Baixe o app para aproveitar ainda mais
Prévia do material em texto
Inserir Título Aqui Inserir Título Aqui Continuidade de Negócios Análise de Risco Qualitativa Responsável pelo Conteúdo: Prof. Ms. Sandro Pereira de Melo Revisão Textual: Prof. Ms. Luciano Vieira Francisco Nesta unidade, trabalharemos os seguintes tópicos: • Introdução ao Tema • Orientações para Leitura Obrigatória • Material Complementar Fonte: iStock/Getty Im ages Objetivos • Estudo temáticas relevantes para o contexto de Segurança de Informação, sobre concei- tos de Análise de Risco Qualitativa. Caro Aluno(a)! Normalmente com a correria do dia a dia, não nos organizamos e deixamos para o último momento o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas. Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar como o seu “momento do estudo”. No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno entendimento dos temas abordados. Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e aprendizagem. Bons Estudos! Análise de Risco Qualitativa UNIDADE Análise de Risco Qualitativa Introdução ao Tema Análise de Risco Qualitativa Existem métricas diferentes para abordar a questão da Análise de Risco, nesta unidade será abordado a metodologia qualitativa pode ajudar na tomada de decisão de mitigação de Risco. A metodologia utilizada será a Matrix de GUT A Matriz de GuT (Gravidade x Urgência x Tendência) foi proposta por Charles H Hepner e Benjamin B. Tregoe, em 1981 uma metodologia para soluções de problemas. É uma ferramenta útil para qualificar e classificar problemas que são julgados pertinentes para uma corporação subsidiar suas tomadas de decisões, priorização das estratégias, e solução de problemas de organizações/projeto G – gravidade Qual o grau de gravidade para o processo de negócio, caso algum fato atingisse qualquer aspecto ou conceito que motivasse uma ameaça a segurança das informações. U – urgência Qual a urgência em restabelecer o processo de negócio, caso este seja interrompido. T – tendência Qual seria a tendência do aumento da gravidade deste processo a curto, médio e longo prazo. Listar forças; • D efinir um valor entre 1 a 5 para classificar a gravidade de cada força; • D efinir um valor entre 1 a 5 para classificar a urgência de cada força; • D efinir um valor entre 1 a 5 para classificar a tendência de cada força; A pós isto demanda-se multiplicar os resultados (gravidade x urgência x tendência) de cada força, para que seja calculado a média dos resultados das forças. Esse processo deverá ser repetido para as fraquezas, oportunidades e ameaças. A matriz de GUT, consiste em um exercício de entendimento de quais são os principais problemas que correspondem a algum tipo de risco, dessa forma precisa-se e estabelecer um passo a passo para que esse processo seja organizado e proporcione os resultados desejados, que é uma objetiva e correta qualificação dos riscos aos negócios: • P asso 1: Liste seus problemas • P asso 2: Classifique seus problemas para cada uma das 3 variáveis (Gravidade, Urgência e Tendência) • P asso 3: Faça o ranking dos seus principais problemas (multiplicando as 3 notas) • P asso 4: Analise onde estão seus pontos fracos (ranking principais problemas) • P asso 5: Elabore planos de ação com prazos e responsáveis para solucionar ou diminuir os problemas 6 7 Qualificações Qualificação da Gravidade É analisada pela consideração da intensidade ou impacto que o problema pode causar se não for solucionado. Tais danos podem ser avaliados quantitativa ou qualitativamente. Um problema grave pode ocasionar problemas na operação, danos a reputação, prejuízos financeiros e até mesmo a falência da sua empresa. Como também a perda de clientes importantes. 5 Extremamente grave 4 Muito grave 3 Grave 2 Pouco grave 1 Sem gravidade Qualificação da Urgência É analisada pela pressão do tempo que existe para resolver determinada situação. Basicamente leva em consideração o prazo para se resolver um determinado problema. Pode-se considerar como problemas urgentes prazos definidos por lei ou o tempo de resposta para clientes. 5 Demanda ação imediata 4 É urgente 3 Atuar o mais rápido possível 2 Pouco urgente 1 Pode aguardar Qualificação da Tendência É analisada pelo padrão ou tendência de evolução da situação. Você pode analisar problemas considerando o desenvolvimento que ele terá na ausência de uma ação efetiva para solucioná-lo. Representa também o potencial de crescimento do problema, e a probabilidade do risco se tornar maior com o passar do tempo. 5 Poderá agravar rapidamente 4 Poderá agravar em pouco tempo 3 Poderá agravar 2 Poderá agravar a longo prazo 1 Não irá agravar 7 UNIDADE Análise de Risco Qualitativa Et a pas Primeira Etapa – Quantificar Processos / Áreas Abor dagem com a Matriz GUT para uma Análise de Risco é um pouco diferente da abordagem comum na Administração, primeiro é necessário listar áreas considerando os aspectos relacionados às atividades e principalmente o grau de importância de cada área para o negócio, assim sendo deve-se listar quais são as principais áreas de negócios existentes na empresa, levando em consideração os três pontos à serem analisados dentro da matriz (gravidade, urgência e tendência). Dura nte a montagem da tabela, é importante elencar as áreas de negócios, contem- plando todos os seus aspectos e sendo bem específico, a fim de evitar interpretações confusas e inadequadas. Seg u nda Etapa - Qualificar Áreas de Negócios vs Ativos Após identificar, listar e através da multiplicação dos fatores (gravidade, urgência e tendência), atribuir as notas de cada uma das principais áreas dos negócios identificados versus os ativos elencados, é necessário traçar o plano de ação em relação aos mesmos, levando em consideração cada um dos aspectos da matriz e a classificação (rank final) das áreas de Negócios e Ativos. É vá lido ressaltar, que a fim de otimizar a tomada de decisão, também é interessante considerar cada um dos fatores de modo isolado, sempre observando suas particularidades e seu grau de relevância. Ter c eira Etapa - Quantificar Potencial e Probabilidade Deve -se elencar os principais potenciais riscos para cada ativo e também definir a escala para probabilidade de um potencial incidente acontecer Qua r ta Etapa - Quantificar todos os Risco de Cada Ativo Por fim, o processo finalizar com a qualificação do Risco de cada Ativo. Mot i vos para usar a Matriz GUT • Cont ribui para a sua tomada de decisão estratégica • Faci lita a alocação de recursos nos problemas mais importantes e que podem ocasionar maiores danos ao negócio • Ferr amenta de apoio para o planejamento estratégico Implementação de sim- ples utilização • Pode ser utilizada por qualquer empresa ou setor • Faci lita preenchimento a visualização dos atributos GUT • Perm ite uma priorização de resolução de problemas efetiva 8 9 • Foco na diminuição de problemas mais sérios • Também pode ser aplicada à sua realidade pessoal • É uma ferramenta que vem do universo da Administração, dessa forma é de conhecimento de muitos gestores, o que facilita a comunicação com o especialista da Segurança da Informação• Pode ser aliada às outras ferramentas da Administração, tais como o diagrama de Pareto ou de Causa e Efeito (Ishikawa) Orientações para Leitura Obrigatória Recomenda-se a leitura desse artigo acadêmico: https://goo.gl/XkF858 Este aborda diferentes metodologias de análise de risco, dessa forma sua leitura será capaz de agregar valor a esta unidade, pois embora tenha-se foca em algumas metodologias de Análise de Risco, deve-se ter em mente que existem outras metodologias e algumas são específicas para determinados cenários. 9 UNIDADE Análise de Risco Qualitativa Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Vídeos Palestra sobre Conceitos da Matriz de GUT https://youtu.be/ie2sU_HOtgo Palestra sobre Conceitos da Matriz de GUT https://youtu.be/TVrs-h72spQ Leitura Artigo sobre Análise de Risco em Segurança da Informação https://goo.gl/yyRV6n Trabalho Acadêmico/Governamental sobre Gestão de Risco https://goo.gl/YGBSvH 10 11 Referências ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação – Técnicas de segurança Sistemas de gestão de segurança da informação – Requisitos, ABNT ABNT, NBR ISO/IEC 27001 – Código de Prática para a Gestão da Segurança da Informação, Brasil, 2008. ABNT NBR ISO/IEC 27001:2013 - Sistemas de gestão da segurança da informação - Requisitos ABNT NBR ISO/IEC 27002:2013 - Código de prática para controles de segurança da informação ABNT NBR ISO/IEC 27003:2011 - Diretrizes para implantação de um sistema de gestão da segurança da informação ABNT NBR ISO/IEC 27004:2010 - Gestão da segurança da informação - Medição ABNT NBR ISO/IEC 27005:2011 - Gestão de riscos de segurança da informação ABNT NBR ISO/IEC 27011:2009 - Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002 ABNT NBR ISO/IEC 27014:2013 - Governança de segurança da informação ABNT NBR ISO/IEC 27031:2015 - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação ABNT NBR ISO/IEC 27037:2013 - Diretrizes para identificação, coleta, aquisição e preservação de evidência digital BEAL, A., Segurança da Informação, Princípios e Melhores Práticas para a Proteção dos Ativos de Informação nas Organizações, Editora Atlas, 2008. GALVÃO, M. C., Fundamentos em segurança da informação, Editora Pearson, 2015. 11
Compartilhar