Em meu artigo anterior, discutimos como elaborar um planejamento estratégico de curto, médio e longo prazo, considerando metodologias modernas e as tendências do mercado de cibersegurança. No entanto, é fundamental lembrar que o básico bem feito é o alicerce de qualquer planejamento. E, na minha visão, tudo começa com uma análise de riscos bem estruturada.
A análise de riscos é um dos fundamentos da gestão de segurança da informação. No nosso cotidiano, fazemos isso de forma quase automática, como checar a previsão do tempo antes de sair de casa. No mundo corporativo, essa prática se torna essencial: é ela que identifica e avalia ameaças capazes de comprometer a confidencialidade, integridade e disponibilidade das informações críticas que sustentam os negócios.
Antes de iniciar uma análise de riscos, é indispensável mapear e catalogar todos os ativos de informação que sustentam os processos de negócio, garantindo que cada um tenha um responsável formalmente atribuído. Esse passo, embora básico, é estratégico para uma gestão eficaz dos riscos tecnológicos. A partir dessa base sólida, as organizações podem desenvolver planos de ação direcionados para mitigar os riscos que excedem o nível aceitável, sempre alinhados às diretrizes definidas pela alta administração.
Os principais objetivos dessa análise de riscos são:
– Identificar ameaças, vulnerabilidades e o grau de exposição dos ativos de informação.
– Avaliar impactos financeiros e operacionais caso os riscos se materializem.
– Estabelecer um plano de ação para tratar riscos inaceitáveis. (responsabilização dos donos dos ativos)
– Prover uma visão integrada dos riscos organizacionais.
Os benefícios de uma análise de riscos são inegáveis, mas vale destacar que ela proporciona uma visão mais clara sobre os riscos e seus potenciais impactos. Essa transparência é fundamental para um planejamento estratégico mais assertivo em segurança da informação, permitindo que os recursos sejam alocados de forma eficiente em controles realmente prioritários.
É importante destacar que uma análise de riscos organizacional exige o comprometimento ativo da alta administração para garantir uma liderança clara e eficaz do projeto. Além disso, demanda a colaboração integrada de todas as áreas-chave, com destaque para TI, Segurança da Informação (SI) e Auditoria, alinhando esforços para resultados sólidos e estratégicos.
Diversas metodologias e frameworks são amplamente utilizados na análise de riscos em segurança da informação. Embora sejam temas técnicos que nem sempre fazem parte do domínio de todos os C-Levels, é essencial destacá-los, pois o resultado de uma análise pode variar significativamente com base na abordagem empregada. Cabe ao líder avaliar criticamente e garantir que o método escolhido seja adequado ao contexto e às necessidades da organização.
Afinal, não basta afirmar que uma análise de riscos foi realizada se a metodologia utilizada não foi a mais apropriada. Entre os principais frameworks e metodologias estão:
NIST Cybersecurity Framework (CSF): desenvolvido pelo National Institute of Standards and Technology (NIST), é uma abordagem flexível para identificar, proteger, detectar, responder e recuperar de ameaças cibernéticas, amplamente utilizado por sua clareza e foco na mitigação de riscos em tempo real.
ISO/IEC 27001 e 27002 (2022): Padrões internacionais para sistemas de gestão de segurança da informação, incorporando controles modernos alinhados às ameaças cibernéticas atuais, com a ISO 27002 fornecendo orientações práticas sobre os controles mais recentes.
FAIR (Factor Analysis of Information Risk): Metodologia quantitativa para análise de riscos que mede riscos em termos financeiros, ideal para organizações que precisam justificar investimentos com base em dados financeiros.
COBIT 2019: Framework de governança que integra estratégias de TI e de negócios, ajudando a alinhar a gestão de segurança com os objetivos organizacionais.
IRAM2 (Information Risk Analysis Methodology): Desenvolvido pelo Information Security Forum (ISF), oferece ferramentas adaptadas para avaliar riscos em ambientes dinâmicos, como a nuvem.
OCTAVE Allegro: Variante moderna do OCTAVE, focada em eficiência e simplicidade na análise de riscos, sendo ideal para empresas com equipes enxutas.
Entre as abordagens contemporâneas e tendências em segurança da informação, destacam-se a proteção em ambientes de nuvem, com frameworks como o CSA Cloud Controls Matrix (CCM), que tratam de riscos específicos de serviços na nuvem; a resiliência cibernética, que foca em garantir a continuidade dos negócios durante e após ataques; e a automação com inteligência artificial, que já começa a se consolidar com ferramentas de IA para monitoramento contínuo e análise preditiva de riscos, uma tendência que, na minha visão, será o padrão de mercado em breve. Além disso, a conformidade regulatória ganha protagonismo, integrando requisitos de legislações como LGPD, Marco Civil e normas específicas de cada setor.
Por fim, a análise de riscos em segurança da informação permanece como um pilar essencial para organizações que buscam proteger seus ativos e fortalecer a confiança de clientes e stakeholders. Retorne ao básico: conduza uma análise de riscos bem estruturada antes de iniciar ou revisar seus planejamentos estratégicos. Ao incorporar metodologias e frameworks modernos, é possível alinhar as estratégias de segurança aos desafios contemporâneos, promovendo resiliência organizacional e crescimento sustentável.
Umberto Rosti, CEO Brasil da Stefanini Cyber.
