Baixe o app para aproveitar ainda mais
Prévia do material em texto
GESTÃO E ANÁLISE DE RISCOS Cacilda Andrade , 2 1 INTRODUÇÃO À ANÁLISE E GESTÃO DE RISCOS Este é o bloco introdutório ao assunto de riscos, especificamente para a área de Segurança da Informação. Ao longo de outras disciplinas já cursadas deste curso, além de todo conhecimento teórico e prático sobre os mais diferentes aspectos lógicos e físicos da segurança da informação, você já deve ter se deparado com várias situações de risco. Na verdade, estamos sempre correndo algum tipo de risco, 7x24 (7 dias na semana e 24h por dia) como cita-se na área de TI. Todo negócio e todo processo tem seu risco, por mais baixo que seja. Como já dizia Murphy, “se algo pode dar errado, com certeza dará”. Por isso, como profissionais de TI temos a responsabilidade de estudar, compreender e aplicar as melhores práticas com relação à gestão de risco em nosso cotidiano. As organizações contratam profissionais de Segurança da Informação para fazerem os processos devidos de forma que tudo saia correto e seja um sucesso. O foco principal desta disciplina, para a formação de um profissional de Segurança da Informação estudado e competente, é abordar a gestão de risco, uma ferramenta e também um dos pilares que compõem a governança de TI e faz parte da governança corporativa da organização. Riscos e governança de TI serão abordados no último bloco. Nem sempre as questões de segurança estão relacionadas a aspectos tecnológicos, existe também a questão comportamental de uso indevido ou roubo de informações até mesmo em papel. A TI não é a única responsável e, em muitas empresas, a área de Segurança da Informação está fora da diretoria de TI, por ser importante estrategicamente. Quando se fala em segurança da informação ou segurança de TI o assunto é muito vasto e abrangente, por isso cada disciplina é específica em algum tema, mas sempre atenta ao todo no que tange à segurança da informação. , 3 Cabe aqui uma pergunta básica, porém reflexiva, por que é necessário se preocupar com a segurança da informação? Devido ao crescente uso da TI e da Internet desde os anos 80, para o bem e para o mal, tanto em ambiente residencial como corporativo. Lembrando que: não existe sistema 100% seguro, o que existe é um sistema mal configurado, mal gerenciado. A PWC faz pesquisa anual na parte de segurança da Informação e em seu último relatório de 2018, concluiu que 30% funcionários e 28% ex-funcionários são as duas principais causas de incidentes, ou seja, o risco maior dentro das organizações é interno, partiu de dentro. Cabe outra pergunta para você: já soube de algum desses casos internos, direta ou indiretamente? Conhecendo a organização em que atua, deve saber que muitos dados e processos estão expostos, o que facilita a ação destruidora por parte de pessoas mal-intencionadas. A segurança total de uma rede não se concentra apenas nas defesas de hackers e vírus, ou, por exemplo, procedimento de segurança no local onde estão os servidores e os demais equipamentos críticos, ou ainda o acesso de pessoas não permitidas, somente acompanhadas de funcionários que tenham acesso ao local. É muito mais do que isso e um dos aspectos a serem aplicados pela equipe de segurança da informação da organização é a gestão de risco, que é simplesmente a prevenção e proteção das informações, ou seja, partindo da identificação de problemas possíveis ou potenciais e adotando a respectiva prevenção. Além de todos os sistemas lógicos de segurança ativos e atualizados, a segurança física é outro fator que deve ser monitorado. Já foram feitas pesquisas, como a da PWC 2018, onde se comprovou que os maiores roubos de informação surgem de dentro da própria empresa, por não ter e/ou não adotar, fazer cumprir, suas políticas de segurança da informação. Adotar um processo de gestão de risco só traz benefícios para a organização, tais como: , 4 - Prevenção de perdas; - Otimização dos processos; - Melhor entendimento dos processos críticos; - Melhoria da qualidade dos processos; - Indicador de maturidade da organização; - Maior transparência dos processos; - Compartilhamento das ações entre a área de TI e as áreas de negócios. O processo deve ser pensado de forma simples e pautado na gestão de riscos em Segurança da Informação. Resumidamente, segue abaixo uma lista dos principais assuntos que serão detalhados ao longo da disciplina nos próximos blocos. - Identificação de riscos; - Classificação em algum tipo de mapa de risco; - Promoção de ações, respostas e tratamentos; - Monitoração da ocorrência dos possíveis riscos; - Plano de continuidade dos negócios. Sobre este contexto interno e externo das organizações é que se pautará esta disciplina, principalmente este bloco introdutório cujos principais objetivos seguem listados abaixo: Objetivos pretendidos: - Entender conceitos básicos envolvendo tanto a segurança da informação como a parte de gestão de risco; - Conhecer melhor as questões relacionadas ao gerenciamento de riscos em ambiente de TI; , 5 - Ter uma visão global das estratégias e aspectos envolvidos na prática de gestão de risco de diferentes pontos de vista; 1.1 Conceitos básicos Antes de detalhamentos, é preciso estar alinhado com os conceitos básicos envolvidos com segurança da informação e gestão de risco, utilizados largamente em qualquer ambiente de TI. Segue abaixo: Risco: efeito de incerteza no alcance dos objetivos da organização de acordo com a ISO 31000. Risco: possibilidade de determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, prejudicando assim a organização. Medida de risco: é a combinação da probabilidade de um evento indesejável e a sua consequência. Além disso, é pautada na relação de probabilidade da ocorrência, severidade e relevância do ativo envolvido segundo a ISO 27005. “É um evento incerto que, se ocorrer, pode comprometer a realização do objetivo do projeto” (CLEMENTS; GIDO, 2013, p. 275) Saiba Mais LAGINESTRA, A. Gestão de Riscos em Segurança da Informação. Disponível em: <https://www.youtube.com/watch?v=uHV4pRpyzT8>. Acesso em: 29 out. 2019. BABESCO, A. O que é Gerenciamento de Riscos em Segurança da Informação? Blog de Segurança Digital da Starti. Disponível em: <https://blog.starti.com.br/gerenciamento-de-riscos/>. Acesso em: 29 out. 2019. https://www.youtube.com/watch?v=uHV4pRpyzT8 https://blog.starti.com.br/gerenciamento-de-riscos/ , 6 Analisando a palavra em si, Risco deriva do italiano risicare, que vem do latim risicu, que por sua vez significa “ousar”. Refletindo neste contexto, é a ousadia da incerteza, de possíveis problemas. Ativo de informação: segundo Lujan (2019) são todos os recursos de valor para uma organização que geram, processam, armazenam ou transmitem informação. Ou seja, ativo é qualquer item de valor para a organização e ativo de informação, focando-se em segurança da informação, são quaisquer dados e informações de valor manipulados ou tratados na organização. Ameaça: para Oliveira (2019) é um evento ou atitude indesejável que potencialmente remove, desabilita ou destrói um recurso. Ou seja, qualquer condição que pode causar algum tipo de dano, perda ou comprometimento de um ativo. Não repúdio: garante que a comunicação foi realizada entre o emissor e o receptor. Segue abaixo alguns exemplos de ameaças: - Desastres naturais; - Ataques cibernéticos; - Violação de integridade dos dados; - Vazamento de dados confidenciais; - Malwares; - Insiders. Vulnerabilidade: De acordo com Oliveira (2019) é falha ou fraqueza de procedimento, design, implementação ou controles internos de um sistema que possa ser acidentalmente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurançado sistema. Segue abaixo alguns exemplos de vulnerabilidade: , 7 - Erros de software; - Software mal configurado; - Dispositivos de rede mal configurados; - Segurança física inadequada. Probabilidade: chance ou indício de que algo aconteça e o quanto há de possibilidade de ocorrer. Impacto: consequência de algum acontecimento. Conforme Turban, MacLeane e Wetherbe (2004), existe uma terminologia básica relacionada à Segurança da Informação retratada a seguir: Figura 1.1 - Turban, MacLean e Wetherbe (2004) , 8 No passado, a segurança da informação baseou-se em seus três pilares básicos: CID (Confidencialidade, Integridade, Disponibilidade). Atualmente, muitos especialistas consideram que os quatro componentes principais da segurança em sistemas de informação são: CIDA - Confidencialidade, Integridade, Disponibilidade e Autenticidade. É com base nestes que os sistemas são desenvolvidos para fornecer o nível de proteção adequado a cada necessidade de negócio, sempre dependendo do nível de criticidade necessário. É sempre bom reforçar o conceito e importância destes princípios, que são clássicos. Segue abaixo os conceitos de acordo com ISO 27002. Confidencialidade: o acesso à informação deve ser limitado às entidades que possuem acesso legítimo a ela. Dados como senhas, movimentação bancária, histórico escolar e registro de entrada e saída de funcionários não são de domínio público e só podem ser acessados por entidades autorizadas pelo proprietário da informação. Integridade: a informação manipulada deve manter suas características originais, bem como o controle de mudanças feitas pelo seu proprietário ou entidades autorizadas. É a garantia de que a informação recuperada é exatamente a mesma publicada pelo seu proprietário, sem ter sofrido nenhuma alteração acidental ou não. O que inclui desde a perda de uma página de livro até a adulteração de seu conteúdo. Disponibilidade: a informação gerenciada deve estar sempre disponível para uso legítimo – seja pelo seu proprietário ou entidades autorizadas. Informação que não se encontra disponível quando requisitada perde o seu propósito, o que não pode ser confundido com sigilo (confidencialidade). Autenticidade: deve-se garantir a identidade de qualquer entidade que tenha acesso a informação, pois sem esse controle é impossível garantir os princípios anteriores. Saiba Mais LACCONCURSOS. Segurança da Informação. Disponível em: <https://www.youtube.com/watch?v=V2mD9XI95no> Acesso em: 29 out. 2019. https://www.youtube.com/watch?v=V2mD9XI95no , 9 1.2 Tipos de riscos A área de risco, cada vez mais, está sendo considerada e discutida nas organizações, devido a muitos acontecimentos mundiais recentes, como colapsos, socorros emergenciais, perdas financeiras, ataques cibernéticos e, principalmente, o ataque de 11 de setembro, que pode ser considerado um “divisor de águas” para muitas organizações, pois as fizeram pensar em novos processos, em ataques tanto físicos como lógicos pela Internet. Não existe risco zero, por mais baixo que seja o risco, sempre é possível que ocorra, por diferentes razões, por diferentes causas e quando ocorre gera uma consequência, uma resposta que pode ser positiva ou negativa, dependendo do tipo de risco. Tudo é muito relativo e precisa ser avaliado e entendido. Nesta linha de que em quase tudo existe risco, podem ser citados diferentes tipos como os listados abaixo que aparecem em diferentes áreas da organização e que deveriam estar relacionados, mas são negligenciados pela direção. Muitas vezes, não sendo bem vistas por diferentes motivos, por falta de profissional competente para medição do risco, por necessidade de investimento, por achar que isto nunca acontecerá no Brasil ou por falta de uma cultura de risco nas organizações. Riscos operacionais; Riscos corporativos; Riscos ambientais; Riscos em gerenciamento de projetos; Riscos na segurança do trabalho; Riscos em TI; Outra forma de listar os tipos seria considerando: Risco externo ao ambiente de TI; Risco interno ao ambiente de TI; Riscos lógicos; , 10 Independentemente do tipo de risco, os componentes básicos comuns em todos eles, segundo Salles (2010) são: - Evento que tem uma causa e consequentemente um efeito específico; - Probabilidade associada; - Impacto associado; Para determinado evento e ocasião naquele ambiente haverá um grau de probabilidade de que algo ocorra e, consequentemente, um impacto para o negócio ou para a situação. Esta correlação é muito importante para a identificação de risco e mapeamento do mesmo dentre várias possibilidades. Por fim, sempre tenha em mente que a prioridade, independentemente do tipo de risco, é a vida humana que deve estar em primeiro lugar. Saiba Mais FERRARI, M. Gestão de Risco – aula 01 (conceitos iniciais). Disponível em: <https://www.youtube.com/watch?v=5tbxtrNNOr4>. Acesso em: 29 out. 2019. GESSAÚDE. Riscos de TI com Ricardo Gomes. Disponível em: < https://www.youtube.com/watch?v=NxYvsQ5_SZM>. Acesso em: 29 out. 2019. https://www.youtube.com/watch?v=5tbxtrNNOr4 https://www.youtube.com/watch?v=NxYvsQ5_SZM , 11 1.3 Processo da gestão de riscos De forma simplificada e direta, independentemente da área de aplicação, do tipo ou estrutura (também conhecido como framework ou modelo), conforme texto anterior, o processo básico para gestão de riscos está focado em: identificação, análise e tratamento dos riscos. As organizações conscientes e preocupadas com a ocorrência de riscos que fazem seu gerenciamento de forma clara e profissional têm muito mais possibilidades de se proteger dos perigos e ameaças que estão o tempo todo acontecendo. Este é um desafio diário, além da preocupação com o negócio em si, como realizar e integrar as etapas da gestão de risco de forma prática. Existem muitas formas de fazer gestão de risco, uma delas é adotar norma ISO, que são normas internacionais amplamente usadas e reconhecidas no mundo todo. Por isso, uma boa prática é adotar o processo de gestão de riscos conforme a norma brasileira NBR ISO 31000:2018 publicada pela ABNT em 2018 com base na norma internacional ISO 31000 específica para gestão de riscos em geral, que pode ser usada por qualquer pessoa dentro da organização, principalmente para o tomador de decisão. Essa nova versão revisada de 2018 está bem simples, fácil de interpretar e prática para agregar valor às organizações na gestão de risco, com objetivo de fornecer diretrizes/orientações e não de certificação. Segue abaixo a figura modelo da ISO 31000 que retrata todas as etapas que acontecem dentro do processo de gestão de risco, de forma bem genérica, conforme se propõe. , 12 Figura 1.2 - NBR ISO 31000, 2018 Para entender cada uma dessas etapas, segue explicação da ISO 31000 segundo BRASILIANO (2018): >> Comunicação e consulta: comunicação e consulta a envolvidos devem estar sempre presentes e envolvendo todas as partes interessadas. >> Escopo, contexto, critério: bem abrangente, com definição de objetivos, cultura, política, custos, entre outros aspectos relativos aos riscos envolvidos. >> Processo de Avaliação de Risco, dividido em 3 outras partes: Identificação de riscos: identificação de todos os riscos possíveis com as respectivas partes interessadas pela organização. Análise de riscos: envolve estratégias e técnicas de como o risco será tratado e qual plano de ação no caso de sua ocorrência. Avaliação de riscos: como cada risco será tratado na prática quando de sua ocorrência, inclusive com definição de prioridades. , 13 >> Tratamento e registro: o tratamento dos riscos deve ser feito de forma cíclica, repetindo-se até que satisfaça as partes interessadas.>> Registro e relato: processo em si e resultados devem ser devidamente documentados e divulgados, como parte da governança corporativa e subsídios para tomada de decisão. >> Monitoramento e análise crítica: controle e reavaliação realizados periodicamente. 1.4 Estruturas para gestão de riscos Estruturas ou frameworks, como referenciados pelo mercado, são modelos aplicados a diferentes áreas como projetos, infraestrutura, serviço ou outra. Seu principal propósito é apresentar as melhores práticas, experiências bem e mal sucedidas que serão referências para profissionais e organizações. Estas estruturas fazem parte da Governança de TI, atualmente aplicada largamente pela eficácia e resultados positivos que vem trazendo desde o início dos anos 2000. Para a área de TI, segue abaixo estruturas/frameworks mais utilizados e divulgados mundialmente: Saiba Mais Outro exemplo de processo é o do NIST – Guia de avaliação e condução de risco, publicação 800- 30 específico para segurança da informação. CJF. Conscientização em Segurança da Informação – impactos e riscos na Adm Publica. Disponível em: <https://www.youtube.com/watch?v=5jjDGTLivOk&t=161s>. Acesso em: 23 ago. 2019. BASTOS, A. Novidades da ISO 31000 2018. Disponível em: <https://www.youtube.com/watch?v=51N74rUqMAw>. Acesso em: 27 ago. 2019. QUALISEG. 2. ISO 31000 – 2018 - Princípios. Disponível em: <https://www.youtube.com/watch?v=9--witxMf8s>. Acesso em: 27 ago. 2019. https://www.youtube.com/watch?v=5jjDGTLivOk&t=161s https://www.youtube.com/watch?v=51N74rUqMAw https://www.youtube.com/watch?v=9--witxMf8s , 14 >> ITIL: Information Technology Infrastructure Library ou Biblioteca de Infraestrutura de Tecnologia da Informação, um conjunto de práticas detalhadas para o gerenciamento de serviços de TI, está na sua 4º versão em 2019. >> COBIT: Control Objectives for Information and Related Technologies, um guia para a governança e controle de serviços e soluções baseadas em TI, voltadas para negócios, fornecendo um conjunto de controles para mitigar os riscos de TI, está em sua 5º versão em 2019. >> PMBOK: Project Management Body of Knowledge, um guia das melhores práticas em gerenciamento de projetos, está em sua 6. Edição em 2019, suportado pelo PMI (Project Management Institute) >> COSO ERM: Committee of Sponsoring Organizations of the Treadway Commission - Enterprise Risk Management Framework, modelo para discussão e avaliação de gerenciamento de riscos corporativos para que haja “consciência sobre riscos e controles” >> MOF: Microsoft Operations Framework, guia das melhores práticas, princípios e atividades que fornecem diretrizes abrangentes para alcançar confiabilidade para soluções de TI e serviços, baseado no ITIL. >> M_o_R: Management of Risk, guia de risco de modelo para tomada de decisão em risco, para a área financeira, principalmente. >> RISK IT: conjunto de princípios orientadores e o primeiro framework que ajuda as organizações a identificar, governar e gerenciar riscos de TI, complementando COBIT. , 15 1.5 Lições aprendidas Lições aprendidas é um conceito da área de Gerenciamento de Projetos que pode ser aplicada a qualquer outra área de atuação. O foco é a observação e registro, antes, durante e depois de alguma atividade e/ou processo para avaliar o que deu certo e o que deu errado; pontos fortes, fracos, pontos a melhorar; que lições foram positivas e/ou quais foram negativas. É muito importante que esta análise sobre lições aprendidas seja devidamente registrada, pois é uma informação da organização para a própria organização, com intuito de melhorar seus processos, não cometer os mesmos erros e repetir os acertos. Assim, este conhecimento deve ser devidamente registrado, armazenado e disseminado, de forma a estar acessível, preferencialmente, a toda organização. Conhecimento útil é aquele que é usado. É esta a ideia deste trabalho e atividade sobre lições aprendidas seja do processo, de um sistema, de um projeto, de uma operação, de uma atividade operacional, ou seja, de tudo que for cabível e envolver a atuação de profissionais. Saiba Mais BRIDGE ACADEMY. O que é Governança de TI? Disponível em: <https://www.youtube.com/watch?v=0VCjXyd6MkA>. Acesso em: 30 out. 2019. PMH eDucation. O que é ITIL v3 Foundation. Disponível em: <https://www.youtube.com/watch?v=B0vF7xaloFU>. Acesso em: 30 out. 2019. PALMA, F. ITIL e COBIT: o que você precisa saber. Portal GSTI. Disponível em: <https://www.youtube.com/watch?v=5f4aO4nhaNs>. Acesso em: 30 out. 2019. SOFTEXPERT. Entendendo o gerenciamento de riscos na ótica do COSO | Webinar | SoftExpert. SoftExpert Software. Disponível em: < https://www.youtube.com/watch?v=sGOlC5sh7Gk>. Acesso em: 30 out. 2019. https://www.youtube.com/watch?v=0VCjXyd6MkA https://www.youtube.com/watch?v=B0vF7xaloFU https://www.youtube.com/watch?v=5f4aO4nhaNs https://www.youtube.com/watch?v=sGOlC5sh7Gk , 16 Detalhe, o mundo é dinâmico, assim, qualquer conhecimento ou processo não deve ser considerado engessado, ou seja, imutável. Se necessário atualiza-se, altera-se, desde que devidamente acordado e registrado o autor da atualização ou alteração, para que nada se perca. Isto é rastreabilidade, dentro da organização, para controle correto, o histórico, o registro de alteradores ou criadores deve estar claro em qualquer documento, para que se tenha o registro correto. “Lições aprendidas são usadas para melhorar o desempenho do projeto e evitar a repetição de erros, o registro ajuda a identificar onde definir regras ou diretrizes para alinhar as ações da equipe”. (PMBOK, 2017, p.129) Segue abaixo exemplos de lições aprendidas. Lições aprendidas – pontos positivos: - Reuniões - Ferramentas de monitoração - Atribuição de papéis, responsabilidades e atividades Lições aprendidas – pontos negativos - Relatórios que não agregam - Falta de especialista em determinado assunto - Falta de disponibilidade da equipe Aprendizado através de filmes, principalmente os baseados em histórias reais com foco sempre na área de TI dentro das organizações é um dos caminhos para entender e inspirar. Uma história real e atual é a do Wikileaks que ainda está nas mídias, desde o início o risco foi alto e o preço está sendo pago até os dias de hoje pelo seu criador Julian Assange. Outros filmes relacionados a este tema são: Underground, O quinto poder, RIsk e Mediastan. , 17 Conclusão Em toda organização, independentemente de seu porte, pequenas, médias ou grandes empresas, o profissional deve estar sempre atualizado e repensando seus processos de trabalho. Os recursos de informação espalhados através da organização, locais ou remotos são vulneráveis a ataques o tempo todo, por isso a área de Segurança da Informação deve atuar clara e fortemente na gestão de riscos. Resumindo, este bloco focou na introdução à gestão de riscos, segue abaixo as 5 principais partes abordadas: Saiba Mais FORÇA AÉREA BRASILEIRA. RIO 2016 – Ministério da defesa debate lições aprendidas. Disponível em: <https://www.youtube.com/watch?v=JRDFzxfASHI> Acesso em: 30 out. 2019. VASCONCELOS, E. Lições aprendidas do SOC da Microsoft. Disponível em: <https://www.youtube.com/watch?v=qBExAtisURc>. Acesso em: 30 out. 2019. STRONG SECURITY. 8 filmes que todo gestor de TI precisa assistir. Disponível em: < https://www.strongsecurity.com.br/blog/4-filmes-que-todo-gestor-de-ti-de-sucesso- precisa-assistir/>. Acesso em: 30 out. 2019. ESTEVES, A.C. Mesmo que você já esteja cansado do Julian Assange, veja este documentário do WikiLeaks. Disponível em: <https://gizmodo.uol.com.br/review- documentario-julian-assange-wikileaks/>. Acesso em: 30 out. 2019. https://www.youtube.com/watch?v=JRDFzxfASHI https://www.youtube.com/watch?v=qBExAtisURc https://www.strongsecurity.com.br/blog/4-filmes-que-todo-gestor-de-ti-de-sucesso-precisa-assistir/https://www.strongsecurity.com.br/blog/4-filmes-que-todo-gestor-de-ti-de-sucesso-precisa-assistir/ https://gizmodo.uol.com.br/review-documentario-julian-assange-wikileaks/ https://gizmodo.uol.com.br/review-documentario-julian-assange-wikileaks/ , 18 - Conceitos básicos - Tipos de riscos - Processo da gestão de riscos - Estruturas para gestão de riscos - Lições aprendidas Referências ABNT. NBR ISO/IEC 27005:2011 – Gestão de Riscos de Segurança da Informação. Rio de Janeiro: ABNT, 2011. ____. NBR ISO 31000:2018. Gestão de Riscos. Disponível em: <https://iso31000.net/norma-iso-31000-de-gestao-de-riscos/>. Acesso em: 23 ago. 2019. _____. NBR ISO/IEC 27002 - Código de prática para controles de segurança da informação. Disponível em: <https://www.abntcatalogo.com.br/norma.aspx?ID=60452> Acesso em: 23 ago. 2019. BIBLIO. Segurança da informação: como garantir a confiabilidade e integridade. Disponível em: <https://biblioo.cartacapital.com.br/seguranca-da-informacao/> Acesso em: 23 ago. 2019. BRASILIANO, A. Revisão da ISO 31000:2018 – o que mudou de estratégico? Disponível em: <https://www.linkedin.com/pulse/revis%C3%A3o-da-iso-310002018-o-que- mudou-de-estrat%C3%A9gico-brasiliano/> Acesso em: 27 ago. 2019. CLEMENTS, J; GIDO, J. Gestão de Projetos. São Paulo: Cengage Learning, 2013. LUJÁN. Riesgos vs. Seguridad de la información. Universidade Nacional de Luján. Disponível em: https://iso31000.net/norma-iso-31000-de-gestao-de-riscos/ https://www.abntcatalogo.com.br/norma.aspx?ID=60452 https://biblioo.cartacapital.com.br/seguranca-da-informacao/ https://www.linkedin.com/pulse/revis%C3%A3o-da-iso-310002018-o-que-mudou-de-estrat%C3%A9gico-brasiliano/ https://www.linkedin.com/pulse/revis%C3%A3o-da-iso-310002018-o-que-mudou-de-estrat%C3%A9gico-brasiliano/ , 19 <http://www.seguridadinformatica.unlu.edu.ar/sites/www.seguridadinformatica.unlu. edu.ar/files/site/material_taller_gestion_de_riesgo.pdf> Acesso em: 23 ago. 2019. OLIVEIRA, W. Riscos, vulnerabilidade e ameaça em segurança da informação. Disponível em: <https://www.techtem.com.br/seguranca-da-informacao-riscos- vulnerabilidade-e-ameaca/> Acesso em: 23 ago. 2019. PMBOK. Um Guia do Conjunto de Conhecimentos do Gerenciamento de Projetos. 6ª ed. Newtown Square: PMI, 2017. PWC. Gsiss. Fortalecendo a privacidade e a confiança em um mundo baseado em dados. Disponível em: <https://www.pwc.com.br/pt/assets/document/2018/gsiss_18.pdf> Acesso em: 23 ago. 2019. SALLES JR, C. A. C. et al. Gerenciamento de riscos em projetos. 2 ed. Rio de Janeiro: FGV, 2010. TURBAN, E. McLEAN, J.; WETHERBE, J. Tecnologia da Informação para gestão. Porto Alegre: Bookman, 2004. http://www.seguridadinformatica.unlu.edu.ar/sites/www.seguridadinformatica.unlu.edu.ar/files/site/material_taller_gestion_de_riesgo.pdf http://www.seguridadinformatica.unlu.edu.ar/sites/www.seguridadinformatica.unlu.edu.ar/files/site/material_taller_gestion_de_riesgo.pdf https://www.techtem.com.br/seguranca-da-informacao-riscos-vulnerabilidade-e-ameaca/ https://www.techtem.com.br/seguranca-da-informacao-riscos-vulnerabilidade-e-ameaca/ https://www.pwc.com.br/pt/assets/document/2018/gsiss_18.pdf
Compartilhar