ATIVIDADE 3 (A3)

Prévia do material em texto

PERGUNTA 1
Os frameworks de gestão de riscos são modelos que dispõem ferramentas e regras que empresas devem aderir e seguir para conseguir gerir os riscos de forma precisa. Geralmente, os modelos existentes não devem ser aplicados de forma integral inesperadamente, pois cada organização deve selecionar o que melhor se adapta ao seu modelo. Os frameworks auxiliam para que ocorra a implementação do processo de gestão de riscos relacionados à tecnologia da informação.
Considerando os frameworks de gestão de segurança da informação, redija um texto dissertativo que indique os mais utilizados e descreva as fases da gestão de risco e estratégias de segurança da informação para os principais riscos envolvidos no ambiente tecnológico nas organizações.
Na atualidade, a informação tem um grande valor. Todavia, a informação é um ativo que precisa ser protegido em um cofre forte. As organizações fazem o processamento e transações críticas por meio da tecnologia da informação, e com isso merecem uma atenção redobrada, Segurança da Informação é obtida através da implementação de controles, processos, políticas e procedimentos, que juntos fortalecem os objetivos de negócio com a minimização dos seus riscos, procedimentos como frameworks, que nos auxiliam na implementação de processos de gestão de riscos, como por exemplo o COBIT 5, que fornece um conjunto de melhores práticas relacionadas ao controle de objetivo, e otimização de investimentos entre outras funções, o ISO 31000 entre outros, temos também as fases de gestão de risco que são as: 
 Identificação
Para mapear os riscos, é necessário conhecer toda a empresa. É preciso entender as fragilidades e as vulnerabilidades do negócio. Saber em qual estágio a companhia se encontra, se está em amadurecimento, em fase de crescimento, expansão ou consolidação. Após estabelecer estes pontos, fica mais fácil identificar, entender e analisar os riscos. Análise Qualitativa: Após mapear os riscos, chegou a hora de ouvir os gestores da companhia para entender os processos e as atividades de cada setor. Por meio da análise qualitativa, é possível definir o nível de importância de cada risco, bem como a probabilidade de concretização. Análise Quantitativa: Esta etapa consiste em investigar, por meio de dados e números, quais os potenciais impactos e efeitos que as ameaças identificadas podem causar para a empresa. Planejamento de Respostas: Este é o momento de enumerar os riscos por ordem de importância, a fim de desenvolver uma escala de priorização. A ideia é que ela seja criada do maior impacto e probabilidade, até o menor. Em seguida, deve-se criar um planejamento para acompanhar e eliminar as ameaças. Os métodos definidos para a solução dos problemas devem ser específicos e baseados em fatos. Monitoramento: Chegamos à última etapa. Neste momento, é necessário acompanhar se os processos de prevenção estão sendo feitos, além de analisar como os riscos estão se comportando. Existem diversas ferramentas que podem auxiliar nesta ação, gerando controles sistematizados, relatórios, indicadores de desempenho, mecanismos de controle etc. E ainda temos estratégias de segurança da informação para os principais riscos envolvidos no ambiente tecnológico nas organizações, como por exemplo, detectar as vulnerabilidades, cópias de segurança, redundâncias de sistemas, políticas de segurança de informação, entre outros.