Aula 06_Projeto de Segurança de Redes

Prévia do material em texto

*
*
GESTÃO DE PROJETOS EM SEGURANÇA DA INFORMAÇÃO 
(BASEADO NO PMI)
 GERÊNCIA DE RISCOS
 
*
*
GERÊNCIA DE RISCOS
Se ocorrer um evento:
 = efeito positivo (oportunidade ou 
 negativo (ameaça) sobre: Escopo, prazo, custo ou qualidade
Causas  Riscos  Impactos
Riscos Internos à organização
Riscos externos à organização
Sucesso no projeto  bom gerenciamento dos riscos 	
*
*
CONCEITOS DE RISCO
Para riscos conhecidos: gestão pró-ativa.
Plano de contingência
Todo negócio tem risco
As partes interessados aceitam certos riscos.
Respostas aos riscos refletem o equilíbrio da organização entre correr e evitar riscos.
*
*
ANÁLISE DE RISCOS
*
*
EXEMPLOS DE RISCOS
Início do projeto
Definição incompleta, inviável, objetivos mal definidos.
Planejamento
Incompleto, Falta de apoio da alta administração, falta entendimento, ausência de análise de risco, especificações pobres.
*
*
EXEMPLOS DE RISCOS
Execução / Controle
Mudança de escopo, ausência de controle, mão de obra inadequada, greves, inexistência de controles.
Encerramento
Não aceitação pelo cliente, produto não atende ou baixa qualidade.
*
*
CAUSAS DOS RISCOS EM PROJETOS DE TI
Obsolescência da tecnologia / Inovações tecnológicas
Gastos descontrolados
Uso SEM planejamento e SEM testes
Dependência de PROFISSIONAIS QUALIFICADOS
Velocidade das mudanças  incertezas  aumentam os riscos.
*
*
ANÁLISE DE RISCOS
Planejamento
Gerenciamento
dos Riscos
Identificação
dos Riscos
Análise 
Qualitativa
dos Riscos
Planejamento
de Respostas
aos Riscos
Análise 
Quantitativa
dos Riscos
Monitoramento
e Controle
dos Riscos
*
*
FERRAMENTAS E TÉCNICAS NA GERÊNCIA DE RISCOS
Técnicas de coleta de dados: Brainstorm, Delphi (consenso de especialistas), Entrevista, Analise causa-raiz.
 Conhecimento histórico.
Análise SWOT
Análise de Premissas
Identifica os riscos do projeto decorrentes do caráter inexato e instável das premissas.
*
*
IDENTIFICAÇÃO DOS RISCOS - SAÍDAS
Registro dos riscos
Descrição detalhada dos riscos identificados: causa, evento, impacto.
Lista de respostas potenciais.
Categorias de riscos atualizadas.
*
*
CONCEITOS DE RISCO
Fases do Ciclo de vida
 Início Planejamento Execução Encerra-
 Controle mento
 Risco Total do Projeto
 Quantidade do Impacto
Riscos Impacto
*
*
RISCO E IMPACTO
Assalto à casa:
a) Rico 
“Na cidade, acontecem muitos assaltos. Porém, se minha casa for assaltada, mando comprar tudo de novo. Neste caso, mesmo havendo risco alto, o impacto é baixo.”
*
*
RISCO E IMPACTO
Assalto à casa:
b) Pobre
“Na cidade, acontecem muitos assaltos. Se minha casa for assaltada, vai ser muito difícil comprar tudo de novo. Neste caso, o risco e o impacto são altos”.
Impacto
Probabilidade
Impacto
Probabilidade
*
*
RISCO E IMPACTO
Assalto à casa:
c) Rico do interior
“Na minha cidadezinha não acontecem assaltos. Se mesmo assim minha casa for assaltada, mando comprar tudo de novo. Risco e o impacto são baixos.”
Impacto
Probabilidade
Impacto
Probabilidade
*
*
RISCO E IMPACTO
Assalto à casa:
d) Pobre do interior
“Na minha cidadezinha não ocorrem assaltos. Mas, se minha casa fosse assaltada, seria muito difícil comprar tudo de novo. Risco é baixo, porém o impacto é alto.”
Impacto
Probabilidade
Impacto
Probabilidade
*
*
IMPACTO NOS NEGÓCIOS
Impactos financeiros:
- Perdas de receitas / vendas / juros / descontos;
- Pagamento de multas contratuais;
- Cancelamento de projeto por atraso;
- Indisponibilidade de fundos;
- Despesas extras com serviços externos, funcionários temporários, compras de emergência, etc. 
*
*
GESTÃO DO RISCO
Principais benefícios em sua utilização: 
 
- Entender os riscos associados com o negócio e a gestão da informação;
- Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações;
- Melhorar a eficácia no controle de riscos;
 
*
*
GESTÃO DO RISCO
Principais benefícios em sua utilização: 
 
- Manter a reputação e imagem da organização.
- Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios
- Minimizar as possibilidades de furto de informação e maximizar a proteção de dados.
 
*
*
ETAPAS DA GESTÃO DE RISCO
*
*
ANÁLISE E AVALIAÇÃO DOS RISCOS
Cobre todo o processo de identificação das ameaças e estimativa de risco:  
 Método quantitativo
 em termos de possíveis perdas financeiras.
Os métodos quantitativos costumam ser vistos com cautela pelos estudiosos devido à dificuldade de obtenção de resultados representativos e pela sua complexidade.
*
*
MÉTODO QUALITATIVO
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo, o que torna o processo mais rápido. 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. 
*
*
Medida do Risco = Probabilidade x Impacto; 
alto Risco > 0.10
ANÁLISE QUALITATIVA DOS RISCOS
Probabilidade
0.90
0.70
0.50
0.30
0.10
0.90
0.70
0.50
0.30
0.10
Impacto
*
*
TRATAMENTO DOS RISCOS
Medidas preventivas:
 Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. 
*
*
TRATAMENTO DOS RISCOS
Medidas corretivas ou reativas:
Reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do evento.
Métodos detectivos:
 Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. 
*
*
ACEITAÇÃO DOS RISCOS
Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Aceitar um risco é uma das maneiras de tratá-lo.