Gestão de Riscos em Segurança da Informação

Prévia do material em texto

Professor: Esp. Gerson Vieira Albuquerque Neto
Curso de Análise e Desenvolvimento de Sistemas / Redes de Computadores - 2º período
Centro Universitário Estácio - FIC
Unidade Parangaba – Núcleo Fortaleza
Segurança da Informação
•Aula 04: Gestão de Riscos (continuação)
Segurança da Informação
Conteúdo desta aula
AULA 3: GESTÃO DE RISCOS
4
COMUNICAÇÃO 
DOS RISCOS
2
PORQUE E QUANDO 
ACEITAR OS RISCOS
1
TRATAMENTO DE 
RISCOS
3
NECESSIDADE DE 
MONITORAMENTO
PRÓXIMOS 
PASSOS
Revisão
• Risco de um projeto é um evento com uma probabilidade de ocorrer 
no futuro impactando o projeto de forma negativa (ameaça) ou 
positiva (oportunidade).
• Ele pode ocorrer devido a uma ou mais causas e pode ocasionar um 
ou mais impactos positivos ou negativos
Revisão
• Conhecidos - aqueles que foram identificados e analisados de 
forma a poderem ser gerenciados, ou seja, considerados no 
planejamento do gerenciamento dos riscos.
• Desconhecidos - podem ser gerenciados de forma proativa –
podem, sim, ser abordados aplicando-se uma contingência geral 
baseada na experiência com projetos similares.
Revisão
1 – Estabelecer Contexto: 
• Externo: Cultural, social, político, legal, regulatório, financeiro, tecnológico, 
econômico, natural e competitivo, seja internacional, nacional, regional ou local. 
• Interno: Governança, estrutura organizacional, funções, responsabilidades, 
estratégias, capacidades compreendidas como recursos e conhecimento (ex. 
capital, tempo, pessoas, processos, sistemas, tecnologias), sistemas de 
informação, fluxos, processos, tomada de decisão, cultura da organização, 
modelos, etc.
2 – Identificação de Riscos:
• Este é um processo de busca, reconhecimento, e descrição de riscos.
• Possíveis eventos que possam criar, aumentar, reduzir, acelerar ou atrasar a 
realização dos objetivos.
Revisão
3 – Análise do Risco:
• Envolve a apreciação das causas e as fontes de risco, suas consequências 
positivas e negativas, e a probabilidade de que essas consequências possam 
ocorrer
4 – Avaliação de Risco:
• A avaliação é para auxiliar na tomada de decisão com base nos resultados da 
análise. 
• quais riscos precisam de tratamento? Qual a prioridade? Quais são as possíveis 
ações que posso tomar?
Revisão
Identificação de Riscos
• O risco envolvido em uma atividade pode ser entendido como a 
probabilidade de um perigo tornar-se um acidente e a provável 
consequência deste acidente.
• Exemplo: Vamos analisar qual o risco relacionado a atividade de 
substituição de telhas de um telhado com 4m de altura.
• O perigo desta atividade é: Queda por diferença de nível
• A provável consequência deste acidente (queda) é: Morte (devido à altura)
• Desta forma o risco desta atividade é: “Queda por diferença de nível gerando a morte 
do colaborador.”
Tratamentos dos Riscos
• O que você decidiu na avaliação de riscos, aqui é o momento de agir, 
definitivamente. É o processo que você usará para modificar o risco. 
• Considera probabilidade, consequência e estão ligados a estratégias 
como por exemplo: mitigar, prevenir, eliminar, etc.
Porque e quando aceitar
• (Prevenir) Evitar o Risco: 
• Eliminar a causa raiz do risco, implementando ações para levar a 
probabilidade do risco a zero;
• Transferir e/ou Compartilhar: 
• Confere às outras partes, a responsabilidade pelo seu 
gerenciamento. 
•Atividades que visam reduzir o impacto e/ou a probabilidade de 
ocorrência do risco através da transferência ou, em alguns casos, 
do compartilhamento de uma parte do risco.
• Exemplo: Seguro de Carro
Porque e quando aceitar
• Mitigar - Prevenção e Redução dos Danos 
• Busca reduzir a probabilidade de ocorrência ou o impacto de um 
risco a um nível abaixo do limite aceitável. 
• Capacitação
• Pessoas
• Processos
Porque e quando aceitar
• Aceitar o Risco:
• Nos casos em que a probabilidade de ocorrência e o impacto são 
baixos, ou ainda nada se pode fazer, podemos simplesmente 
aceitar os riscos. 
Necessidade de Monitoramento
•Monitoramento
•Processo contínuo de verificação, supervisão, observação crítica ou identificação 
da situação para identificar mudanças. 
•Probabilidade e Impacto do risco muda com mais informações
•Análise Crítica
•Determinar a adequação, suficiência e eficácia do levantamento feito para atingir 
os objetivos. 
•Apuração de resultados, mas avaliará o processo em si apontando melhorias e 
assim por diante.
Comunicação dos Riscos
Comunicação e consulta
• Processo contínuo e iterativo que fornece, compartilha ou obtém 
informações se envolvendo no diálogo com as Partes Interessadas. Ou 
seja, as informações certas devem estar sempre disponíveis para os 
interessados.
Exemplos de Tipos de Risco
• Tecnologia
• falhas, indisponibilidade ou obsolescência de equipamentos e instalações produtivas ou 
fabris, assim como de sistemas informatizados de controle, comunicação, logística e 
gerenciamento operacional, que prejudiquem ou impossibilitem a continuidade das 
atividades regulares da organização
• Ambiental
• Contaminação de solo, água ou ar, decorrente da disposição inadequada de resíduos, ou 
levando a acidentes com vazamento de produtos tóxicos. 
• Os riscos ambientais não se resumem a catástrofes ou desastres ambientais, mas 
também ao potencial de efeitos decorrentes do aquecimento global sobre os negócios, 
que podem inviabilizar novos empreendimentos ou a expansão da capacidade 
produtiva. 
• Conformidade: 
• relacionado à falta de habilidade ou disciplina da organização para cumprir com a 
legislação e/ou regulamentação externa aplicáveis ao negócio e às normas e 
procedimentos internos.
Estudo de Caso Arena RansonWare
Fonte: http://www.adinse.es/es/servicios/virtualizacion/vmotion/
Caso
Caso
Fonte: http://www.adinse.es/es/servicios/virtualizacion/vmotion/
Fonte: http://www.adinse.es/es/servicios/virtualizacion/vmotion/
Fonte: http://www.adinse.es/es/servicios/virtualizacion/vmotion/
Caso
Ações
• Identificação de Riscos
• Análise Qualitativa dos Riscos
• Matriz de probabilidade x impacto 
• Definir os critérios de probabilidade e impacto
• Análise Quantitativa dos Riscos
• Plano de Resposta aos Riscos
EAP do Churrasco
Tabela de Classificação
Identificação dos Riscos
ID Causa Efeito Risco
Análise Qualitativa
ID Descrição do Risco Probabilidade Impacto
Causa + Efeito + Risco 1 - 3 - 5 - 7 - 9 1 - 3 - 5 - 7 - 9
Resposta aos Riscos
ID Descrição 
do Risco
Estratégia Custo da 
Resposta
Resposta Reserva de 
Contingência
Dono do Risco
Causa + 
Risco + 
Efeito
Mitigação, 
Aceitação, 
Eliminação
R$
Análise Quantitativa
ID Descrição do Risco Probabilidade Impacto VME
Causa + Efeito + Risco 1 - 3 - 5 - 7 - 9 1 - 3 - 5 - 7 - 9 PxI
Gerenciamento dos Riscos
•Matriz de Probabilidade x 
Impacto