Skip to main content

Identificar riscos de cibersegurança e impactos no negócio

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Descrever como identificar os riscos de cibersegurança.
  • Explicar como identificar a tolerância a riscos de cibersegurança da organização e usar uma metodologia de classificação de risco.
  • Descrever como priorizar as lacunas de cibersegurança para correção.

Identificar riscos cibernéticos em um contexto empresarial

Às vezes, tentar identificar riscos pode parecer adivinhação com bola de cristal. Mas, na verdade, o primeiro passo no gerenciamento de riscos é identificar ativos de informação que possam ser afetados por um ataque cibernético. Conforme você vai descobrindo os riscos, começa a coletar dados para entender as ameaças que rondam os ativos de hardware, software, dados do cliente, propriedade intelectual e usuários da organização. 

Ao analisar riscos, é útil seguir uma sequência de eventos para identificar o risco em todas as suas formas e por todos os ângulos. Você pode usar análise contra ameaças para entender determinada ameaça. Por exemplo, um invasor pode praticar espionagem para um estado-nação que queira roubar informações confidenciais de investigações sobre antecedentes de seus funcionários. Ou, em outro caso, um hacker ativista que discorda das campanhas de ativismo da sua organização resolve adulterar seu site. Quais vulnerabilidades existem em seu ambiente que os invasores podem explorar e que impacto isso teria se o sistema fosse invadido? Esse questionamento permite a você priorizar o risco com base nas maiores ameaças. 

É essencial considerar os riscos de segurança cibernética em um contexto comercial. O risco é composto de dois vetores: probabilidade e impacto. Probabilidade significa a probabilidade de ocorrer o risco. Impacto é como o risco pode afetar o negócio; pode ser um prejuízo financeiro, operacional ou reputacional. Além disso, os gerentes de riscos avaliam a solidez dos controles (ou proteções/medidas) em vigor para ajudar a reduzir a probabilidade ou o impacto. Para saber mais sobre o impacto do prejuízo reputacional e a importância da tecnologia e da confiança nos negócios, confira Confiança digital no ciclo de vida de desenvolvimento de software.

O gerenciamento de risco às vezes pode parecer malabarismo com muitas bolas no ar. Ao pensar nos riscos, o objetivo principal é decidir se a mitigação do risco faz sentido para os resultados da empresa e a ordem de priorização da mitigação de riscos. Ao analisar os riscos para determinar isso, as organizações desenvolvem sua própria metodologia ou tiram proveito das ferramentas de avaliação disponibilizadas por fornecedores que se especializam em análise de riscos de cibersegurança. Vamos ver a seguir como você pode ajudar a organização a avaliar o nível de risco que é capaz de aceitar no papel de gerente de riscos de cibersegurança.

Entender a tolerância a riscos e usar metodologia de classificação de risco

A vida e a segurança cibernética envolvem gestão de riscos. Como gerente de riscos de cibersegurança, é sua a responsabilidade de ajudar a liderança a avaliar o nível de risco confortável para a organização, também conhecido como tolerância a riscos da organização. Com isso, você ajuda a empresa a avaliar seus ativos de TI mais valiosos para decidir como dedicar tempo, pessoal e recursos financeiros limitados ao aprimoramento de sua postura de cibersegurança.

Annie trabalha na equipe de cibersegurança de um hospital. Ela é responsável por proteger a organização de várias ameaças à segurança dos sistemas de informação do hospital. Uma ameaça em potencial é um invasor lançar um ataque de ransomware contra a rede de computadores do hospital para impedir a equipe de fazer login nos computadores que ela usa para gerenciar dados de pacientes. Ela também se preocupa com ataques de phishing que podem comprometer as credenciais de login dos médicos e destruir ou alterar dados médicos dos pacientes. Ela também considera o risco de um agente hostil explorar uma vulnerabilidade de um dispositivo médico inteligente para adulterar as funções do dispositivo. Esse ataque pode gerar facilmente uma fatalidade. Embora até o momento nenhum paciente tenha sofrido algum incidente de cibersegurança, se um dispositivo médico tiver uma vulnerabilidade, ele poderá permitir que usuários não autorizados comandem um dispositivo, o que cria a possibilidade de lesão a um paciente. 

Imagem de dados eletrônicos de paciente em um hospital e um invasor tentando obter acesso às informações.

Existem várias metodologias de avaliação de riscos disponíveis. Neste exemplo, vamos nos concentrar em um deles. Annie usa uma estrutura que analisa probabilidade e impacto. Várias metodologias gerais de avaliação de riscos de TI usam esses componentes. Ela quantifica sua avaliação com a atribuição de uma pontuação. Ela pode usar uma escala, por exemplo, de alto-médio-baixo ou de 1 a 100. A pontuação facilita a priorização dos riscos e a determinação da ordem de resolução. Ao usar um processo qualitativo, por exemplo, classificar um risco como alto/médio/baixo, Annie poderá determinar a probabilidade, o impacto e a pontuação geral olhando os indicadores quantitativos, como o número de empresas semelhantes que enfrentaram esse risco, ou indicadores qualitativos, como as conversas com responsáveis por sistemas e analistas de inteligência contra ameaças. 

Risco

Probabilidade

Impacto

Pontuação geral

Um ataque de ransomware limita a capacidade da equipe de acessar dados de pacientes na rede

Médio

Alta

Médio

Um ataque de phishing compromete as credenciais de login de médicos e permite que um invasor roube informações confidenciais de pacientes

Alta

Alta

Alta

Um invasor explora uma vulnerabilidade em um dispositivo médico para adulterar suas funções

Baixo

Alta

Médio

Após examinar os dados e falar com os stakeholders pertinentes, Annie conclui que a pontuação geral do risco de phishing é alta. Annie decide resolver isso com prioridade máxima. Ela também trabalhará com os responsáveis pelo sistema para corrigir os outros riscos, mas como esse risco tem maior probabilidade e maior impacto, ela vai resolvê-lo primeiro.

Na identificação dos riscos, Annie leva em conta as leis, os regulamentos e as políticas e normas que se aplicam ao seu setor, por exemplo, a Lei de portabilidade e responsabilidade do seguro de saúde (HIPAA) que exige a proteção de dados de pacientes. O não cumprimento das normas aplicáveis expõe sua organização a riscos jurídicos e regulatórios, ou seja, ela precisa ficar atenta a isso. 

Identificar lacunas e priorizar correções

Existe uma piada sobre gerentes de risco: "Consideramos todos os riscos possíveis, exceto o risco de evitar todos os riscos." Todos os negócios digitais funcionam sob algum nível de risco cibernético. Depois de entender quais riscos são relevantes para a segurança da sua organização, a próxima etapa é identificar uma linha de base para a postura de risco atual. 

No caso de Annie, quais proteções estão atualmente em vigor para evitar um ataque de phishing à conta de email dos médicos? Qual é o grau de proximidade delas do estado de segurança ideal? Em seguida, ela trabalha com os responsáveis pelos sistemas e com a liderança do hospital para identificar objetivos de curto e longo prazo alinhados com a tolerância a riscos geral e a estratégia de segurança. Ela sugere aos responsáveis pelo sistema implementar uma tecnologia de filtragem de emails e contratar terceiros para dar treinamento sobre simulação de phishing à equipe. Com esse exercício, ela ajuda o hospital a identificar um caminho até o estado ideal de exposição a riscos no qual o risco de um ataque de phishing bem-sucedido comprometer dados de pacientes é extremamente baixo. 

Verificação de conhecimento

Pronto para analisar o que aprendeu? A verificação de conhecimento não é pontuada, é apenas uma maneira fácil de avaliar o que você absorveu. Para começar, selecione a palavra adequada nas opções fornecidas na lista suspensa dentro do parágrafo. Quando terminar de selecionar todas as palavras, clique em Enviar para verificar seu trabalho. Para recomeçar, clique em Redefinir.

Ótimo trabalho. Agora, como você decide, no fim das contas, que proteções usar? Como a organização pode se manter ciente da sua postura de segurança? Como você equilibra todos os riscos em um ambiente de TI? Nós nos aprofundaremos nessas perguntas na próxima unidade, Como proteger a organização com o gerenciamento de riscos de cibersegurança. 

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback