Machine Translated by Google

Modelo de Risco Coletivo (CRM)

(Versão 2021 – maio de 2021)

EDITADO POR JAMES TARALA E KELLI K. TARALA

DIREITOS AUTORAIS © 2021 ENCLAVE SEGURANÇA

CREATIVE COMMONS – ATRIBUIÇÃO – COMPARTILHE IGUALMENTE 4.0

Machine Translated by Google

“ Por que toda

organização deveria estar
sozinha em seu gerenciamento de
Ao colaborar em práticas
pragmáticas de
gestão de riscos, somos
livres para nos concentrarmos
na defesa contra as
ameaças comuns que
todos enfrentamos. ”
Machine Translated by Google

A versão 2021 do Modelo de Risco Coletivo (CRM) é um projeto conduzido pela comunidade. É o resultado
de inúmeras conversas entre profissionais de segurança cibernética em videoconferências, jantares, nos
corredores de conferências de segurança e em inúmeras trocas de e-mail. Este é o primeiro lançamento oficial e
formal de um modelo simples e prático que a comunidade pode usar como modelo para gerenciar riscos de
segurança cibernética.

Scott Adams, famoso por Dilbert™, alerta – nunca seja o criador, seja sempre o crítico. Os criadores
se abrem ao ataque e à crítica. É melhor, diz ele, mostrar a sua superioridade moral e intelectual criticando o
trabalho de outra pessoa do que criar algo você mesmo. Com este projeto, estamos violando esse
princípio ao organizar essas conversas, diagramas de guardanapos e trocas de e-mail em um repositório para
a comunidade.

Este esforço é um trabalho em andamento. Acreditamos que a versão 2021 será em breve substituída por uma
versão mais valiosa, juntamente com futuras atualizações e ciclo de melhorias que se seguirão. A comunidade precisa de
um modelo de risco com uma linguagem simples e um roteiro facilmente acessível para começar a gerir os riscos
de segurança cibernética. Esperamos que este seja um ponto de partida nessa direção.

Se você tiver sugestões ou quiser ajudar, entre em contato conosco pelo e-mail abaixo. Este continuará a ser um esforço
comunitário. Este modelo foi concebido para evoluir ao longo do tempo e esperamos que este documento continue durante anos
vir.

James Tarala
Kelli K. Tarala
Pesquisadores de segurança, Enclave Security
pesquisa@enclavesecurity.com
Machine Translated by Google

Índice
Índice............................................... .................................................. ....................................3

Introdução: Qual é o problema?......................................... .................................................. ...............4

Colaboradores.................................................. .................................................. ...........................................5

Definições ................................................. .................................................. ...........................................6

Uma abordagem em duas fases para o gerenciamento de riscos.................................... ....................................................7

Fase Um: Gerenciamento de Riscos para Seleção de Controles................................... ...........................................7

Fase Dois: Avaliação de Risco para Análise de Lacunas.................................. ................................................8

Ciclo de Vida do Gerenciamento de Riscos: Visão Geral...................................... .................................................. ........9

Ciclo de Vida do Gerenciamento de Riscos: Inventário de Ameaças ..................................... ............................................. 10

Ciclo de Vida do Gerenciamento de Riscos: Modelagem de Ameaças.................................. ............................................. 11

Ciclo de Vida do Gerenciamento de Riscos: Controlar o Inventário............................ ........................................... 12

Ciclo de vida do gerenciamento de riscos: mapeando ameaças para controles .................................................. .................... 13

Ciclo de Vida de Gestão de Riscos: Priorização de Controle .................................................. ................................ 13

Ciclo de Vida de Gestão de Risco: Classificação de Ativos .................................................. ................................. 14

Ciclo de Vida do Gerenciamento de Riscos: Implementação do Controle......................................... ................................... 15

Ciclo de Vida de Gerenciamento de Risco: Validação de Controle .................................................. .................................... 16

Ciclo de Vida do Gerenciamento de Riscos: Relatórios de Riscos..................................... ................................................ 16

Ciclo de Vida do Gerenciamento de Riscos: Resposta ao Risco............................. ................................................ 17

Níveis de maturidade em gerenciamento de riscos.................................... .................................................. .......... 18

Considerações Finais.................................................. .................................................. ........................... 19

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 3

Machine Translated by Google

Introdução: Qual é o problema?

Diariamente, as organizações enfrentam recursos limitados e prioridades concorrentes nos seus programas de segurança cibernética em curso. Raramente

as organizações têm orçamentos, pessoal e recursos de tempo ilimitados para investir em aspectos das suas operações, muito menos na qualquer

segurança cibernética. Isto significa que as organizações devem definir metodologias para priorizar os seus recursos e o seu foco

nessas áreas de operações, a fim de trazer à organização o melhor retorno para os seus investimentos, alinhado com as suas prioridades globais de

negócios. As atividades programáticas de segurança cibernética não são exceção a este dilema.

Além da questão das prioridades concorrentes, a ameaça altamente visível dos ataques cibernéticos e das violações de dados está a atrair a atenção

de executivos empresariais e legisladores em todo o mundo e estes ataques e violações são muitas vezes o resultado de uma má compreensão

dos riscos de segurança cibernética. Os líderes seniores de organizações de todos os setores questionam-se se deram prioridade às

atividades apropriadas para proteger as suas organizações contra ataques cibernéticos e violações de dados. Para aumentar esta confusão, regularmente

autoproclamados especialistas em segurança cibernética oferecem conselhos concorrentes sobre como as organizações devem priorizar melhor as

suas defesas contra esta ameaça crescente. A confusão e os atrasos na implementação de salvaguardas adequadas parecem ser um resultado

universal.

Existem muitas metodologias genéricas de gerenciamento de riscos e as organizações podem personalizá-las para atender às suas necessidades

de segurança cibernética. No entanto, muitos destes padrões genéricos são excessivamente vagos e não fornecem às organizações ideias

práticas e específicas que possam usar para criar uma estratégia defensiva para lidar com esta confusão e incerteza. Este Modelo de Risco

Coletivo (CRM) propõe uma metodologia para priorizar

atividades de segurança cibernética e fornece orientação sobre a melhor forma de implementar um ciclo de vida de gerenciamento de riscos de segurança

cibernética.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 4

Machine Translated by Google

Colaboradores
Nenhum projeto deste tamanho é trabalho de apenas uma pessoa. Felizmente, no momento da publicação
desta versão do Modelo de Risco Coletivo (CRM), tivemos inúmeras organizações internacionais contribuindo
para o esforço.

O trabalho inicial foi realizado por muitas das mesmas pessoas que contribuíram para os controles críticos de segurança
do Center for Internet Security (CIS Controls). E este projeto foi criado a partir da urgência de uma forma formal de
determinar como priorizar a seleção de controles com base nas prioridades de ameaças. Como tal, muitos dos colaboradores
desse projeto original foram fundamentais no desenvolvimento deste modelo de risco.

O trabalho neste Modelo de Risco Coletivo (CRM) tem sido um esforço internacional. Representantes de numerosos países e
grupos internacionais contribuíram com o seu tempo e recursos para o desenvolvimento deste esforço. No futuro, esperamos
continuar a receber um apoio tão amplo para ajudar a garantir que a informação produzida possa ser útil para qualquer membro
da comunidade global da Internet.

Muitas vezes as pessoas perguntam se este modelo é específico para um determinado setor. A resposta é não, tem sido
correlacionada por um grupo diversificado de organizações que procuram desenvolver uma compreensão ampla do risco.
No entanto, quer uma organização trabalhe no setor de energia, serviços financeiros ou saúde, se utilizar um servidor Linux ou
um roteador de rede, os riscos para cada sistema muitas vezes se sobrepõem, independentemente do setor.

Dito isto, ao longo dos últimos anos tem havido uma série de colaboradores dedicados a este projeto, juntamente com a Taxonomia
de Ameaças Coletivas e o Catálogo de Controle Coletivo, representando organizações como:

ÿ Instituto SANS

ÿ Instituto de Segurança de Rede Aplicada (IANS)

ÿ Segurança da Informação de Black Hills (BHIS)
ÿ O Departamento de Segurança Interna dos EUA e outras agências federais dos EUA
ÿ Federal Bureau of Investigation (FBI) dos EUA
ÿ NATO, União Europeia e outros governos internacionais
ÿ Governos Estaduais e Municipais dos EUA
ÿ Fornecedores de tecnologia da informação e segurança
ÿ Bancos, Private Equity, Fundos Monetários e outros em Serviços Financeiros ÿ Setor de
Energia e outros que utilizam Sistemas de Controle Industrial
ÿ Provedores de seguros e cuidados de saúde clínicos
ÿ Universidades e outras instituições educacionais

Agradecemos sinceramente a todas as pessoas que dedicaram o seu tempo para tornar este projeto uma realidade e esperamos
continuar a ver mais organizações a envolverem-se no projeto, a fim de tornar este um recurso mais útil no futuro.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 5

Machine Translated by Google

Definições
Para começar é importante definir os termos que serão utilizados ao longo deste modelo de risco. No campo da gestão de riscos há muita
confusão em relação aos termos que as organizações escolhem empregar. Na verdade, nenhuma palavra carrega consigo um maior sentido de
imprecisão e confusão do que a própria palavra “risco”. Os autores deste modelo questionam-se muitas vezes se as organizações deveriam banir

completamente a palavra dos seus léxicos e começar a usar uma terminologia mais específica em seu lugar.

Ao longo deste documento haverá uma série de termos, que são elementos de risco, que serão utilizados.

Para garantir que as organizações o façam de forma consistente, cada um destes termos deve ser claramente definido, da forma mais simples
possível, para garantir a consistência na linguagem. Os seguintes termos são termos que devem ser usados em todo este modelo, com uma
definição fornecida:

Ativo

“Um componente de um sistema ou dados de informação geral.”

Controle ou Salvaguarda “Um

processo ou tecnologia implementada para ajudar a garantir que uma organização seja capaz de atingir um objetivo de negócios.”

Criticidade “O
valor comercial de um ativo de informação.”

Risco de segurança

cibernética “O potencial de danos aos sistemas de informação ou aos dados impedirá uma organização de atingir seus objetivos gerais de
negócios.”

Ameaça à segurança cibernética

“O potencial de algo causar danos a um sistema de informação.”

Vulnerabilidade de segurança cibernética

“Uma fraqueza que pode permitir a concretização de uma ameaça à segurança cibernética.”

Probabilidade de ameaça “A

probabilidade de uma ameaça à segurança cibernética ser concretizada.”

Remediação ou mitigação de riscos “Minimizar

ou eliminar o potencial de realização de um risco.”

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 6

Machine Translated by Google

Uma abordagem em duas fases para o gerenciamento de riscos

Nas estratégias modernas de gestão de riscos de segurança cibernética, há uma grande confusão quanto à gestão de riscos. propósito
Sem um propósito claro, a metodologia ou as etapas da gestão dos riscos de segurança cibernética permanecem obscuras. As
organizações lutam com definições claras para termos como risco, ameaça ou vulnerabilidade.
Sem definições claras, uma organização não pode construir um processo claro. Muitos modelos de risco concentram-se nos aspectos
acadêmicos do risco, e não na praticidade de compreender e limitar o risco. Simplificámos o ciclo de vida da gestão de riscos de
cibersegurança em duas fases principais – gestão de riscos para efeitos de seleção de controlos e gestão de riscos para efeitos de
identificação de lacunas num programa de segurança cibernética. A suposição é que as organizações já priorizaram a ideia de reduzir
o risco de segurança cibernética
e estão agora prontos para implementar uma metodologia para reduzir os riscos de segurança cibernética. Cada uma das outras
etapas da gestão de riscos se enquadra em um desses propósitos.

Fase Um: Gestão de Riscos para Seleção de Controle

A primeira fase da gestão de riscos consiste em avaliar o risco de uma organização com o propósito de escolher os controles
ou defesas apropriados que a organização deve implementar para atingir seus objetivos gerais. Sistemas tecnológicos ou processos
de negócios devem sempre ser implementados para atingir um objetivo específico. Normalmente este objetivo será maior eficiência,
gerenciamento de grandes quantidades de dados, colaboração ou outros objetivos semelhantes. Os sistemas tecnológicos
permitem que as empresas atinjam esses objetivos e muitas vezes são utilizados exclusivamente para atingir esses objetivos. Na
verdade, muitas organizações dependem tanto desses sistemas tecnológicos que, sem eles, a organização pode não conseguir
atingir metas de negócios ainda maiores.

Para garantir que estes sistemas empresariais continuem a funcionar conforme pretendido, devem ser implementados controlos de
segurança para proteger estes sistemas. O objetivo desses controles ou defesas é controlar ou limitar o potencial de realização
do risco. Para garantir que estes objectivos de negócio sejam alcançados, as organizações devem implementar um processo pelo
qual decidam adequadamente quais os controlos mais apropriados para garantir que os seus objectivos globais sejam
alcançados.

Em alto nível, um processo de inventário de ameaças e modelagem de ameaças pode ser usado para selecionar e priorizar os
controles que uma organização escolhe para garantir que seus objetivos sejam alcançados.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 7

Machine Translated by Google

Fase Dois: Avaliação de Risco para Análise de Lacunas

A segunda fase do processo de gestão de riscos é avaliar uma organização à luz de um conjunto de controles acordado. Depois
que uma organização tiver determinado a biblioteca de controle que acredita ser apropriada para defender seus sistemas
de informação, ela poderá realizar uma análise de lacunas para identificar os controles que ainda não foram implementados em
sua biblioteca. Ao compreender onde uma organização não implementou realmente os controlos acordados, podem
identificar onde podem existir riscos sob a forma de lacunas de controlo que podem causar danos à organização. Tais lacunas
podem surgir na forma de perda total de um controle ou de apenas uma parte de seus sistemas não atender ao objetivo
determinado.

Essa abordagem de gerenciamento de riscos é a abordagem mais comum que as organizações realizam. Muitas vezes
as organizações até saltam a primeira fase da gestão de riscos e passam diretamente para esta fase. Idealmente, as
organizações dedicariam algum tempo para documentar inventários de ameaças, realizar modelagem de ameaças e usar
essas informações para priorizar os controles que deveriam implementar. No entanto, devido a restrições de recursos, a
maioria das organizações simplesmente escolherá uma lista de controle predefinida e realizará a sua avaliação com base nesta
lista. Na verdade, muito poucas organizações se esforçaram para realizar a primeira fase. As organizações que adotam esta
abordagem irão, na maioria das vezes, recorrer a normas ou regulamentos estabelecidos como base para tal avaliação.
A suposição é que os padrões ou órgãos reguladores responsáveis pela criação e manutenção da biblioteca de controle
estejam realizando os esforços de modelagem em nome de seus leitores.

Exemplos de alguns dos padrões mais populares usados para essa finalidade incluem:

• O Catálogo de Controle Coletivo (CCC)

• O Centro de Controles de Segurança da Internet
• Publicação Especial NIST 800-53
• A Estrutura de Segurança Cibernética do NIST (CSF)
• ISO 27001/27002
• Certificação do modelo de maturidade de segurança cibernética
(CMMC) • Padrão de segurança de dados (DSS) do Payment Card International (PCI)
• Outros padrões específicos do governo ou da indústria

Se as organizações decidirem que a terceirização do processo de seleção de controles é mais apropriada para atingir seus
objetivos de negócios, elas deverão definir claramente quais desses padrões serão usados como base para seu programa de
segurança. Normalmente, uma organização definirá um estatuto do programa, que define os objetivos do programa de
segurança, os requisitos de negócios, as partes interessadas e as estruturas de liderança. À medida que uma organização
define os seus objectivos para o programa, deve documentar formalmente as normas, regulamentos ou requisitos
contratuais para os quais trabalhará. Isto ajudará a garantir clareza sobre quais controles a organização pretende implementar
como parte do programa.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 8

Machine Translated by Google

Ciclo de vida do gerenciamento de riscos: visão geral

Conforme mencionado anteriormente, em alto nível, o ciclo de vida da gestão de riscos de segurança cibernética pode ser
dividido em duas fases – seleção de controles e análise de lacunas. No entanto, à medida que as organizações começam
a aprofundar-se neste processo e a examinar quais os passos específicos necessários, começa a surgir um quadro mais completo.
Dentro dessas duas fases há uma série de outras etapas que devem ser abordadas. Estas etapas devem ser seguidas em ordem,
com os resultados das etapas anteriores sendo usados como entradas para as etapas posteriores. As informações coletadas
durante cada uma das etapas serão cruciais para a tomada de melhores decisões durante partes posteriores do ciclo de vida.

O diagrama a seguir ilustra os estágios do ciclo de vida do gerenciamento de riscos. Cada uma dessas etapas será considerada
com maior profundidade posteriormente. Após a conclusão de uma passagem inicial pelo ciclo de vida, uma organização pode
editar os dados de qualquer uma das etapas, desde que as etapas subsequentes sejam reavaliadas usando as informações
coletadas.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 9

Machine Translated by Google

Ciclo de vida do gerenciamento de riscos: inventário de ameaças

A primeira fase do ciclo de vida da gestão de riscos é criar um inventário das ameaças existentes que podem causar danos
aos sistemas de informação e aos dados. O objetivo desta fase do projeto é criar uma lista das ameaças que podem causar
compreensivo danos aos sistemas de informação da organização. Ao identificar cada um dos itens que a organização
acredita que possam causar-lhes danos, dá à organização
uma oportunidade para definir controles defensivos para prevenir, detectar ou responder a tais ameaças e a capacidade de
priorizar cada controle. Quanto mais completo uma organização puder fazer este inventário, maior será a probabilidade de definir
uma estratégia abrangente para abordar todos os riscos relevantes.

Ao definir ameaças, as organizações devem considerar que existem diferentes classificações de ameaças que podem ser
definidas. As quatro categorias principais de ameaças são:

• Atores de ameaças
• Ações de ameaças
• Alvos de ameaças
• Consequências da ameaça

O foco deste inventário deve ser as ações que um ator de ameaça poderia tomar para causar danos à organização.
Estes serão os eventos que uma organização tentará prevenir, detectar ou responder com os seus controles defensivos. Embora
possa ser interessante para grupos, como os responsáveis pela aplicação da lei, definir quem está a ameaçar uma organização,
é provável que não seja informação acionável para a maioria das organizações.

Existem pesquisas existentes neste campo. Entidades governamentais e grupos de investigação comunitários
documentaram inventários de ameaças que as organizações devem considerar como ponto de partida para documentar os
seus próprios inventários de ameaças. Os seguintes inventários de ameaças são algumas das bibliotecas comumente
usadas disponíveis:

• A taxonomia de ameaças abertas1

• Taxonomia de Ameaças da ENISA2
• Estrutura ATT&CK®3 do MITRE
• Top Ten4 da OWASP

As organizações devem sentir-se confortáveis em utilizar um destes inventários se os seus recursos de gestão de riscos forem
limitados ou se decidirem desenvolver os seus próprios.

1
https://www.auditscripts.com/free-resources/open-threat-taxonomy/
2
https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threat-
scape/threat-taxonomy/view
3
https://attack.mitre.org/
4
https://owasp.org/www-project-top-ten/

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 10

Machine Translated by Google

Ciclo de vida de gerenciamento de riscos: modelagem de ameaças

Depois que uma organização tiver criado um inventário de cada uma das ameaças potenciais que podem causar danos aos
seus sistemas de informação, ela deverá encontrar uma maneira de priorizar essas ameaças. O processo de priorização de uma
lista de ameaças também é conhecido como modelagem de ameaças. Ao priorizar as ameaças com potencial para causar
danos à organização, eles eventualmente serão capazes de priorizar os controles necessários para evitar que tais danos ocorram
ou para detectá-los, caso ocorram. No entanto, essa será uma etapa posterior do processo.

Para criar uma lista de ameaças priorizadas, cada organização deve determinar os critérios pelos quais priorizará cada ameaça.
Portanto, além de documentar um inventário de ameaças potenciais, a organização precisará decidir os critérios que
utilizará para pontuar a relevância e a importância geral de cada ameaça. Finalmente, uma vez estabelecidos o inventário e os
critérios, será necessário estabelecer um sistema de ponderação ou pontuação para pontuar consistentemente cada ameaça no
modelo.

Os critérios a seguir são exemplos de pesos que uma organização pode usar ao criar seu modelo de ameaça:

• Probabilidade de ameaça
• Potencial de Danos
• Impacto/gravidade nos negócios
• Pesos atribuídos por analistas de ameaças terceirizados

Ao estabelecer um sistema de pontuação, a organização precisará documentar um método consistente pelo qual avaliará cada
critério de ameaça. Não é necessário que cada critério de ameaça receba a mesma pontuação que todos os outros critérios. Contudo,
cada critério individual deve ser pontuado da mesma forma para cada ameaça identificada. Por exemplo, ao pontuar a
probabilidade de ocorrência de cada ameaça, deve ser utilizada a mesma escala.
Contudo, a escala utilizada para pontuar a probabilidade da ameaça versus o potencial de dano não precisa necessariamente ser
pontuada da mesma maneira. Normalmente, as organizações atribuem palavras que são significativas para cada pontuação,
mas traduzem cada pontuação verbal para um sistema numérico nos bastidores que pode ser usado ao calcular a pontuação
para cada ameaça.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 11

Machine Translated by Google

Ciclo de vida de gerenciamento de riscos: controle de estoque

Depois de concluir o processo de modelagem de ameaças, uma organização deve ter uma lista priorizada de eventos ou ações
com potencial para causar danos. Isso ajuda a organização a entender melhor quais eventos poderiam acontecer e que a
impediriam de atingir seus objetivos de negócios. Isto levanta a questão: o que pode a organização fazer para impedir que
estas ameaças e os seus danos se concretizem?

Uma organização deve começar identificando uma lista de controles ou defesas que poderia implementar para enfrentar
essas ameaças. Tal como acontece com as ameaças, as organizações devem então criar um inventário dos controlos que
poderiam implementar para melhor se defenderem. Esta lista também deve ser tão abrangente quanto possível para
dar à organização a melhor oportunidade de garantir uma cobertura abrangente das ameaças identificadas.

Conforme discutido anteriormente, numerosos documentos foram publicados para fornecer às organizações um ponto de
partida para inventariar potenciais defesas. As organizações provavelmente desejarão utilizar esses padrões ao criar uma lista
dos controles que estão considerando. Uma vez que o lugar comum para começar é com as leis e padrões mais
relevantes para o grupo industrial ou demográfico de uma organização. Por exemplo, um pequeno varejista provavelmente
desejará considerar uma biblioteca de controle diferente daquela de um grande empreiteiro internacional de defesa.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 12

Machine Translated by Google

Ciclo de vida do gerenciamento de riscos: mapeando ameaças para controles

Depois de inventariar e priorizar as ameaças potenciais à organização e identificar as defesas potenciais contra tais ameaças, o
próximo passo no ciclo de gestão de riscos é mapear as ameaças documentadas no modelo de ameaças para os controles
listados na biblioteca de controle. Ao mapear ou identificar quais ameaças cada controle tem a capacidade de enfrentar, uma organização
terá uma ideia mais prática sobre quais itens de ação tomar para lidar com cada ameaça no inventário.

Como cada ameaça já foi efetivamente priorizada no modelo de ameaças, uma vez que uma organização mapeie os controles para as
ameaças, ela também terá uma lista priorizada de controles como resultado natural. Normalmente, esse processo é mais eficaz se a
organização começar com o inventário de ameaças como o campo principal do mapeamento e depois vincular controles eficazes a cada
ameaça à medida que avançam no inventário. As organizações provavelmente perceberão que cada controle pode ser usado para lidar
com diversas ameaças e que nem todos os controles da biblioteca de controles são utilizados. Isso é normal e esperado durante
esta fase do ciclo.

Um dos aspectos mais difíceis desta parte do ciclo de vida da gestão de riscos é determinar a integralidade ou cobertura de
cada controle no que se refere a cada ameaça. As organizações provavelmente perceberão, durante esse mapeamento, que muitas vezes
são necessários vários controles para impedir uma ameaça específica. Isto é frequentemente referido no modelo de defesa em
profundidade de segurança da informação. Por exemplo, para proteger estações de trabalho de computadores contra códigos
maliciosos, uma organização provavelmente desejará implementar restrições de controle de aplicativos. Contudo, por mais eficaz que
seja o controlo, serão provavelmente necessários outros controlos para abordar completamente esse risco específico. Infelizmente,
julgar a potencial integridade de qualquer controle para abordar qualquer
ameaça específica é muitas vezes uma arte tanto quanto uma ciência. As organizações devem assumir, no entanto, que na maioria das
vezes serão necessários múltiplos controlos para enfrentar qualquer ameaça específica.

Ciclo de Vida de Gestão de Riscos: Priorização de Controle

O resultado natural do mapeamento de ameaças priorizadas de um modelo de ameaças para controles é uma lista priorizada de
defesas ou controles de segurança que uma organização pode implementar para se defender contra as ameaças identificadas. Esta etapa
do ciclo de vida da gestão de riscos é mais o resultado orgânico das etapas anteriores do que um conjunto dedicado de ações que
precisam ser realizadas. Está listado separadamente para ilustrar a importância destes resultados, mas as organizações não
precisam designar grandes números de recursos para este esforço.
Em vez disso, as organizações deveriam simplesmente ser capazes de aproveitar os resultados de cada uma das fases anteriores para
montar naturalmente uma lista dos controlos mais importantes necessários para se defenderem, priorizados através dos modelos de
ameaças acima mencionados. Diz-se frequentemente que os controlos priorizados resultantes criam um modelo de higiene da segurança
da informação para a defesa.

Na conclusão desta fase do ciclo de vida, a organização deve ter definido um conjunto priorizado de controles e concluir a primeira
fase do ciclo de vida de gestão de riscos.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 13

Machine Translated by Google

Ciclo de Vida de Gestão de Risco: Classificação de Ativos

Para iniciar a segunda fase do ciclo de vida da gestão de riscos, uma organização deve definir o âmbito daquilo que planeia
defender. A maioria dos modelos de gestão de risco tenta ser granular na sua abordagem e define este âmbito ao nível dos activos
individuais. Ao fazer perguntas específicas de controle no nível dos ativos, o resultado será uma visão mais rica e detalhada dos
riscos específicos da organização. Mas a contrapartida desta abordagem é o tempo necessário para manter o estatuto de controlo
sobre activos individuais.

Esta etapa do ciclo de vida deve inventariar e caracterizar cada um dos ativos de informação da organização. Esta classificação
ou caracterização permitirá à organização determinar onde é apropriado implementar os controles identificados
anteriormente no processo e priorizar quais sistemas devem implementar controles específicos antes de outros.

Existem pontos de dados específicos que uma organização deseja coletar, alguns dos quais incluem:

• Ativo de computação lógica

• Ativos de dados em cada ativo lógico

• Proprietário dos dados de cada ativo de dados

• Custodiante de dados de cada ativo de dados

• Criticidade do ativo de dados

• Sensibilidade do ativo de dados

A realização de um inventário lógico de ativos de computação geralmente é o resultado da execução de ferramentas tecnológicas em
um ambiente de rede. As ferramentas de inventário de ativos fornecerão a capacidade de determinar quais nós estão em qualquer
segmento de rede. Uma vez que esses ativos sejam inventários, deverá ser realizado um inventário dos conjuntos de dados
presentes em cada ativo lógico. Muitas vezes, este é um processo mais manual, embora cada vez mais ferramentas estejam sendo
lançadas para ajudar as organizações a automatizar esse processo e identificar compartilhamentos de rede, bancos de dados ou
outros conjuntos de dados que possam estar presentes em um ativo lógico. As organizações também devem considerar os dados
gerenciados por parceiros comerciais terceirizados ou provedores de serviços em nuvem como parte deste inventário.

Depois que um inventário de dados estiver concluído, os proprietários dos dados (proprietários dos processos de negócios) e os
custodiantes dos dados (analistas técnicos) de cada conjunto de dados devem ser identificados. Geralmente, esses indivíduos
devem identificar-se como responsáveis por cada ativo de dados, em vez de receberem a responsabilidade. Os conjuntos de dados
que não possuem proprietários de dados devem ser questionados para saber se são realmente necessários para as operações
comerciais. Uma vez designados, estes indivíduos deverão assumir a responsabilidade de definir a criticidade e a sensibilidade dos
conjuntos de dados que são responsáveis por defender. Ferramentas técnicas também estão disponíveis para ajudar a facilitar
esse processo (geralmente prevenção contra perda de dados baseada em host ou corretores de segurança de acesso à nuvem).

Por uma questão de conveniência, muitas organizações na sua maturidade inicial do programa podem optar por ignorar esta
etapa e simplesmente realizar uma avaliação orientada para os controlos relativamente à organização como um todo. Em vez de
fazer perguntas de implementação de controle contra cada ativo individual, eles podem optar por simplesmente fazer uma pergunta
subjetiva de nível mais alto contra a organização como um todo. Em outras palavras, em vez de perguntar: “Este servidor
específico tem controles de aplicativos habilitados”, eles podem perguntar: “Que porcentagem de nossos servidores tem controles
de aplicativos habilitados?” Esta é uma questão de escopo que todas as organizações devem considerar; no entanto, à medida que
uma organização se aproxima de uma abordagem de risco automatizada e orientada por dados, esta etapa será vital no processo.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 14

Machine Translated by Google

Ciclo de vida de gerenciamento de riscos: implementação de controle

Depois que uma organização tiver acordado uma biblioteca priorizada de controles que pode ser usada para
se defender, o próximo passo é implementar esses controles. É hora de a organização realmente fazer as coisas que
planejou para garantir que seus sistemas de informação continuem a atingir os objetivos para os quais foram projetados.
Contudo, a realidade para a maioria das organizações é que os recursos são limitados e, por mais que desejem fazer tudo
o que for possível para se defenderem, estas restrições de recursos limitarão o que são realmente capazes de realizar.
Portanto, uma abordagem de gestão de projectos para implementar estes controlos, de acordo com as prioridades
estabelecidas mencionadas anteriormente, seria muito criteriosa.

Tal como acontece com qualquer programa que uma organização estabelece, devem ser estabelecidos objectivos e
prazos realistas para atingir os seus objectivos. Embora possa parecer simples fazer as coisas acordadas, existem
frequentemente prioridades concorrentes e divergências sobre a importância de controlos específicos que podem
ameaçar desviar o processo. A liderança também pode ter dificuldades com o conceito de aceitar riscos durante
períodos de tempo, à medida que a dívida de títulos é abordada a longo prazo. É importante que as organizações sigam
os fundamentos do gerenciamento de projetos enquanto trabalham para implementar sua biblioteca de controle de
, vai
segurança. Seguir os padrões da indústria para gerenciamento de projetos, como aqueles estabelecidos pelo Project Management Institute5
ajudam a garantir que cada implementação de controle (projeto) seja realizada em tempo hábil e de acordo com
os objetivos gerais da organização.

As organizações também podem considerar a implementação de uma ferramenta técnica de acompanhamento para facilitar o
ciclo de vida do gerenciamento de projetos. Muitas organizações novas no gerenciamento de projetos podem considerar ferramentas
simples de rastreamento baseadas em planilhas, enquanto organizações com recursos adicionais podem considerar a utilização
de um sistema de Governança, Risco e Conformidade (GRC) para rastrear prioridades de controle e progresso de implementação.
Isto também ajudará nas fases de validação e relatórios posteriores no processo. Um exemplo de ferramenta de rastreamento que
uma organização pode considerar pode ser encontrado em AuditScripts.com6 .

5
https://www.pmi.org/
6
https://www.auditscripts.com/free-resources/

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 15

Machine Translated by Google

Ciclo de Vida de Gerenciamento de Risco: Validação de Controle

Depois que uma organização tiver dedicado tempo para implementar a biblioteca de controle selecionada, é importante
introduzir a gestão da qualidade no ciclo de vida da gestão de riscos. No contexto da gestão de riscos de cibersegurança,
a ideia de gestão da qualidade é frequentemente referida como validação de controlo ou auditoria de sistemas de
informação. Dito de forma mais simples, uma vez que uma organização tenha decidido o que deve fazer para se defender
e tenha feito as coisas que acredita serem certas para se defender, então deve implementar um processo para validar se
realmente fez as coisas que acredita serem adequadas. defesa cibernética. É importante que cada organização realize
verificações regulares para garantir que estão fazendo as coisas que decidiram fazer e que essas ações são executadas de
forma consistente.

As organizações podem escolher diferentes tipos de auditorias para ajudar a garantir que os controlos apropriados estão a ser
implementados em tempo útil. Mais comumente, as organizações devem considerar auditorias externas, auditorias internas,
autoavaliações de controle e ferramentas automatizadas de relatórios. As organizações devem lembrar-se de que cada um
destes diferentes tipos de avaliações tem o seu lugar num processo de validação global. Cada um tem um conjunto diferente de
requisitos de recursos e qualidade ou garantia de saída que devem ser considerados ao decidir qual tipo utilizar e quando.
Mas é provável que uma abordagem abrangente de cada um seja mais apropriada como parte de uma abordagem holística ao
programa de gestão da qualidade de uma organização7 .

Ciclo de vida de gerenciamento de riscos: relatórios de riscos

O próximo passo no ciclo de vida da gestão de riscos é que as partes interessadas apropriadas do negócio sejam informadas
sobre os riscos aos quais os seus sistemas de informação estão expostos – também conhecido como relatório de riscos. Cada
uma das etapas anteriores do ciclo de vida da gestão de riscos levou a este ponto. O objetivo de qualquer programa de medição
(métricas) é ajudar uma organização a tomar melhores decisões. Portanto, uma vez que uma organização tenha executado
cada uma das etapas a seguir, os dados obtidos na etapa anterior (validação de controle) devem ser compartilhados com as
partes interessadas apropriadas para que compreendam o risco que seus sistemas enfrentam e possam tomar melhores
decisões sobre como lidar com o risco. identificado.

A apresentação do risco é mais frequentemente feita pelas ferramentas de reporte mencionadas anteriormente (planilhas,
GRC, etc.) e deve ser apresentada a todas as partes interessadas apropriadas. As partes interessadas podem incluir os
proprietários de empresas que beneficiam de um determinado sistema de informação até à liderança do conselho de
administração de uma organização. Qualquer pessoa afetada pela realização de um risco deve ter a oportunidade de se
envolver neste processo.

7 Mais informações sobre o processo de auditoria de sistemas de informação podem ser encontradas no Institute of
Internal Auditors (https://www.theiia.org), o Instituto SANS (https://www.sans.org/), e ISACA (https://www.isaca.org/).

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 16

Machine Translated by Google

Ciclo de Vida de Gerenciamento de Risco: Resposta ao Risco

Finalmente, uma vez que as partes interessadas empresariais apropriadas tenham sido informadas sobre os riscos
que enfrentam os seus activos de dados, é altura de as partes interessadas decidirem o que fazer com o que lhes foi
apresentado. Num sentido prático, quando um risco é comunicado às partes interessadas, é mais geralmente sob a
forma de lacunas nas defesas de segurança (controlos ou salvaguardas) que deveriam existir para defender um
activo. Existem estágios iniciais do ciclo de vida de gerenciamento de riscos para definir quais controles são apropriados
para uma organização. Existem estágios posteriores para mostrar à organização onde ela não implementou os
controles que decidiu serem apropriados para seu ambiente. Portanto, ao decidir como responder a um risco
identificado, a organização está na verdade decidindo como responder à realidade de que um controle que ela acredita
que deveria existir, não existe atualmente.

Na maioria das organizações, é geralmente aceite que existem quatro respostas potenciais aos riscos que foram
identificados:

• Ignore o risco
• Aceite o risco
• Remediar o risco
• Transferir o risco

Ignorar o risco certamente não é a resposta ideal. No entanto, é de longe uma das respostas mais comuns.
As organizações muitas vezes optam por não responder quando se deparam com um risco identificado. Embora os
resultados de ignorar ou aceitar um risco sejam os mesmos, a diferença está em como a organização chega ao
destino.

Aceitar o risco envolve seguir um processo definido para adiar a implementação de um controle até uma data posterior – e
deve ser documentado e revisado regularmente para validar as intenções do negócio também no futuro.

Idealmente, as organizações escolheriam remediar o risco e realmente melhorar o seu estado defensivo. Mas nem
sempre os recursos permitem esta escolha.

Freqüentemente, a organização tentará transferir o risco por meio de seguro ou terceirizar o risco a terceiros.
No entanto, a transferência do risco geralmente envolve apenas a transferência de parte da responsabilidade. O risco
residual sempre existirá também para a organização original.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 17

Machine Translated by Google

Níveis de maturidade em gestão de riscos

A realidade é que a maioria das organizações terá os recursos para implementar imediatamente cada um destes componentes do ciclo de vida da

gestão de riscos. A maioria das organizações precisará adotar uma abordagem em fases para implementar cada uma dessas etapas. É

apropriado que as organizações aproveitem os recursos com os quais a comunidade de segurança cibernética tem colaborado, em vez de

reinventarem a roda em cada fase. À luz disso, e à luz das observações feitas por numerosas organizações, foi desenvolvida uma abordagem faseada

à implementação dos componentes da gestão de riscos para orientar a organização sobre onde priorizar os seus recursos ao implementar um

programa de gestão de riscos. Este modelo sobrepõe as fases de gestão de riscos aos níveis de maturidade definidos pelo Carnegie Mellon University

Software Engineering Institute8 . A tabela a seguir ilustra as prioridades que as organizações em diferentes níveis de maturidade em gestão de riscos

devem considerar:

Inicial Gerenciado Definido Quantitativamente definido Otimizando

Inventário de ameaças X

Modelagem de ameaças X

Controle de estoque X X X X X

Mapeie ameaças para controles X

Priorização de controle X X X X X

Análise de impacto nos negócios X X X

Implementação de controle X X X X X

Validação de controle X X X X X

Relatório de Risco X X X X

Resposta ao Risco X X X X

8 https://www.sei.cmu.edu/

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 18

Machine Translated by Google

Considerações finais
Uma compreensão precisa da ameaça pode levar a melhores controles de segurança da informação. Melhores controles
de segurança da informação podem levar a uma melhor garantia da confidencialidade, integridade e disponibilidade contínuas
dos ativos de informação confiados às nossas organizações. Este projeto foi criado para preencher uma lacuna na
comunidade de segurança e fornecer uma melhor compreensão das ameaças. Se as organizações compreenderem ou
interpretarem mal as ameaças, isso levará a defesas inadequadas e potencialmente a um desperdício de recursos valiosos
que poderiam ser usados para defender melhor esses ativos. Esperamos que este modelo de risco seja um passo
na direção certa para a compreensão e criação de programas de gestão de riscos.

Para que esta informação seja útil, ela deve ser precisa e atual. Como comunidade, podemos trabalhar juntos para tornar isso
mais preciso. Se partilharmos as nossas ideias e colaborarmos, poderemos utilizar esta informação para priorizar
a forma como respondemos às ameaças que observamos colectivamente. Esperamos que, como alguém que se beneficia
deste projeto, você também considere contribuir para o esforço. Entre em contato conosco se você acredita ter informações
com as quais possa contribuir e que ajudarão a tornar este recurso ainda mais útil para outras pessoas.

Lembre-se de que este é um documento em constante evolução. Esperamos lançar muitas outras versões no futuro e
regularmente. Espere que o modelo mude e cresça. Eventualmente, a necessidade de atualizações rápidas diminuirá, mas
especialmente nessas fases iniciais, esperamos que uma série de atualizações regulares sejam lançadas.

Aguardamos seus comentários e até mesmo lançamentos futuros.

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 19

Machine Translated by Google

Segurança do Enclave
Enclavesecurity. com
Avenida East Venice, 1435, Suíte 133
Auditscripts.com
Veneza, FL 34292

MODELO DE RISCO COLETIVO (2021) – © ENCLAVE SECURITY 2021 20