Quando pensamos num plano de SI (Segurança da Informação) teremos que avaliar e tratar os riscos. A análise de riscos é um processo que precisar ser feito em vários momentos nas áreas que forem consideradas estratégicas e críticas para o funcionamento/operação da organização.
É extremamente necessário que a organização tenha um escopo definido, incluindo todas as áreas que julgarem necessárias.

Os resultados da análise de riscos, servem com diretrizes na implementação de ações e controles junto ao comitê gestor de segurança da informação. Algumas metodologias como ISSO/IEC TR 13335-3 abordam exemplos de análise de risco, podendo ser realizada em componentes específicos, sistemas de informações, e locais onde possa ser útil uma avaliação mais detalhada, evitando a exposição de ativos (incluindo a informação) para ameaças que explorem uma vulnerabilidade que antes não era conhecida, ou que não tinha a devida importância da organização.

Os riscos podem ser evitados, reduzidos, aceitos ou transferidos:

Evitar: Implementar ações que consigam cobrir todos os pontos de falhas identificados na empresa e cabeças “pensantes” na criação e exploração de pontos com a segurança não implementada corretamente. (Ex.: Fechadura e travas de última geração numa porta de vidro na entrada da organização ou implementação de DLP em organizações que ainda não tenham classificações das informações). Evitar os riscos é o objetivo de organizações comprometidas com a segurança da informação, que através de um conjunto de controles e ações conseguem abranger a proteção a todos os ativos da empresa, eliminando “quase” todos os riscos naquele momento. Regularmente é necessário refazer a análise de risco e verificar o que pode ser melhorado para proteção dos ativos (sistemas, informações, pessoas, equipamentos,etc..)

Reduzir: Consegue mitigar as vulnerabilidades para um nível aceitável, onde que mesmo que exploradas, não conseguirão impactar no funcionamento da organização. (Ex: Uma organização implementa um firewall de borda, antivírus com gerencia centralizada, controle do uso da rede e relatórios de acesso). Mesmo atuando na redução do risco, é importante que haja um monitoramento continuo dos controles implementados.

- Aceitar: A organização conhece o risco, aceita que eles podem causar impactos e assume total responsabilidade dos danos causados pelo mesmo. (Ex: Empresas que não investem em sistemas de UPS para seus servidores críticos, não atualizam seus sistemas operacionais, não investem numa política de backup, não capacitam (investem) seus funcionários na gestão correta do ambiente tecnológico, sendo claramente uma boa parte das organizações de porte pequeno. Devido a pouca preocupação, são essa organizações que sentem mais o impacto num evento de segurança, após o comprometimento das informações e recursos tecnológicos.

- Transferir: Podemos citar o Cloud Computing como uma tendência de transferência do risco, onde os fornecedores cuidam da operação dos seus sistemas de informações e comunicação e com cláusulas de contrato que garantem o funcionamento tecnológico de servidores e sistemas. Indicado para organizações de menor porte que não podem investir num plano abrangente de SI ,fazendo a transferência do risco para terceiros. Para uma maior segurança é interessante criar um “site de contingência” que esteja sincronizado com o “site principal”, pois fornecedores também possuem falhas de operação, inclusive humanas.. ;)

Em alguns casos, os ativos podem estar segurados (incêndio, inundações, furtos,etc..)

Alguns pontos que devem ser considerados na implementação de controles são:

• Custo proporcional ao que será avaliado e protegido, balanceando o custo, a probabilidade de danos, o tempo de implementação dos controles e impactos causados por falhas de SI
• Requisitos e Legislações, incluindo regulamentações nacionais e internacionais
• Objetivos Organizacionais e Restrições Operacionais (Humanas e Técnicas)
  

É recomendável que exista um plano de segurança da informação alinhado com o objetivo organizacional e com avaliação de resultados e metas. Já pensou em fazer uma análise de risco na sua organização ?