Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação Profº Max Pimentel Campus Cubatão Análise de Riscos A análise de riscos consiste em relacionar os eventos relevantes possíveis, avaliar as probabilidades de que esses eventos se concretizarem e definir seus possíveis impactos. Geralmente, organizações que estão planejando ou desenvolvendo projetos ou negócios realizam a análise de riscos. Normalmente, a análise de riscos deve conter: Matriz de impacto Matriz de probabilidade Definição dos riscos Elaboração da matriz de impacto A matriz de impacto é uma matriz que contém um conjunto de itens que influenciam no dimensionamento do impacto, no caso de ocorrência de uma determinada ameaça sendo então relacionados. Sua elaboração requer: Determinação dos elementos críticos do negócio que poderão ser afetados por falhas e erros no processo; Levantamento das ameaças / eventos decorrentes da execução dos passos do processo de negócio que podem afetar ou causar um determinado impacto sobre algum elemento crítico do negócio em questão; Definição do impacto para o negócio, no caso de ocorrência das ameaças / eventos levantados. Elaboração da matriz de probabilidade Essa matriz envolve os aspectos que influenciam a probabilidade de ocorrência de uma determinada ameaça / evento. Sua elaboração requer: Levantamento dos controles ou proteções existentes que poderiam prevenir ou minimizar a ocorrência das ameaças / eventos relacionados; Definição dos pontos vulneráveis ou fragilidades que possam existir nos controles relacionados, de forma a obter uma avaliação da sua efetividade; Definição da probabilidade da ameaça / evento vir a se concretizar devido a uma falha do controle e os impactos decorrentes A matriz de probabilidade, deve conter as seguintes colunas Tipo de ameaça: o que pode dar errado? Elemento crítico do negócio: O que pode ser afetado durante o desenvolvimento do trabalho? (processo de negócio crítico, imagem, segurança da informação, legal ou legislação) Impacto: Qual o impacto esperado? (1 – Alto, 2 Médio, 3 – Baixo) Controle: Qual é a proteção existente? Vulnerabilidade: O quão eficaz é o controle? Probabilidade: Qual a possibilidade da ameaça se concretizar sobrepujando o controle? (1 – Alto, 2 Médio, 3 – Baixo) Risco: é o resultado da multiplicação do impacto versus a probabilidade. Definição dos riscos Esta etapa envolve a sumarização dos impactos relacionados e as suas respectivas probabilidades, de forma a que seja calculado o risco real de um determinado evento (e o seu impacto) vir a ocorrer. Considerações sobre a seleção das ameaças/eventos Deve-se buscar identificar ameaças concretas que sejam parte da realidade da organização. Exemplo: num projeto de desenvolvimento ou manutenção de sistemas: Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades essenciais ou não) Situações do Cliente Interno (dificuldades de entendimento, participação de responsável da área ou resistências previstas ou não); Situações de planejamento (custos, equipe, recursos diversos); Tecnologia (falta, excesso, erros, treinamento); Imprevisíveis (greve, falta de luz, emergências). Considerações sobre a seleção dos controles Deve-se buscar identificar quais os controles (atividades, procedimentos, recursos ou responsabilidades existentes ou que possam ser construídos) que ajudam a reduzir ou evitar as ameaças, como exemplificado abaixo: Exemplo: num projeto de desenvolvimento ou manutenção de sistemas: Procedimento de backup; Controle de versões de software; Duplicidade em equipamentos; Controle financeiro e contábil; Responsabilidades definidas; Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades essenciais ou não). Considerações sobre a análise das vulnerabilidades Deve-se identificar as eventuais vulnerabilidades dos controles indicados. Exemplo: num projeto de desenvolvimento ou manutenção de sistemas: Frequência de erros em procedimento; Disponibilidade de recursos; Sobrecarga de uso de equipamentos de TI; Responsabilidades duplicadas ou não totalmente definidas; Fraqueza de controles existentes. Gestão de riscos É o processo através do qual as organizações analisam metodicamente os riscos inerentes às suas atividades, com o objetivo de: Identificar os riscos Estimar a probabilidade de ocorrência de eventos de risco e seu impacto financeiro Definir medidas para evitar, amenizar, transferir (mediante a contratação de apólices de seguros, por exemplo) ou assumir os riscos. Gestão de riscos O gerenciamento de riscos é um elemento central na gestão de estratégia pessoal e também de qualquer organização, principalmente em processos econômicos. A gestão de riscos deve ser um processo contínuo e em constante desenvolvimento aplicado à estratégia da organização e à implementação dessa mesma estratégia. Envolve análise sistemática de todos os riscos inerentes às atividades passadas, presentes e, em especial, futuras de uma organização. Deve ser integrada à cultura da organização, com uma política eficaz e um programa conduzido pela alta administração. Deve traduzir a estratégia em objetivos táticos e operacionais, atribuindo responsabilidades na gestão dos riscos em todos os níveis da organização, como parte integrante da descrição de funções. Esta prática sustenta a responsabilização, a avaliação do desempenho e respectiva recompensa, promovendo desta forma a eficiência operacional em todos os níveis. Referências Norma de Gestão de Riscos – FERMA 2003 (Federation of European Risk Management Associations) ISO/IEC Guide 73 / 2002 - Risk Management Vocabulary Guidelines for use in standards (International Organization for Standardization / International Electrotechnical Commission Guide 73) AS-NZS 4360-2004 Risk Management (Australia Standards New Zealand – Risk management)
Compartilhar