Gerenciamento de Riscos - Normas

Prévia do material em texto

Nome: Fabiana Rodrigues Rolim de Oliveira 5º Sem – Tarde - ADS
Gerenciamento de Riscos
Modelo segundo norma ISO Guide 73:2002
Edição: 1 ( bilíngue )
ICS: 01.040.03; 01,120; 03.100.01; 
Status: Retirado 
Etapa: 95.99 (2009-11-13)
TC/SC: ISO / TMBG
Edição: 1 (bilíngue)
ICS: 01.040.03; 01,120; 03.100.01; 01.120
Status: Publicado
Etapa: 90.92(2013-12-18)
TC/SC: ISO / TC 262
Guia ISO 73: 2009 fornecem as definições de termos genéricos relacionados com a gestão de riscos. Ele tem como objetivo incentivar a compreensão mútua e consistente de, e uma abordagem coerente para, a descrição das atividades relacionadas com a gestão do risco, bem como a utilização de terminologia de gestão de risco uniforme em processos e estruturas que lidam com a gestão do risco.
Guia ISO 73: 2009 destinam-se a ser usado por: pessoas envolvidas na gestão de riscos, aqueles que estão envolvidos em atividades de ISO e IEC, e desenvolvedores de normas, manuais, procedimentos nacionais ou setoriais e códigos de práticas relativas à gestão de risco. Para princípios e orientações sobre a gestão de risco, é feita referência a ISO 31000:2009.
Norma AS/NZS 4360:2004
A norma australo-neozelandeza AS/NZS 4360:2004 é atualmente a norma mais completa em termos de gestão de riscos (GR), e está servindo como base para a futura norma ISO 31000 sobre o tema. A norma propõe uma sistematização da GR, em termos parecidos com o PDCA em que se baseiam a ISO 9001, a ISO 14001 e a OHSAS 18001.
Comunicação e Consulta
Melhoria do entendimento sobre GR
Consideração de todos os stakeholders (públicos de interesse)
Ciência de papéis e responsabilidades
Estabelecimento de Contextos
Contexto interno
Contexto externo
Contexto da GR
Desenvolvimento de critérios
Definição da estrutura
Identificação de Perigos
O que pode acontecer?
Quando? Onde?
Como? Por Quê?
Análise de Riscos
Identificação dos controles existentes
Determinação das consequências
Determinação das probabilidades
Determinação do nível de exposição ou de risco
Avaliação de Riscos
Comparação com os critérios estabelecidos
Estabelecimento de prioridades
Tratar (ou não) os riscos?
Tratamento de Riscos
Identificação das opções
Análise e Avaliação das opções
Preparação e implementação dos planos de tratamento
Análise e Avaliação dos riscos residuais
Monitoramento e Análise Crítica
Acompanhamento rotineiro do desempenho real, comparando-o a um desempenho esperado ou requerido;
Investigação periódica da situação atual (normalmente com um foco específico).
Modelo de gerenciamento de riscos Microsoft
O gerenciamento de riscos de segurança para a Microsoft é o processo de determinação de um nível de risco aceitável que envolve avaliar o nível de risco atual, tomar medidas para reduzir o risco a um nível aceitável e manter esse nível de risco (Microsoft, 2005). 
O processo de gerenciamento de riscos de segurança da Microsoft é dividido em quatro fases:
Avaliação dos riscos; 
Oferecer suporte às decisões; 
Implementar controles; 
Analisar a eficácia do programa. 
A primeira fase do seu processo de gerenciamento de riscos é a etapa de avaliação de riscos. Nessa fase são combinados aspectos dos métodos quantitativo e qualitativo de análise de riscos. Uma abordagem qualitativa é usada para filtrar rapidamente a lista completa dos riscos de segurança. Os riscos mais graves são identificados durante essa filtragem e, em seguida, são examinados em detalhe, usando-se uma abordagem quantitativa. O resultado é uma lista relativamente curta que contém os riscos mais importantes que já foram examinados em detalhe. 
A lista dos riscos mais importantes é usada durante a segunda fase, oferecendo suporte às decisões, na qual um conjunto de possíveis soluções de controle é proposto e examinado, apresentando as melhores propostas ao comitê de orientação de segurança da organização como recomendações para a atenuação desses riscos. 
Durante a terceira fase, implementação dos controles, os proprietários são responsáveis por implementar as soluções de controle escolhidas. 
Na quarta fase, analisar a eficácia do programa, é verificado se os controles oferecem de fato o grau de proteção esperado, além de se monitorarem as alterações no ambiente, como, por exemplo, a instalação de novos aplicativos de negócios ou ferramentas de ataque que possam alterar o perfil de risco da organização. Como o processo de gerenciamento de riscos de segurança da Microsoft é um processo contínuo, o ciclo é reiniciado com cada nova avaliação de riscos. 
A frequência com que o ciclo é reiniciado varia de acordo com a organização: diversas empresas acreditam que uma recorrência anual é suficiente, desde que a organização esteja monitorando de forma proativa as novas vulnerabilidades, ameaças e ativos.
Norma Bs 7799-3:2006
O processo de gerenciamento de risco deve ser aplicado a toda a ISMS (como especificada no BS ISO / IEC 27001:2005), e novos sistemas de informação deve ser integrada nos ISMS em fase de planejamento e design para assegurar que quaisquer riscos de segurança da informação são devidamente controlados. Descreve os elementos e aspectos importantes deste risco processo de gestão.
Os riscos de segurança da informação devem ser considerados em seus negócios contexto, e as inter-relações com outras funções de negócios, tais como recursos humanos, pesquisa e desenvolvimento, produção e operações, administração, informática, finanças, e os clientes precisam ser identificadas, para conseguir uma imagem global e completa desses riscos, esta consideração inclui os riscos organizacionais, e aplicando os conceitos e ideias de governança corporativa, este, juntamente com o negócio da organização, eficácia, e o legal é ambiente regulatório tudo servir como motoristas e motivadores para o processo de gestão de riscos bem sucedida.
Uma parte importante do processo de gestão de risco é a avaliação de riscos de segurança da informação, que é necessário entender a requisitos de segurança de informação de negócios, e os riscos para os ativos de negócio da organização. Como também descrito em BS ISO / IEC 27001: 2005, a avaliação de riscos inclui as seguintes ações e atividades.
Identificação de ativos.
Identificação de requisitos legais e comerciais que são relevantes para os ativos identificados.
Valorização dos ativos identificados, tendo em conta a identificação requisitos legais e de negócios e os impactos de uma perda de confidencialidade, integridade e disponibilidade.
Identificação de ameaças e vulnerabilidades significativas para os ativos identificados.
A avaliação da probabilidade de as ameaças e vulnerabilidades para ocorrer.
O cálculo do risco.
Avaliação dos riscos contra a escala de risco pré-definida.
It Governance cobit 41
Missão de COBIT
	Para pesquisar, desenvolver, divulgar e promover um quadro de controle da governança autoritária, up-to-date, aceito internacionalmente TI para adoção por empresas e uso do dia- a-dia por gerentes de negócios, profissionais de TI e profissionais de qualidade.
	O Por que : Cada vez mais, a gestão de topo é perceber o impacto significativo que a informação pode ter sobre o sucesso do empreendimento . Gestão espera maior compreensão da forma como ele é operado e a probabilidade de que seja aproveitado com sucesso para a competitividade vantagem. Em particular, a gestão de topo precisa saber se a informação está a ser gerido pela empresa para que seja:
Probabilidade de atingir os seus objetivos
Resistente o suficiente para aprender e se adaptar
Gerir criteriosamente os riscos que enfrenta
Reconhecer Apropriadamente oportunidades e agir sobre eles
	Empresas de sucesso entendem os riscos e explorar os benefícios da TI e encontrar maneiras de lidar com:
Alinhar a estratégia de TI com a estratégia de negócios
Assegurar investidores e acionistas que um "padrão de cuidado devido" em torno de mitigar os riscos de TI está sendo atendida pela organização
Estratégia de TI Cascading e metasestabelecidas em empresa
A obtenção de valor a partir de investimentos em TI
Fornecimento de estruturas organizacionais que facilitam a implementação da estratégia e metas
Criação de relações construtivas e uma comunicação eficaz entre o negócio e TI, e com parceiros externos.
Medir o seu desempenho
	O Que: Para atender aos requisitos listados na seção anterior, uma estrutura de governança de TI e controle deve:
Fornecer um foco de negócios para permitir o alinhamento entre os objetivos de negócios e de TI
Estabelecer um processo de orientação para definir o alcance e extensão da cobertura, com uma estrutura definida que permite fácil navegação de conteúdo.
Seja geralmente aceitável por ser coerente com o aceitou boas práticas e normas e independente de tecnologias específicas
Fornecer uma linguagem comum com um conjunto de termos e definições que são geralmente compreensíveis por todos os interessados ajudar a atender às exigências regulatórias por ser coerente com as normas geralmente aceites de governança corporativa (por exemplo, COSO) e TI controles esperados pelos reguladores e auditores externos.
ISO 27005:2008
Edição: 1 (monolíngue)
ICS: 35.040
Status: Retirado
Etapa: 95.99(2011-05-19)
TC/SC: ISO/IEC JTC 1/SC 27
Edição: 2 (Monolíngue)	
ICS: 35.040
Status: Publicado	
Etapa: 90.92 (2013-06-10)
TC/SC: ISO/IEC JTC 1/SC 27
	ISO / IEC 27005:2011 fornece diretrizes para a gestão de riscos de segurança da informação. Ele suporta os conceitos gerais especificados na norma ISO / IEC 27001 e é projetado para ajudar a execução satisfatória da segurança da informação com base em uma abordagem de gerenciamento de risco.
	O conhecimento dos conceitos, modelos, processos e terminologias descritos na ISO / IEC 27001 e ISO / IEC 27002 é importante para uma compreensão completa da ISO / IEC 27005: 2011.
ISO / IEC 27005:2011 é aplicável a todos os tipos de organizações (por exemplo, empresas comerciais, agências governamentais, organizações sem fins lucrativos) que pretendem gerir os riscos que possam comprometer a segurança da informação da organização.
	A norma recomenda um roteiro para a GRSI:
Contextualização 
	É necessário que seja definido o seguinte conjunto de elementos: o escopo, o objetivo, os métodos a serem considerados, os critérios básicos (avaliação, impacto e tratamento de risco) referentes à gestão a ser realizada e a área organizacional responsável pelo processo de GRSI.
Análise de Risco
	Nesta etapa são identificados os eventos que possam causar perdas. Isto é, são identificadas as ameaças. Logo após devemos identificar os controles existentes e a eficácia destes controles em evitar que uma ameaça explore uma vulnerabilidade. Com a informação das ameaças e da efetividade dos controles podemos identificar o nível de risco.
	A organização conhecendo o nível de risco tem a oportunidade de decidir o que vai fazer em relação a cada risco: reduzir (novos controles), aceitar, evitar ou transferir. Após esta decisão ainda restará o risco residual sobre o qual a organização decidirá o que vai fazer. Isto fica em um ciclo até que se chegue a uma decisão aceita (mesmo que temporariamente) pela organização.
Avaliação do Risco
	A norma fala da avaliação do risco (análise das consequências) em pontos distintos. Entendendo que o que faz mais sentido prático é quando define que a avaliação de riscos tem como entrada uma lista de riscos com níveis de valores designados e como saída uma lista de riscos ordenados por prioridades. Isto é, precisamos priorizar os riscos, pois um risco de nível alto, com baixo impacto financeiro, não necessariamente deva ser tratado antes de um risco de nível médio, porém com grande impacto financeiro.
Referencias Bibliográficas
ISO Guide 73:2009. Disponível em: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=44651 Acesso em: 12/03/2015.
ALCANTARA, GUSTAVO. Blog do Gustavo Alcântara. Disponível em: http://gustavobalcantara.blogspot.com.br/2008/08/gesto-de-riscos-norma-asnzs-43602004.html Acesso em: 12/03/2015.
Segurança da Informação. Disponível em: http://www.marcusdantas.com.br/files/seguranca_informacao.pdf Acesso em: 02/04/2015.
Information security management systems. Disponível em: https://temaseginf.files.wordpress.com/2013/05/bs-7799-3-2006-open.pdf Acesso em: 14/03/2015.
COBIT4. Disponível em: http://www.isaca.org/Knowledge-Center/cobit/Documents/COBIT4.pdf Acesso em: 14/03/2015.
ISO/IEC 27005:2011. Disponível em: http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=56742 Acesso em: 14/03/2015.
FONTES, EDISON. Gestão de Riscos de SI – Norma 27005:2008. Disponível em: http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/889 Acesso em: 03/04/2015.