Blog  |  Artigos

Análise de riscos: passo inicial para a gestão da segurança da informação

Durante muito tempo a segurança da informação foi conduzida pela ótica da adoção de ferramentas para proteção de recursos. A aquisição de softwares como antivírus, firewall e outros eram vistos como sendo as únicas e necessárias ações dentro da gestão da segurança da informação das empresas. Mas felizmente esta visão vem mudando, e não é de hoje.

Na verdade trata-se de uma mudança de paradigma da abordagem tradicional da segurança da informação que era baseada na proteção de recursos para uma nova abordagem baseada na proteção de processos de negócios. E para proteger os processos é preciso conhecê-los, identificar os elementos neles envolvidos e, principalmente, identificar os riscos que podem comprometê-los.

Dentro desta nova abordagem, a análise de riscos é uma etapa fundamental já que permite identificar ameaças, vulnerabilidades, agentes exploradores, probabilidades e, por conseqüência, permite conhecer os riscos e suas implicações antes de decidir o que será feito e quando será feito, a fim de reduzi-los a um nível aceitável.

Para um determinado ativo, dentro de um determinado processo de negócio, um determinado nível de risco pode ser considerado aceitável, enquanto outro precisa ser evitado a todo custo e, portanto, demanda um esforço maior.

A análise de risco possibilita identificar o grau de proteção que os ativos de informação de cada processo da organização precisam, permitindo assim não apenas proporcionar a proteção em grau adequado para o negócio, mas principalmente usar de maneira inteligente os recursos da organização. A análise de risco é o coração do sistema de gestão de segurança da informação, pois sem essa análise seria impossível determinar o conjunto adequado de medidas de segurança e garantir qualquer nível de sinergia nas ações tomadas. Num mundo ideal, nenhuma organização deveria tomar decisões sobre investimentos em segurança da informação sem ter em mãos a sua política de segurança da informação.  E nenhuma organização deveria começar a escrever uma política de segurança sem ter em mãos uma análise de riscos do seu ambiente de TI.

A recém lançada norma ISO/IEC 27005, cuja primeira edição data de 15 de junho de 2008, vem juntar-se aos documentos e ferramentas já existentes objetivando facilitar a implementação satisfatória da segurança da informação tendo como base a gestão de riscos. O desafio dos consultores em segurança da informação agora consiste em desenvolver métodos práticos e aplicáveis de realização de análise de riscos tomando por base as diretrizes desta nova norma.

Deixe seus comentários
Nome:
E-mail:(não será divulgado)
Site:
Comentário:
Comentários

Nenhum Comentário para esse post, seja o primeiro!

Voltar

Assine a Newsletter

© 2017 Setrix.
Todos os direitos reservados.
Gu@pos