A avaliação de risco em segurança informática é a primeira fase do processo de gestão de risco. Uma avaliação de risco consiste em:
- Identificação dos ativos (tangíveis e intangíveis)
- Análise de ameaças (incluindo o impacto e probabilidade)
- Avaliação de vulnerabilidades (ou seja, o que salvaguarda ou controla estão ausentes ou são insuficientes num dado ativo)
Da mesma forma, avaliar riscos de segurança de dados envolve:
- Identificar as suas operações de processamento de dados (para determinar como e onde os seus ativos de dados são usados na empresa)
- Determinar o potencial impacto no negócio (se os dados estiverem comprometidos)
- Identificar possíveis ameaças e avaliar a possibilidade de ocorrência, incluindo frequência
- Avaliar o risco (para avaliar quais as proteções ou controlos que devem ser implementados para proteger os seus dados)
Passo 1
Identifique as suas operações de processamento de dados
Os dados dentro de uma organização têm diferentes perfis de risco, não apenas com base no conteúdo dos dados, mas também devido à forma como os são usados dentro da organização. Portanto, é importante entender como os dados são processados no seu negócio quando dá início ao processo de avaliação de riscos. Por exemplo, uma PME típica pode ter alguns ou todos os seguintes tipos de operações de processamento de dados: Recursos humanos, como gestão de pagamento de salários, recrutamento e retenção, registos de formação, ações disciplinares e avaliações de desempenho. Gestão de clientes, marketing e fornecedores, como informações sobre clientes, ordens de compra e venda, faturas, listas de e-mail, dados de marketing e publicidade, e contratos de fornecedores. Segurança pessoal e física, como registos de acesso de segurança de funcionários, registos de visitantes e monitorização de vídeo. Para cada operação de processamento de dados, considere o seguinte:
- Quais os dados pessoais que são processados?
- Qual o propósito do processo?
- Onde ocorre o processamento?
- Quem é responsável pelo processamento?
- Quem tem acesso aos dados?
Passo 2
Determinar o potencial impacto no negócio
De seguida, você precisa determinar o impacto potencial de uma violação ou de dados comprometidos.Uma violação ou dados comprometidos pode afetar a confidencialidade (por exemplo, acesso não autorizado) dos dados, a integridade dos dados (por exemplo, modificação não autorizada) ou a disponibilidade de dados (por exemplo, um ataque de ransomware). Numa avaliação de risco típica, o impacto potencial de um determinado risco é normalmente expresso em termos de danos causados à organização, como seja a perda ou a destruição de um ativo físico (por exemplo, um servidor, uma fotocopiadora ou um veículo). O impacto de um risco na segurança de dados no negócio é semelhante a outros impactos de risco, mas pode ser indireto. No caso de dados pessoais críticos, o indivíduo cujos dados são violados ou comprometidos é a vítima direta. Nestes casos, a identidade ou os ativos financeiros de um indivíduo podem ser roubados e/ ou a sua privacidade pode ser violada. O impacto para o negócio é menos direto, mas ainda é muito caro e pode incluir (entre outros):
- Perda de clients e receita
- Danos na reputação da marca e adversas relações públicas
- Multas e litígios
- Notificações de violação e serviços de monitorização de crédito
- Análise e recuperação forense
Passo 3
Identificar possíveis ameaças e avaliar a possibilidade de ocorrência
Uma ameaça pode ser qualquer evento ou circunstância, natural ou provocada pelo homem, que tenha o potencial de afetar negativamente a confidencialidade, a integridade ou a disponibilidade de dados pessoais ou confidenciais. Isto pode incluir ataques de segurança informática, perda ou divulgação acidental, ameaças internas, incêndios e inundações, terremotos e tsunamis, condições climáticas severas (como furacões ou tornados), agitação civil, disputas laborais e muito mais. As empresas devem identificar possíveis ameaças às suas operações de processamento de dados e avaliar a probabilidade (incluindo frequência de ocorrência) de cada possível ameaça. Assegure-se de considerar ameaças em áreas bem definidas, incluindo ameaças de rede e recursos técnicos (software/ hardware) que são usados para processamento de dados, ameaças de processos e procedimentos relacionados, ameaças de recursos humanos envolvidos e ameaças de escala de processamento.
Passo 4
Avaliar o risco
Depois de identificar todas as suas operações de processamento de dados (e os dados processados), há que determinar o possível impacto comercial de uma violação ou comprometimento de dados e identificar possíveis ameaças e a probabilidade e frequência de ocorrência. Deve ainda avaliar o risco associado a cada operação e determinar os controlos de tecnologia de controlo de proteção de dados apropriados e de organização/ processo. De acordo com a avaliação de risco, controlos organizacionais e de processo devem ser implementados para proteger adequadamente seus dados e operações de processamento de dados usando uma abordagem baseada em risco.
in Proteção de Dados para Pequenas e Médias Empresas (ESET)