ISO 27001: Exemplo de Risco de Segurança da Informação

Posted on By Categoria: Outros 4 comentários em ISO 27001: Exemplo de Risco de Segurança da Informação
File:ISO Logo (Red square).svg
ISO

Antes de vermos um exemplo de Risco de Segurança da Informação falaremos sobre:

O risco de segurança da informação é a possibilidade de uma ameaça explorar uma vulnerabilidade de um sistema, infraestrutura ou dispositivo, resultando em perda, dano ou comprometimento de informações confidenciais ou sensíveis. Esses riscos podem afetar a integridade, confidencialidade e disponibilidade dos dados.

Riscos são ameaças futuras! Quando for preencher uma planilha de ANÁLISE DE RISCO não registre algo que aconteceu, pois isso não é risco e sim ocorrência.

Os riscos de segurança da informação podem ser internos ou externos. Os riscos internos são causados por funcionários, ex-funcionários, contratados e colaboradores, que podem acessar informações confidenciais ou sistemas, exceder suas permissões ou praticar ações maliciosas. Já os riscos externos são causados por ameaças externas, como hackers, cibercriminosos, concorrentes e agentes de estado, que tentam explorar vulnerabilidades ou roubar informações.

Os riscos de segurança da informação podem ser mitigados por meio de medidas de segurança, como políticas, processos e tecnologias de segurança da informação, que visam reduzir a exposição aos riscos e minimizar os impactos das ameaças. Algumas dessas medidas incluem criptografia, autenticação, controle de acesso, monitoramento, backup e recuperação de desastres.

Não confunda Riscos com Ocorrências! Para ocorrências sugiro usar/implantar o GLPI. Veja: O que é GLPI(Gerenciamento gratuito de ativos de TI)?

O GLPI é uma ótima ferramenta para coleta dos ativos, pois ele é bem complexo e contém campos diversos e detalhados.

Exemplo de Risco de Segurança da Informação

Documento de Avaliação de Riscos de Segurança da Informação

1. Introdução

Este documento de avaliação de riscos de segurança da informação tem como objetivo identificar, avaliar e tratar os riscos de segurança da informação em nossa organização. Ele é baseado nos requisitos da norma ISO 27001 e visa garantir que todos os riscos de segurança da informação sejam tratados de forma adequada e eficaz.

2. Escopo

Esta avaliação de riscos de segurança da informação abrange todas as áreas da organização que processam, armazenam ou transmitem informações confidenciais ou críticas. O escopo inclui todos os sistemas, processos e pessoas envolvidas nessas atividades.

3. Metodologia de Avaliação de Riscos

A metodologia de avaliação de riscos utilizada nesta avaliação é baseada na ISO 27005 e consiste nos seguintes passos:

  1. Identificação dos ativos de informação
  2. Identificação das ameaças
  3. Identificação das vulnerabilidades
  4. Avaliação da probabilidade de ocorrência das ameaças
  5. Avaliação do impacto das ameaças
  6. Avaliação dos controles existentes
  7. Avaliação dos riscos residuais
  8. Identificação das medidas de tratamento dos riscos

4. Resultados da Avaliação de Riscos

Os resultados da avaliação de riscos de segurança da informação estão apresentados no quadro abaixo:

Ativo de InformaçãoAmeaçaVulnerabilidadeProbabilidadeImpactoControles ExistenteRisco ResidualMedidas de Tratamento
Banco de DadosAtaque de HackerSenha FracaAltaAltoFirewall, Senhas FortesAltoImplementação de Autenticação em Dois Fatores
Servidor de ArquivosVírusFalha de SegurançaMédiaMédioAntivírusMédioAtualização do Sistema Operacional
Computador de UsuárioPhishingFalha de AtualizaçãoBaixaBaixoTreinamento de Conscientização, Atualizações AutomáticasBaixoMonitoramento de Atualizações

Obs.: A tabela acima pode ser feita num Editor de Texto ou de Planilha. Sugiro usar uma planilha dedicada somente para isso.

5. Medidas de Tratamento

Com base nos riscos residuais identificados na avaliação, foram propostas as seguintes medidas de tratamento:

  • Implementação de autenticação em dois fatores no banco de dados
  • Atualização do sistema operacional do servidor de arquivos
  • Monitoramento de atualizações nos computadores de usuários

6. Conclusão

Esta avaliação de riscos de segurança da informação identificou os riscos associados aos ativos de informação em nossa organização e propôs medidas de tratamento adequadas para mitigar esses riscos. A implementação dessas medidas garantirá que nossos ativos de informação estejam protegidos contra ameaças internas e externas.

Normas e ISOs Tags:,

Comments (4) on “ISO 27001: Exemplo de Risco de Segurança da Informação”

  1. Pingback: Normas e ISOs: O que Deve Ser Documentado na ABNT NBR 27001/2013? - Categoria Outros
  2. Pingback: ISOs e Normas: Termos Usados na Família 27000 - Categoria Outros
  3. Pingback: Normas e ISOs: O que É um SGSI(Sistema de Gestão da Segurança da Informação)? - Categoria Outros
  4. Pingback: Normas e ISO: O que é Segurança da Informação? - Categoria Outros

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Share via
Facebook
Twitter
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied