Como medir o risco na nuvem

Solicitar demonstração

Como medir o risco

Pergunte a qualquer profissional de segurança como medir efetivamente um risco e muitos darão uma resposta simples...

Risco = Probabilidade x Impacto

Talvez alguns profissionais deem um passo adiante e adicionem uma variável para incluir um coeficiente sobre o valor do ativo (que é calculada separadamente do valor de impacto) ...

Risco = Probabilidade x Impacto x Valor do Ativo

Alguns podem ir mais longe e citar FAIR, um framework bem estabelecido de gerenciamento quantitativo de riscos, que se expande para incluir muitas variáveis adicionais.

Diagrama da estrutura de risco quantitativo FAIR — Fonte: https://www.fairinstitute.org/what-is-fair

Mestres do risco talvez até falem sobre a execução de cálculos de modelos de risco e simulações de risco usando dados empíricos para entender melhor o risco e criar previsões mais precisas sobre ele.

No entanto, embora qualquer forma de identificação, avaliação e mitigação/transferência de aceitação de risco seja melhor do que nenhuma, poucas organizações aplicaram este conceito para avaliar o risco da nuvem. Então, qual é o raciocínio para isso - será que o gerenciamento de risco da nuvem é trabalho dos provedores de serviços de nuvem (CSP)?...Será que avaliar o risco da nuvem não é importante?...ou será que avaliar o risco da nuvem é muito complexo? As respostas às perguntas acima normalmente são Não, Não, e Talvez.

Como medir o risco na nuvem

A avaliação do risco da nuvem começa pela identificação dos serviços de nuvem que sua organização utiliza atualmente. Com 79% dos colaboradores em organizações usando frequentemente aplicações em nuvem para fazer upload, compartilhar ou armazenar dados, e a média das organizações usando mais de 1.500 aplicações diferentes em nuvem a cada mês, a necessidade de identificar a aplicação em nuvem e os tipos de dados que estão sendo processados ou armazenados, é a chave para entender o risco.

As seis variáveis de risco a seguir são comuns na avaliação dos riscos da nuvem e devem fazer parte do processo de gerenciamento de risco da nuvem:

Risco do fornecedor/terceiro

Identifique o fornecedor e entenda seu contrato de serviços, termos e condições, bem como a associação e a confiança de sua organização neles e em seus fornecedores.

Risco dos dados

Identificar a categoria dos dados que estão sendo carregados, compartilhados ou armazenados. Se os dados forem dados pessoais, financeiros ou de propriedade intelectual, certifique-se que os controles apropriados estejam em vigor para proteger os dados e limitar a exposição para evitar perda de dados e o risco regulatório. Gerenciar um inventário claro de qual fornecedor está processando quais dados é crítico (e é uma exigência regulatória para muitos tipos de dados).

Risco tecnológico

Entenda a tecnologia, a arquitetura e o modelo de responsabilidade compartilhada. Identifique quem é responsável por lidar com certos riscos, tais como assegurar a correta implementação e configuração da tecnologia para garantir que o serviço seja seguro.

Risco operacional

Gerencie o risco operacional em toda a cadeia de suprimentos. No caso de um incidente de segurança ou uma disrupção, certifique-se que o risco operacional seja gerenciado e comunicado. Certifique-se de que o fornecedor tenha um programa robusto de resposta a incidentes e possa efetivamente contatar seus clientes no caso de um incidente de segurança ou de uma disrupção de serviço.

Risco financeiro

Identifique quaisquer novos riscos financeiros que possam afetar a operação ou até mesmo o término de um serviço em nuvem do qual a organização depende. Os provedores de serviços em nuvem podem variar muito em termos de sua estabilidade financeira.

Risco de geolocalização

Identifique de onde o serviço está operando e se a organização está cumprindo seus requisitos regulatórios e de compliance. Além disso, com conflitos e tensões geopolíticas em curso, estes podem trazer novos riscos ao longo do tempo. É fundamental entender se você precisa mover ou transferir dados para outros locais.

Comece com POR QUÊ, saiba COMO, depois O QUÊ

Por fim, o uso de serviços em nuvem necessariamente adicionará medidas de risco adicionais ao seu programa de gerenciamento de risco. Com o avanço de muitos serviços de nuvem e a capacidade de gerenciar adequadamente estes riscos, os provedores de serviços de nuvem estão possibilitando que as organizações adaptem e gerenciem de forma eficaz estes riscos da nuvem. Qualquer que seja seu nível de maturidade no gerenciamento de riscos, use a abordagem de Simon Sinek: comece perguntando POR QUÊ medir o risco das nuvens é importante, depois COMO medir para sua organização, e finalmente O QUÊ medir...