.jpg "Quero me preparar")
.jpg "Quero me preparar")
Entenda a necessidade de avaliar riscos tecnológicos como forma de conhecer os riscos que se apresentam para o negócio.
Um dos elementos essenciais ao bom funcionamento de qualquer empresa e à segurança de suas informações é a questão da vulnerabilidade. Assim, é necessário que cada negócio estabeleça um processo de análise de vulnerabilidade, permitindo aos profissionais de TI identificar falhas e possíveis acessos de ameaças, evitando que estes prejudiquem os resultados empresariais.
No entanto, é comum que empresas cometam o erro de, ao invés de proteger o negócio, apliquem processos que visam proteger apenas as tecnologias, como é o caso de análises que determinam como escopo apenas os ativos tecnológicos mais importantes e que são parte integrante do ambiente produtivo da empresa, dividindo-os entre os que estão e o que não estão expostos à internet.
Geralmente este tipo de análise se dá pela identificação de configurações permissivas e brechas que facilitem o acesso e paralizações não autorizadas no servidor, sendo seguidas de um processo automatizado de classificação das falhas de segurança de acordo com o nível de criticidade.
No momento de corrigir as vulnerabilidades identificadas, esse processo mais tradicional tem início por falhas de elementos com acesso à internet, mais uma vez ignorando os processos de negócio em prol de ativos tecnológicos.
É importante destacar que o nível executivo raramente enxerga a conexão existente entre riscos tecnológicos e riscos de negócio, muitas vezes prejudicando os projetos da empresa em sua totalidade por não saber identificar prioridades de aplicação de recursos.
Análise de vulnerabilidade eficaz deve considerar a empresa
Uma análise de vulnerabilidade que tome como ponto central o negócio é, assim, essencial para que a visão completa dos processos seja entendida e para que as decisões sejam tomadas de maneira a aproveitar melhor os recursos e oportunidades.
Esse tipo de análise é diferente do tradicional desde a definição do escopo, permitindo aos profissionais de TI aproximarem suas necessidades e metas daquelas mais amplas referentes aos negócios das empresas, podendo ser estabelecida em alguns passos:
1° Buscar conhecimentos sobre negócios por meio da aproximação com stakeholders;
2º Por meio dos conhecimentos obtidos destes stakeholders, identificar os macroprocessos de negócio, elementos críticos e que rodam em sistemas e infraestruturas de tecnologias;
3º Identificar os riscos de negócio que podem decorrer de desvios nos processos críticos identificados caso eles ocorram dentro do sistema;
4º Mapear o local onde os macroprocessos críticos identificados são rodados, determinando o sistema, banco de dados, servidor e equipamento de rede para, só então, definir o escopo da análise de vulnerabilidade;
5º Desenvolver uma análise técnica, classificando e determinando as prioridades entre as vulnerabilidades tecnológicas identificadas;
6º Relacionar os conceitos, determinando as vulnerabilidades graves e aquelas exploráveis com um dos riscos de negócio previamente identificados, de forma que se estabeleça uma conexão entre o ativo da vulnerabilidade e o ativo dos macroprocessos de negócios, determinando a vulnerabilidade tanto do aspecto tecnológico, quanto do negócio;
7º Apresentar aos responsáveis pela administração os resultados da análise de vulnerabilidade, as metas e prioridades descrevendo os riscos de negócio que os problemas tecnológicos podem causar.
Assim, notamos que pensar e discutir a Segurança da Informação como negócio depende de uma análise que consiga relacionar os riscos corporativos e os riscos de cunho tecnológico, permitindo uma compreensão mais plena tanto do departamento de TI quanto dos níveis executivos, permitindo uma melhor proteção dos processos e o alcance de melhores resultados.
Escreva seu comentário