Riscos de Segurança da Informação

Riscos de Segurança da Informação • 2/14

Riscos de Segurança da Informação

Conteúdo organizado por Dallas Morais de Almeida em 2022 do livro Fundamentos
de Segurança da Informação: com base na ISO 27001 e na ISO 27002, publicado
em 2018 por Hintzbergen, J., Hintzbergen, K., Smulders, A., & Baars, H.

Objetivos de Aprendizagem
• Compreender o conceito de risco; ameaça, vulnerabilidade, exposição e
contramedida no contexto da segurança da informação.
• Aprender sobre a avaliação de riscos
 Riscos de Segurança da Informação • 3/14

Introdução
No contexto empresarial é muito importante que as organizações estejam sempre bem
posicionadas no mercado e executando ações que as permitam crescer mantendo suas
capacidades competitivas. Dentre os muitos procedimentos adotados para esse fim,
a segurança da informação se destaca por ter a missão de resguardar todos os dados
estratégicos da empresa. Perder, violar, expor ou adulterar qualquer um desses dados
pode trazer enormes perdas e prejuízos à organização. Sendo assim, é imprescindível
que as empresas estejam cada vez mais empenhadas em avaliar os riscos e adotar
ações controle e proteção de dados.

O que é risco?

Risco é a possibilidade de um agente ameaçador se aproveitar de uma fragilidade e

as consequências que os negócios das empresas podem sofrer a partir disso. No que
diz respeito a segurança da informação, o risco está constantemente presente e pode
ter origem nos mais variados lugares:
• Desastres naturais; inundações, chuva de granizo, terremotos, furacões, etc.
• Acidentes não previstos; incêndios, quedas de energia, etc.
• Atos de espionagem.
• Ataques hacker.
Os exemplos supracitados são apenas alguns dos muitos agentes ameaçadores que
podem causar sérios danos às informações da empresa e por consequência prejuízos
ao negócio.
Como foi dito, o risco acontece quando o sistema não é totalmente seguro, sendo
assim, as ameaças encontram maiores probabilidades de se concretizarem quando o
sistema de segurança está vulnerável.
 Riscos de Segurança da Informação • 4/14

O que é ameaça?

Ameaça diz respeito a qualquer pessoa ou coisa que indesejavelmente possa explorar
as vulnerabilidades do sistema de segurança da informação. Aqueles que tiram
proveito de uma fragilidade no sistema são conhecidos como agentes ameaçadores.
Esses agentes ameaçadores podem ser invasores digitais, profissionais desqualificados
que descumprem os protocolos de segurança, entre outros.

O que é vulnerabilidade?

A vulnerabilidade é o nível de fragilidade que um sistema de segurança tem, sendo,

portanto, a porta de entrada dos agentes ameaçadores. Um sistema de segurança da
informação é vulnerável quando não tem ou não oferece uma proteção adequada
contra as ameaças. A vulnerabilidade pode ser exemplificada pela a utilização
de antivírus desatualizados, hardwares sem senhas de acesso, falta de sistemas de
segurança físicos (porteiros, vigilantes, trancas, etc.) e muitas outras situações que
facilitam a entrada de um agente ameaçador.

O que é exposição?

A exposição é a condição em que uma empresa se encontra quando o agente

ameaçador consegue explorar as vulnerabilidades do sistema de segurança e acessar
as informações. Quando isso ocorre, a organização fica exposta a perdas, prejuízos,
desfalques, etc.

O que é uma contramedida?

Contramedidas são ações utilizadas para amenizar o risco iminente. As contramedidas

podem se desenvolver de maneira preventiva ou corretiva, mas tem a finalidade de
fortalecer o sistema de segurança da informação, para eliminar as vulnerabilidades e
reduzir as chances de um agente ameaçador acessar as informações.
 Riscos de Segurança da Informação • 5/14

Entendendo na Prática

Suponhamos que uma empresa tenha um computador no meio da fábrica com acesso
ilimitado às informações de todos os departamentos e a senha de entrada fica colada
em seu monitor. Essa é a vulnerabilidade, a empresa está vulnerável a acessos não
autorizados. A ameaça é um funcionário, fornecedor, cliente ou qualquer pessoa
que se conectar e obter informações sigilosas. A probabilidade de uma pessoa não
autorizada acessar as informações é o risco. Caso alguém concretize essa ação, a
vulnerabilidade foi explorada e a empresa fica exposta a prejuízos. Uma contramedida
a ser executada no exemplo acima poderia ser, limitar o acesso desse computador a
informações específicas e não sigilosas.

Saiba Mais
O que é a LGPD? Sebrae Talks.
Link: https://www.youtube.com/watch?v=n6yb3D9aFpM. Acesso em:
16 fev. 2022
 Riscos de Segurança da Informação • 6/14

Avaliando Riscos de Segurança

Os riscos podem ter inúmeras fontes e para que uma organização possa estabelecer um
processo robusto de segurança da informação, é necessário que a mesma saiba como
avaliar esses riscos. Essa avaliação tem por objetivo a identificação, dimensionamento
e ranqueamento dos riscos segundo os objetivos da empresa.
A avaliação dos riscos deve ser analisada com periodicidade para ajustar as possíveis
mudanças do processo de segurança da informação. Essas avaliações de riscos devem
ocorrer de forma disciplinada e ter a capacidade de apontar resultados passíveis de
aferição e multiplicação.

Análises de Riscos

O propósito de se elaborar uma análise de riscos é o de elucidar quais são as ameaças

significativas para os processos da operação e detectar quais são os riscos pertinentes.
Uma vez realizada a análise de riscos, é possível definir o tipo de ação necessária para
se garantir a segurança da informação. As análises de riscos também têm o papel de
fazer com que as medidas a serem adotadas para garantia da segurança da informação,
sejam economicamente viáveis.
Ponderando que a segurança é a capacidade de resistir a danos e que as ameaças
potenciais são constantes, perseverantes, mutáveis e inovadoras, as organizações
precisam considerar que o nível de segurança de seus sistemas pode variar todos os
dias. Sendo assim, as análises de riscos precisam ser atualizadas constantemente para
evitar processos obsoletos e ineficientes.
Os quatro objetivos principais de uma análise de riscos são:
1- Definir e estabelecer o custo de cada ativo da organização
2- Estabelecer as vulnerabilidades e ameaças
3- Especificar o risco de uma ameaça se tornar real e comprometer os processos de
operação
4- Determinar a relação entre os custos de um dano e os custos das ações protetivas,
procurando um equilíbrio entre as duas
 Riscos de Segurança da Informação • 7/14

Análise Quantitativa do Risco

Analisar quantitativamente um risco tem por objetivo o cálculo do nível da perda

monetária e a probabilidade de uma ameaça se concretizar, tendo por base o efeito
do risco. Em outras palavras, a análise quantitativa do risco busca definir os prejuízos
financeiros que uma organização teria na ocorrência de um incidente e também as
chances desse incidente acontecer.
Na análise quantitativa dos riscos os gestores procuram atribuir os valores de cada
processo, insumo, estrutura, ferramentas, enfim, tudo que diz respeito às operações
da empresa. Uma vez estabelecidos esses valores, é possível então determinar o risco
do rombo financeiro de forma clara e objetiva.
Apesar de ser um tipo de avaliação direta e transparente dos riscos, as análises
quantitativas não são cem por cento precisas, pois, é praticamente impossível mensurar
e dar valor ao impacto de todos os tipos de informação que uma empresa possui.

Análise Qualitativa do Risco

A análise qualitativa do risco difere da quantitativa no sentido de não estabelecer

cálculos financeiros de possíveis perdas, mas por avaliar as diferentes circunstâncias
e probabilidades de risco, classificando a magnitude das ameaças e a eficácia das
prováveis contramedidas. Esse tipo de análise não se baseia nas ciências exatas, mas
no bom senso e vivência da organização.
Para desenvolver a análise qualitativa dos riscos é necessário, portanto, que as
pessoas envolvidas tenham vivência organizacional e conhecimento das ameaças a
serem avaliadas. Nesse tipo de análise o grupo é consultado quanto a uma hipótese
de ameaça e os potenciais prejuízos e cada participante dá sua opinião quanto a
probabilidade de ocorrência e as dimensões do dano, tendo por base sua experiência
e instinto.
 Riscos de Segurança da Informação • 8/14

Em Resumo

Nessa aula você conheceu os conceitos de risco, ameaça, vulnerabilidade, exposição

e contramedida, além disso pôde verificar a importância de se avaliar os riscos da
segurança da informação e aplicar essa avaliação.
Identificar os riscos é uma ação fundamental para que a segurança das informações
seja garantida. É preciso, portanto, que as organizações se empenhem em desenvolver
métodos de análises eficazes para conseguir estabelecer processos eficientes de
segurança de dados. Os danos associados a uma violação da segurança podem ser
incalculáveis e por isso, avaliar cuidadosamente e metodicamente cada risco constitui
em ações que garantem a estabilidade e sobrevivência da empresa no mercado.
 Riscos de Segurança da Informação • 9/14

Na ponta da língua
 Riscos de Segurança da Informação • 10/14

Referências Bibliográficas
Hintzbergen, J., Hintzbergen, K., Smulders, A., & Baars, H. (2018). Fundamentos de
Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport.
LIVRO DE REFERÊNCIA:

Fundamentos de Segurança da Informação: com

base na ISO 27001 e na ISO 27002
Hintzbergen, J., Hintzbergen, K., Smulders, A., & Baars,
H.
Brasport, 2018.

Imagens: Shutterstock