Risco de segurança da informação é a probabilidade de um evento negativo que causará danos a uma organização ou indivíduo. Em relação ao campo da segurança da informação (si), distinguem-se as seguintes consequências:
- Vazamento de dados confidenciais na organização
- Ataques externos aos sistemas de informação da empresa
- Ações de funcionários não confiáveis (fator humano)
- Acesso a objetos potencialmente perigosos na rede externa
- Obtenção de informações por meios técnicos
- Malware (Trojans, backdoors, bloqueadores, codificadores, etc.)
- O uso de soluções de software não licenciadas, muitas vezes contendo recursos não declarados
auditoria de segurança da Informação
O vazamento de dados, na maioria dos casos, está associado à incompreensão dos funcionários sobre as possíveis consequências da violação das regras de segurança da informação. Exemplo: envio de informações comerciais através de um canal de comunicação não seguro.
Os ataques à rede geralmente são realizados com o objetivo de roubar segredos comerciais, espionar concorrentes, desativar recursos críticos para a vítima, etc.
O fator humano inclui não apenas os erros dos funcionários, mas também ações deliberadas que levam à disseminação de informações confidenciais.
Objetos perigosos incluem sites que contêm scripts de phishing, software malicioso ou outros meios que violam a segurança da informação de uma pessoa física ou jurídica. Por exemplo, um funcionário fez login em um recurso da web criado por golpistas e deixou dados de autenticação que serão usados posteriormente para chantagem.
Um dos tipos mais perigosos de software antivírus são os criptógrafos. Por exemplo, eles podem criptografar todos os dados comerciais importantes nos computadores dos funcionários. Os invasores geralmente exigem um resgate para descriptografia. Nem todos os produtos antivírus são capazes de detectar o criptógrafo e ainda mais para descriptografar arquivos infectados.
Incidentes de segurança da Informação podem prejudicar gravemente o orçamento e a reputação de uma empresa, até a falência. Com o objetivo de minimizar a probabilidade de incidentes, é realizado um conjunto de medidas preventivas voltadas à redução de Riscos – uma segurança da informação auditoria.
Uma auditoria envolve analisar a situação atual da empresa e identificar vulnerabilidades na infraestrutura de TI. O conceito de segurança da Informação da instalação está sendo desenvolvido. Inclui documentos normativos, Política de segurança da informação e priorização de riscos. Meios organizacionais e técnicos são utilizados para aumentar o nível de segurança da informação.