Compreender o processo de avaliação de riscos

A avaliação de risco em segurança informática é a primeira fase do processo de gestão de risco. Uma avaliação de risco consiste em:

  • Identificação dos ativos (tangíveis e intangíveis)
  • Análise de ameaças (incluindo o impacto e probabilidade)
  • Avaliação de vulnerabilidades (ou seja, o que salvaguarda ou controla estão ausentes ou são insuficientes num dado ativo)

Da mesma forma, avaliar riscos de segurança de dados envolve:

  • Identificar as suas operações de processamento de dados (para determinar como e onde os seus ativos de dados são usados na empresa)
  • Determinar o potencial impacto no negócio (se os dados estiverem comprometidos)
  • Identificar possíveis ameaças e avaliar a possibilidade de ocorrência, incluindo frequência
  • Avaliar o risco (para avaliar quais as proteções ou controlos que devem ser implementados para proteger os seus dados)

Passo 1

Identifique as suas operações de processamento de dados

Os dados dentro de uma organização têm diferentes perfis de risco, não apenas com base no conteúdo dos dados, mas também devido à forma como os são usados ​​dentro da organização. Portanto, é importante entender como os dados são processados ​​no seu negócio quando dá início ao processo de avaliação de riscos. Por exemplo, uma PME típica pode ter alguns ou todos os seguintes tipos de operações de processamento de dados: Recursos humanos, como gestão de pagamento de salários, recrutamento e retenção, registos de formação, ações disciplinares e avaliações de desempenho. Gestão de clientes, marketing e fornecedores, como informações sobre clientes, ordens de compra e venda, faturas, listas de e-mail, dados de marketing e publicidade, e contratos de fornecedores. Segurança pessoal e física, como registos de acesso de segurança de funcionários, registos de visitantes e monitorização de vídeo. Para cada operação de processamento de dados, considere o seguinte:

  • Quais os dados pessoais que são processados?
  • Qual o propósito do processo?
  • Onde ocorre o processamento?
  • Quem é responsável pelo processamento?
  • Quem tem acesso aos dados?

Passo 2

Determinar o potencial impacto no negócio

De seguida, você precisa determinar o impacto potencial de uma violação ou de dados comprometidos.Uma violação ou dados comprometidos pode afetar a confidencialidade (por exemplo, acesso não autorizado) dos dados, a integridade dos dados (por exemplo, modificação não autorizada) ou a disponibilidade de dados (por exemplo, um ataque de ransomware). Numa avaliação de risco típica, o impacto potencial de um determinado risco é normalmente expresso em termos de danos causados à organização, como seja a perda ou a destruição de um ativo físico (por exemplo, um servidor, uma fotocopiadora ou um veículo). O impacto de um risco na segurança de dados no negócio é semelhante a outros impactos de risco, mas pode ser indireto. No caso de dados pessoais críticos, o indivíduo cujos dados são violados ou comprometidos é a vítima direta. Nestes casos, a identidade ou os ativos financeiros de um indivíduo podem ser roubados e/ ou a sua privacidade pode ser violada. O impacto para o negócio é menos direto, mas ainda é muito caro e pode incluir (entre outros):

  • Perda de clients e receita
  • Danos na reputação da marca e adversas relações públicas
  • Multas e litígios
  • Notificações de violação e serviços de monitorização de crédito
  • Análise e recuperação forense

Passo 3

Identificar possíveis ameaças e avaliar a possibilidade de ocorrência

Uma ameaça pode ser qualquer evento ou circunstância, natural ou provocada pelo homem, que tenha o potencial de afetar negativamente a confidencialidade, a integridade ou a disponibilidade de dados pessoais ou confidenciais. Isto pode incluir ataques de segurança informática, perda ou divulgação acidental, ameaças internas, incêndios e inundações, terremotos e tsunamis, condições climáticas severas (como furacões ou tornados), agitação civil, disputas laborais e muito mais. As empresas devem identificar possíveis ameaças às suas operações de processamento de dados e avaliar a probabilidade (incluindo frequência de ocorrência) de cada possível ameaça. Assegure-se de considerar ameaças em áreas bem definidas, incluindo ameaças de rede e recursos técnicos (software/ hardware) que são usados ​​para processamento de dados, ameaças de processos e procedimentos relacionados, ameaças de recursos humanos envolvidos e ameaças de escala de processamento.

Passo 4

Avaliar o risco

Depois de identificar todas as suas operações de processamento de dados (e os dados processados), há que determinar o possível impacto comercial de uma violação ou comprometimento de dados e identificar possíveis ameaças e a probabilidade e frequência de ocorrência. Deve ainda avaliar o risco associado a cada operação e determinar os controlos de tecnologia de controlo de proteção de dados apropriados e de organização/ processo. De acordo com a avaliação de risco, controlos organizacionais e de processo devem ser implementados para proteger adequadamente seus dados e operações de processamento de dados usando uma abordagem baseada em risco.

in Proteção de Dados para Pequenas e Médias Empresas (ESET)

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*