renato-mirabili-junior

17/11/2023

Risco, ameaça e vulnerabilidade

Clareza nos termos ajuda a fortalecer a segurança de dados nas empresas.

Atualmente, uma das maiores preocupações das grandes corporações é referente a Segurança da Informação. De acordo com a pesquisa ‘Futuro da Segurança Cibernética 2023’, conduzida pela consultoria Deloitte, 91% das empresas de alto desempenho investem em segurança cibernética. Além disso, pelo menos 66% das organizações revisam e atualizam seus planos anualmente.

E quando falamos sobre assuntos relacionados à cibersegurança, diversos termos são utilizados, dentre os quais se destacam ‘risco’, ‘ameaça’ e ‘vulnerabilidade’.

No entanto, embora os números sejam positivos e esses termos sejam comuns, é importante compreender a diferenciação entre eles para tomar decisões empresariais informadas. Ter clareza sobre a situação, seja ela um risco, uma ameaça ou uma vulnerabilidade, é fundamental para garantir a eficácia das atividades de segurança de dados nas organizações.

Dessa forma, abaixo é destacado a definição de cada um dos termos, para que as empresas estejam bem-preparadas para a resolução de determinados problemas.

Risco — ‘Risco’ pode ser definido como qualquer evento que possa ter um impacto negativo para os negócios da empresa, ou seja, a incapacidade da organização alcançar os objetivos de negócio. Isso envolve o potencial de perda, dano ou até mesmo a destruição de um ativo. Dessa forma, o ‘risco’ pode ser classificado em diversas categorias como, por exemplo, incontroláveis, mercadológicos, operacionais, legais e humanos, entre outros.

Segundo a OWASP (Open Web Application Security Project), comunidade on-line que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web, podemos calcular a gravidade do ‘risco’ da seguinte forma: risco igual a probabilidade versus impacto. Isso significa que, conhecendo os dados sobre o agente da ameaça, bem como o impacto nos negócios, podemos ter uma visão geral da gravidade desse risco.

E para ilustrar melhor esta definição, alguns exemplos de riscos mais observados nas empresas são descontinuidade de negócio; perdas financeiras, de privacidade, de confiança e de vidas; danos à reputação; sanções judiciais e prejuízo ao crescimento.

Ameaça — Caracterizada como um evento ou causa potencial para a ocorrência de um incidente indesejado, a ‘ameaça’ pode impactar negativamente o sistema. Além disso, o termo é utilizado no momento em que um dado é gerado por algum agente mal-intencionado, que busca por vulnerabilidade na organização.

Nesse sentido, os exemplos mais comuns de ‘ameaça’ nas empresas são funcionários descontentes e, ou desonestos; criminosos ou cibercriminosos; governos; terroristas ou ciberterroristas; empresas rivais ou competidores; eventos da natureza e catástrofes.

Vulnerabilidade — A ‘vulnerabilidade’ pode ser definida apenas como uma ‘fraqueza’ que é explorada por uma ameaça, seja ela em um sistema, um controle interno ou até mesmo um procedimento de segurança. Esses recursos fragilizam os sistemas, deixando-os passíveis a diversas atividades ilegítimas e, ou ilegais.

Sob este aspecto, as vulnerabilidades podem causar os ‘riscos’ citados acima, ocasionando perdas significativas e, em alguns casos, irreversíveis. Nesse âmbito, entre os episódios mais comuns no mercado estão: bugs em softwares; processos desajustados ou inapropriados; controles ineficazes; falhas humanas e de hardwares e sistemas sem atualizações.

Em resumo, é fundamental compreender a diferenciação entre esses termos como primeiro passo para que uma empresa possa identificar e gerenciar as vulnerabilidades de forma eficaz. Com esse conhecimento, é possível combater as ameaças e, consequentemente, reduzir consideravelmente os ‘riscos’ nas organizações.

. Por: Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.