Avaliação de Riscos

Entenda seus recursos, suas ameaças, suas vulnerabilidades e seus riscos. Use essas informações para otimizar a sua segurança

Visão geral

A Avaliação de Riscos da McAfee Foundstone realiza uma auditoria independente dos riscos existentes, apresenta estratégias para ajudar a gerenciar os riscos e descreve os processos e sistemas que atenuam as condições de risco. As avaliações de risco programadas regularmente são uma parte fundamental do cumprimento de leis e normas federais e estaduais, entre elas GLBA, HIPAA, Projeto de Lei do Senado (SB) 1386 da Califórnia, e PCI DSS. Além disso, uma avaliação de risco é um componente fundamental de um programa de segurança eficaz.

Avaliar os riscos é o alicerce para o desenvolvimento de estratégias de gestão de riscos dentro de uma organização. A metodologia da Foundstone identifica os recursos que apóiam as operações de negócios, descobre as vulnerabilidades e identifica ameaças potenciais contra esses recursos.

Principais benefícios

Uma Avaliação de Riscos da Foundstone ajuda a sua organização a:

  • Identificar os recursos operacionais mais importantes
  • Proteger os recursos de informação mais importantes contra as potenciais ameaças
  • Otimizar os investimentos em segurança
  • Maximizar o ROI da segurança
  • Orientar a formulação de estratégias de segurança

Metodologia

Uma Avaliação dos Riscos da Foundstone identifica os recursos que são fundamentais para as operações de negócios e estabelece o valor dos recursos da organização. Identificamos ameaças que possam afetar esses recursos e analisamos as vulnerabilidades para determinar a probabilidade de impacto. A Foundstone emprega uma abordagem equilibrada para avaliar o perfil de risco de uma organização, por meio de entrevistas, análise de documentação e análise técnica para determinar o risco, em vez de confiar em auto-avaliações ou questionários.

Identificação de recursos, vulnerabilidades e ameaças
Nesta fase, a Foundstone entrevista os gestores de negócios e o pessoal técnico e analisa a documentação relativa à segurança da informação e aos recursos, inclusive a topologia da rede. A Avaliação de Riscos da Foundstone identifica os recursos operacionais mais importantes, entre eles sistemas de data centers, computadores de funcionários, dispositivos e canais de comunicação de rede, áreas de trabalho remotas, tais como computadores domésticos dos funcionários, dados de clientes, dados de funcionários e propriedade intelectual. A Foundstone dá ênfase especial aos sistemas que processam, armazenam, gerenciam e transmitem dados pessoais. Nós examinamos como os recursos de tecnologia da informação são utilizados por todos os tipos de usuários do sistema, inclusive administradores, clientes e funcionários; em seguida, depois classificamos cada recurso de acordo com seu valor para as operações, caso venham a falhar.

A Foundstone entrevista a equipe técnica para identificar possíveis vulnerabilidades e também emprega análise de documentação e análise técnica (no caso de combinação com uma avaliação de vulnerabilidade) para descobrir potenciais pontos fracos. As vulnerabilidades são classificadas de acordo com a gravidade, que identifica a exposição de um recurso. Para os fins da Avaliação de Riscos, a avaliação de vulnerabilidades é uma análise geral. As vulnerabilidades identificadas através desta avaliação são candidatas a uma avaliação técnica mais detalhada realizada pela Foundstone.

Utilizando a modelagem de ameaças, a Foundstone cria situações que correspondam a possíveis ocorrências. Cada recurso é analisado com o seu custo potencial em caso de impacto, inclusive os custos diretos da destruição ou perda física, a perda de confiança dos consumidores, o descumprimento das exigências legais e situações de catástrofe. O resultado é uma classificação de ameaças com base na predominância, uma medida que indica se uma ameaça tem a capacidade e a motivação de afetar um recurso.

Análise abrangente
Depois que a Foundstone catalogar os recursos, as vulnerabilidades e as ameaças, ela inicia a análise. O risco está presente quando recursos essenciais, ameaças verossímeis e vulnerabilidades existentes estão presentes. A Foundstone se concentra em uma avaliação qualitativa dos riscos, em vez de tentar atribuir valores monetários às possíveis perdas.

Planejamento do roteiro de segurança
A Foundstone se concentra em estratégias que levem à redução máxima do risco com o menor investimento possível em segurança. Criamos um roteiro de segurança que detalha as quatro estratégias de gestão de riscos da Foundstone: atenuação, transferência, contenção e aceitação. As estratégias são classificadas por prioridade de acordo com a quantidade de redução de riscos e o custo relativo. Os resultados são documentados em um plano de ação de roteiro de segurança que detalha problemas e soluções sistêmicos, de acordo com as limitações de recursos da sua organização e com os objetivos de risco.

Na conclusão do projeto, apresentamos um relatório técnico completo de Avaliação de Riscos, um resumo executivo, passos seguintes recomendados e um workshop (com meio dia de duração) com os resultados e uma apresentação.