RESUMO LIVRO GESTÃO DE RISCOS

Prévia do material em texto

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO CEARÁ 
CAMPUS CANINDÉ 
 IFCE CURSO REDES DE COMPUTADORES 
 
 
 
 
PAULO JONAS ALVES DA SILVA 
 
 
 
 
 
 
ATIVIDADE – RESUMO LIVRO 
“INTRODUÇÃO À GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO” 
GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
PROF. RAPHAEL TORRES SANTOS CARVALHO 
 
 
 
 
 
 
 
 
 
 
 
 
CANINDÉ 
2020 
PAULO JONAS ALVES DA SILVA - ATIVIDADE – RESUMO “INTRODUÇÃO À GESTÃO DE RISCOS DE 
SEGURANÇA DA INFORMAÇÃO” 
 
RESUMO LIVRO 
“INTRODUÇÃO À GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO” 
 
A gestão de riscos é um processo sistemático que rege a aplicação de controles de 
segurança dentro de uma organização. Nesse sentido, temos a ISO 27005, uma norma 
que apresenta um modelo de gestão através de processo genérico, servindo de guia ao 
desenvolvimento de métodos a serem aplicados conforme suas necessidades. 
Sabemos que as organizações detêm ativos, que são qualquer coisa ou informação que 
traga valor para àquela entidade, um conceito fundamental dentro da gestão de riscos, 
porém não somente ele, mas outros fatores devem ser observados, tais como: as 
ameaças, vulnerabilidades, probabilidades, consequências e impactos. 
A norma em questão (ISO 27005) propõe um levantamento segmentado dos ativos de 
cada empresa, entretanto, não é papel dela mostrar um método específico para isso. 
Dentro da gestão de riscos, faz-se necessário uma análise dos eventos que podem gerar 
perdas, evitando que sejam feitas análises de consequências e impactos. Sendo crucial 
para que haja precisão na avaliação de riscos. Todos os eventos devem ser analisados 
para que atendam critérios e/ou objetivos, dentre eles: disponibilidade, confidencialidade 
e integridade, sendo os principais, além de autenticidade, não repúdio, contabilização, 
confiança, conformidade, efetividade e eficiência. 
Eventos de maior gravidade, geralmente, ocorrem em decorrência de outros anteriores, 
que eram de menores gravidades. O problema disso, é que com a ocorrência sucessiva, 
forma-se uma cadeia de eventos que ocasionam perdas para a organização. 
As principais análises de riscos são as de ameaças e vulnerabilidades, porém é 
importante que a identificação das ameaças seja precedente às de vulnerabilidades, pois 
em relação ao custo para a empresa, é bem melhor do que encontrar as vulnerabilidades 
de cada ativo existente. 
As ameaças são classificadas em relação a sua origem como: humanas acidentais, 
humanas deliberadas e ambientais. Também podendo serem classificadas pelos tipos, 
tendo como alguns exemplos: danos físicos, eventos naturais e comprometimento da 
informação. 
Na norma é prevista uma identificação dos controles existentes e planejados, dentro de 
uma organização, pois na identificação desses é possível a verificação de potenciais 
vulnerabilidades. Essas por sua vez, originam-se internamente, existindo na ISO 27005 
um catálogo de vulnerabilidades. Algumas delas ligadas diretamente aos ativos 
tecnológicos, fazendo-se importante a aplicação de metodologias e técnicas para que 
estas possam ser analisadas devidamente. 
PAULO JONAS ALVES DA SILVA - ATIVIDADE – RESUMO “INTRODUÇÃO À GESTÃO DE RISCOS DE 
SEGURANÇA DA INFORMAÇÃO” 
Os ativos de cada empresa devem ser valorados de acordo com sua importância para o 
negócio, pois quanto maior o impacto negativo, mais importante o ativo é, o traz 
consequências operacionais, relativas à perda de segurança. Sendo que com essa 
perda, que é chama da de “brecha de segurança”, podem ocorrer consequências 
operacionais ligadas a disponibilidade, integridade e confidencialidade da informação. 
Essas consequências geralmente são avaliadas qualitativamente, pois a valoração 
financeira de ativos nem sempre pode ocorrer, sendo classificada em níveis: baixo, 
médio e alto. Já o impacto, viria a ser os efeitos de um incidente que podem afetar vários 
ativos, fazendo com que haja mudanças nos objetivos da organização, ocasionando uma 
mudança operacional imediata, ou até mesmo perdas financeiras e de mercado, que 
podem acontecer em tempo futuro. 
A gestão de riscos é um processo contínuo, partindo da definição de contexto, 
apreciação do risco, tratamento do risco, aceitação do risco, comunicação do risco e 
monitoramento e revisão do risco. Essas são as atividades propostas dentro da ISO 
27005, dentro desse processo, mostrando um guia para implementação de cada passo, 
porém nada específico, tudo exemplificado de maneira genérica. 
Nesse processo temos a definição de contexto, que vem para criar ou ajustar as 
circunstâncias para implementação da gestão de riscos. Aqui temos a descrição dos 
critérios básicos delimitados pela alta gestão da organização (critérios para avaliação de 
riscos, determinação de impacto de incidentes e de aceitação de riscos), a especificação 
do escopo e limites da gestão de risco que necessita de uma delimitação consoante com 
a gestão, tendo como resultado um documento formal de escopo de gestão de riscos. O 
último aspecto dessa fase de contexto é a definição da organização para operar a gestão 
de riscos, onde é criado um subsistema de gestão de riscos dentro da organização com 
a finalidade de desenvolver uma gestão adequada ao perfil da organização, atribuindo 
papéis e responsabilidades aos agentes internos e externos. 
A avaliação de riscos é o processo responsável por identificar, estimar e avaliar os riscos. 
Segundo a ABNT, esse é um processo iterativo que receberá critérios básicos, escopo 
e limites como entrada, e a saída da avaliação será uma lista de riscos que são avaliados 
e priorizados tendo como base os critérios apresentados. 
A identificação de risco é o processo de descobrir, listar e caracterizar elementos ou 
fatores de risco, para que se possa delimitar os motivos que podem levar a perdas 
potenciais ou obter uma compreensão aprofundada de como, onde e por que as perdas 
podem ocorrer. A estimativa do risco é a última fase da análise de risco, a fim de 
classificar as consequências e probabilidades de cada risco identificado, com a utilização 
de métricas qualitativas e/ou quantitativas. 
O objetivo da avaliação de risco é determinar a prioridade da avaliação de risco 
relacionada à organização (listada na definição de contexto) e aos objetivos, ela vem 
para encerrar a fase de apreciação dos riscos e produzir uma lista com os riscos 
classificados de maneira a atender os critérios preestabelecidos. 
PAULO JONAS ALVES DA SILVA - ATIVIDADE – RESUMO “INTRODUÇÃO À GESTÃO DE RISCOS DE 
SEGURANÇA DA INFORMAÇÃO” 
O tratamento do risco é a fase da gestão do risco que compreende a tomada de decisões 
para reter, evitar, transferir (partilhar) ou minimizar os riscos. A entrada nesta fase é a 
lista de riscos priorizados e classificados na fase de avaliação dos riscos. Isso para que 
alguns objetivos possam ser atingidos, dentre eles podemos citar a definição de controles 
a serem utilizados, retenção ou aceitação, ações para evitar mais riscos e traçar um 
plano de tratamento. 
Para que haja redução nos riscos é preciso que sejam adotados controles, esse processo 
é chamado de mitigação. Dentro da ISO 27002 existe uma gama de controles que podem 
ser utilizados na gestão de riscos, estão divididos em seções, totalizando 133 (cento e 
trinta e três) controles, agrupados por objetivos. 
Na retenção de riscos, decisões são tomadas no sentido de que com o risco encontrado 
não haja a necessidade de implementação de mais controles, bastando aqueles que já 
existem. O registro dessa retenção facilita monitoramentos futuros, já que os perfis de 
risco são passíveis de alterações. 
Com relação a evitar um risco, nada mais é do que a organização deixar de realizar as 
condições necessárias a existência daquele risco, decisão essa tomada visto os altos 
custos de implementação de controles para ele. 
Na partilha, ou transferência de riscos, ocorre que a organização passaa 
responsabilidade de aplicação dos controles necessários a um parceiro (ou agente 
externo) através de contratos de seguros ou subcontratação de equipe especializada 
com maior capacidade de lidar com aquela situação, sem que haja prejuízo nas 
responsabilidades judiciais ou contratuais. Entretanto, isso pode gerar novos riscos, 
tornando possível a necessidade de tratamento de riscos adicionais. 
A fase de aceitação de risco é para lidar com a aceitação de riscos residuais dentro da 
organização e definir os responsáveis pela tomada dessa decisão. O plano de tratamento 
de risco e avaliação de risco residual são inseridos, os quais estão sujeitos à aprovação 
da administração. 
A comunicação de risco é uma série de atividades contínuas entre os gerentes de risco 
e os envolvidos na organização. Como a compreensão do risco varia de pessoa para 
pessoa, é necessário identificar e registrar todas as percepções para levar em 
consideração cada percepção e manter essa comunicação para a tomada de decisões 
corretas. Caso haja uma situação de crise, é importante a manutenção e/ou criação de 
um canal de comunicação direto com o setor de relações públicas da organização. 
O monitoramento e revisão de riscos são um conjunto de atividade contínuas 
desempenhadas para que os riscos sejam constantemente monitorados a fim de 
proporcionar um acompanhamento de mudanças dentro do contexto da organização, no 
panorama de riscos e aprimoramento da gestão de riscos. Esse processo foi divido em 
dois: monitoramento e revisão dos fatores de risco e monitoramento, revisão e melhoria 
da gestão de riscos. O primeiro tem a finalidade de acompanhar e revisar riscos e fatores 
PAULO JONAS ALVES DA SILVA - ATIVIDADE – RESUMO “INTRODUÇÃO À GESTÃO DE RISCOS DE 
SEGURANÇA DA INFORMAÇÃO” 
para identificação de mudanças contextuais significativas, já o segundo é fazer um 
acompanhamento de todo o processo de gestão de riscos e aprimorá-lo sempre que 
necessário para que se mantenha atualizado e relevante dentro da organização. 
Todo o processo descrito na ISO 27005:2008 tem muito em comum com a norma 
AS/NZS 4360, tendo como diferenças que esta última aborda riscos positivos e negativos 
ao mesmo tempo, é mais antiga e bem resumida, enfatiza a comunicação e consulta 
entre os participantes do início do processo de gestão de risco e divide a análise 
contextual da organização em interno e externo. Além das diferenças essa norma vem 
para apresentar a descrição do processo de estabelecimento de gestão de risco dentro 
de uma organização. 
Esse processo é baseado na avaliação das práticas de gestão existentes e necessárias 
e no planejamento da gestão de riscos, este por sua vez deve definir como a organização 
deve conduzir a gestão de riscos, dando suporte por parte do alto escalão administrativo, 
definição e documentação de uma política de gestão de riscos, estabelecimento de 
responsabilidades para a alta gestão, padronização dos processos de acordo com a 
realidade de cada organização e garantia da existência de recursos necessários a 
gestão. 
Ela também sugere a criação de um sistema de informação para auxiliar na gestão, pois 
a gestão sugere a manipulação de uma grande quantidade de informações e para isso 
faz-se necessário a utilização de ferramentas de software automatizadas, a fim de 
proporcionar condições ao desempenho dos processos.