Nestes últimos anos muitas organizações estão mostrando preocupação com o tema Segurança da Informação, principalmente por ser um ano de dúvidas financeiras e qualquer perda pode ser significativa. As áreas onde mais se tem visto soluções abrangem principalmente o serviço de correio eletrônico, anti-vírus e autenticação de usuários. Isto é reflexo de como estes assuntos evoluiram nos últimos tempos, levando uma série de transtornos para a área de TI, principalmente para o suporte. Mas será que estes são mesmos os vilões da segurança de uma organização ?
A forma mais adequada para definir por onde começar a Segurança da Informação é a elaboração da Matriz de Risco de Segurança. Nesta matriz são listados todos os ativos que compõe a organização, desde equipamentos, sistemas, pessoas, infraestrutura, informações. Em seguida estes ativos são avaliados em relação a disponibilidade, integridade e confidencialidade. O resultado desta primeira avaliação é o impacto deste ativo na organização e seus processos. A segunda avaliação é em relação as vulnerabilidades, ameaças e a probabilidade destas ocorrerem. O resultado da primeira avaliação, confrontado com o da segunda avaliação apresentam o risco técnico do ativo.
Uma vez que os riscos de cada ativo são reconhecidos, é preciso avaliar se estes riscos já possuem algum tipo de controle, mitigação ou transferência. O resultado desta avaliação é grau de risco real de cada ativo. Com este resultado é possível classificar os ativos e definir prioridades para aplicação de controles específicos, representados através de ferramentas, procedimentos e políticas.
O fato de possuir uma lista de prioridades bem definida ajuda a organização a direcionar investimentos, focar as ações de segurança e principalmente iniciar um ciclo contínuo de análise de segurança, propiciado pela Matriz de Risco.