...
Título da ameaça: Nome da ameaça a ser cadastrada;
Impacto: É o impacto que aquele risco representará. Há por padrão cinco níveis de impactos.
Baixo;
Médio;
Alto;
Muito Alto;
Desastre;
Probabilidade: É a chance que tem do risco se tornar realidade. Há por padrão cinco níveis de probabilidade.
Improvável;
Pouco provável;
Provável;
Muito provável;
Quase certo;
Nível do risco: A soma do impacto com a probabilidade do risco gera o Nível do risco. Existem quatro níveis de risco.
Baixo;
Médio;
Alto;
Muito alto.
Categoria: É a categoria na qual aquele risco se encaixa. Existem por padrão 12 categorias de risco.
Nenhuma: Não se encaixa em nenhuma categoria o risco.
Financeira: O perigo ou a possibilidade de os acionistas, investidores ou outros intervenientes financeiros perderem dinheiro;
Geográfica: Risco que surge quando a exposição se concentra em determinadas áreas geográficas;
Operacional: A perspectiva de perda resultante de procedimentos, sistemas ou políticas inadequadas ou fracassados;
Privacidade: Potencial perde de controle sobre informações pessoais;
Regulamentar: Risco de que uma mudança nas leis e regulamentos tenha um impacto significativo na segurança, nos negócios, no setor ou no mercado;
Reputacional: A possibilidade de publicidade negativa, perseguição pública ou eventos incontroláveis terem um impacto adverso na reputação de uma empresa;
Segurança: Os impactos para uma organização e suas partes interessadas podem ocorrer devido às ameaças e vulnerabilidades associadas à operação e uso de sistemas de informação;
Estratégico: O risco que as decisões empresariais falhadas, ou a falta delas, podem representar para uma empresa;
Disponibilidade: Impacto resultante de dados não acessíveis imediatamente para acesso autorizado;
Confidencialidade: Impacto devido ao acesso e divulgação de dados não autorizados;
Integridade: Impacto resultante de dados modificados ou adulterados de forma não autorizada.
Ameaça: É o tipo de ameaça que pode gerir o risco. Existem 22 ameaças padrão na plataforma, mas você pode criar novas ameaças também. Aprenda como clicando aqui: LINK.
Financeiro;
Tratamento de dados pessoais sem finalidade;
Custo;
Compartilhamento de dados pessoais sensíveis;
Dados de criança e adolescente sem consentimento;
Dado sensível classificado como obrigatório;
Dados sensíveis sem consentimento;
Finalidades de tratamento sem prazo de retenção;
Legítimo interesse sem teste de proporcionalidade;
Nenhum processamento do dado - Falta de mapeamento;
Possui uso de tecnologia inovadora para tratamento de dados;
Processamento de dados em larga escala (mais que 100 mil dados);
Tomada de decisão automatizada com dados sensíveis;
Tratamento de dados de saúde;
Tratamento de dados de vulneráveis (sensíveis + criança e adolescente);
Tratamento de dados financeiros;
Tratamento de dados fora do país;
Tratamento de dados sensíveis fora do país;
Tomada de decisão automatizada.
Vulnerabilidade: Você pode criar suas próprias vulnerabilidades. Aprenda como clicando aqui: LINK. Como padrão na plataforma da Privacy Tools, você poderá importar as vulnerabilidades da norma ISO/IEC 27005 que define o processo de gestão de risco como atividades coordenadas para dirigir e controlar o risco de uma organização. Também é possível importar suas próprias normas. As vulnerabilidades da ISO/IEC 27005 são separadas nos seguintes grupos e dentro desses grupos as seguintes vulnerabilidades.
Hardware
Manutenção insuficiente / instalação defeituosa de mídia de armazenamento;
Falta de esquemas de substituição periódica;
Suscetibilidade à umidade, poeira, sujeira;
Sensibilidade à radiação eletromagnética;
Falta de controle de mudança de configuração eficiente;
Suscetibilidade a variações de tensão;
Suscetibilidade a variações de temperatura;
Armazenamento desprotegido;
Falta de cuidado à disposição;
Cópia não controlada.
Programas
Teste de software inexistente ou insuficiente;
Falhas conhecidas no software;
Sem "logout" ao sair da estação de trabalho;
Eliminação ou reutilização de mídia de armazenamento sem o apagamento adequado;
Falta de trilha de auditoria;
Atribuição errada de direitos de acesso;
Software amplamente distribuído;
Aplicação de programas de aplicativos aos dados errados em termos de tempo;
Interface de usuário complicada;
Falta de documentação;
Configuração de parâmetro incorreta;
Datas incorretas;
Falta de mecanismos de identificação e autenticação, como autenticação de usuário;
Tabelas de senhas desprotegidas;
Gerenciamento de senha ruim;
Serviços desnecessários ativados;
Software imaturo ou novo;
Especificações pouco claras ou incompletas para desenvolvedores;
Falta de controle efetivo de mudanças;
Download não controlado e uso de software;
Falta de cópias de backup;
Falta de proteção física do prédio, portas e janelas;
Falha na produção de relatórios de gestão.
Rede
Falta de prova de envio ou recebimento de mensagem;
Linhas de comunicação desprotegidas;
Tráfego confidencial desprotegido;
Cabeamento de junta ruim;
Ponto único de falha;
Falta de identificação e autenticação do remetente e do destinatário;
Arquitetura de rede insegura;
Transferência de senhas em claro;
Gerenciamento de rede inadequado (resiliência de roteamento);
Conexões de rede pública desprotegidas.
Pessoal
Ausência de pessoal;
Procedimentos de recrutamento inadequados;
Treinamento de segurança insuficiente;
Uso incorreto de software e hardware;
Falta de consciência de segurança;
Falta de mecanismo de monitoramento;
Trabalho não supervisionado por pessoal externo ou de limpeza;
Falta de políticas para o uso correto dos meios de telecomunicações e mensagens.
Local
Uso inadequado ou descuidado de controle de acesso físico a edifícios e salas;
Localização em uma área suscetível a inundações;
Rede elétrica instável;
Falta de proteção física do prédio, portas e janelas.
Organização
Falta de procedimento formal para registro e cancelamento de registro do usuário;
Falta de processo formal para revisão do direito de acesso (supervisão);
Ausência ou insuficiência de disposições (relativas à segurança) nos contratos com clientes e / ou terceiros;
Falta de procedimento de monitoramento das instalações de processamento de informações;
Falta de auditorias regulares (supervisão);
Falta de procedimentos de identificação e avaliação de riscos;
Falta de relatórios de falhas registrados nos registros do administrador e do operador;
Resposta de manutenção de serviço inadequada;
Acordo de nível de serviço ausente ou insuficiente;
Falta de procedimento de controle de mudança;
Falta de procedimento formal para controle de documentação ISMS;
Falta de procedimento formal para supervisão de registro de SGSI;
Falta de processo formal para autorização de informações públicas disponíveis;
Falta de alocação adequada de responsabilidades de segurança da informação;
Falta de planos de continuidade;
Falta de política de uso de e-mail;
Falta de procedimentos para introdução de software em sistemas operacionais;
Falta de registros nos registros do administrador e do operador;
Falta de procedimentos para tratamento de informações classificadas;
Ausência de responsabilidades de segurança da informação nas descrições de cargos;
Ausência ou insuficiência de disposições (relativas à segurança da informação) nos contratos com funcionários;
Falta de processo disciplinar definido em caso de incidente de segurança da informação;
Falta de política formal sobre o uso de computador móvel;
Falta de controle de ativos externos;
Política de "mesa limpa e tela limpa" em falta ou insuficiente;
Falta de autorização de instalações de processamento de informações;
Falta de mecanismos de monitoramento estabelecidos para violações de segurança;
Falta de análises gerenciais regulares;
Falta de procedimentos para relatar falhas de segurança;
Ausência de procedimentos de cumprimento de disposições de direitos intelectuais.
Controles: Aqui você deverá informar como controlar este risco. A Privacy Tools disponibiliza algumas normas que já identificam uma série de controles. Você também poderá importar a sua própria norma com as suas sugestões de controle. As normas que a Privacy Tools possui como padrão na plataforma são.
AICPA TSC 2017 (SOC 2);
ISO/IEC 27005
NIST (CSF) Core v1.1
LGPD
ISO/IEC 29100:2011 Princípios
ISO/IEC 27701:2019 - Operador
ISO/IEC 27701:2019 - Controlador
ISO/IEC 27001:2013
HIPPA - Privacidade
GDPR
CIS Controls V8 - IG1;
CIS Controls V8 - IG2;
CIS Controls V8 - IG3;
GDPR;
HIPPA - Privacidade;
ISO 20000-1:2018
ISO/IEC 2700121434:2013;2021
ISO/IEC 27701:2019 - Controlador;27017:2015
ISO/IEC 2770127018:2019 - Operador;
ISO/IEC 27005;
ISO/IEC 29100:2011 Princípios;
LGPD;
NIST (CSF) Core v1.1;29151:2017
NIST Privacy Framework Core 1.0
NIST SP 800-171 rev2
NIST- SP800
OCEG Capability Model v3
Secure Controls Framework (SCF)
Shared Assessments 2021
ISO/IEC 22301
COSO SOC 1
...
Descrição do Risco: Descreva o risco com o máximo de informações possíveis para melhor entendimento junto ao impacto, probabilidade, categoria, ameaça, vulnerabilidade e controle do risco.
Plano de Contingência: Aqui você deverá informar qual o plano para conter o risco.
Ação Mitigatória: Informe quais as medidas para amenizar o risco.
Situação do tratamento: É o estado atual em que se encontra o tratamento do risco. Na plataforma são apresentados cinco estados.
Identificado;
Analisado;
Em Tratamento;
Em Monitoramento;
Finalizado.
Responsável pelo risco: É o usuário dentro da plataforma que estará cuidando do risco e seu processo.
Data Solução Final: É a data limite para a solução do risco.
...