Continuidade de negócio - Analise de Risco

Prévia do material em texto

Inserir Título Aqui 
Inserir Título Aqui
Continuidade de Negócios
Análise de Risco Qualitativa
Responsável pelo Conteúdo:
Prof. Ms. Sandro Pereira de Melo
Revisão Textual:
Prof. Ms. Luciano Vieira Francisco
Nesta unidade, trabalharemos os seguintes tópicos:
• Introdução ao Tema
• Orientações para Leitura Obrigatória
• Material Complementar Fonte: iStock/Getty Im
ages
Objetivos
• Estudo temáticas relevantes para o contexto de Segurança de Informação, sobre concei-
tos de Análise de Risco Qualitativa.
Caro Aluno(a)!
Normalmente com a correria do dia a dia, não nos organizamos e deixamos para o 
último momento o acesso ao estudo, o que implicará o não aprofundamento no material 
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você 
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns 
dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões 
de materiais complementares, elementos didáticos que ampliarão sua interpretação e 
auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de 
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de 
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de 
troca de ideias e aprendizagem.
Bons Estudos!
Análise de Risco Qualitativa
UNIDADE 
Análise de Risco Qualitativa
Introdução ao Tema
 Análise de Risco Qualitativa
 Existem métricas diferentes para abordar a questão da Análise de Risco, nesta unidade 
será abordado a metodologia qualitativa pode ajudar na tomada de decisão de mitigação 
de Risco. A metodologia utilizada será a Matrix de GUT
 A Matriz de GuT (Gravidade x Urgência x Tendência) foi proposta por Charles H 
Hepner e Benjamin B. Tregoe, em 1981 uma metodologia para soluções de problemas.
 É uma ferramenta útil para qualificar e classificar problemas que são julgados 
pertinentes para uma corporação subsidiar suas tomadas de decisões, priorização das 
estratégias, e solução de problemas de organizações/projeto
G – gravidade Qual o grau de gravidade para o processo de negócio, caso algum fato atingisse qualquer aspecto 
ou conceito que motivasse uma ameaça a segurança das informações.
U – urgência Qual a urgência em restabelecer o processo de negócio, caso este seja interrompido.
T – tendência Qual seria a tendência do aumento da gravidade deste processo a curto, médio e longo prazo.
Listar forças;
• D efinir um valor entre 1 a 5 para classificar a gravidade de cada força;
• D efinir um valor entre 1 a 5 para classificar a urgência de cada força;
• D efinir um valor entre 1 a 5 para classificar a tendência de cada força;
 A pós isto demanda-se multiplicar os resultados (gravidade x urgência x tendência) 
de cada força, para que seja calculado a média dos resultados das forças. Esse processo 
deverá ser repetido para as fraquezas, oportunidades e ameaças.
A matriz de GUT, consiste em um exercício de entendimento de quais são os 
principais problemas que correspondem a algum tipo de risco, dessa forma precisa-se e 
estabelecer um passo a passo para que esse processo seja organizado e proporcione os 
resultados desejados, que é uma objetiva e correta qualificação dos riscos aos negócios:
• P asso 1: Liste seus problemas
• P asso 2: Classifique seus problemas para cada uma das 3 variáveis (Gravidade, 
Urgência e Tendência)
• P asso 3: Faça o ranking dos seus principais problemas (multiplicando as 3 notas)
• P asso 4: Analise onde estão seus pontos fracos (ranking principais problemas)
• P asso 5: Elabore planos de ação com prazos e responsáveis para solucionar ou 
diminuir os problemas
6
7
Qualificações
Qualificação da Gravidade
É analisada pela consideração da intensidade ou impacto que o problema pode causar 
se não for solucionado. Tais danos podem ser avaliados quantitativa ou qualitativamente. 
Um problema grave pode ocasionar problemas na operação, danos a reputação, 
prejuízos financeiros e até mesmo a falência da sua empresa. Como também a perda de 
clientes importantes.
5 Extremamente grave
4 Muito grave
3 Grave
2 Pouco grave
1 Sem gravidade
Qualificação da Urgência
É analisada pela pressão do tempo que existe para resolver determinada situação. 
Basicamente leva em consideração o prazo para se resolver um determinado problema. 
Pode-se considerar como problemas urgentes prazos definidos por lei ou o tempo de 
resposta para clientes.
5 Demanda ação imediata
4 É urgente
3 Atuar o mais rápido possível
2 Pouco urgente
1 Pode aguardar
Qualificação da Tendência
É analisada pelo padrão ou tendência de evolução da situação. Você pode analisar 
problemas considerando o desenvolvimento que ele terá na ausência de uma ação efetiva 
para solucioná-lo.
Representa também o potencial de crescimento do problema, e a probabilidade do 
risco se tornar maior com o passar do tempo.
5 Poderá agravar rapidamente
4 Poderá agravar em pouco tempo
3 Poderá agravar
2 Poderá agravar a longo prazo
1 Não irá agravar
7
UNIDADE 
Análise de Risco Qualitativa
Et a pas
Primeira Etapa – Quantificar Processos / Áreas
Abor dagem com a Matriz GUT para uma Análise de Risco é um pouco diferente da 
abordagem comum na Administração, primeiro é necessário listar áreas considerando 
os aspectos relacionados às atividades e principalmente o grau de importância de cada 
área para o negócio, assim sendo deve-se listar quais são as principais áreas de negócios 
existentes na empresa, levando em consideração os três pontos à serem analisados 
dentro da matriz (gravidade, urgência e tendência).
Dura nte a montagem da tabela, é importante elencar as áreas de negócios, contem-
plando todos os seus aspectos e sendo bem específico, a fim de evitar interpretações 
confusas e inadequadas.
Seg u nda Etapa - Qualificar Áreas de Negócios vs Ativos
Após identificar, listar e através da multiplicação dos fatores (gravidade, urgência e 
tendência), atribuir as notas de cada uma das principais áreas dos negócios identificados 
versus os ativos elencados, é necessário traçar o plano de ação em relação aos mesmos, 
levando em consideração cada um dos aspectos da matriz e a classificação (rank final) 
das áreas de Negócios e Ativos.
É vá lido ressaltar, que a fim de otimizar a tomada de decisão, também é interessante 
considerar cada um dos fatores de modo isolado, sempre observando suas particularidades 
e seu grau de relevância.
Ter c eira Etapa - Quantificar Potencial e Probabilidade
Deve -se elencar os principais potenciais riscos para cada ativo e também definir a 
escala para probabilidade de um potencial incidente acontecer
Qua r ta Etapa - Quantificar todos os Risco de Cada Ativo
Por fim, o processo finalizar com a qualificação do Risco de cada Ativo.
Mot i vos para usar a Matriz GUT
• Cont ribui para a sua tomada de decisão estratégica
• Faci lita a alocação de recursos nos problemas mais importantes e que podem 
ocasionar maiores danos ao negócio
• Ferr amenta de apoio para o planejamento estratégico Implementação de sim-
ples utilização
• Pode ser utilizada por qualquer empresa ou setor
• Faci lita preenchimento a visualização dos atributos GUT
• Perm ite uma priorização de resolução de problemas efetiva
8
9
• Foco na diminuição de problemas mais sérios
• Também pode ser aplicada à sua realidade pessoal
• É uma ferramenta que vem do universo da Administração, dessa forma é de 
conhecimento de muitos gestores, o que facilita a comunicação com o especialista 
da Segurança da Informação• Pode ser aliada às outras ferramentas da Administração, tais como o diagrama de 
Pareto ou de Causa e Efeito (Ishikawa)
Orientações para Leitura Obrigatória
Recomenda-se a leitura desse artigo acadêmico: https://goo.gl/XkF858
Este aborda diferentes metodologias de análise de risco, dessa forma sua leitura 
será capaz de agregar valor a esta unidade, pois embora tenha-se foca em algumas 
metodologias de Análise de Risco, deve-se ter em mente que existem outras metodologias 
e algumas são específicas para determinados cenários.
9
UNIDADE 
Análise de Risco Qualitativa
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Vídeos
Palestra sobre Conceitos da Matriz de GUT
https://youtu.be/ie2sU_HOtgo
Palestra sobre Conceitos da Matriz de GUT
https://youtu.be/TVrs-h72spQ
 Leitura
Artigo sobre Análise de Risco em Segurança da Informação
https://goo.gl/yyRV6n
Trabalho Acadêmico/Governamental sobre Gestão de Risco
https://goo.gl/YGBSvH
10
11
Referências
ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação – Técnicas de 
segurança Sistemas de gestão de segurança da informação – Requisitos, ABNT
ABNT, NBR ISO/IEC 27001 – Código de Prática para a Gestão da Segurança da 
Informação, Brasil, 2008.
ABNT NBR ISO/IEC 27001:2013 - Sistemas de gestão da segurança da informação 
- Requisitos
ABNT NBR ISO/IEC 27002:2013 - Código de prática para controles de segurança 
da informação
ABNT NBR ISO/IEC 27003:2011 - Diretrizes para implantação de um sistema de 
gestão da segurança da informação
ABNT NBR ISO/IEC 27004:2010 - Gestão da segurança da informação - Medição
ABNT NBR ISO/IEC 27005:2011 - Gestão de riscos de segurança da informação
ABNT NBR ISO/IEC 27011:2009 - Diretrizes para gestão da segurança da informação 
para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002
ABNT NBR ISO/IEC 27014:2013 - Governança de segurança da informação
ABNT NBR ISO/IEC 27031:2015 - Diretrizes para a prontidão para a continuidade dos 
negócios da tecnologia da informação e comunicação
ABNT NBR ISO/IEC 27037:2013 - Diretrizes para identificação, coleta, aquisição e 
preservação de evidência digital
BEAL, A., Segurança da Informação, Princípios e Melhores Práticas para a Proteção 
dos Ativos de Informação nas Organizações, Editora Atlas, 2008.
GALVÃO, M. C., Fundamentos em segurança da informação, Editora Pearson, 2015.
11