Desenvolvido pelo Departamento de Comércio dos Estados Unidos, o guia NIST SP-800-30 (Risk Management Guide for Information Technology Systems) serve como referência para o desenvolvimento de um programa de gerenciamento de riscos em segurança da informação. A versão de julho de 2002 divide o gerenciamento de riscos em nove etapas, descritas resumidamente a seguir.
CARACTERIZAÇÃO DOS SISTEMAS
O primeiro passo é o levantamento de dados sobre os sistemas de informação e seus respectivos ambientes. As informações coletadas dizem respeito a funcionalidades, limitações, criticidade, segurança, controles, usuários etc.
Seja por meio de questionários, entrevistas, documentação já existente ou ferramentas automatizadas, a caracterização dos sistemas possibilita definir a abrangência da análise de riscos na organização.
IDENTIFICAÇÃO DAS AMEAÇAS
O segundo passo é identificar as ameaças, que podem ter as mais variadas origens.
Só para citar algumas das motivações que levam hackers, crackers, espiões, terroristas e principalmente os próprios empregados da organização a comprometerem a segurança da informação, temos: vingança, retorno financeiro, curiosidade, vantagem competitiva, ego, causa política e o simples prazer de destruir.
Já as ações provenientes dessas motivações, que correspondem de fato às ameaças, poderiam ser: acesso não autorizado, roubo de equipamentos, interceptação de informações, fraude, vandalismo a websites, engenharia social, ataque de negação de serviço, suborno, instalação de código malicioso e uso impróprio dos recursos de tecnologia da informação.
IDENTIFICAÇÃO DAS VULNERABILIDADES
O terceiro passo é identificar as vulnerabilidades, técnicas ou não, presentes em cada uma das ameaças encontradas, o que pode ser feito por meio de testes de invasão. A identificação também se faz, no caso das vulnerabilidades técnicas, pelo uso de scanners de rede e de vulnerabilidades.
Uma outra fonte valiosa de informações sobre vulnerabilidades é a Internet. Tais informações podem ser encontradas em sites especializados e também nos sites dos fabricantes, onde são disponibilizados patches para eliminar falhas de segurança em seus sistemas de informação.
ANÁLISE DOS CONTROLES DE SEGURANÇA
O quarto passo é a análise dos controles de segurança, técnicos ou não, que serão implementados com o objetivo de minimizar a ocorrência de incidentes de segurança e de seus respectivos impactos.
Os controles podem ser de caráter preventivo, como é o caso de mecanismos de criptografia, autenticação e controles de acesso. Mas também podem ser de caráter detectivo, como é o caso de sistemas de detecção de intrusos e trilhas de auditoria.
DETERMINAÇÃO DA PROBABILIDADE
O quinto passo é determinar, para cada vulnerabilidade encontrada, a probabilidade dela ser explorada. Essa probabilidade pode ser classificada como baixa (0,1), média (0,5) ou alta (1,0) e tal classificação deve ter como base o fator motivação, que é o que origina e sustenta a ameaça, além do fator eficácia, que se refere ao nível de proteção fornecido pelos controles de segurança contra aquele determinado tipo de ameaça.
A classificação ocorre da seguinte forma: caso os controles de segurança sejam eficazes e não exista uma grande motivação para um ataque, a probabilidade da vulnerabilidade ser explorada é baixa; inversamente, se os controles não forem suficientemente eficazes e houver uma grande motivação para um ataque, a probabilidade de que a vulnerabilidade seja explorada é alta; nos demais casos, a probabilidade é média.
ANÁLISE DO IMPACTO
O sexto passo consiste em identificar o grau de impacto para cada vulnerabilidade, caso essa seja explorada. O nível de impacto pode ser classificado como baixo (10), médio (50) ou alto (100).
Caso a exploração da vulnerabilidade possa até mesmo impedir a continuidade do negócio, o nível de impacto deve ser considerado alto; caso possa causar perdas significativas de credibilidade, ativos e recursos, mas não impeça que a organização continue funcionando, o nível de impacto deve ser classificado como médio; nos demais casos, como baixo.
DETERMINAÇÃO DO RISCO
O sétimo passo, que é determinar o nível de risco de cada sistema, é resultado da multiplicação da probabilidade pelo impacto. Assim, o nível de risco do sistema é classificado como baixo (1-10), médio (11-50) ou alto (51-100).
Se o nível de risco é alto, precisa ser corrigido imediatamente; se é médio, dentro de pouco tempo; se é baixo, pode-se aceitar o risco, ou ainda, sem muita urgência, providenciar ações corretivas.
RECOMENDAÇÕES DOS CONTROLES DE SEGURANÇA
O oitavo passo é o da recomendação dos controles de segurança, que devem ser capazes de reduzir os riscos a níveis satisfatórios, até para que se justifique o investimento.
Deve-se sempre buscar o melhor custo-benefício, pois geralmente os recursos são limitados. Essa limitação faz com nem todos os controles recomendados acabem sendo implantados.
DOCUMENTAÇÃO DOS RESULTADOS
O nono e último passo é o da documentação dos resultados. Um relatório detalhando ameaças, vulnerabilidades, riscos e recomendações de controles de segurança deve ser entregue à diretoria, que decidirá o futuro da organização.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.