Abordagem através da Avaliação de Riscos tem sido uma das melhores maneiras de entender e definir estratégias e planos de Segurança da Informação. As principais questões envolvidas aqui são a abrangência e capilaridade da avaliação e riscos. Parodiando muitos autores, este tema deve ser tratado como uma piscina muito larga (abrangência de controles), mas não muito profunda (capilaridade ou até onde ir com os controles).
Uma das primeiras iniciativas de se avaliar riscos associados à Segurança a Informação foi através dos trabalhos de PCN (Plano de Continuidade de Negócios). Neste cenário, o PCN foi mais associado ao PCSTI (Plano de Continuidade de Serviços de TI), e tinha foco na infraestrutura de TI. Em outras palavras, como se recuperar de uma crise no fornecimento de serviços de TI. A avaliação levava em consideração o ambiente (Datacenter), servidores, retorno das aplicações, etc. Mas foi a pedra fundamental para iniciar o tratamento de riscos de TI.
Hoje nossos cenários são muito mais complexos e boa parte dos serviços de TI (baseados em infraestrutura) foram até terceirizados. O que realmente preocupa agora é a dependência dos processos de negócio associados aos processos de TI e as soluções adotadas para suportar a operação empresarial, e isso não é mais uma questão de infraestrutura. Quando analisamos com mais atenção as soluções de TI, podemos identificar que existem várias outras características que precisam estar sob controle da Gestão de Riscos de TI e que precisam estar adequadamente protegidas, ou mesmo resguardadas, a fim de assegurar o que o “C level” da organização espera: Operação Segura do Negócio!
Isso nos leva a aumentar a abrangência da Segurança da Informação. Mas como fica a profundidade? Até onde devemos ir? A seguir, listo e comento as principais características que precisam ser contempladas na Avaliação de Riscos de TI:
- Processos de Negócio: quais são os processos de negócio que a organização possui? quais são as soluções (muitas vezes aplicações) que suportam estes processos e qual a criticidade destes processos para a organização? Estas questões ajudam a orientar onde se deve dar foco (peso matematicamente falando) na Avaliação de Riscos, ao mesmo tempo que se ressalta as soluções mais importantes para o negócio.
- Complexidade da Solução: é uma solução de mercado ou “feita em casa”? possui muita customização? a arquitetura de solução é atual, qual sua idade? a tecnologia empregada é atual? possui dependências com outras soluções? Estas questões posicionam a solução no tempo e no contexto. Quanto mais obsoleta a tecnologia e/ou mais antiga a solução, questões de suporte se tornam críticas. Quanto mais customizada ou mesmo feito in-house, a busca por profissionais com experiência fica limitada.
- Operação da Solução: quantos usuários a solução possui? Ela atende usuários externos a organização? A solução tem apresentado muitos incidentes e/ou problemas? Qual a frequência de mudanças que a aplicação sofre (semanal, mensal)? Estas questões orientam sobre o quanto a solução tem enfrentado dificuldades em suportar a operação de forma sadia, assim como mostra o impacto que a aplicação tem em relação aos usuários e o quanto ela atende do processo de negócio (quanto mais mudanças ela sofre, mais problemas podem ser enfrentados).
- Segurança da Operação: a solução tem redundância ou DRP? ela tem ficado indisponível por falhas de infraestrutura? Ela possui criptografia na comunicação e no armazenamento de dados sensíveis? Ela possui avaliação de intrusão (pen test)? Estas questões apoiam na orientação das soluções de contingência e principalmente de Cybersecurity.
Com estas informações organizadas em uma matriz, é possível a aplicação de regras com o objetivo de determinar quais as aplicações trazem mais risco para o negócio, seja pela idade (obsolescência), seja pela falta de mão de obra capacitada (desenvolver novas funcionalidades ou dar suporte), seja pelo relacionamento com as demais soluções ou mesmo pela fragilidade de controles de segurança (infraestrutura).
A mensagem final que deixo: Nossa piscina está cada vez mais larga e ou mesmo tempo não podemos acreditar que ela será muito rasa. É preciso investir em organização de informações, associados a métodos de análise contínua para obter os resultados e, principalmente, a proteção que a empresa necessita na medida certa!