Os riscos e as vulnerabilidades do 5G, IoT, cloud e active directory
Redação
Quando se trata da segurança da informação, a presença de uma vulnerabilidade não causa prejuízo por si só, pois precisa haver uma ameaça presente para explorá-la. Uma vulnerabilidade que não tem uma ameaça correspondente pode não requerer a implementação de um controle no presente momento, mas convém que ela seja reconhecida como tal e monitorada, no caso de haver mudanças. Deve-se observar que um controle implementado, funcionando incorretamente ou sendo usado incorretamente, pode, por si só, representar uma vulnerabilidade. Um controle pode ser eficaz ou não, dependendo do ambiente no qual ele opera. Inversamente, uma ameaça que não tenha uma vulnerabilidade correspondente pode não resultar em um risco. As vulnerabilidades podem estar ligadas a propriedades do ativo, as quais podem ser usadas de uma forma ou para um propósito diferente daquele para o qual o ativo foi adquirido ou desenvolvido. As vulnerabilidades decorrentes de diferentes fontes precisam ser consideradas, por exemplo, as intrínsecas ao ativo e as extrínsecas. Quanto aos critérios para a avaliação de riscos, devem ser desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando o seguinte: o valor estratégico do processo que trata as informações de negócio; a criticidade dos ativos de informação envolvidos; a importância do ponto de vista operacional e dos negócios, da disponibilidade, da confidencialidade e da integridade, e as expectativas e as percepções das partes interessadas e consequências negativas para o valor de mercado e a reputação. Além disso, os critérios para a avaliação de riscos podem ser usados para especificar as prioridades para o tratamento do risco. Por isso, os especialistas da Tenable, empresa que avalia a cyber exposure, destacam as principais tendências em vulnerabilidades de sistemas que continuarão ameaçando governos e empresas para que possam identificar falhas e fazer correções antecipadas - adotando o conceito de zero trust.
Da Redação –
Segundo a NBR ISO/IEC 27005 de 10/2019 - Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação, que fornece as diretrizes para o processo de gestão de riscos de segurança da informação, os critérios para a aceitação do risco podem ser mais complexos do que somente a determinação se o risco residual está, ou não, abaixo ou acima de um limite bem definido. Em alguns casos, o nível de risco residual pode não satisfazer os critérios de aceitação do risco, pois os critérios aplicados não estão levando em conta as circunstâncias predominantes no momento.
Por exemplo, pode ser válido argumentar que é preciso que se aceite o risco, pois os benefícios que o acompanham são muito atraentes ou porque os custos de sua modificação são demasiadamente elevados. Estas circunstâ...