Entende-se como ameaça qualquer evento capaz de prejudicar o andamento normal das atividades de uma organização. Já o risco, é a possibilidade dessa ameaça se concretizar.

Um dos primeiros passos para a implementação da segurança da informação em um ambiente organizacional de acordo com o nível de segurança desejado é a identificação de ameaças e a quantificação dos riscos. Tais medidas, que compreendem aquilo que chamamos de gerenciamento de riscos, auxiliarão na escolha de controles de segurança e também na tomada de decisões, quando esses riscos serão então tratados.

ANÁLISE DE RISCOS

A análise de riscos tem como objetivos a identificação das ameaças e a quantificação dos riscos inerentes à segurança da informação, além do desenvolvimento de um plano de ação.

De acordo com os objetivos do negócio, define-se a abrangência da análise de riscos, que pode envolver todos os setores de uma organização ou simplesmente um único serviço ou sistema.

Realizada a análise, que deve ser periódica para cobrir possíveis variações na situação de risco e nos requisitos de segurança, os resultados devem ser utilizados para orientar a tomada de decisões, a definição de prioridades e a seleção de controles.

TRATAMENTO DE RISCOS

Para cada risco identificado pela análise, deve-se tomar uma decisão. Um risco pode ser aceito, tratado ou transferido.

Em situações em que uma ameaça tem pouca probabilidade de ocorrer e o valor da solução é alto, o risco costuma ser aceito, ou seja, nada se faz para reduzi-lo.

Em outros casos, onde o valor do que se está tentando proteger é maior do que o valor da solução, pode-se implementar controles que minimizem o risco a um nível aceitável. Caso a solução adotada consista na implantação de controles de segurança, é interessante que esses controles sejam frequentemente monitorados, avaliados e, se for o caso, melhorados.

Há ainda uma terceira opção, que trata da transferência do risco, por exemplo, pela contratação de um seguro.

Seja qual for a decisão tomada, essa precisa ser catalogada e não deve acarretar em novos riscos à segurança da informação.

METODOLOGIA

Até para que se possa comparar e reproduzir resultados obtidos, a análise e o tratamento de riscos precisam fazer uso de alguma metodologia. Existem várias opções e uma delas é a NIST SP-800-30.


MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.