Aula 04 Gestao de Riscos 27005 Identificacao de Riscos

Prévia do material em texto

Avaliação de Riscos
Identificação de Ameaças
• Uma ameaça tem o potencial de comprometer ativos (tais como, 
informações, processos e sistemas) e, por isso, também as 
organizações
• Ameaças podem ser de origem natural ou humana e podem ser 
acidentais ou intencionais
• Convém que tanto as fontes das ameaças acidentais, quanto as 
intencionais, sejam identificadas
• Uma ameaça pode surgir de dentro ou de fora da organização.
Avaliação de Ameaças
Identificação de Ameaças
• Convém que as ameaças sejam identificadas genericamente e por classe (por 
exemplo, ações não autorizadas, danos físicos, falhas técnicas) e, quando 
apropriado, ameaças específicas identificadas dentro das classes genéricas
• Convém que experiências internas de incidentes e avaliações anteriores das 
ameaças sejam consideradas na avaliação atual
• Quando forem usados catálogos de ameaças ou os resultados de uma 
avaliação anterior das ameaças, convém que se tenha consciência de que as 
ameaças relevantes estão sempre mudando, especialmente se o ambiente de 
negócio ou se os sistemas de informações mudarem
Avaliação de Riscos
Identificação de Controles Existentes
• Convém que a identificação dos controles existentes seja realizada para evitar 
custos e trabalho desnecessários, por exemplo, na duplicação de controles 
• convém que seja feita uma verificação para assegurar que eles estão funcionando 
corretamente
• Convém que seja levada em consideração a possibilidade de um controle 
selecionado (ou estratégia) falhar durante sua operação. 
Uma maneira para estimar o efeito do controle é ver o quanto ele reduz, por um 
lado, a probabilidade da ameaça e a facilidade com que uma vulnerabilidade pode 
ser explorada ou, por outro lado, o impacto do incidente
Avaliação de Riscos
Identificação de Controles Existentes
Para a identificação dos controles existentes ou planejados, as seguintes atividades 
podem ser úteis:
• Analisar de forma crítica os documentos contendo informações sobre os 
controles (por exemplo, os planos de implementação de tratamento do risco). 
• Verificar as pessoas responsáveis
• Revisar, no local, os controles físicos, comparando os controles implementados
• Analisar criticamente os resultados de auditorias
Avaliação de Riscos
Identificação de Vulnerabilidades
Vulnerabilidades podem ser identificadas nas seguintes áreas:
• Organização
• Processos e procedimentos
• Rotinas de gestão
• Recursos humanos
• Ambiente físico
• Configuração do sistema de informação
• Hardware, software ou equipamentos de comunicação
• Dependência de entidades externas
Avaliação de Riscos
Identificação de Vulnerabilidades
• A presença de uma vulnerabilidade não causa prejuízo por si só, pois 
precisa haver uma ameaça presente para explorá-la
• Note-se que um controle implementado, funcionando incorretamente ou 
sendo usado incorretamente, pode, por si só, representar uma 
vulnerabilidade
• Vulnerabilidades podem estar ligadas a propriedades do ativo, as quais 
podem ser usadas de uma forma ou para um propósito diferente daquele 
para o qual o ativo foi adquirido ou desenvolvido
Avaliação de Riscos
Identificação de Consequências
• Uma consequência pode ser, por exemplo, a perda da eficácia, 
condições adversas de operação, a perda de oportunidades de 
negócio, reputação afetada, prejuízo etc.
• Essa atividade identifica o prejuízo ou as consequências para a 
organização que podem decorrer de um cenário de incidente.
Avaliação de Riscos
Identificação de Consequências
Convém que as organizações identifiquem as consequências operacionais de 
cenários de incidentes em função de (mas não limitado a):
• Investigação e tempo de reparo
• Tempo (de trabalho) perdido
• Oportunidade perdida
• Saúde e Segurança
• Custo financeiro das competências específicas necessárias para reparar o 
prejuízo
• Imagem, reputação e valor de mercado
Dúvidas?