Cenário Simulado: Avaliação de riscos de Segurança da Informação no setor de Registo/Cadastro de Motoristas de uma empresa de logística.
Objetivo: Identificar ativos críticos, mapear ameaças e vulnerabilidades associadas, avaliar o impacto na Tríade CIA (Confidencialidade, Integridade e Disponibilidade) e propor controlos de mitigação baseados nas melhores práticas da ISO 27001.
Metodologia de Risco: Nível de Risco = Probabilidade (1 a 5) x Impacto (1 a 5). Riscos acima de 15 são considerados Críticos e exigem ação imediata.
Aqui estão 4 linhas estratégicas que unem o seu mundo atual (Logística) com o mundo de Cyber:
| Ativo | Ameaça | Vulnerabilidade | Impacto na Tríade CIA | Probabilidade (1-5) | Impacto (1-5) | Nível de Risco (P x I) | Controlo Proposto (Mitigação) |
|---|---|---|---|---|---|---|---|
| Computador da Recepção | Infeção por Malware / Ransomware | Utilizador com privilégios de Administrador na máquina; Falta de treino em Phishing. | Disponibilidade (Sistema inoperacional) e Integridade (Ficheiros corrompidos). | 4 | 5 | 20 (Crítico) | Remover privilégios de Admin do utilizador; Instalar EDR/Antivírus; Implementar treino de consciencialização de segurança. |
| Base de Dados de Motoristas | Fuga (Vazamento) de Dados Pessoais (LGPD) | Base de dados sem encriptação (criptografia) e ausência de Controlo de Acessos (MFA). | Confidencialidade (Dados expostos a terceiros). | 3 | 5 | 15 (Alto) | Encriptar dados em repouso; Implementar Autenticação de Múltiplos Fatores (MFA) para acesso ao sistema. |
| Arquivo Físico de Contratos | Acesso indevido ou roubo de documentos | Armários destrancados e ausência de controlo de acesso físico à sala. | Confidencialidade e Integridade (Perda ou alteração do contrato original). | 3 | 4 | 12 (Médio) | Implementar controlo de acesso biométrico/crachá na porta; Trancar armários; Política de "Mesa Limpa" (Clear Desk Policy). |
| Rede Wi-Fi Corporativa | Intercepção de dados na rede (Man-in-the-Middle) | Wi-Fi com palavra-passe fraca partilhada entre funcionários e visitantes. | Confidencialidade (Acesso a tráfego interno não seguro). | 4 | 3 | 12 (Médio) | Segregar (separar) a rede em "Visitantes" e "Corporativa"; Utilizar protocolo WPA3; Alterar a password da rede corporativa mensalmente. |