou eventos por meios como trilhas de auditoria e sistemas de detecção de
intrusão.

#6
Identifique vulnerabilidades e avalie a probabilidade de sua exploração. Uma vulnerabilidade é uma
fraqueza que permite que alguma ameaça viole sua segurança e cause danos a um ativo. As vulnerabilidades
podem ser físicas, como equipamentos antigos, ou um problema com o design ou configuração de software,
como permissões de acesso excessivas ou estações de trabalho sem patch.

As vulnerabilidades podem ser identificadas por meio da análise de vulnerabilidades, relatórios de auditoria,
banco de dados de vulnerabilidades do NIST, dados do fornecedor, equipes de resposta a incidentes com
computadores comerciais e análise de segurança do software do sistema.

Testar o sistema de TI também é de suma importancia na identificação de vulnerabilidades. Os testes podem

incluir o seguinte:
Procedimentos de teste e avaliação de segurança da informação (ST&E)

Técnicas de teste de penetração Ferramentas automatizadas de verificação

de vulnerabilidades

Você pode reduzir suas vulnerabilidades baseadas em software com o gerenciamento adequado de patches.
Mas não se esqueça das vulnerabilidades físicas. Por exemplo, mover a sala do servidor para o segundo andar
do edifício reduzirá bastante sua vulnerabilidade à inundação.

#7
Avalie o impacto que uma ameaça poderia ter. A análise de impacto deve incluir os seguintes fatores:

A missão do sistema, incluindo os processos implementados pelo sistema

A criticidade do sistema, determinada por seu valor e o valor dos dados para a organização

A sensibilidade do sistema e seus dados

5
As informações necessárias para realizar uma análise de impacto podem ser obtidas na documentação
organizacional existente, incluindo uma análise de impacto nos negócios (BIA) (ou relatório de análise de impacto
na missão, como às vezes é chamado). Este documento utiliza meios quantitativos ou qualitativos para
determinar o impacto que seria causado por comprometimento ou dano aos ativos de informação da
organização.

Um ataque ou evento adverso pode resultar em comprometimento ou perda da confidencialidade, integridade e

disponibilidade do sistema de informações. Assim como na determinação da probabilidade, o impacto no
sistema pode ser avaliado qualitativamente como alto, médio ou baixo.

Os seguintes itens adicionais devem ser incluídos na análise de impacto:

A frequência estimada da exploração de uma vulnerabilidade pela ameaça anualmente

O custo aproximado de cada uma dessas ocorrências

Um fator de peso baseado no impacto relativo de uma ameaça específica que explora uma

vulnerabilidade específica

#8
Priorize os riscos de segurança da informação. Para cada par de ameaças / vulnerabilidades, determine o
nível de risco para o sistema de TI, com base no seguinte:

A probabilidade de a ameaça explorar a vulnerabilidade

O impacto da ameaça que explora com êxito a vulnerabilidade

A adequação dos controles de segurança do sistema de informações existentes ou planejados para eliminar ou

reduzir o risco

Uma ferramenta útil para estimar riscos dessa maneira é a matriz no nível de risco. Uma alta probabilidade de
que a ameaça ocorra recebe um valor de 1,0; uma probabilidade média recebe um valor de 0,5; e uma baixa
probabilidade de ocorrência recebe uma classificação de 0,1. Da mesma forma, um nível de impacto alto recebe
um valor de 100, um nível médio de impacto 50 e um nível baixo de impacto 10. O risco é calculado
multiplicando o valor da probabilidade da ameaça pelo valor do impacto, e os riscos são classificados como alto,
médio ou baixo com base no resultado.

#9
Recomendar controles. Usando o nível de risco como base, determine as ações que a gerência sênior e outras
pessoas responsáveis devem executar para mitigar o risco. Aqui estão algumas diretrizes gerais para cada nível
de risco:

Alto— Um plano para medidas corretivas deve ser desenvolvido o mais rápido possível.

Médio—Um plano para medidas corretivas deve ser desenvolvido dentro de um período de tempo razoável.

Baixo — A equipe deve decidir se aceita o risco ou implementa ações corretivas.

6
Ao considerar controles para mitigar cada risco, certifique-se de considerar:

Políticas organizacionais

Análise de custo-benefício

Impacto operacional

Viabilidade

Regulamentos aplicáveis

A eficácia geral dos controles recomendados

Segurança e confiabilidade

#10
Documente os resultados. A etapa final do processo de avaliação de riscos é desenvolver um relatório de
avaliação de riscos para apoiar a gerência na tomada de decisões apropriadas sobre orçamento, políticas,
procedimentos e assim por diante. Para cada ameaça, o relatório deve descrever as vulnerabilidades
correspondentes, os ativos em risco, o impacto na sua infraestrutura de TI, a probabilidade de ocorrência e as
recomendações de controle. Aqui está um exemplo muito simples:

Probabilidade Recomendações
Ameaça Vulnerabilidade Ativo Impacto Risco
de controle

Falha no sistema Sistemas de ar Servidores Todos os serviços Alto Alto Compre um novo
- condicionado (site, email, etc.) A temperatura Perda potencial ar condicionado,
Superaquecimen tem dez anos ficarão indisponíveis atual na sala do de US $ 50.000 custo de US $
Crítico
to na sala do por pelo menos 3 servidor é de por ocorrência 3.000
servidor Alto horas 40 ° C
Alto Crítico

Humano Firewall: Website Os recursos do site Médio Médio Monitorar o firewall

malicioso Monitore o Crítico não estarão DDOS foi
Perda
(interferência) - firewall, e tenha disponíveis. descoberto uma
potencial de
ataque DDOS mitigação de Crítico vez em 2 anos US $ 10.000
Alto DDoS
por hora de
Baixo tempo de Control
inatividade Recommendations

Desastres naturais A sala do Servidores Todos os serviços Baixo Baixo Nenhuma ação
- servidor fica Crítico estarão necessária
A última
inundações no 3º andar indisponíveis inundação na
Baixo Crítico área aconteceu
Alto há 10 anos

Interferência As permissões Arquivos Dados críticos Médio Baixo Continue

humana acidental são configuradas em um podem ser monitorando
- Exclusões corretamente; O comparti perdidos, mas alterações de
acidentais de software de lhament quase permissões, usuários
arquivos auditoria de TI o de certamente privilegiados e
Alto está em vigor; arquivo podem ser backups
backups são restaurados do
feitos Médio backup
regularmente Baixo
Baixo

7
Você pode usar seu relatório de avaliação de riscos para identificar as principais etapas de correção que
reduzirão vários riscos. Por exemplo, garantir que os backups sejam feitos regularmente e armazenados no
local atenuará o risco de exclusão acidental de arquivos e também o risco de inundação. Cada uma dessas
etapas deve ter o custo associado e fornecer um benefício real na redução dos riscos. Lembre-se de se
concentrar nos motivos comerciais para cada implementação de melhoria.

#11
Crie uma estratégia para aprimoramentos da infraestrutura de TI para mitigar as vulnerabilidades mais
importantes e obter o logon de gerenciamento ff.

#12
Definir processos de mitigação. Você pode melhorar sua infraestrutura de segurança de TI, mas não pode
eliminar todos os riscos. Quando um desastre acontece, você fixa o que aconteceu, investiga por que aconteceu
e depois tenta impedir que isso aconteça novamente ou, pelo menos, tornar as consequências menos
prejudiciais.

Ao trabalhar com esse processo, você terá uma idéia melhor de como a empresa e sua infraestrutura operam
e como ela pode funcionar melhor. Em seguida, você pode criar uma política de avaliação de risco que defina o
que a organização deve fazer periodicamente (anualmente em muitos casos), como o risco deve ser tratado e
atenuado (por exemplo, uma janela de vulnerabilidade mínima aceitável) e como a organização deve realizar
empresas subsequentes. avaliações de risco para seus componentes de infraestrutura de TI e outros ativos.

Lembre-se sempre de que os processos de avaliação de riscos de segurança das informações e de

gerenciamento de riscos corporativos são o coração da segurança cibernética. Esses são os processos que
estabelecem as regras e diretrizes de todo o gerenciamento de segurança da informação, fornecendo
respostas para quais ameaças e vulnerabilidades podem causar danos financeiros aos nossos negócios e como
eles devem ser mitigados.

8
Sobre o Netwrix
A Netwrix Corporation é uma empresa de software focada exclusivamente em fornecer às equipes de
segurança e operações de TI uma visibilidade abrangente do comportamento do usuário, configurações do
sistema e sensibilidade dos dados nas infraestruturas híbridas de TI para proteger os dados,
independentemente de sua localização. Mais de 9.000 organizações em todo o mundo confiam no Netwrix
para detectar e mitigar proativamente as ameaças à segurança de dados, passar nas auditorias de
conformidade com menos esforço e despesa e aumentar a produtividade de suas equipes de TI.

Fundada em 2006, a Netwrix ganhou mais de 140 prêmios do setor e foi nomeada para as listas Inc. 5000 e
Deloitte Technology Fast 500 das empresas que mais crescem nos EUA.

Sobre a AIQON
Estamos há 8 anos trabalhando para oferecer soluções que todos os dias auxiliam nossos clientes a
otimizarem seus ambientes de TI. Nossa equipe acompanha de perto cada cliente, garantindo resultados
imediatos e mensuráveis já durante o período de testes.

A AIQON é parceira exclusiva da Netwrix Corporation no Brasil.

AIQON
Av. Prof. Alceu Maynard de Araújo, 153 cj11 - Vila Cruzeiro, São Paulo/SP
Telefone: (11) 2306-2990 contato@aiqon.com.br aiqon.com.br