Segurança de dados: risco vs. ameaça vs. vulnerabilidade
Risco, ameaça e vulnerabilidade: clareza nos termos ajuda a fortalecer a segurança de dados nas empresas 
Compartilhe:
Assine nossa newsletter

Fique por dentro das melhores notícias, eventos e lançamentos do mercado




    Risco, ameaça e vulnerabilidade: clareza nos termos ajuda a fortalecer a segurança de dados nas empresas 

    Publicado em: 14 de novembro de 2023

    Ter clareza sobre a situação, seja ela um risco, uma ameaça ou uma vulnerabilidade, é fundamental para garantir a segurança de dados

    Atualmente, uma das maiores preocupações das grandes corporações é referente a Segurança da Informação. De acordo com a pesquisa ‘Futuro da Segurança Cibernética 2023’, conduzida pela consultoria Deloitte, 91% das empresas de alto desempenho investem em segurança cibernética. Além disso, pelo menos 66% das organizações revisam e atualizam seus planos anualmente. para garantir a segurança de dados.

    E quando falamos sobre assuntos relacionados à cibersegurança, diversos termos são utilizados, dentre os quais se destacam ‘risco’, ‘ameaça’ e ‘vulnerabilidade’. 

    No entanto, embora os números sejam positivos e esses termos sejam comuns, é importante compreender a diferenciação entre eles para tomar decisões empresariais informadas. Ter clareza sobre a situação, seja ela um risco, uma ameaça ou uma vulnerabilidade, é fundamental para garantir a eficácia das atividades de segurança de dados nas organizações. 

    Dessa forma, abaixo é destacado a definição de cada um dos termos, para que as empresas estejam bem-preparadas para a resolução de determinados problemas. 

    Risco 

    ‘Risco’ pode ser definido como qualquer evento que possa ter um impacto negativo para os negócios da empresa, ou seja, a incapacidade da organização alcançar os objetivos de negócio. Isso envolve o potencial de perda, dano ou até mesmo a destruição de um ativo. Dessa forma, o ‘risco’ pode ser classificado em diversas categorias como, por exemplo, incontroláveis, mercadológicos, operacionais, legais e humanos, entre outros. 

    Segundo a OWASP (Open Web Application Security Project), comunidade on-line que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web, podemos calcular a gravidade do ‘risco’ da seguinte forma: risco igual a probabilidade versus impacto. Isso significa que, conhecendo os dados sobre o agente da ameaça, bem como o impacto nos negócios, podemos ter uma visão geral da gravidade desse risco. 

    E para ilustrar melhor esta definição, alguns exemplos de riscos mais observados nas empresas são descontinuidade de negócio; perdas financeiras, de privacidade, de confiança e de vidas; danos à reputação; sanções judiciais e prejuízo ao crescimento. 

    Ameaça 

    Caracterizada como um evento ou causa potencial para a ocorrência de um incidente indesejado, a ‘ameaça’ pode impactar negativamente o sistema. Além disso, o termo é utilizado no momento em que um dado é gerado por algum agente mal-intencionado, que busca por vulnerabilidade na organização. 

    Nesse sentido, os exemplos mais comuns de ‘ameaça’ nas empresas são funcionários descontentes e, ou desonestos; criminosos ou cibercriminosos; governos; terroristas ou ciberterroristas; empresas rivais ou competidores; eventos da natureza e catástrofes. 

    Vulnerabilidade 

    A ‘vulnerabilidade’ pode ser definida apenas como uma ‘fraqueza’ que é explorada por uma ameaça, seja ela em um sistema, um controle interno ou até mesmo um procedimento de segurança. Esses recursos fragilizam os sistemas, deixando-os passíveis a diversas atividades ilegítimas e, ou ilegais.  

    Sob este aspecto, as vulnerabilidades podem causar os ‘riscos’ citados acima, ocasionando perdas significativas e, em alguns casos, irreversíveis. Nesse âmbito, entre os episódios mais comuns no mercado estão:  bugs em softwares; processos desajustados ou inapropriados; controles ineficazes; falhas humanas e de hardwares e sistemas sem atualizações. 

    Em resumo, é fundamental compreender a diferenciação entre esses termos como primeiro passo para que uma empresa possa identificar e gerenciar as vulnerabilidades de forma eficaz. Com esse conhecimento, é possível combater as ameaças e, consequentemente, reduzir consideravelmente os ‘riscos’ nas organizações. 

    *Renato Mirabili Junior é consultor de Segurança da Informação da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados. 

    Compartilhe:

    Publicações relacionadas

    Entenda as principais tendências em cibersegurança para os próximos meses 

    24 de outubro de 2024

    Para abordar as tendências atuais em cibersegurança, é essencial compreender o panorama dinâmico e em constante evolução das ameaças cibernéticas. Nesse artigo, conheça as tendências mais recentes identificadas por pesquisas especializadas, destacando os desafios emergentes e as estratégias inovadoras adotadas para proteger sistemas e dados contra ameaças cada vez mais sofisticadas.  Cibersegurança: panorama atual A […]

    Leia mais

    Esteganografia e Criptografia na Segurança da Informação: saiba mais sobre isso

    16 de outubro de 2024

    Na era digital, a segurança da informação se tornou uma preocupação primordial para indivíduos e organizações. Duas técnicas cruciais nessa área são a esteganografia e a criptografia. Embora ambas sejam usadas para proteger informações, elas operam de maneiras distintas e têm diferentes aplicações. Neste artigo, confira o que são esteganografia e criptografia, suas diferenças e […]

    Leia mais

    Governança dos algoritmos de IA utilizando o Microsoft Purview

    4 de setembro de 2024

    De assistentes digitais pessoais a veículos autônomos, a Inteligência Artificial (IA) está revolucionando a forma como interagimos com a tecnologia e uns com os outros. Nesse cenário,  o Microsoft Copilot e o ChatGPT da Open AI estão na vanguarda, aproveitando tecnologias transformadoras como Generative Pretrained Transformers (GPT) e Large Language Models (LLM). Essas ferramentas avançadas […]

    Leia mais

    Engenharia Social: entenda o ‘hacking humano’

    12 de junho de 2024

    A engenharia social é uma tática que visa explorar a natureza humana para obter informações confidenciais, acesso a sistemas ou realizar ações não autorizadas.

    Leia mais