O que é um framework de gerenciamento de riscos?

Um framework de gerenciamento de riscos é uma abordagem sequencialmente estruturada, baseada em regras e documentada para ajudar a examinar, reduzir e monitorar riscos dentro de uma organização. As organizações escolhem frameworks padronizados ou criam seus próprios, em vez de lidar com os riscos com processos ad hoc. Ao usar um framework, você terá mais confiança para obter melhores resultados e respostas mais rápidas no caso de uma ocorrência inesperada.

O gerenciamento de riscos é uma função da área de negócios de governança, riscos e conformidade (GRC), geralmente vinculada ao departamento de segurança cibernética ou conformidade. A forma como sua organização lida com os riscos pode ser fundamental para a continuidade, as operações, a conformidade regulatória e a reputação dos negócios. Os frameworks de gerenciamento de riscos ajudam você a identificar, avaliar, mitigar e rastrear riscos em toda a organização. 

Os riscos podem afetar a organização, as linhas de negócios e os ativos da empresa. Isso inclui riscos operacionais, comerciais, de conformidade, de segurança cibernética, jurídicos, de fusão e aquisição, de privacidade, de hardware, de software e contratuais. Embora as empresas geralmente se concentrem no risco cibernético, também é importante não ignorar outros tipos de riscos. Este documento abordará principalmente os riscos operacionais, comerciais e de conformidade, conforme se aplica à nuvem.

O risco operacional está relacionado à disponibilidade, confiabilidade, performance e segurança da infraestrutura. Essa categoria de risco é mais importante para as operações diárias.

O risco comercial está relacionado à reputação, à competitividade e às condições de mercado. Esse tipo de risco tem um escopo mais amplo do que o risco operacional e pode ter um impacto geral mais significativo nos negócios.

O risco de conformidade refere-se à probabilidade de que as operações comerciais não atendam a um padrão de conformidade regulamentar exigido. Esse tipo de risco pode resultar em multas, sanções, implicações legais ou aumento dos níveis de auditoria e relatórios. Os objetivos de conformidade vêm de padrões do setor, agências federais e outros órgãos reguladores.

Os frameworks comuns de gerenciamento de riscos incluem:

• Framework de gerenciamento de riscos (RMF) do Instituto Nacional de Padrões e Tecnologia (NIST) para sistemas de informação e organizações
• COBIT
• ISO/IEC 31000 Gerenciamento de riscos - Diretrizes
• ISO/IEC 27005:2022 Segurança da informação, segurança cibernética e proteção da privacidade, Orientações sobre o gerenciamento de riscos de segurança da informação
• Análise fatorial do risco da informação

É aconselhável usar um framework de gerenciamento de riscos conhecido e atualizado regularmente para acompanhar as atualizações das práticas recomendadas de gerenciamento de riscos.

Um framework sólido de gerenciamento de riscos ajuda a gerenciar riscos de todos os tipos em toda a organização.

Identificação de riscos

Identifique todos os ativos, ameaças e vulnerabilidades em toda a arquitetura organizacional. Um risco é uma ameaça a um ativo que surge de uma vulnerabilidade. Identificar riscos potenciais pode ser um processo demorado que abrange vários vetores organizacionais e objetivos de negócios.

Você pode categorizar os riscos em áreas como técnica, pessoas, processos, financeira ou de terceiros. Você também pode subdividir cada uma dessas categorias mais amplas. Por exemplo, a categoria “pessoas” pode ser subdividida em habilidades, erros manuais e silos de conhecimento.

Análise de impacto

Ao analisar seus ativos, ameaças e vulnerabilidades, você pode determinar a probabilidade e o tamanho do impacto da ocorrência de um possível risco. A análise e a avaliação de riscos incluem medidas qualitativas e quantitativas. Por exemplo, você pode reunir todos os detalhes sobre um tipo específico de risco ou desenvolver matrizes de pontuação de risco para categorizar os riscos, o que determinará as consequências e as estratégias de mitigação. Essas categorias podem incluir pontuações de risco baixas, médias, altas e muito altas, dependendo da probabilidade de um evento e do impacto esperado.

Estratégias de mitigação

Confira abaixo as quatro estratégias de mitigação de risco para abordar cada risco específico:

• Mitigar: implemente controles para eliminar ou reduzir o risco
• Aceitar: aceite o risco conforme se apresenta, monitorando cuidadosamente as mudanças na probabilidade ou na gravidade do risco
• Evitar: elimine o risco e reconfigure os sistemas
• Transferir: terceirize a função relacionada ao risco, crie mitigações contratuais ou assegure-se contra o evento

Além da criticidade e da probabilidade de risco, a tolerância da empresa a riscos também pode ajudar a determinar a estratégia apropriada.

Implantação da solução

Dependendo da estratégia de mitigação escolhida, você pode aplicar os controles, fazer alterações no sistema, introduzir soluções de monitoramento e terceirizar o risco. Os controles podem ser administrativos, físicos ou técnicos. Esse estágio pode envolver vários sistemas, unidades de negócios, as partes interessadas e as etapas para obter o resultado desejado.

Uma solução de mitigação de riscos pode incluir processos de escalonamento de riscos, proprietários de riscos e a colaboração com equipes de resposta a incidentes para desenvolver planos pós-incidentes.

Depois de implementar a solução, você calcula o risco residual. A maioria das soluções não consegue erradicar completamente o risco, portanto existe um risco residual. Esse risco residual pode flutuar à medida que as condições mudam.

Governança e monitoramento contínuos

Após a implementação da solução de mitigação de riscos, você deve monitorar, rastrear, analisar e auditar os riscos quando necessário. Você deve incorporar relatórios ao processo de rastreamento de riscos para proprietários de riscos, equipes de GRC e liderança.

Dentro do framework de governança, deve haver um processo sob demanda e programado regularmente para identificar riscos novos e crescentes para a empresa. Você deve estabelecer políticas relacionadas ao gerenciamento de riscos e à frequência de reavaliação do processo atual e fornecer treinamento aos membros apropriados da equipe. Implemente barreiras de proteção para ajudar a evitar automaticamente que os mesmos tipos de risco ocorram novamente.

Este guia mostra como implementar um pipeline da AWS alinhado às fases de um framework típico de gerenciamento de riscos.

Três serviços principais da AWS são usados em cada fase do processo de gerenciamento de riscos para suporte:

• O AWS Audit Manager para auditar continuamente seu uso da AWS a fim de simplificar a avaliação de risco e conformidade
• O AWS Config para avaliar, auditar e analisar as configurações de seus recursos
• O AWS Security Hub para priorizar seus problemas críticos de segurança por meio de correlação automatizada e contexto de risco aprimorado, além de relatórios de postura de segurança e muito mais

1. Planejamento

A fase de planejamento garante que a organização tenha uma base sólida para criar processos de gerenciamento de riscos com as práticas recomendadas.

Planeje a realização de atividades de práticas recomendadas de gerenciamento de riscos com os seguintes serviços:

• O AWS CloudTrail para rastrear a atividade do usuário e o uso de APIs
• O AWS Control Tower para configurar e governar seu ambiente seguro e com várias contas da AWS
• O AWS Identity and Access Management para gerenciar com segurança identidades e acesso aos serviços e recursos da AWS
• O AWS IAM Access Manager para identificar o acesso externo, interno e não utilizado aos seus recursos da AWS
• O AWS Organizations para gerenciamento baseado em políticas em várias contas da AWS
• O AWS Secrets Manager para gerenciar o acesso aos segredos em toda a sua organização
• O AWS Systems Manager para aplicação automática de patches e conformidade

2. Descoberta

A fase de descoberta descobre e identifica seus ativos, recursos e serviços.

Para descobrir e categorizar seus ativos, use os seguintes serviços da AWS:

• O Amazon Macie para descobrir e proteger seus dados sensíveis
• O AWS CloudFormation para introduzir a infraestrutura como código (IaC)
• O Explorador de Recursos da AWS para pesquisar e descobrir recursos relevantes em toda a AWS
• O AWS Systems Manager Inventory para fornecer visibilidade do seu ambiente de computação da AWS
• O AWS Well-Architected Tool para avaliar sua arquitetura de nuvem em relação às práticas recomendadas.

3. Seleção de controles e regras

A fase de seleção introduz controles e regras para proteção contra os riscos identificados.

Selecione controles de regras predefinidas de práticas recomendadas nos seguintes serviços da AWS:

• As regras gerenciadas do AWS Config para regras predefinidas e personalizáveis que o AWS Config usa para avaliar se seus recursos da AWS estão em conformidade com as práticas recomendadas comuns
• O AWS Control Tower e o AWS Security Hub para controle de segurança, e o AWS Audit Manager para controles de conformidade de políticas.
• O AWS Systems Manager Compliance é uma ferramenta no AWS Systems Manager em que você pode criar seus próprios tipos e definições de conformidade com base em seus requisitos de TI ou de negócios

4. Implementação

A implementação garante que os controles sejam aplicados de forma consistente em todos os ativos e ambientes desejados.

Você pode usar as seguintes ferramentas de implementação de controle nos serviços da AWS:

• O AWS CloudFormation para implantações de controles incorporados combinadas com o AWS Service Catalog para criar, compartilhar, organizar e governar seus modelos de IaC selecionados
• O AWS Config para regras de controle e próximas etapas
• O AWS Security Hub para implementação de regras de segurança
• O AWS Systems Manager para adesão à política em todos os recursos e serviços

5. Avaliação

A avaliação verifica a performance dos controles aplicados na prática.

Você pode avaliar o quão bem sua organização está gerenciando riscos com a seguinte combinação de serviços da AWS:

• O AWS Audit Manager para avaliações rastreáveis
• O AWS Config para verificar as regras de conformidade
• O Amazon Detective para analisar e visualizar dados de segurança para investigar possíveis problemas de segurança
• O Amazon GuardDuty para realizar monitoramento contínuo de ameaças em contas, workloads e dados da AWS
• O AWS Inspector para realizar avaliações automatizadas de risco de vulnerabilidades
• O AWS Security Hub para avaliações de risco de segurança sempre ativas

O AWS Trusted Advisor é outra opção disponível para as organizações configurarem sua estrutura de gerenciamento de riscos. O serviço do AWS Trusted Advisor fornece verificações sobre otimização de custos, performance, segurança, tolerância a falhas, limites de serviços e excelência operacional. Você pode visualizar alertas, ações recomendadas e recursos adicionais por meio do painel. Os clientes da AWS podem acessar a ferramenta em ​https://console.aws.amazon.com/trustedadvisor/home.

6. Autorização

A função de autorização formaliza a abordagem, as etapas anteriores e a aceitação do risco residual e do monitoramento.

Autorize com confiança usando os seguintes serviços da AWS:

• O AWS Artifact gera relatórios de segurança e conformidade da AWS e do ISV
• O AWS Audit Manager fornece relatórios para tomadores de decisão
• O AWS Config detalha relatórios e rastreamento de conformidade
• O AWS Security Hub oferece uma visão em tempo real do estado da segurança e dos relatórios do sistema

7. Monitoramento

O monitoramento contínuo garante que o processo de gerenciamento de riscos permaneça atualizado e incorpore riscos novos e variáveis.

Obtenha monitoramento contínuo com os seguintes serviços da AWS:

• O AWS CloudWatch para monitorar aplicações, alertar sobre anomalias e fornecer insights sobre a integridade operacional para fins de conformidade
• O AWS Config para monitoramento contínuo da conformidade
• O Amazon EventBridge para criar respostas automáticas com base em gatilhos em outros serviços da AWS
•  O AWS Security Hub para monitoramento contínuo de segurança
• O AWS Systems Manager para monitoramento de patches e configurações

As organizações que buscam melhorar sua resiliência e performance organizacional devem implementar um framework de gerenciamento de riscos. Os frameworks de gerenciamento de riscos ajudam a diminuir e compreender os riscos para a empresa, tornando essas incertezas muito mais gerenciáveis.

Escolher um framework padronizado e desenvolvê-lo é uma boa maneira de começar, e a AWS oferece serviços que facilitam as implementações do framework. Em combinação com o AWS Well-Architected Framework, você pode criar uma base sólida para governança, risco e conformidade na AWS.

Comece a criar seus processos de gerenciamento de riscos na AWS criando uma conta gratuita hoje mesmo.