ATV 3 GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO - VALTER

Prévia do material em texto

Resposta
Selecionada:
Os frameworks de gestão de riscos são modelos que dispõem ferramentas e regras que empresas devem aderir e seguir para conseguir gerir
os riscos de forma precisa. Geralmente, os modelos existentes não devem ser aplicados de forma integral inesperadamente, pois cada
organização deve selecionar o que melhor se adapta ao seu modelo. Os frameworks auxiliam para que ocorra a implementação do processo de
gestão de riscos relacionados à tecnologia da informação.
Considerando os frameworks de gestão de segurança da informação, redija um texto dissertativo que indique os mais utilizados e descreva as
fases da gestão de risco e estratégias de segurança da informação para os principais riscos envolvidos no ambiente tecnológico nas
organizações.
Um framework de segurança da informação é uma série de processos que são usados para definir políticas e procedimentos em torno da
implementação e gerenciamento contínuo de controles de segurança da informação em um ambiente corporativo, é também um modelo pronto,
com as ferramentas e regras gerais que uma organização deve seguir para gerir os riscos.
Alguns modelos comumente são muito amplos, assim, não devem ser adotados integralmente de uma hora para a outra. Então é preciso
Estudar os modelos disponíveis, escolha um ponto de partida e desenvolva os ciclos de implantação, aumentando a maturidade aos poucos.
Diante disso você consiguirar atingir um nível de gestão profissional em relativamente poucos ciclos, dando assim chance para sua
organização ir se adaptando ao longo do processo.
 
Existem diversos frameworks disponíveis, prém alguns são específicos de algum setor e outros são mais gerais.
 
IHI - modelo americano de gestão de riscos na área de healthcare.
Value at Risk - modelo de avaliação de riscos em ativos financeiros.
 Auditing Standard No. 2 - do PCAOB (Public Company Accounting Oversight Board ) modelo americano de auditoria para controle de
riscos em fraudes financeiras.
COBIT - modelo de gestão e governança de TI, que engloba a gestão de riscos em um de seus módulos.
ISO 31.000 - framework geral sobre gestão de riscos.
COSO - framework geral, voltado para gestão integrada de riscos. Existem dois modelos adaptáveis para qualquer setor e que são os mais
utilizados no mercado
 A evolução dos frameworks de gestão de riscos sempre foi muito ligada a problemas operacionais, fisicamente
palpáveis. Tente identificar qualquer grande desafio operacional da humanidade e verá que sempre houve gestão de riscos envolvida,
mesmo que básica. Não precisamos nos esforçar muito para chegarmos a um exemplo: imagine o programa espacial, especialmente
durante a Guerra Fria. Como vencer tamanho desafio operacional sem se preparar para os imprevistos antes?
Nos anos 60, com a corrida espacial, a NASA evoluiu bastante a prática de gestão de riscos, especialmente a forma quantitativa
(Bedford, 2001), com base estatística. Na verdade, essa gestão quantitativa chegou a prever que a missão à Lua tinha apenas 5% de
chance de sucesso. No entanto, mesmo com esse cenário contrário, os riscos foram assumidos (por motivos políticos, diga- se) e como já
http://www.ihi.org/resources/Pages/Publications/ClinicalRiskManagementEnhancingPatientSafety.aspx
https://pcaobus.org/Standards/Auditing/Pages/Auditing_Standard_2.aspx
http://www.isaca.org/cobit/pages/default.aspx
https://www.amazon.com/Probabilistic-Risk-Analysis-Foundations-Methods/dp/0521773202/ref%3Dsr_1_1?ie=UTF8&qid=1501009723&sr=8-1&keywords=probabilistic%2Brisk%2Banalysis
Resposta
Correta:
[Nenhuma]
Comentário
da resposta:
sabemos, o objetivo final foi cumprido.
Mas, então, este caso ilustra que utilizar
um framework estruturado de gestão de riscos não é obrigatório? Afinal, a operação pretendida funcionou, apesar da avaliação
contrária gerada pelo modelo. Na verdade a conclusão correta é inversa: uma boa gestão é fundamental. A previsão pessimista ajudou e
chegou a ser utilizada para gerar alterações na missão à Lua, mas a diferença principal neste caso é que quase nenhuma organização
possui os recursos hu manos e financeiros que a NASA dispunha à época. Hoje, nem a própria NASA os possui mais.
A NASA das décadas de 60 e 70 é uma rara exceção. Considerando o cenário real que você está habituado, é provável que você
não possa se dar ao luxo de errar em seus projetos: seus recursos (de prazo e custos) são bem escassos e, portanto, dependem de um bom
modelo de gestão de riscos.
Vamos então aos anos 80, quando a gestão de riscos passa a ter uma preocupação maior com os objetivos da organização ao invés
de um foco mais operacional. Em 1985, quando nasce
o COSO (Comittee of Sponsoring Organization of the Treadway Comission), a gestão de riscos passa a ter uma proposta
integrada, envolvendo os diversos níveis da organização.
O gerenciamento de riscos corporativos proposto
pelo framework do COSO tem por finalidade alinhar todos os processos (não apenas os operacionais) com o gerenciamento de
riscos. A estrutura do COSO, portanto, se dá por uma matriz tridimensional na forma de um cubo:
Além do COSO, destaca-se no mercado a adoção do ISO
31.000 como framework. No Brasil, ele é a base utilizada na norma ABNT ligada à gestão de riscos, portanto é bastante utilizado
como referência por aqui. Para quem quiser entender detalhes da implantação, recomenda-se o guia ISO para pequenas e médias
empresas, que orienta os passos da implantação através de um guia de perguntas, onde você auto-avalia como sua organização
desempenha em cada tópico.
 
Olá estudante,
Parabéns pela participação nesta atividade. A sua resposta contemplou base conceitual e esforço extra para contribuir na construção do
conhecimento.
Siga em frente e bons estudos!
Tutoria Laureate
http://news.nationalgeographic.com/news/2014/05/140530-space-politics-planetary-science-funding-exploration/
http://news.nationalgeographic.com/news/2014/05/140530-space-politics-planetary-science-funding-exploration/
https://www.iso.org/publication/PUB100367.html
https://www.iso.org/publication/PUB100367.html