Por Hoayran Moreira Cavalcanti

Todo dado de uma empresa que possui algum valor e que faz parte de alguma atividade da corporação, pode ser considerado um ativo. Os ativos, por sua vez, são quaisquer elementos de valor para a organização, sejam eles tangíveis, como um hardware, ou intangíveis, como um software ou uma propriedade intelectual. Em ambos os casos estes ativos precisam ser protegidos.

Ativos podem ser separados por níveis de importância, por exemplo: a fórmula química que fez uma empresa de cosméticos hipotética crescer e ser a referência nacional na produção de perfumes no Brasil (fato que torna a fórmula fundamental para o funcionamento dos negócios da empresa). Neste exemplo, esse ativo deve ser protegido vigorosamente e a empresa deve prever as possíveis ameaças que ele pode sofrer. Considera-se que cada ativo tem um nível de importância para o sucesso dos negócios; em casos como o do exemplo citado ele é o coração de uma organização.

Este artigo é uma breve análise sobre gestão de riscos com base na norma ISO/IEC 27005:2011 — Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação, que fornece diretrizes para o processo de administração de riscos relacionados à segurança da informação. Esta norma foi desenvolvida para ser empregada por qualquer organização que tenha como objetivo gerenciar ameaças que, de alguma maneira, possam comprometer a segurança da informação.

As ameaças são os riscos relativos a segurança da informação da sua empresa. Tais riscos podem manifestar-se de diversas maneiras. Eles podem ser intencionais ou acidentais, e também podem estar relacionados tanto a aspectos internos do sistema, como a aspectos físicos e ambientais. Desta forma, são considerados como ameaças à segurança da informação desde erros humanos, falhas de software/hardware, vandalismo e terrorismo, até fenômenos climáticos, como incêndios e enchentes que possam de algum modo levar a perda destes dados.

Os princípios de tal gestão são criar um valor para estes ativos e protegê-los. Sendo esta uma parte integrante de todos os processos da organização, este valor deve ser considerado na tomada de decisões, sempre abordando possíveis riscos ao ativo a qual ele foi imputado e tendo em mente fatores humanos e culturais.

A princípio, quatro etapas básicas devem ser seguidas para atingir um resultado satisfatório em relação a segurança da empresa:

Planejar: Definir contexto, análise de riscos, tratamento e aceitação de riscos;

Executar: Implementar um plano de riscos;

Verificar: Efetuar o monitoramento contínuo e análise crítica dos riscos;

Agir: Realizar a manutenção e melhoria dos processos.

Além disso, é imprescindível a compreensão das seguintes áreas para o pleno desenvolvimento da gestão e análise de riscos:

Legislação: Identificar as questões normativas e legais que cercam a empresa;

Processos: Entender as atividades realizadas internamente;

Negócios: Calcular impactos dos riscos na área de atuação da empresa;

Técnico: Atendimento de Hardware e Software.

Para entender o contexto da gestão e análise de riscos, é necessário compreender o ambiente externo e o interno da empresa:

O ambiente externo de uma empresa se trata de alguns tipos de riscos que vêm exatamente de fora da empresa, como por exemplo, uma enchente e catástrofes naturais alheio ao controle humano. Também nesta categoria encontram-se as influências do macroambiente definido pelas teorias de marketing: o ambiente cultural (da região que os produtos da empresa são fornecidos), o ambiente financeiro (a economia do local em que seu produto é fornecido), o ambiente regulatório (as leis que regem o funcionamento da empresa) e o ambiente tecnológico (como estes avanços afetam a empresa).

Já o ambiente interno é aquele que possui os riscos passíveis do controle humano e da organização, como por exemplo, a segregação de permissões de acessos a diretórios internos da empresa — que devem sempre ser segmentados por áreas e células das suas divisões para maior controle e diminuição do nível de riscos envolto ao vazamento de informações. Nesta etapa deve-se analisar a governança, normas, sistemas de informação, cultura empresarial e os objetivos da organização.

NBR ISO/IEC 27005 afirma que as atividades a serem desempenhadas na etapa de definição de contexto devem ser levantadas pela equipe responsável pela gestão e análise de riscos e realizadas por meio de apresentações dentro da organização, tendo como referência entrevistas com diretores, gerentes, gerentes técnicos e os usuários, através de questionários, por exemplo.

Nesta etapa são identificados os eventos que representam ameaças para determinada organização e o nível de risco que eles podem refletir. Primeiro deve-se efetuar a identificação dos ativos, ameaças e vulnerabilidades:

Identificação dos ativos: Tudo o que possui algum valor para a produção da empresa;

Identificação de ameaças: Tudo aquilo que possa vir a ferir os ativos da empresa;

Identificação dos controles existentes: Todo ou qualquer controle já aplicado para minimização dos riscos que possam afetar negativamente os ativos;

Identificação das vulnerabilidades: Existência de fatores já mapeados que possam vir a ferir a integridade do Ativo;

Identificação das consequências: Qualquer consequência que os ativos tenham sofrido negativamente, impactando assim o negócio da empresa.

Após a identificação dos ativos o seguinte processo deve ocorrer:

Entrada das atividades para a proteção dos ativos -> Ação + Diretrizes -> Saída

Considerando que “Ação + Diretrizes” são as ações tomadas que foram embasadas em diretrizes pré-existentes para o cuidado com os ativos e que a saída se trata da finalização das atividades aplicadas sob riscos existentes já mapeados.

A partir desta breve análise, é interessante que gestores e administradores de áreas relacionadas a segurança da informação compreendam como começar a gerenciar riscos dentro de uma organização, dando assim o primeiro passo para alcançar um ambiente seguro e que se desenvolva com vigor.