11 - Análise de Riscos e Vulnerabilidades

Entenda o que é a análise de risco

Análise de risco é o processo de identificação e análise de possíveis problemas que podem impactar negativamente o negócio (PAZ, 2019). Seu principal objetivo é ajudar as organizações a evitar ou mitigar os riscos.

As organizações fazem uso da análise de riscos para:

antecipar e reduzir o efeito de resultados nocivos de eventos adversos;
analisar se os riscos são compensados pelos benefícios;
planejamento de respostas e tomadas de decisões, caso haja falhas;
identificar o impacto e preparar-se para mudanças, como a probabilidade de novos concorrentes entrarem no mercado ou mudanças na política regulatória do governo.

Conhecendo as vulnerabilidades

Vulnerabilidade na área de TI possui significado específico. Algo vulnerável significa que é sensível a determinados tipos de ameaças. Conhecido como brecha que permite um ataque ou associação a um determinado risco (TRIPLA, 2020). Levando-se em consideração a área de TI, a vulnerabilidade ocorre antes da ameaça propriamente dita, mas com origens específicas.

Pode-se também atribuir uma outra definição: fraqueza relacionada a um ativo que custodia uma informação, podendo ser explorada por uma ameaça ou mais. A ameaça é definida como toda e qualquer causa relacionada a um incidente em potencial resultando em dano num sistema, na organização, na imagem da organização, em seus colaboradores, dentre outros (BACKUP GARANTIDO, 2020).

Tipos de vulnerabilidades

Segundo Backup Garantido (2020), com base nos estudo feitos em tecnologia da informação e suas vulnerabilidades, pode-se destacar cinco tipos mais frequentes:

Defasagem de hardware: devido ao fato de alguns hardwares não acompanhar as evoluções tecnológica, tendem a ter um déficit de desempenho e apresentar ponto de vulnerabilidades que podem comprometer seu funcionamento dentro de parâmetros aceitáveis;
Defasagem de software: quando o programa, aplicação, sistema de informação, sistema operacional de computadores, dispositivos móveis e servidores, e os software em geral não são atualizados para a versão mais estável possível, tendem a apresentar um baixo desempenho e possíveis brechas de segurança quanto à acesso indevido ou subtração de informações por indivíduos não autorizados. (Ex.: Em 2017, o ransomware WannaCry invadiu computadores em diversas empresas pelo mundo, utilizando uma vulnerabilidade do Sistema Operacional Windows XP; este sistema já tinha sido descontinuado e seu suporte havia encerrado em abril de 2014)
Problemas com credenciais de autenticação em sistemas: para um sistema efetivo de autenticação, não basta apenas criar um sistema de senhas fortes, juntamente com um processo de autenticação de dois fatores, sem que os usuários conheçam e sejam treinados neste procedimento. Muito além do treinamento e do conhecimento, os usuários têm que ter o comprometimento e a responsabilidade junto ao sistema de informação, pois eles devem fazer parte do grande esquema de segurança da informação das organizações.
Firewall e Antivírus inoperantes: não existe segurança 100 %; a função dos administradores de sistema é fazer com que o risco tende à zero. É importante destinar parte dos investimentos em tecnologia da informação para o perímetro de segurança, como Firewalls e Antivírus operantes, atualizados e eficientes. No ano de 2020, segundo o CERT.br (2021) o número de invasões efetuadas por indivíduos não autorizados em sistemas foi de 665.079, e deste número foram as empresas que reportaram os incidentes de segurança.
Backups ineficientes: não é apenas uma cópia de segurança; um backup (pelo menos!) tem que permitir selecionar a informação que deverá ser guardada (de maneira manual ou automatizada), tem que permitir criar uma réplica ou imagem do dispositivo para o processo de restauração do S.O., softwares, arquivos em disco, arquivos de inicialização de sistema quando necessário, tem que permitir a gestão das criptografias e senhas das cópias como uma camada a mais de segurança, tem que efetuar a administração de espaço de armazenamento por meio de compactação, tem que fazer a gestão da frequência das cópias.

Identificando, avaliando e adoção de medida

A vulnerabilidade está relacionada à uma ameaça, podendo ser representada por uma fraqueza localizada e explorada no sistema de informação (TRIPLA, 2020). Mas uma vulnerabilidade não surge sem motivo plausível; alguns fatores relacionados ao seu surgimento:

Criação, desenvolvimento, configuração ou operação de um dispositivo;