Avaliação de Risco

Em cibersegurança, uma avaliação de risco é uma análise abrangente de uma organização para identificar vulnerabilidades e ameaças. O objetivo de uma avaliação de risco é identificar os riscos de uma organização e fazer recomendações para mitigar esses riscos. Avaliações de risco podem ser solicitadas após um gatilho específico, para concluir uma avaliação antes de avançar como parte de processos mais amplos de governança e risco, ou para avaliar um portfólio periodicamente como parte do cumprimento de um objetivo de gestão de risco empresarial ou conformidade.

Duas estruturas populares de avaliação de riscos são o Framework de Cibersegurança do Instituto Nacional de Padrões e Tecnologia (NIST) e o padrão 27001:2022 da Organização Internacional de Normalização/Comissão Eletrotécnica Internacional (ISO/IEC).

As avaliações de risco podem ser baseadas em diferentes metodologias: qualitativa, quantitativa, ou uma combinação das duas. Uma avaliação quantitativa fornece dados concretos que incluem a probabilidade e o impacto potencial de uma ameaça com base na coleta de dados e análise estatística. Uma avaliação qualitativa fornece uma visão mais subjetiva e generalizada sobre o que aconteceria com as operações e a produtividade de diferentes equipes internas se um dos riscos ocorresse.

Uma avaliação de risco deve incluir um inventário atualizado dos sistemas, fornecedores e aplicações no escopo da avaliação. Essas informações ajudam os líderes de gerenciamento de risco de segurança a entender o risco associado a:

• A tecnologia em uso
• Como os processos de negócio dependem desses ativos
• Qual valor comercial eles fornecem

Uma avaliação de risco única fornece um instantâneo pontual dos riscos atuais presentes e como mitigá-los. Avaliações de risco contínuas ou em andamento fornecem uma visão mais holística do cenário de risco em constante mudança que existe na maioria das organizações.

As avaliações de risco também ajudam as organizações a avaliar e priorizar os riscos às suas informações, incluindo seus dados e seus sistemas de informação. Uma avaliação também ajuda os líderes de segurança e tecnologia a comunicar riscos em termos de negócios para as partes interessadas internas, especificamente a equipe executiva e o conselho de administração. Essas informações os ajudam a tomar decisões fundamentadas sobre quais áreas do programa de cibersegurança precisam ser priorizadas e como alocar recursos em alinhamento com os objetivos de negócios.

O crescimento dos negócios digitais e ativos relacionados exige uma melhor gestão de ambientes tecnológicos complexos, que hoje incluem:

• A Internet das Coisas (IoT)
• Inteligência artificial (IA)
• Aprendizado de máquina (ML)
• Modelos de entrega em nuvem
• Ofertas como serviço

>Isso também cria um volume crescente de dados, tipos de dados e ativos de tecnologia. Uma avaliação de risco abrangente deve incluir esses ativos, permitindo que uma organização obtenha visibilidade de todos os seus dados, forneça insights sobre se algum desses dados está exposto e identifique quaisquer problemas de segurança graves. Uma avaliação de risco de dados pode ajudar uma organização a proteger e minimizar a exposição de dados confidenciais, fornecendo uma visão holística dos dados confidenciais, identificando acessos excessivamente permissivos e descobrindo dados obsoletos e fantasmas.