Clareza dos termos técnicos pode ajudar na disseminação da Segurança de dados

Apesar de serem termos comuns, entender a definição de cada um deles pode auxiliar nas decisões empresariais e deixar investimentos em Segurança Cibernética mais ao alcance dos CISOs

Compartilhar:

por Renato Mirabili Junior*

Atualmente, uma das maiores preocupações das grandes corporações é referente a Segurança da Informação. De acordo com a pesquisa ‘Futuro da Segurança Cibernética 2023’, conduzida pela consultoria Deloitte, 91% das empresas de alto desempenho investem em segurança cibernética. Além disso, pelo menos 66% das organizações revisam e atualizam seus planos anualmente.

Ao que se refere sobre os assuntos relacionados à cibersegurança, diversos termos são utilizados, dentre os quais se destacam ‘risco’, ‘ameaça’ e ‘vulnerabilidade’. No entanto, embora os números sejam positivos e esses termos sejam comuns, é importante compreender a diferenciação entre eles para tomar decisões empresariais informadas.

Por isso, ter clareza sobre a situação, seja ela um risco, uma ameaça ou uma vulnerabilidade, é fundamental para garantir a eficácia das atividades de segurança de dados nas organizações.
Dessa forma, foram destacadas a definição de cada um dos termos, para que as empresas trabalhem na resolução de determinados problemas.
 

Risco

‘Risco’ pode ser definido como qualquer evento que possa ter um impacto negativo para os negócios da empresa, ou seja, a incapacidade da organização alcançar os objetivos de negócio. Isso envolve o potencial de perda, dano ou até mesmo a destruição de um ativo. Dessa forma, o ‘risco’ pode ser classificado em diversas categorias como, por exemplo, incontroláveis, mercadológicos, operacionais, legais e humanos, entre outros.

Segundo a OWASP (Open Web Application Security Project), comunidade on-line que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web, podem calcular a gravidade do ‘risco’ da seguinte forma: risco igual a probabilidade versus impacto. Isso significa que, conhecendo os dados sobre o agente da ameaça, bem como o impacto nos negócios, é possível ter uma visão geral da gravidade desse risco.

E para ilustrar melhor esta definição, alguns exemplos de riscos mais observados nas empresas são descontinuidade de negócio; perdas financeiras, de privacidade, de confiança e de vidas; danos à reputação; sanções judiciais e prejuízo ao crescimento.

Ameaça

Caracterizada como um evento ou causa potencial para a ocorrência de um incidente indesejado, a ‘ameaça’ pode impactar negativamente o sistema. Além disso, o termo é utilizado quando um dado é gerado por algum agente mal-intencionado, que busca por vulnerabilidade na organização.

Nesse sentido, os exemplos mais comuns de ‘ameaça’ nas empresas são funcionários descontentes e, ou desonestos; criminosos ou cibercriminosos; governos; terroristas ou ciberterroristas; empresas rivais ou competidores; eventos da natureza e catástrofes.

Vulnerabilidade

A ‘vulnerabilidade’ pode ser definida apenas como uma ‘fraqueza’ que é explorada por uma ameaça, seja ela em um sistema, um controle interno ou até mesmo um procedimento de segurança. Esses recursos fragilizam os sistemas, deixando-os passíveis a diversas atividades ilegítimas e, ou ilegais.

Sob este aspecto, as vulnerabilidades podem causar os ‘riscos’ citados acima, ocasionando perdas significativas e, em alguns casos, irreversíveis. Nesse âmbito, entre os episódios mais comuns no mercado estão: bugs em softwares; processos desajustados ou inapropriados; controles ineficazes; falhas humanas e de hardwares e sistemas sem atualizações.

Em resumo, é fundamental compreender a diferenciação entre esses termos como primeiro passo para que uma empresa possa identificar e gerenciar as vulnerabilidades de forma eficaz. Com esse conhecimento, é possível combater as ameaças e, consequentemente, reduzir consideravelmente os ‘riscos’ nas organizações.

*Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti



Conteúdos Relacionados

Security Report | Overview

Cibercrime ameaça mais de meio milhão de Smart TVs globalmente, alerta estudo

ISH Tecnologia explica como expansão dos dispositivos IoT abriu porta de entrada silenciosa para golpes – expectativa é que número...
Security Report | Overview

PMEs extrapolam seus budgets de SI em 50% para se recuperar de ciberataques

Relatório da Kaspersky revela que essas organizações investiram cerca de US$ 300 mil para remediar incidentes
Security Report | Overview

Novas brechas críticas são encontradas em Chrome, Google Ads e provedoras de TI

Em relatório recente, a Redbelt Security também alertou sobre uma campanha de ataque cibernético chamada Operação 99, na qual hackers...
Security Report | Overview

Deepfake com marcas de empresas aumentaram 335% no segundo semestre de 2024

Relatório da ESET contempla ataques globais entre junho e novembro e ainda destaca o avanço do ransomware e o roubo...