Baixe o app para aproveitar ainda mais
Prévia do material em texto
* * GESTÃO DE PROJETOS EM SEGURANÇA DA INFORMAÇÃO (BASEADO NO PMI) GERÊNCIA DE RISCOS * * GERÊNCIA DE RISCOS Se ocorrer um evento: = efeito positivo (oportunidade ou negativo (ameaça) sobre: Escopo, prazo, custo ou qualidade Causas Riscos Impactos Riscos Internos à organização Riscos externos à organização Sucesso no projeto bom gerenciamento dos riscos * * CONCEITOS DE RISCO Para riscos conhecidos: gestão pró-ativa. Plano de contingência Todo negócio tem risco As partes interessados aceitam certos riscos. Respostas aos riscos refletem o equilíbrio da organização entre correr e evitar riscos. * * ANÁLISE DE RISCOS * * EXEMPLOS DE RISCOS Início do projeto Definição incompleta, inviável, objetivos mal definidos. Planejamento Incompleto, Falta de apoio da alta administração, falta entendimento, ausência de análise de risco, especificações pobres. * * EXEMPLOS DE RISCOS Execução / Controle Mudança de escopo, ausência de controle, mão de obra inadequada, greves, inexistência de controles. Encerramento Não aceitação pelo cliente, produto não atende ou baixa qualidade. * * CAUSAS DOS RISCOS EM PROJETOS DE TI Obsolescência da tecnologia / Inovações tecnológicas Gastos descontrolados Uso SEM planejamento e SEM testes Dependência de PROFISSIONAIS QUALIFICADOS Velocidade das mudanças incertezas aumentam os riscos. * * ANÁLISE DE RISCOS Planejamento Gerenciamento dos Riscos Identificação dos Riscos Análise Qualitativa dos Riscos Planejamento de Respostas aos Riscos Análise Quantitativa dos Riscos Monitoramento e Controle dos Riscos * * FERRAMENTAS E TÉCNICAS NA GERÊNCIA DE RISCOS Técnicas de coleta de dados: Brainstorm, Delphi (consenso de especialistas), Entrevista, Analise causa-raiz. Conhecimento histórico. Análise SWOT Análise de Premissas Identifica os riscos do projeto decorrentes do caráter inexato e instável das premissas. * * IDENTIFICAÇÃO DOS RISCOS - SAÍDAS Registro dos riscos Descrição detalhada dos riscos identificados: causa, evento, impacto. Lista de respostas potenciais. Categorias de riscos atualizadas. * * CONCEITOS DE RISCO Fases do Ciclo de vida Início Planejamento Execução Encerra- Controle mento Risco Total do Projeto Quantidade do Impacto Riscos Impacto * * RISCO E IMPACTO Assalto à casa: a) Rico “Na cidade, acontecem muitos assaltos. Porém, se minha casa for assaltada, mando comprar tudo de novo. Neste caso, mesmo havendo risco alto, o impacto é baixo.” * * RISCO E IMPACTO Assalto à casa: b) Pobre “Na cidade, acontecem muitos assaltos. Se minha casa for assaltada, vai ser muito difícil comprar tudo de novo. Neste caso, o risco e o impacto são altos”. Impacto Probabilidade Impacto Probabilidade * * RISCO E IMPACTO Assalto à casa: c) Rico do interior “Na minha cidadezinha não acontecem assaltos. Se mesmo assim minha casa for assaltada, mando comprar tudo de novo. Risco e o impacto são baixos.” Impacto Probabilidade Impacto Probabilidade * * RISCO E IMPACTO Assalto à casa: d) Pobre do interior “Na minha cidadezinha não ocorrem assaltos. Mas, se minha casa fosse assaltada, seria muito difícil comprar tudo de novo. Risco é baixo, porém o impacto é alto.” Impacto Probabilidade Impacto Probabilidade * * IMPACTO NOS NEGÓCIOS Impactos financeiros: - Perdas de receitas / vendas / juros / descontos; - Pagamento de multas contratuais; - Cancelamento de projeto por atraso; - Indisponibilidade de fundos; - Despesas extras com serviços externos, funcionários temporários, compras de emergência, etc. * * GESTÃO DO RISCO Principais benefícios em sua utilização: - Entender os riscos associados com o negócio e a gestão da informação; - Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações; - Melhorar a eficácia no controle de riscos; * * GESTÃO DO RISCO Principais benefícios em sua utilização: - Manter a reputação e imagem da organização. - Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios - Minimizar as possibilidades de furto de informação e maximizar a proteção de dados. * * ETAPAS DA GESTÃO DE RISCO * * ANÁLISE E AVALIAÇÃO DOS RISCOS Cobre todo o processo de identificação das ameaças e estimativa de risco: Método quantitativo em termos de possíveis perdas financeiras. Os métodos quantitativos costumam ser vistos com cautela pelos estudiosos devido à dificuldade de obtenção de resultados representativos e pela sua complexidade. * * MÉTODO QUALITATIVO Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo, o que torna o processo mais rápido. Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. * * Medida do Risco = Probabilidade x Impacto; alto Risco > 0.10 ANÁLISE QUALITATIVA DOS RISCOS Probabilidade 0.90 0.70 0.50 0.30 0.10 0.90 0.70 0.50 0.30 0.10 Impacto * * TRATAMENTO DOS RISCOS Medidas preventivas: Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. * * TRATAMENTO DOS RISCOS Medidas corretivas ou reativas: Reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do evento. Métodos detectivos: Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. * * ACEITAÇÃO DOS RISCOS Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Aceitar um risco é uma das maneiras de tratá-lo.
Compartilhar