Analise de Riscos 2 ifsp

Prévia do material em texto

Segurança da Informação
Profº Max Pimentel
Campus Cubatão
Análise de Riscos
 A análise de riscos consiste em relacionar os eventos relevantes possíveis, 
avaliar as probabilidades de que esses eventos se concretizarem e definir seus 
possíveis impactos.
 Geralmente, organizações que estão planejando ou desenvolvendo projetos 
ou negócios realizam a análise de riscos.
 Normalmente, a análise de riscos deve conter:
 Matriz de impacto
 Matriz de probabilidade
 Definição dos riscos
Elaboração da matriz de impacto
 A matriz de impacto é uma matriz que contém um conjunto de itens que 
influenciam no dimensionamento do impacto, no caso de ocorrência de uma 
determinada ameaça sendo então relacionados. Sua elaboração requer:
 Determinação dos elementos críticos do negócio que poderão ser afetados por 
falhas e erros no processo;
 Levantamento das ameaças / eventos decorrentes da execução dos passos do 
processo de negócio que podem afetar ou causar um determinado impacto 
sobre algum elemento crítico do negócio em questão;
 Definição do impacto para o negócio, no caso de ocorrência das ameaças / 
eventos levantados.
Elaboração da matriz de probabilidade
 Essa matriz envolve os aspectos que influenciam a probabilidade de 
ocorrência de uma determinada ameaça / evento. Sua elaboração requer:
 Levantamento dos controles ou proteções existentes que poderiam prevenir 
ou minimizar a ocorrência das ameaças / eventos relacionados;
 Definição dos pontos vulneráveis ou fragilidades que possam existir nos 
controles relacionados, de forma a obter uma avaliação da sua efetividade;
 Definição da probabilidade da ameaça / evento vir a se concretizar devido a 
uma falha do controle e os impactos decorrentes
A matriz de probabilidade, deve conter as seguintes colunas
 Tipo de ameaça: o que pode dar errado?
 Elemento crítico do negócio: O que pode ser afetado durante o 
desenvolvimento do trabalho? (processo de negócio crítico, imagem, 
segurança da informação, legal ou legislação)
 Impacto: Qual o impacto esperado? (1 – Alto, 2 Médio, 3 – Baixo)
 Controle: Qual é a proteção existente?
 Vulnerabilidade: O quão eficaz é o controle?
 Probabilidade: Qual a possibilidade da ameaça se concretizar sobrepujando o 
controle? (1 – Alto, 2 Médio, 3 – Baixo)
 Risco: é o resultado da multiplicação do impacto versus a probabilidade.
Definição dos riscos
 Esta etapa envolve a sumarização dos impactos relacionados e as suas 
respectivas probabilidades, de forma a que seja calculado o risco real de um 
determinado evento (e o seu impacto) vir a ocorrer.
Considerações sobre a seleção das 
ameaças/eventos
 Deve-se buscar identificar ameaças concretas que sejam parte da realidade 
da organização. Exemplo: num projeto de desenvolvimento ou manutenção de 
sistemas:
 Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades 
essenciais ou não)
 Situações do Cliente Interno (dificuldades de entendimento, participação de 
responsável da área ou resistências previstas ou não);
 Situações de planejamento (custos, equipe, recursos diversos);
 Tecnologia (falta, excesso, erros, treinamento);
 Imprevisíveis (greve, falta de luz, emergências).
Considerações sobre a seleção dos 
controles
 Deve-se buscar identificar quais os controles (atividades, procedimentos, 
recursos ou responsabilidades existentes ou que possam ser construídos) que 
ajudam a reduzir ou evitar as ameaças, como exemplificado abaixo:
 Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:
 Procedimento de backup;
 Controle de versões de software;
 Duplicidade em equipamentos;
 Controle financeiro e contábil;
 Responsabilidades definidas;
 Nova versão ou manutenção (paralisação ou mau funcionamento de funcionalidades 
essenciais ou não).
Considerações sobre a análise das 
vulnerabilidades
 Deve-se identificar as eventuais vulnerabilidades dos controles indicados. 
Exemplo: num projeto de desenvolvimento ou manutenção de sistemas:
 Frequência de erros em procedimento;
 Disponibilidade de recursos;
 Sobrecarga de uso de equipamentos de TI;
 Responsabilidades duplicadas ou não totalmente definidas;
 Fraqueza de controles existentes.
Gestão de riscos
 É o processo através do qual as organizações analisam metodicamente os 
riscos inerentes às suas atividades, com o objetivo de:
 Identificar os riscos
 Estimar a probabilidade de ocorrência de eventos de risco e seu impacto financeiro
 Definir medidas para evitar, amenizar, transferir (mediante a contratação 
de apólices de seguros, por exemplo) ou assumir os riscos.
Gestão de riscos
 O gerenciamento de riscos é um elemento central na gestão de estratégia 
pessoal e também de qualquer organização, principalmente em processos 
econômicos.
 A gestão de riscos deve ser um processo contínuo e em constante 
desenvolvimento aplicado à estratégia da organização e à implementação 
dessa mesma estratégia. Envolve análise sistemática de todos os riscos 
inerentes às atividades passadas, presentes e, em especial, futuras de uma 
organização. Deve ser integrada à cultura da organização, com uma política 
eficaz e um programa conduzido pela alta administração. Deve traduzir a 
estratégia em objetivos táticos e operacionais, atribuindo responsabilidades 
na gestão dos riscos em todos os níveis da organização, como parte integrante 
da descrição de funções. Esta prática sustenta a responsabilização, a 
avaliação do desempenho e respectiva recompensa, promovendo desta forma 
a eficiência operacional em todos os níveis.
Referências 
 Norma de Gestão de Riscos – FERMA 2003 (Federation of European Risk
Management Associations)
 ISO/IEC Guide 73 / 2002 - Risk Management Vocabulary Guidelines for use in 
standards (International Organization for Standardization / International
Electrotechnical Commission Guide 73)
 AS-NZS 4360-2004 Risk Management (Australia Standards New Zealand – Risk
management)