Baixe o app para aproveitar ainda mais
Prévia do material em texto
Inserir Título Aqui Inserir Título Aqui Análise de Riscos e Vulnerabilidade em Redes e Sistemas ABNT NBR ISO 31000:2018 Responsável pelo Conteúdo: Prof.ª Esp. Renata Farragoni Rodrigues da Silva Sodré Revisão Textual: Prof.ª Dr.ª Luciene Oliveira da Costa Granadeiro Nesta unidade, trabalharemos os seguintes tópicos: • Introdução; • ABNT NBR ISO 31000:2018; • O Processo de Implementação da ABNT NBR ISO 31000. Fonte: Getty Im ages Objetivo • Apresentar de maneira sintética as atividades compreendidas na Norma ABNT NBR ISO 31000:2018, indicando outras bibliografias que apresentam como executar uma ges- tão de riscos. Caro Aluno(a)! Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl- timo momento o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas. Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar como o seu “momento do estudo”. No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno entendimento dos temas abordados. Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e aprendizagem. Bons Estudos! ABNT NBR ISO 31000:2018 UNIDADE ABNT NBR ISO 31000:2018 Contextualização Na unidade anterior, você foi apresentado(a) a algumas breves definições do que vem a ser “risco”, bem como uma atividade da “gestão de risco”, a “identificação dos riscos” voltada para a área de proteção da informação. Agora, nesta unidade, você aprenderá que existe uma norma internacional que conduz as organizações a aderirem a algu- mas atividades que a tornarão eficientes e eficazes, com um custo reduzido, em todo o processo de gestão de rico. Esperamos que você aproveite esta leitura e que os temas abordados sirvam de base para seus estudos futuros. 6 7 Introdução Estamos constantemente gerenciando riscos, às vezes, conscientemente e, outras vezes, não. A necessidade de a gestão de riscos ser realizada de maneira sistemática aplica-se a todos os indivíduos, organizações, funções e atividades dos processos opera- cionais de organização. A implementação correta e eficaz da gestão de riscos faz parte das melhores práticas de negócios, tanto no âmbito corporativo quanto no estratégico, e é também uma ma- neira de buscar a melhoria das atividades operacionais. Em inglês, o uso da palavra ‘risk’ normalmente tem uma conotação negativa: o ris- co como algo a ser minimizado ou evitado. Na definição mais genérica da ISO 31000, consideramos que as atividades envolvendo riscos podem ter tanto resultados positivos quanto negativos. Os processos descritos nesta unidade podem ser usados para identifi- car e explorar oportunidades de melhorar os resultados organizacionais e de reduzir as consequências negativas. Você e seus colegas de curso deverão estar cientes de que este uso do termo difere da sua forma mais restrita usada em outros setores (por exemplo, a TI pelas considerações apre- sentadas pelo NIST em seus boletins). Por exemplo, em algumas áreas, os termos ‘gestão de riscos’ e ‘controle de riscos ‘ são utilizados para descrever as formas de lidar com os riscos identificados, para as quais empregamos aqui o termo ‘tratamento de riscos’. Risco é algo inerente a tudo que fazemos, seja optar por utilizar o carro ao transporte público, gerenciar um projeto, lidar com um cliente, determinar as prioridades para se executar uma atividade do trabalho antes da outra, tomar decisões sobre o futuro ou decidir simplesmente não tomar nenhuma ação e deixar a vida te levar. A gestão de riscos é parte integrante das boas práticas empresariais. Aprender a ge- renciar riscos de maneira eficaz possibilita que os gerentes melhorem os resultados por meio da identificação e da análise de uma gama mais ampla de questões, fornecendo uma forma sistemática de tomar decisões fundamentadas em informações. A exemplo disso, temos a (AAP, 2018) ressaltando a respeito do papel do conselho de administração no gerenciamento de riscos, para além dos conceitos de conformi- dade e compliance (conformidade com leis e regulamentos). Segundo essa cartilha, Ticker (1995) cita que antes houvera um comitê australiano de governança corporativa apontando que o gerenciamento de riscos agregava valor no dimensionamento estra- tégico (nesse caso, somente para os financeiros). Nas palavras daquele comitê foi dito que “the board’s key role is to ensure that corporate management is continuously and effectively striving for above average performance, taking account to risk”. E também o (NIST, 2002), nas primeiras linhas do seu boletim, diz que são depen- dentes do uso de processos gerenciamento de riscos que suportem uma tomada de 7 UNIDADE ABNT NBR ISO 31000:2018 decisões em toda e qualquer ameaça contra as infraestruturas críticas, a segurança de custo efetivo e a continuidade das operações de um país. Assim, é bom desmistificar que o gerenciamento de riscos é somente mais uma bu- rocracia a ser trazida para dentro do ambiente corporativo. Uma vez que os princípios apresentados nesta unidade são genéricos em sua natureza e amplamente independen- tes de qualquer tipo de estrutura organizacional. As técnicas para o processo de avaliação de riscos, apresentadas na Norma inter- nacional ISO/IEC 31010, fornecem às pessoas, em todos os níveis, uma abordagem sistemática para a gestão de riscos que são parte integrante de suas responsabilidades. ABNT NBR ISO 31000:2018 Uma implementação de gestão de riscos eficaz requer que os princípios estabeleci- dos, no capítulo 4 da Norma ABNT ISO 31000, sejam seguidos durante todo o proces- so de implantação. Tais princípios devem ser feitos de maneira: • Integrada: A gestão de riscos é parte integrante de todas as atividades organizacionais; • Estruturada e abrangente: Ter uma abordagem estruturada e abrangente para a gestão de riscos contribui para que os resultados sejam consistentes e comparáveis; • Personalizada: A estrutura e o processo de gestão de riscos devem ser personali- zados e proporcionais aos contextos externo e interno da organização de forma a estarem relacionados aos seus objetivos; • Inclusiva: O envolvimento apropriado e oportuno das partes interessadas ao pro- cesso de gestão de risco possibilitará que conhecimentos anteriores, pontos de vista e percepções sejam considerados, permitindo que o resultado de todo esse processo alcance em uma melhor conscientização com uma gestão de riscos fun- damentada em todo o seu tratamento ; • Dinâmica: Riscos podem emergir, mudar ou desaparecer à medida que os contex- tos externo e interno mudem em uma organização. A gestão de riscos antecipa, detecta, reconhece e responde a essas mudanças e eventos de uma maneira apro- priada e oportuna; • Melhor informação disponível: As entradas para a gestão de riscos são basea- das em informações atuais e históricas, bem como em expectativas futuras para o alcance de novos mercados originados de suas atividades. A gestão de riscos explicitamente leva em consideração quaisquer limitações e incertezas associadas a essas informações e expectativas. Convém que a informação seja oportuna, clara e disponível para as partes interessadas pertinentes; • Fatores humanos e culturais: O comportamento humano e a cultura influenciam significativamente todos os aspetos da gestão de riscos em cada nível e estágio; • Melhoria contínua: A gestão de riscos é melhorada continuamente por meio do aprendizado e experiências. 8 9 Fatores humanos eculturais Melhoria contínua Integrada Estruturada e abrangente Personalizada InclusivaDinâmica Melhor informação disponível Criação e proteção de valor Figura 1 – Princípios Fonte: Adaptado de ABNT NBR ISO 31000 – Gestão de Riscos – Diretrizes (pág. 3) Alguns dos benefícios da gestão de riscos • Redução de resultados inesperados (surpresas): O controle de eventos adver- sos é aprimorado por meio da identificação e da tomada de ações para minimizar sua probabilidade e reduzir seus efeitos. Mesmo quando tais eventos não podem ser prevenidos, a organização pode alcançar um grau de flexibilidade por meio de planejamento e preparação; • Aproveitamento das oportunidades: O comportamento de buscar oportunidades é aprimorado se as pessoas têm confiança no seu entendimento dos riscos e têm a capacidade necessária para gerenciá-los; • Melhoria do planejamento, desempenho e eficácia: O acesso a informações estratégicas sobre a organização, suas operações e seu ambiente possibilitam um planejamento mais adequado e eficaz. Isso, por sua vez, aumenta a habilidade da organização de capitalizar as oportunidades, mitigar resultados negativos e obter um melhor desempenho; • Economia e eficiência: Os benefícios em economia e eficiência podem ser obtidos quando são direcionados alguns recursos, ou protegendo ativos (em caso de vaza- mento de dados, por exemplo) ou evitando erros que geram custos; • Melhoria das relações com as partes interessadas: A gestão de riscos motiva a organização a identificar as partes interessadas (internas e externas) e a desenvolver um diálogo de mão dupla entre elas e a organização. Esse canal de comunicação traz à organização informações sobre como as partes interessadas reagirão a novas políticas, produtos ou decisões, e permite às partes interessadas compreenderem por que determinadas ações foram tomadas; • Melhoria das informações para a tomada de decisão: A gestão de riscos fornece informações e análises mais precisas para a tomada de decisões estratégicas, tais como em grandes investimentos, fusões e aquisições; 9 UNIDADE ABNT NBR ISO 31000:2018 • Melhoria da reputação: Investidores, credores, seguradoras, fornecedores e clien- tes são cada vez mais atraídos para organizações que reconhecidamente têm um processo bem definido, implementado e satisfatório de gestão de riscos; • Proteção de diretores e gerentes: A boa gestão de riscos facilita a diligência por parte dos diretores e gerentes da organização; • Responsabilidade, garantia e governança: Podem-se obter benefícios demons- trando e documentando a abordagem de gestão adotada, e colocando o foco de cada nível da organização na conformidade com requisitos e na melhoria do desem- penho organizacional; • Bem-estar pessoal: A gestão eficaz de riscos pessoais normalmente melhora a saúde e o bem estar das pessoas que a praticam e da sociedade a qual a organiza- ção está inserida (operações). Algumas aplicações da gestão de riscos A gestão de riscos possui uma gama variada de aplicações, em setores variados, em condições variadas, durante as fases de planejamento, operação, testes etc. Vale ressaltar que: em processos menos formais, podem ser apropriadas aquelas aplicações que sejam adequadas em decisões menos importantes; todos os resultados devem ser armazenados para gerar dados históricos para a organização. Assim, seguem alguns exemplos de aplicações da gestão de riscos. • Durante as fases do planejamento estratégico, operacional ou de negócios; • Durante as fases da gestão de ativos ou planejamento de recursos; • Durante o planejamento, ou de ocorrência (planejada ou não) da interrupção e continuidade dos negócios; • Nos processos mudança organizacional, tecnológica e política; • Para atendimento de projeto e responsabilidade pelo produto, como o de imple- mentação de uma ISO 9000; • Pelas consequências do não atendimento dos compromissos civis, dos diretores e gerentes, junto aos órgãos de fiscalização; • Durante o desenvolvimento de políticas públicas ou organizacionais; • Durante o planejamento de questões ambientais (impactos); • Em questões relativas à ética, fraude, segurança patrimonial e probidade; • Para a alocação de recursos (gerenciando a capacidade deles, por exemplo); • Em questões relacionadas à conformidade com os risco público e responsabilidade civil geral; • Fazendo os estudos de viabilidade; • Para atendimento, ou não, em questões de conformidade; • Para atendimento, ou não, de algumas responsabilidades atreladas a segurança e saúde no trabalho; • Para planejar as operações e sistemas de manutenção; 10 11 • Durante a gestão de projetos; e • Durante os processos e atividades de gestão de compras (escolha do fornece- dor) e contratos. A gestão de riscos e sua relação com a governança corporativa Segundo os estudos apresentados pela (AAP, 2018), a gestão de riscos contribui para a boa governança corporativa dando garantias à diretoria e à gerência sênior de que os objeti- vos organizacionais serão alcançados dentro de um grau aceitável de risco residual. Seu foco está na conduta e na relação entre diretores, gerentes e acionistas da organização e pode ser definida como o sistema por meio do qual as organizações são dirigidas e controladas. Uma gestão de riscos satisfatória não somente contribui para a boa governança, mas também ajuda a proteger diretores e gerentes em caso de resultados adversos. Ela fornece uma estrutura para facilitar a comunicação e a consulta entre as partes interes- sadas externas, órgãos do governo, alta direção e funcionários de todos os níveis, sobre a definição e consecução dos objetivos organizacionais. Uma vez que os riscos tenham sido gerenciados de acordo com o processo estabele- cido na Norma ISO 31000:2018, a proteção ocorrerá em dois níveis. No primeiro, os resultados adversos talvez não sejam tão graves o quanto poderiam ser. No segundo, os responsáveis podem, em sua defesa, demonstrar que agiram com o devido zelo. O Processo de Implementação da ABNT NBR ISO 31000 Este capítulo está relacionado à seção 6 da Norma ABNT NBR ISO 31000: 2018. Processo de gestão de riscos Escopo, contexto e critério Tratamento de riscos Registro e relato Processo de avaliação de riscos Co m un ica çã o e co ns ul ta M on ito ra m en to e an ál ise cr íti ca Identificação de riscos Análise de riscos Avaliação de riscos F igura 2 – Processo Fonte: Adaptado de ABNT NBR ISO 31000 – Gestão de Riscos – Diretrizes (pag. 9) 11 UNIDADE ABNT NBR ISO 31000:2018 As diretrizes detalhadas sobre a aplicação de cada etapa do processo de gestão de riscos serão apresentadas nos subtítulos a seguir seguidos de suas respectivas seções de Norma ABNT NBR ISO 31000. São elas: • Comunicação e consulta (seção 6.2); • Escopo, contexto e critérios (seção 6.3); • Identificação de riscos (seção 6.4.2); • Análise de riscos (seção 6.4.3); • Avaliação de riscos (seção 6.4); • Tratamento de riscos (seção 6.5); • Monitoramento e análise crítica (seção 6.6); • Registro e relato (seção 6.7). Embora o processo de gestão de riscos (apresentado na Figura 2) seja frequentemen- te apresentado como sequencial, na prática, ele é iterativo. Escopo, contexto e critérios M on ito ra m en to e an ál ise cr íti ca Co m un ica çã o e co ns ul ta Identi�cação de riscos Análise de riscos Avaliação de riscos Tratamento de riscos Registro e Relato Figura 3 – Relação de iteratividade das atividades Sendo assim, para as suas atividades ao longo de sua execução, automaticamente se retroalimentam com as saídas das atividades anteriores ou paralelas. Requeren- do, assim, reavaliações de suas práticas e processos existentes de gestão de riscos, verificando quaisquer lacunas e abordando essas lacunas no âmbito da estrutura de toda a implementação. Nas reavaliações, a Norma ABNT NBR ISO 31000:2018 ilustra os elementos desta estrutura. 12 13 Melhoria Integração Concepção ImplementaçãoAvaliaçãoLiderança e comprometimento Figura 4 – Componentes de uma estrutura de Implementação Fonte: Adaptado de Norma NBR ISO IEC 31000 Para tanto, iniciemos os conceitos que cada atividade da Norma representa. Desenvolvimento do processo de comunicação e consulta Este trecho está relacionado à subseção 6.2 da Norma ABNT NBR ISO 31000:2018 . Seu propósito (subseção 6.2) O propósito desta subseção da Norma é identificar as partes interessadas e compre- ender que a organização não escolhe as partes interessadas que quiser. Se algum grupo não for considerado inicialmente, tenha em mente que, em momento posterior, ele pode ser incluído, porém, durante esse tempo em que eles estiveram ausentes, eles perderam os benefícios de consulta e deixaram de agregar valor com o processo de gestão de risco por, talvez, terem tido experiências relevantes ao processo. As partes interessadas são aquelas que podem afetar, serem afetadas, ou ainda se conside- rarem afetadas pela organização (ou pelo processo de gestão de riscos). Em outras palavras, as partes interessadas são as pessoas ou grupos que têm um interesse genuíno na organização. Haverá divergências na opinião sobre quem deveria ser incluído como parte envolvida, mas geralmente, quando se determinam as partes interessadas, é importante incluir o maior número possível de pessoas. O subtítulo abaixo traz alguns exemplos de partes interessadas. Atividades e documentos que devem ser atendidos e produzidos pela subseção da Norma • Identificação das partes interessadas; • Plano de comunicação e consulta. 13 UNIDADE ABNT NBR ISO 31000:2018 E scopo, Contexto e Critérios Este trecho está relacionado à subseção 6.3 da Norma ABNT NBR ISO 31000:2018. Seu propósito (subseção 6.4.2) O propósito desta subseção é garantir que todos os riscos significativos sejam identi- ficados. Para isso, é necessário conhecer os objetivos da função ou atividade da organi- zação que está sendo examinada. Os objetivos são a essência da definição do contexto. Os critérios para o êxito orga- nizacional são a base para medir o alcance dos objetivos. Esses critérios são utilizados para identificar e mensurar os impactos e as consequências dos riscos que podem afetar resultados e objetivos (tanto tangíveis quanto intangíveis). E, para o estabelecimento do contexto, é necessário identificar os objetivos organizacionais e os ambientes externo e interno nos quais se buscam os objetivos. Atividades e documentos que devem ser atendidos e produzidos pela subseção da Norma • Escopo das atividades de gestão de riscos que serão realizadas e seus resultados esperados; • Objetivos organizacionais e medidas do sucesso; • Fatores importantes no ambiente interno e externo; • Partes interessadas pertinentes; • Principais critérios de avaliação de riscos; • Documentos consultados ao se estabelecer o contexto; e • Elementos-chave por meio dos quais o restante do processo será estruturado. I dentificação de Riscos Este trecho está relacionado à subseção 6.4.2 da Norma ABNT NBR ISO 31000:2018. Seu propósito (subseção 6.4.2) O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que possam ajudar ou impedir que uma organização alcance seus objetivos. Informações pertinentes, apropriadas e atualizadas são importantes na identificação de riscos, pois riscos não identificados podem se tornar uma ameaça à organização ou fazer com que se percam oportunidades importantes. Atividades e documentos que devem ser atendidos e produzidos pela subseção da Norma • Abordagem ou método usado; • Escopo coberto pela identificação; 14 15 • Participantes da identificação de riscos e as fontes de informação consultadas; • Registro dos riscos levantados. A nálise de Riscos Este trecho está relacionado à subseção 6.4.3 da Norma ABNT NBR ISO 31000:2018. Seu propósito (subseção 6.4.3) O propósito da análise de riscos é promover o entendimento da natureza do risco e suas características, incluindo o nível de risco. A análise ajudará a definir as prioridades e opções de tratamento (subseção 1.6), onde o nível de risco é determinado por meio da combinação da probabilidade e das consequências. As escalas e métodos adequa- dos para tal combinação deveriam ser compatíveis com os critérios definidos quando o contexto for estabelecido (subseção 1.2). Para uma análise mais técnica, a natureza dos dados e a saída esperada determinam os métodos de análise requeridos. Atividades e documentos que devem ser atendidos e produzidos pela subseção da Norma • Principais hipóteses e limitações; • Fontes das informações utilizadas; • Explicação do método de análise, e definições dos termos utilizados para especifi- car a probabilidade e as consequências de cada risco; • Controles existentes e sua eficácia; • Descrição e severidade das consequências; • Probabilidade dessas ocorrências específicas; • Grau de risco resultante; e • Consequências da incerteza. A valiação de Riscos Este trecho está relacionado à subseção 6.4.4 da Norma ABNT NBR ISO 31000:2018. Seu propósito (subseção 6.4.4) O propósito da avaliação de riscos faz uso da compreensão dos riscos, obtida por meio das práticas de análise de riscos (subseção 1.4), para a tomada de decisão sobre as futuras ações. Mesmo tendo sido escolhidos, os critérios de análise dos riscos e natureza das deci- sões durante a fase de estabelecimento do contexto (1.2), na fase de avaliação de riscos, eles precisarão ser revistos. Uma justificativa é que, agora, após a fase de identificação 15 UNIDADE ABNT NBR ISO 31000:2018 dos riscos ( subseção 1.3) e sua análise (subseção 1.4), você passa a conhecer mais a respeito dos riscos que incorrem sobre a organização em que trabalha. Atividades e documentos que devem ser atendidos e produzidos pela subseção da Norma Podendo ser expressos quantitativa ou qualitativamente esta seção produzirá docu- mentos de avaliação com: • As consequências especificadas; • A probabilidade de eventos ou resultados especificados; • O efeito cumulativo de múltiplos eventos; e • A amplitude da incerteza dos níveis de risco em um determinado nível de confiança. Tratamento de Riscos Este trecho está relacionado à subseção 6.5 da Norma ABNT NBR ISO 31000:2018. Seu propósito (subseção 6.5) Do ponto de vista financeiro, geralmente não é bom, ou nem mesmo desejável, im- plementar todos os tratamentos de riscos possíveis para se tratar um risco. Por isso será necessário que você escolha, priorize e implemente soluções de tratamento, baseando- -se em fatores como custos e benefícios, eficácia e outros critérios relevantes para a organização, podendo até mesmo considerar fatores legais, sociais, políticos e econômi- cos, por exemplo. Assim, o propósito desta subseção é fornecer uma lista dos riscos que requerem tra- tamento (geralmente já com suas respectivas classificações e prioridades). E, como resultado, espera-se do tratamento de risco que ele forneça: • Uma série de opções para o tratamento dos riscos que foram identificados (subse- ção 1.3), analisados (subseção 1.4) e avaliados (subseção 1.5); • Uma avaliação de tais opções; • Elaboração de planos para tratamento; • Ações de implementação. Porém, antes que ações adequadas de tratamento possam ser determinadas, a análi- se de cada risco pode precisar ser revisada e ampliada, a fim de extrair as informações necessárias para identificar e explorar as diferentes opções de tratamento. É particularmente importante identificar as causas dos riscos, para que os mesmos sejam tratados e não somente os sintomas de forma superficial. 16 17 Atividades e documentos que devem ser atendidos e produzidos pela subseção da Norma • Relação e análise de custo-benefício: » Listar todos os tipos de custos e benefícios; » Agrupar todos os custos e benefícios nas categorias ‘concreto ‘ e ‘abstrato’; » Calcular uma medida quantitativa para os custos e benefícios ‘concretos’ (como os descritos abaixo); » Avaliar os custos e benefícios‘abstratos ‘, usando alguma escala de equivalência como a classificação de riscos definida na atividade Escopo, Contexto e Critérios (subseção 1.2); » Apresentar de forma conjunta os resultados, tanto da análise de custos e benefí- cios ‘concretos ‘ quanto dos ‘abstratos’. • Preparação de planos de tratamento: » Identificando a responsabilidades, prazos, o resultado esperado dos tratamentos, verbas, medidas de desempenho e o processo de análise crítica a ser implementado; » Incluir mecanismos para a avaliação e monitoramento da eficácia do tratamen- to em relação aos objetivos do mesmo, às responsabilidades individuais e aos objetivos organizacionais, bem como os processos para o monitoramento do progresso do plano de tratamento em relação aos principais marcos da imple- mentação. Convém que o processo de concepção (projeto) do tratamento gere essas informações; » Documentar como, na prática, as opções escolhidas serão implementadas. • Documentos que identifiquem e aceitem (pela alta administração) o risco residual. Monitoramento e Análise crítica Este trecho está relacionado à subseção 6.6 da Norma ABNT NBR ISO 31000:2018. Seu propósito (subseção 6.6) As atividades de monitoramento proporcionam o acompanhamento rotineiro do de- sempenho real, para que possa ser comparado ao desempenho esperado ou requerido. Já a análise crítica envolve a investigação periódica da situação atual, normalmente com um foco específico. O monitoramento e a análise crítica são partes integrantes e essenciais da gestão de riscos, onde se tornam juntas uma das etapas mais importantes do processo de gestão de riscos no âmbito organizacional. É necessário que sejam monitorados os riscos, a eficácia e a adequação das estratégias e dos sistemas de gestão estabelecidos para a 17 UNIDADE ABNT NBR ISO 31000:2018 implementação dos tratamentos de riscos, bem como o plano e o sistema de gestão de riscos como um todo. Atividades e documentos que devem ser atendidos e produzidos pela subseção da norma Sistemas e documentos que, ao longo do processo, comprovem e deem robustez aos: • Monitoramento contínuo; • Análise crítica pela gerência de linha; • Auditoria de terceira parte. 18 19 Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Livros The Risk IT Framework ISACA – Information Systems Audit and Control Association. The Risk IT Framework. http://bit.ly/2TIlBQM Vídeos Gestão de Risco – Aula 01 (Conceitos Iniciais) https://youtu.be/5tbxtrNNOr4 Gestão de Risco – Aula 02 (Princípios da Gestão de Riscos) https://youtu.be/7XStg7EItY8 Leitura CIS RAM (Risk Assessment Method) FAQ – Part 1 CIS – Center for Internet Security Risk Assessment Metho. Version 1.0 Center for Internet Security® Risk Assessment Method. http://bit.ly/38JTK6M Risk Management Guidance for Information Technology Systems NIST – National Institute of Standards and Technology. 2002. Risk Management Guidance for Information Technology Systems. [On-line] 2002. http://bit.ly/2TVylSN Threat and Risk Management http://bit.ly/2W5Nq6Y 19 UNIDADE ABNT NBR ISO 31000:2018 Referências AAP. ASSESSORIA DE ANÁLISE E PESQUISA. Gerenciamento de riscos corpora- tivos: uma analise das diretrizes e das práticas. [On-line] Dezembro de 2018. Disponível em: <http://www.cvm.gov.br/export/sites/cvm/menu/acesso_informacao/serieshistori- cas/estudos/anexos/Gerenciamento-de-riscos_final_151015.pdf>. DE CICCO, F. Gestão de Riscos Diretrizes para a Implementação da ISO 31000:2018. Risk Tecnologia. São Paulo, SP: Abril, 2018. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 31000 – Gestão de riscos – Diretrizes. ISO/IEC, 20018. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 31004 – Gestão de riscos. Guia para implementação da ABNT NBR ISO 31004. ISO/IEC, 20015. 20
Compartilhar