Análise de risco aplicada ao COVID-19

Gabriel Bergel    4 mayo, 2020
Análise de risco aplicada ao COVID-19

Durante essas últimas semanas, vimos todos os tipos de análises e teorias em torno do Covid-19, mas provavelmente muitos não perceberam que podemos aplicar a metodologia de análise de risco , tão conhecida por nós hackers e pelos profissionais que trabalham em cibersegurança. Na primeira temporada de nossos seminários on-line, #11PathsTalks , já discutimos esse tópico, principalmente devido à importância de entender esse processo para gerenciar adequadamente os riscos tecnológicos em nossas empresas , mas também para entender bem como enfrentar novas ameaças cibernéticas. .

Esse processo é cada vez mais reconhecido no setor , existem muitas metodologias, ISO (ISO 27005) e é cada vez mais exigido em mais processos de certificação internacional, como o caso do PCI DSS que o inclui como requisito no processo de Ethical Hacking .

A situação atual de confinamento, quarentena, tensão, superexposição à informação, o desafio de um gerenciamento adequado do tempo em casa, etc. Isso fez meus níveis de paranóia e ceticismo crescerem e eu me questionei duas vezes mais.

Entre esses tópicos, discutindo com colegas e não colegas, percebi que a maioria deles tinha dificuldade em entender como se proteger adequadamente para enfrentar essa nova pandemia do COVID-19 e percebi na ligação semanal com meus colegas da CSA sobre as muitas analogias presentes no processo de análise de risco que usamos regularmente (espero) para analisar os riscos presentes em nossa organização.

Análise qualitativa de risco aplicada ao COVID-19

Risco (RAE): (Del it. Risico ou rischio, e este do ar. Clás. Rizq, que fornece a providência).

1. m. Contingência (possibilidade de algo estar acontecendo ou não) ou proximidade de danos.

A análise de risco é um processo que busca identificar o risco de segurança de um ativo, determinando sua probabilidade de ocorrência, seu impacto nos negócios e os controles que mitigam o impacto (ou a probabilidade de ocorrência).

Abordagem baseada em: Probabilidade – Impacto

Como tradicionalmente, mas neste caso, focando apenas o COVID-19 como a ameaça que queremos analisar, identificaremos o ativo ou ativos que podem ser afetados por essa ameaça, as vulnerabilidades atuais que podem permitir a ameaça. afeta o ativo, a probabilidade de ocorrência em que essa ameaça, considerando vulnerabilidades, afeta o ativo e o impacto associado a essa ameaça, através de vulnerabilidades, afeta o ativo. Como sempre, um dos objetivos é definir quais controles minimizam a probabilidade de ocorrência ou impacto . Vamos lembrar o contexto geral:

Contexto general de la seguridad de la información
Figura 1: Contexto geral da segurança da informação
  • Ameaça: um evento com potencial de afetar adversamente a confidencialidade, integridade ou disponibilidade dos ativos de informações. Nesse caso, é um evento com potencial para afetar nossa saúde (integridade), COVID-19 .
  • Ativo: qualquer coisa de valor para a organização. No nosso caso, o ativo a proteger são as pessoas .
  • Vulnerabilidade: uma fraqueza que facilita a materialização de uma ameaça. No nosso caso, eles seriam:
    • Ter mais de 80 anos
    • Tendo problemas de saúde ou condicionamento físico
    • Tendo doenças crônicas
    • Tendo necessidades especiais (incapacidade)
    • Ter maus hábitos (não lavar as mãos, tossir sem cobrir a boca)
    • Não siga as recomendações. (use máscara, respeite a quarentena)
  • Probabilidade do risco: é a frequência com que o risco pode ocorrer em um determinado período de tempo. Níveis de probabilidade de ocorrência (neste caso, de contágio):
    • Alta
    • Média
    • Baixo
  • Impacto: são as consequências que teriam se um determinado ativo fosse afetado por sua confidencialidade, integridade ou disponibilidade. No nosso caso, são as consequências que haveria se um ativo (pessoa) afetasse sua saúde. Impacto possível:
    • Baixo : fique infectado com COVID-19 e não tenha sequelas.
    • Médio : infectado com COVID-19 e com consequências.
    • Alto : morra de COVID-19.

Matriz Simplificada de Análise de Risco – COVID-19 – Risco Inerente

Risco absoluto ou inerente é o risco que os controles não consideram.

Matriz Simplificada de Análise de Risco – COVID-19 – Risco Residual

Risco residual é o risco resultante da aplicação de controles.

Resultado da análise de risco

Matriz de calor de los riesgos identificados
Figura 2: Matriz de calor dos riscos identificados

Resultado da Análise de Risco para COVID-19 – Risco Inerente

Matriz de calor de los riesgos inherentes
Figura 3: Matriz de calor de los riesgos inherentes

Resultado da Análise de Risco para COVID-19 – Risco Residual

Matriz de calor de los riesgos residuales
Figura 4: Matriz de calor de los riesgos residuales

Conclusões

Como pode ser verificado, o processo de análise de risco visa identificar e aplicar controles para reduzir a probabilidade de ocorrência ou o impacto associado ou ambos no melhor cenário .

Na Figura 3, pode-se observar que os riscos estão todos em níveis médio e alto ; portanto, eles devem ser gerenciados aplicando os controles identificados. Dessa forma, na Figura 4 pode ser visto como a aplicação dos controles diminuiu a probabilidade de ocorrência ou o impacto associado e, portanto, os riscos diminuíram.

O mais importante a entender neste caso do COVID-19 é que, ao aplicar todos esses controles ou recomendações de especialistas, não estamos eliminando o vírus, estamos apenas reduzindo a probabilidade de contágio. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *