Baixe o app para aproveitar ainda mais
Prévia do material em texto
AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores SEGURANÇA DE REDES DE COMPUTADORES Aula 5: Gestão de Riscos AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Riscos Conviver com o risco é um velho dilema da sociedade: “Proteger-se contra todos os riscos é impossível, porque qualquer oportunidade invariavelmente acarreta riscos.” AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Riscos O risco é uma precondição essencial para o desenvolvimento humano; se parássemos de assumir riscos, inovações técnicas e sociais necessárias para solucionar muitos dos problemas mundiais desapareceriam. De fato, muitos dos riscos existentes na sociedade moderna resultam de benefícios gerados por inovações sociais e tecnológicas. Por outro lado, a imprudência insensata também não é uma boa ideia. Em vez disso, precisamos definir um caminho intermediário no qual o acaso – com suas incertezas e ambiguidades inerentes – seja levado em consideração de maneira objetiva, racional e eficiente. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Riscos Assim, riscos são eventos inesperados, ocorridos na prática da operação das organizações e que impactam seus objetivos e não qualquer coisa que pode dar errado. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores RISCO: OPÇÃO OU DESTINO? A palavra “risco” deriva do italiano risicare, que significa “ousar”. Nesse contexto, risco é uma opção, e não um destino (Bernstein, 1997). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores RISCO: POSITIVO OU NEGATIVO? AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Estudo de caso Ataques de 11 de setembro de 2001 AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Causas e Consequências AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Classificação de Risco Para o COSO, nos processos de gerenciamento de riscos a administração da entidade deve levar em consideração dois tipos específicos de riscos, a saber: risco inerente e risco residual. Risco inerente é o que existe independentemente de controles para sua mitigação. Residual é o risco que permanece após a resposta da administração (COSO, 2006). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores a) riscos operacionais: eventos que podem comprometer as atividades do órgão ou entidade, normalmente associados a falhas, deficiência ou inadequação de processos internos, pessoas, infraestrutura e sistemas; b) riscos de imagem/reputação do órgão: eventos que podem comprometer a confiança da sociedade (ou de parceiros, de clientes ou Gestão de Riscos em relação à capacidade do órgão ou da entidade em cumprir sua missão institucional; AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores c) riscos legais: eventos derivados de alterações legislativas ou normativas que podem comprometer as atividades do órgão ou entidade; d) riscos financeiros/orçamentários: eventos que podem comprometer a capacidade do órgão ou entidade de contar com os recursos orçamentários e financeiros necessários à realização de suas atividades, ou eventos que possam comprometer a própria execução orçamentária, como atrasos no cronograma de licitações”. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Gestão de riscos O gerenciamento de riscos corporativos é o processo conduzido em uma organização pelo Conselho de Administração, pela diretoria executiva e pelos demais funcionários, aplicado no estabelecimento de estratégias formuladas para identificar, em toda a organização, eventos em potencial, capazes de afetar a referida organização, e administrar os riscos para mantê-los compatíveis com o seu apetite a risco e possibilitar garantia razoável de cumprimento dos objetivos da entidade (COSO, 2006). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores O objetivo da gestão de riscos nas entidades é permitir a administração lidar de modo eficaz com a incerteza e seus riscos e oportunidades associados, reforçando a capacidade de criar valor, para oferecer serviços mais eficientes, eficazes e econômicos, e para orientá-las tendo em conta valores como equidade e justiça. (INTOSAI, 2007). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores MODELOS DE REFERÊNCIA ISO 31000/2009 AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II Trata-se do modelo de gestão de riscos predominante no cenário corporativo internacional, especialmente na América do Norte. COSO é a sigla de Committee of Sponsoring Organizations da National Commission on Fraudlent Financial Reporting, também conhecida como Treadway Comission. Criada em 1985 nos Estados Unidos, constitui uma entidade do setor privado, sem fins lucrativos, voltada para o aperfeiçoamento da qualidade de relatórios financeiros por meio de éticas profissionais, implementação de controles internos e governança corporativa. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II Em 1992, o COSO publicou a obra Controle Interno – Estrutura Integrada (Internal Control – Integrated Framework), que obteve grande aceitação em todo o mundo e tem sido aplicada amplamente. É reconhecida como uma estrutura modelo para desenvolvimento, implementação e condução do controle interno, bem como para a avaliação de sua eficácia. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II Embora tenha havido ampla adesão ao modelo COSO I, isso não foi suficiente para evitar escândalos econômico-financeiros e contábeis envolvendo entidades de grande porte. O COSO, então, intensificou a preocupação com gerenciamento de riscos – em decorrência de uma série de escândalos e quebras de negócios de grande repercussão – e o desenvolvimento de uma estratégia de fácil utilização pelas organizações para avaliar e melhorar o próprio gerenciamento de riscos. O resultado foi a publicação, em 2004, do modelo Gerenciamento de Riscos Corporativos – Estrutura Integrada), também conhecida como COSO ERM ou COSO II (Brasil, 2013). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II Incorporando e ampliando o COSO I, o modelo de gerenciamento de riscos corporativos do COSO II definiu quatro categorias de objetivos, que seriam comuns a praticamente todas as organizações, e identificou oito componentes como partes integrantes da estrutura de controles internos e do gerenciamento de riscos. Segundo o COSO II (2004), o modelo é orientado para alcançar os objetivos de uma organização, que podem ser divididos nas seguintes categorias: AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II a) Estratégicos – relacionados à sobrevivência, continuidade e sustentabilidade da organização. Consistem em metas gerais, alinhadas e dando suporte à missão da organização; b) Operações – diz respeito à eficácia e eficiência na utilização dos recursos; c) Comunicação – confiabilidade de relatórios, isto é, da informação produzida e sua disponibilidade para a tomada de decisão e para fins de prestação de contas; d) Conformidade – cumprimento de leis e regulamentos aplicáveis à organização. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II Por sua vez, os oito componentes do gerenciamento de riscos corporativos considerados indispensáveis para sua eficácia são: 1) Ambiente interno – representa o tom da organização e fornece a base pela qual os riscos são identificados e abordados. Inclui a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente que os cerca; AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II 2) Fixação de objetivos – os objetivos devem ser fixados antes que aadministração identifique os eventos em potencial que poderão afetar o alcance destes. Os objetivos estabelecidos devem estar alinhados com a missão da organização e precisam ser compatíveis com seu apetite a risco; 3) Identificação de eventos – os eventos em potencial, oriundos de fontes internas ou externas, que podem afetar a realização dos objetivos da organização, devem ser identificados. Durante o processo de identificação os eventos poderão ser classificados em riscos, oportunidades, ou ambos; AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II 4) Avaliação de riscos – os riscos identificados devem ser analisados com o fim de determinar o modo como serão administrados e, em seguida, associados aos objetivos que podem afetar. Os riscos são avaliados considerando seus efeitos inerentes ou residuais, assim como sua probabilidade e seu impacto; 5) Resposta a risco – as respostas aos riscos podem ser: evitar, aceitar, reduzir/mitigar ou transferir/compartilhar. Compete à administração selecionar o conjunto de ações destinadas a alinhar os riscos à tolerância e ao apetite a risco da organização; AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II 6) Atividades de controle – consistem em políticas e procedimentos estabelecidos e implementados com vistas a assegurar que as respostas aos riscos selecionadas pela administração sejam executadas com eficácia; AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II 7) Informações e comunicações – a comunicação é considerada eficaz quando flui na organização em todas as direções e quando os funcionários recebem informações claras sobre suas funções e responsabilidades. A forma e tempestividade com que informações relevantes são identificadas, colhidas e comunicadas permite que os agentes cumpram com suas atribuições. Assim, para identificar, avaliar e oferecer resposta ao risco, a organização necessita de informações em todos os níveis hierárquicos. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II 8) Monitoramento – a integridade do processo de gerenciamento de riscos deve ser monitorada para que as modificações necessárias sejam realizadas e a organização possa reagir ativamente segundo as circunstâncias. O monitoramento pode ser feito por meio de atividades gerenciais contínuas, por avaliações independentes, ou por uma combinação de ambos. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Cubo do COSO AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COSO II Os objetivos da organização são representados pelas colunas verticais, enquanto os oito componentes são mostrados nas linhas horizontais. Na terceira dimensão aparecem as unidades da organização, demonstrando que o gerenciamento de riscos abrange todos os níveis organizacionais. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores COMO IMPLANTAR A estrutura conceitual COSO II é um dos modelos mais utilizados para estruturação e avaliação do gerenciamento de riscos, tanto no setor público, quanto setor privado. Entretanto, sua utilização no âmbito do setor público no Brasil ainda é bastante incipiente, pois são escassos na literatura especializada estudos e trabalhos técnicos que buscam traduzir os conceitos abstratos desse modelo, transformando-os em procedimentos de aplicação prática. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Ambiente Interno O ambiente interno abrange os seguintes aspectos: (...) a cultura da organização, a influência sobre a consciência de risco de seu pessoal, sendo a base para todos os outros componentes do gerenciamento de riscos corporativos, possibilita disciplina e estrutura. Os fatores do ambiente interno compreendem a filosofia administrativa de uma organização no que diz respeito aos riscos; a supervisão do conselho de administração; os valores éticos e a competência do pessoal da organização; e a forma pela qual a administração atribui alçadas e responsabilidade, bem como organiza e desenvolve o seu pessoal (...) (COSO, 2007). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Em relação à Política de Gestão de Riscos é importante ressaltar que é o instrumento que formaliza a avaliação de risco na entidade. Segundo a ISO 31000/2009, éa “declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos” (ABNT, 2009). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores O acrônimo "RACI" descreve (em inglês) os papéis: a) Responsável (Responsible): quem executa a atividade; b) Autoridade (Accountable): quem aprova a tarefa ou produto. Pode delegar a função, mas mantém a responsabilidade; c) Precisa ser consultado (Consulted): quem pode agregar valor ou é essencial para a implementação; d) Precisa ser informado (Informed): quem deve ser notificado de resultados ou ações tomadas, mas não precisa se envolver na decisão. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores MATRIZ RACI Atividade/Responsável Comitê de Governança, Riscos e Controles (CGRC) Coordenadoria de Transparência, Governança e Gestão de Riscos (CTGR) Grupo Técnico de Trabalho Permanente de Gestão de Riscos (GTTPGR) Assessoria de Controle Interno (ACI) Setor Mapeado Comunicação e consulta I R/C/I C R/I A/C Estabelecimento do Contexto I R/C/I C I A/C Identificar os riscos I C/I C/I I R Analisar os riscos I C/I C/I I R Avaliar os riscos I C/I C/I I R Tratar os riscos I C/I C/I I R Elaborar plano de tratamento dos riscos I C/I C/I I R Monitorar e acompanha R/I R I R/I R AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores “Define-se risco como a possibilidade de que um evento ocorra e afete adversamente a realização dos objetivos.” AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Identificação de Eventos A administração identifica os eventos em potencial que, se ocorrerem, afetarão a organização e determina se estes representam oportunidades ou se podem ter algum efeito adverso na sua capacidade de implementar adequadamente a estratégia e alcançar os objetivos. Eventos de impacto negativo representam risco que exigem avaliação e respostada administração (COSO, 2006). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Identificação de Eventos De acordo com a ISO 31000/2009, na etapa de identificação de riscos, é recomendado que a organização: (...) identifique as fontes de risco, áreas de impactos, eventos (incluindo mudanças nas circunstâncias) e suas causas e consequências potenciais. A finalidade desta etapa é gerar uma lista abrangente de riscos baseada nestes eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. É importante identificar os riscos associados com não perseguir uma oportunidade. A identificação abrangente é crítica, pois um risco que não é identificado nesta fase não será incluído em análises posteriores (ABNT, 2009). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Identificação de Eventos Como auxílio na etapa de identificação de riscos, para cada objetivo elencado, o gestor responsável pelo levantamento poderá utilizar o seguinte questionário, anotando as respostas que apresentarem uma ameaça possível: AULA 5: GESTÃO DE RISCOS Segurança de redes de computadoresITEM DESCRIÇÃO 1. O que pode dar errado? 2. Como e onde podemos falhar? 3. Onde somos vulneráveis? 4. Quais ativos devemos proteger? 5. Como podemos ser roubados ou furtados? 6. Como sabemos se nossos objetivos foram (ou não) a lcançados? 7. Onde gastamos mais dinheiro? 8. Quais atividades são mais complexas? 9. Quais são nossas maiores exposições aos ri scos legais? 10. Quais decisões requeremmais análise? AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores A ISO 31000/2009 preconiza, ainda, que os riscos identificados e priorizados para tratamento devem ser atribuídos a pessoas que têm responsabilidade e autoridade para gerenciá-los. A designação dos proprietários dos riscos é fundamental para que haja um gerenciamento de riscos efetivo. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Cuidados no momento de identificar eventos de risco. Não descrever: • a falta de controle – representa a vulnerabilidade que explorada pela ameaça, pode resultar no evento; • o não alcance do objetivo – descreve o resultado do evento de risco, caso se concretize. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Como Tratar os Riscos Transferir: implica na compensação dos danos causados por um risco, como a contratação de um seguro, contudo a responsabilidade sobre o risco nunca é transferida. Mitigar: implantação de controles que reduzam os riscos à níveis aceitáveis, em sinergia com o apetite de risco da organização. Eliminar: cessão da atividade que causa a exposição ao risco, como por exemplo, a retirada de um produto ou serviço do mercado. Aceitar: quando o risco esta dentro dos limites aceitáveis pela organização ou quando o custo de implantação de controles supera os possíveis danos. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Negar o (Objetivo), devido à (Evento de Risco) Ex.: Deixar de [exemplo do objetivo apresentado], devido à [evento de risco que pode impactar adversamente o objetivo]. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Objetivos Eventos de risco Eficácia: [Exemplificar objetivo para auxiliar no workshop]. - [Exemplificar evento de ri sco] Eficiência e Desempenho: [Exempl ificar objetivo para auxi liar no workshop]. - [Exemplificar evento de ri sco] Salvaguarda: [Exemplificar objetivo para auxiliar no workshop]. - [Exemplificar evento de ri sco] Divulgação: [Exemplificar objetivo para auxiliar no workshop]. - [Exemplificar evento de ri sco] Conformidade: [Exempl ificar objetivo para auxiliar no workshop]. - [Exemplificar evento de ri sco] Exemplos de eventos de risco AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Prática 03 Identificação de riscos relacionados aos objetivos construídos. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Objetivos Eventos de risco Eficácia: [Objetivo definido pelos responsáveis pelo processo no workshop]. - [Evento de risco identificado pelos responsáveis]. Eficiência e Desempenho: [Objetivo definido com os responsáveis pelo processo no workshop].. - [Evento de risco identificado pelos responsáveis]. Salvaguarda: [Objetivo definido com os responsáveis pelo processo no workshop].. - [Evento de risco identificado pelos responsáveis]. Divulgação: [Objetivo definido com os responsáveis pelo processo no workshop]. - [Evento de risco identificado pelos responsáveis]. Conformidade: [Objetivo definido com os responsáveis pelo processo no workshop].. - [Evento de risco identificado pelos responsáveis]. Eventos de risco AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Avaliação de Riscos Após a identificação dos riscos, é necessário avaliar quais deles possuem maiores chances de impactar na consecução dos objetivos dos processos. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Avaliação de Riscos De acordo com o COSO ERM – Application Techniques, os riscos identificados devem ser avaliados sob as perspectivas de probabilidade de ocorrência (frequência) e impacto (efeito que o risco pode trazer para a organização): (...) a avaliação de riscos permite que uma organização considere até que ponto os eventos em potencial podem impactar a realização dos objetivos. Essa avaliação fundamenta-se em duas perspectivas – probabilidade e impacto – e geralmente utiliza uma combinação de métodos qualitativos e quantitativos (...) (COSO, 2007). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Avaliação de Riscos Geralmente utiliza técnicas de avaliação qualitativa, quando os riscos não se prestam à quantificação ou quando não existem dados quantitativos ou a análise é muito dispendiosa. Tipicamente, técnicas quantitativas trazem maior precisão e são mais utilizadas em atividades mais complexas e sofisticadas para complementar as técnicas qualitativas (COSO, 2006). AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Avaliação de Riscos Apresentamos a seguir exemplos de escalas quantitativas e qualitativas de probabilidade e impacto que podem ser utilizadas para avaliação dos riscos: AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Escala Qualitativa de Probabilidade AULA 5: GESTÃO DE RISCOS Segurança de redes de computadoresEscala Qualitativa de Impacto AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores AULA 5: GESTÃO DE RISCOS Segurança de redes de computadoresResposta a Riscos A resposta a riscos representa qualquer ação adotada pela organização para lidar com risco, tendo por finalidade a seleção e a implementação de medidas para contrapor os riscos. Deve levar em consideração o nıv́el de tolerância a riscos da organização e as prioridades no que tange à alocação de recursos. A resposta a risco é assim comentada no COSO ERM – Application Techniques (COSO, 2006, p. 65): após avaliar os riscos importantes, a organização determina de que forma responderá a estes. As respostas incluem: evitar, reduzir, compartilhar ou aceitar os riscos. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores Agradecimentos: Prof. Tiago Alencar - UFCA. AULA 5: GESTÃO DE RISCOS Segurança de redes de computadores
Compartilhar