Análise e Gestão do Risco em Segurança da Informação

É praticamente impossível debruçarmo-nos sobre a temática da segurança da informação sem nos

depararmos com termos como 'Gestão do Risco' ou 'Análise de Risco'. De facto, ambos os conceitos
encontram-se intimamente relacionados com o processo de Gestão da Segurança da Informação,
nomeadamente ao nível organizacional e institucional, constituindo aspectos determinantes para a
escolha das medidas e controlos de segurança a implementar, de acordo com as necessidades e
objectivos específicos destas entidades no que concerne à garantia da manutenção da
confidencialidade, integridade e disponibilidade da sua informação crítica de negócio.

A significativa relevância destas duas disciplinas para a segurança da informação resultou na sua
inclusão nos referenciais de excelência a este nível - as normas BS ISO/IEC 27001 (Requisitos para
Sistemas de Gestão da Segurança da Informação) e BS ISO/IEC 17799 (Código de Práticas para a
Gestão da Segurança da Informação) - e posteriormente no desenvolvimento de um referencial
específico que esclarece e complementa directrizes e conceitos apresentados nos referenciais supra
mencionados, o recentemente publicado BS 7799-3:2006 (Directrizes para a Gestão do Risco para a
Segurança da Informação).

Neste sentido, importa introduzir alguns conceitos relacionados com a problemática da análise e gestão
do risco:

    * Vulnerabilidade. Termo normalmente utilizado para designar um ponto fraco ou falha existente num
determinado sistema ou recurso, que poderá ser explorada, propositada ou inadvertidamente, causando
prejuízo ao sistema ou recurso em questão.

    * Ameaça. Circunstância ou evento cuja verificação ou concretização se traduz num conjunto de
impactos negativos sobre um sistema ou recurso que apresenta uma ou mais vulnerabilidades passíveis
de serem exploradas pela ameaça em questão.

    * Impacto. O conceito de impacto prende-se com o resultado decorrente da verificação de um

determinado evento de segurança sobre um ou mais recursos, evento este que se traduz normalmente
em consequências nefastas, directas ou indirectas, para os recursos mencionados.

    * Risco. Potencial associado à exploração de uma ou mais vulnerabilidades de um recurso (ou
conjunto de recursos), por parte de uma ou várias ameaças, com impacto negativo nos recursos
afectados, e por conseguinte na actividade e negócio da organização.

O nível de risco subjacente à exploração de uma determinada vulnerabilidade, por parte de uma ou mais
ameaças, pode ser caracterizado ou calculado atendendo a três factores distintos, mas relacionados:

    * O grau de vulnerabilidade existente;

    * A probabilidade da ocorrência de um incidente de segurança (concretização de uma ameaça);
    * O impacto resultante do mesmo.

Desta forma, qualquer alteração ao nível dos recursos de uma organização e das vulnerabilidades
directamente associadas, das ameaças a que estes se encontram expostos e dos controlos de
segurança utilizados para protegê-los, terão necessariamente efeito positivo ou negativo no que
concerne ao nível de risco existente.
Atendendo a que a mudança é uma constante na realidade organizacional, quer ocorra interna ou
externamente, é fundamental que as organizações incorram nos esforços necessários para monitorizar
quaisquer alterações na envolvente externa, mas também ao nível dos seus próprios recursos, no
sentido de identificar elementos ou factores que podem colocar em causa a normal concretização das
suas actividades de negócio, representando uma alteração no nível de risco que sobre este pende.

Ao processo de levantamento e identificação dos recursos críticos, determinação das vulnerabilidades e

ameaças existentes, bem como do seu impacto e probabilidade de ocorrência, e posterior cálculo do
nível de risco associado a cada um dos recursos dá-se correntemente a designação de 'Análise de
Risco'.

Etapas da análise de risco

O termo 'Análise de Risco', inserido no contexto da segurança da informação, pode ser entendido como
o "processo que identifica e avalia de forma sistemática, metodológica e repetível os riscos de segurança
a que os recursos críticos de negócio das organizações se encontram sujeitos, possibilitando a definição
dos meios através dos quais estes podem ser protegidos".

A realização de uma análise de risco compreende genericamente diversas etapas ou passos:

    * Identificação dos recursos considerados críticos para a actividade e sobrevivência da organização,
recursos estes que são valorizados de acordo com a sua relevância para o negócio, facilidade de
substituição e investimento (directo e/ou indirecto) necessário para reparação ou substituição.

    * Identificação das vulnerabilidades que se encontram associadas a estes recursos e das ameaças a
que estes se encontram expostos, bem como a sua probabilidade de ocorrência e impacto esperado
(quantificado, sempre que possível).

    * Determinação, o mais realista possível, das perdas e danos (tangíveis e intangíveis) associados aos
impactos resultantes da concretização de uma ou mais ameaças, sobre um dado recurso. Deste cálculo
decorre o nível de risco associado ao recurso em questão.

    * De acordo com o nível de risco identificado, segue-se a classificação deste quanto à sua aceitação
ou necessidade de mitigação, atendendo ao grau de conforto pretendido pela organização.

Um nível de risco pode ser aceite caso a organização decida que este não acarreta consequências
significativas para a concretização das suas actividades críticas de negócio, sendo que a aceitação de
um determinado nível de risco pode, contudo, presumir a realização de esforços no sentido de mitigá-lo,
reduzindo-o a um valor considerado aceitável para a organização, dotando-a de um nível de conforto
desejável.

No sentido de reduzir, quer a probabilidade de verificação de um determinado nível de risco sobre um

recurso, quer as suas consequências, ou mesmo facilitar o restauro do normal funcionamento desse
mesmo recurso e actividades associadas, as organizações devem definir e implementar medidas de
segurança, traduzíveis em controlos tecnológicos ou processuais, a título de exemplo, adequadas à sua
cultura e situação específicas.

O grau de risco que permanece após o processo de 'Tratamento do Risco', quer envolva a mitigação,
eliminação, transferência ou simples aceitação da presença desse mesmo risco, é usualmente
denominado de 'nível de risco residual' ou 'nível de risco aceitável'.
É importante referir que uma análise de risco está intimamente relacionada com a análise custo/benefício
da implementação (ou não) dos controlos considerados necessários ou adequados aos requisitos de
segurança da informação da organização. Uma organização pode considerar que o investimento
associado à implementação destas medidas não se justifica, atendendo aos seus objectivos de negócio,
ou simplesmente por não ter liquidez financeira para o realizar, pelo que nestes casos deve haver um
compromisso entre o ideal e as reais possibilidades da organização, devendo ser formalmente assumido
o nível de risco deste decorrente.

Outro aspecto importante é a necessidade da realização regular de análises de risco, de acordo com
uma metodologia repetível e sustentada, considerando que devido à volatilidade dos mercados em que
as organizações se inserem actualmente, alterações a este nível podem afectar o equilíbrio entre os
controlos e as vulnerabilidades/ameaças que afectam os recursos organizacionais.

É indispensável a monitorização do nível de risco a que os recursos, e por acréscimo o negócio da

organização, se encontram expostos, de forma a garantir a eficiência e a eficácia da gestão desse
mesmo risco, processo que compreende, tanto a análise, como o tratamento dos riscos identificados
previamente.