Aulas 13 e 14 - Disc. GESTAO DE SISTEMAS DE INFORMAÇÃO I

Prévia do material em texto

Gestão de Sistemas 
de Informação
Gestão do Risco
http://GSI.4shared.com/
Aulas 13 e 14
Risco
Definição tradicional
Um fator limitante ou um evento que, se for concretizado,
não permitirá que os objetivos determinados pela
administração sejam alcançados.
Definição recente
As incertezas inerentes ao modelo de negócio, às escolhas
e às decisões da Organização.
Gestão do Risco
• É o processo de identificação de um conjunto de medidas
que permitam conferir à Empresa o nível de segurança
pretendido pela sua Administração.
• É parte integrante do Programa de Segurança da
Empresa.
Gestão do Risco
• É composto por uma seqüência de fases, em que os
riscos são determinados e classificados, sendo depois
especificado um conjunto equilibrado de medidas de
segurança (designadas por controles) que permitirão reduzir
ou eliminar os riscos a que a Empresa se encontra sujeita.
Cronograma
Processo de Gestão do Risco - Etapas
1. Identificação dos riscos.
2. Análise de risco.
3. Identificação de controles.
4. Seleção de controles.
Etapa 1 - Identificação dos Riscos
A Gestão do Risco inicia-se com a sua identificação, que é 
obtida por meio do levantamento do contexto de risco em 
que a Empresa existe e atua.
Caminho a seguir:
– Contextualizar o cenário de risco.
– Identificar os elementos necessários à análise de risco:
• Ameaças
• Vulnerabilidades
• bens
Etapa 1 - Identificação dos Riscos
Contextualização do cenário de risco
A empresa pode utilizar vários modelos para contextualizar 
o cenário de risco.
• SWOT
• Contexto
• Alvo
• Bens
Etapa 1 - Identificação dos Riscos
Análise SWOT de Riscos (FOFA em português)
Definição da relação entre a Empresa e o ambiente através
da identificação dos pontos fortes, fracos, oportunidades
e ameaças à sua segurança.
Utilizada para se avaliar uma empresa, um projeto, uma
parte do projeto, um produto, uma equipe, etc.
Permite à organização que a utiliza, um conjunto de
informações importantes para a tomada de decisões.
Etapa 1 - Identificação dos Riscos
Análise SWOT de Riscos (FOFA em português)
S – strengths (pontos fortes – origem interna)
W – weaknesses (pontos fracos – origem interna)
O – opportunities (oportunidades externas)
T – threats (ameaças externas)
Etapa 1 - Identificação dos Riscos
Análise SWOT de Riscos (FOFA em português)
S – strengths (pontos fortes – origem interna)
– O que você (empresa/equipe/pessoa) faz bem? 
– Que recursos especiais você possui e pode aproveitar? 
– O que outros (empresas/equipes/pessoas) acham que 
você faz bem?
Etapa 1 - Identificação dos Riscos
Análise SWOT de Riscos (FOFA em português)
W – weaknesses (pontos fracos – origem interna)
– No que você pode melhorar? 
– Onde você tem menos recursos que os outros? 
– O que outros acham que são suas fraquezas?
Etapa 1 - Identificação dos Riscos
Análise SWOT de Riscos (FOFA em português)
O – opportunities (oportunidades externas)
– Quais são as oportunidades externas que você pode
identificar?
– Que tendências e "modas" você pode aproveitar em seu
favor?
Etapa 1 - Identificação dos Riscos
Análise SWOT de Riscos (FOFA em português)
T – threats (ameaças externas)
– Que ameaças (leis, regulamentos, concorrentes) podem 
lhe prejudicar ? 
– O que seu concorrente anda fazendo?
Etapa 1 - Identificação dos Riscos
Análise SWOT de Riscos (FOFA em português)
Etapa 1 - Identificação dos Riscos
Análise SWOT de Riscos (FOFA em português)
Etapa 1 - Identificação dos Riscos
Análise SWOT de Riscos (FOFA em português)
Etapa 1 - Identificação dos Riscos
Contextualização do cenário de risco
Outros modelos:
Contexto: descrição da Empresa, das suas capacidades,
metas, objetivos e estratégias implementadas para os
alcançar.
Alvo: descrição das metas e objetivos, estratégias, âmbito e
parâmetros da gestão do risco.
Bens: descrição dos bens da Empresa e das suas 
interdependências.
Etapa 1 - Identificação dos Riscos
Ameaças
• Podem ser identificadas por meio da produção de cenários
ou pela criação de listas de tipificação.
• A listagem das ameaças por tipo facilita a obtenção de
informação estatística sobre a sua freqüência de ocorrência
no passado, informação essa que é importante para o passo
posterior de análise dos riscos colocados por estas
ameaças.
• A forma clássica de tipificação dos riscos consiste na
definição de categorias e subcategorias de 
classificação, criando-se uma “árvore”.
Etapa 1 - Identificação dos Riscos
Ameaças
• Para criar esta árvore, o responsável pela segurança da
Empresa poderá utilizar como ponto de partida as muitas
listas de ameaças existentes na Internet e na literatura, que
servirão de base para a realização de entrevistas que
permitirão encontrar a informação requerida ao processo de
definição da lista final.
Etapa 1 - Identificação dos Riscos
Ameaças – Árvore de Ameaças
• Desastres ou perigos:
– de causa natural
– com origem humana
– ...
Etapa 1 - Identificação dos Riscos
Ameaças – Árvore de Ameaças
• Desastres ou perigos:
– de causa natural
• provocados por água
– Cheias
– Inundações
– …
• provocados por fogo
– incêndios florestais
– ...
• provocados por fenômenos sísmicos
Etapa 1 - Identificação dos Riscos
Ameaças – Árvore de Ameaças
• provocados por vento
– Tempestades
• provocados por eletricidade
– Relâmpagos
– descargas de energia
• provocados por agentes biológicos ou virais
– Epidemias
• Desabamentos
Etapa 1 - Identificação dos Riscos
Ameaças – Árvore de Ameaças
– com origem humana
• Acidental
– Fogo
– Inundações
– derrames de substâncias químicas ou biológicas
– Explosões
– queda/despiste de veículos (carros, comboios, 
aviões, barcos, etc.)
– introdução incorreta de dados nos sistemas
– configuração incorreta dos sistemas
• intencional
Etapa 1 - Identificação dos Riscos
Ameaças – Árvore de Ameaças
• Intencional
– quebras contratuais
– terrorismo
– Tumultos
– greves
– furto
– fraude
– Sabotagem
– ...
Etapa 1 - Identificação dos Riscos
Vulnerabilidades
• A identificação das vulnerabilidades visa permitir aproximar
o cálculo da probabilidade de concretização das ameaças
inerentes à realidade da Empresa.
• A identificação das vulnerabilidades pode ser suportada pela
criação de uma árvore tipológica, cujas folhas serão,
naturalmente, vulnerabilidades em vez de ameaças.
Etapa 1 - Identificação dos Riscos
Vulnerabilidades – Árvore de Vulnerabilidades
Origem:
– localização/dispersão geográfica
• das instalações
• instalações em locais inacessíveis a meios de socorro
• instalações em locais densamente povoados
– Política
• postura política do país da Sede
• ...
Etapa 1 - Identificação dos Riscos
Bens
• A identificação dos bens é necessária apenas na análise
quantitativa do risco, em que o risco é medido pelo
impacto resultante da concretização da ameaça.
• A principal dificuldade na identificação dos bens, bem como
na estimativa dos danos, registra-se relativamente aos bens
intangíveis, uma vez que o seu caráter subjetivo dificulta a
definição de modelos e métricas.
Etapa 1 - Identificação dos Riscos
Bens
• Uma forma de facilitar a quantificação do valor dos bens é a
definição e utilização de escalões, permitindo usar
aproximações para evitar cálculos complexos.
Etapa 2 – Análise de Riscos
• É o processo que permite usar a informação existente de
forma sistemática, para determinar o grau de exposição
da empresa aos diversos tipos de acontecimentos
perigosos a que se encontra sujeita.
• Uma atividade voltada para a identificação de falhas de
segurança que evidenciem vulnerabilidades que possam
ser exploradas por ameaças, provocando impactos nos
negócios da organização.
• Uma atividade de análise que pretende identificar os 
riscos aos quais os ativos se encontram expostos.
Etapa 2 – Análise de Riscos
• Na etapa 1 (identificação dos riscos), o objetivo é a
identificação das ameaças, vulnerabilidades e bens.
• Agora, a etapa 2 (análisede riscos), o objetivo é ocupar-se
da caracterização dos riscos, pela quantificação ou
qualificação da probabilidade das ameaças gerarem danos
ou, alternativamente, dos danos decorrentes da
concretização das diversas ameaças expectáveis.
• É a base do processo de seleção e recomendação das 
medidas identificadas para redução das 
vulnerabilidades.
Etapa 2 – Análise de Riscos
Exemplo de Análise de Riscos
Uma empresa fictícia “Internet Banking” utiliza para aplicar a
análise de riscos uma tabela.
O primeiro passo é identificar os processos comerciais da
organização em que se deseja implantar ou analisar o nível
de segurança da informação. Chamamos essa etapa como a
definição do escopo do projeto de análise de riscos;
Etapa 2 – Análise de Riscos
Exemplo de Análise de Riscos
1º passo – Definição do escopo da análise de riscos
Isso permite a realização da análise onde ela seja realmente
necessária, com base na relevância do processo para a
empresa no intuito de alcançar os objetivos da organização;
Surge principalmente devido à necessidade de delimitar o
universo dos ativos a serem analisados sobre os quais se
oferecerão as recomendações.
Etapa 2 – Análise de Riscos
Exemplo de Análise de Riscos
Ao definir o escopo, deve-se considerar que os processos
podem ser uma atuação da organização frente ao mercado,
uma funcionalidade interna ou externa, uma atividade
exercida ou um produto elaborado, precisando de toda a
organização para serem viáveis.
Nessa organização os seguintes componentes são
analisados de acordo com os quatro escopos da análise de
riscos:
– Humanos
– Tecnológicos
– de processos
– físicos
Etapa 2 – Análise de Riscos
Exemplo de Análise de Riscos
Escopos da análise de riscos:
Humanos
– As pessoas que fazem uso do Internet Banking.
– Os técnicos que dão suporte aos usuários ou que
administram os ativos da organização.
– Os responsáveis pelo planejamento e coordenação do
trabalho.
Etapa 2 – Análise de Riscos
Exemplo de Análise de Riscos
Escopos da análise de riscos:
Tecnológicos
– Os servidores de arquivos, nos quais se encontram as
informações sobre o produto.
– Um servidor de banco de dados que armazena as
informações das contas dos clientes do Internet Banking.
– Um roteador que permite a conectividade da empresa
com a Internet.
– Um servidor Web que permite que se façam 
consultas ao produto pela Internet (em suas 
plataformas respectivas: Windows, Unix, etc.) 
Etapa 2 – Análise de Riscos
Exemplo de Análise de Riscos
Escopos da análise de riscos:
de Processos
A estrutura organizacional humana que foi estabelecida para
a realização do processo.
Podemos considerar, na Internet, a definição das equipes 
para a manutenção e garantia da continuidade dos ativos de 
tecnologia do processo; as pessoas e o fluxo de atividades 
relacionadas ao atendimento ao cliente; 
o fluxo necessário de informações para a realização 
de uma transação realizada pelo banco virtual etc.
Etapa 2 – Análise de Riscos
Exemplo de Análise de Riscos
Escopos da análise de riscos:
Físicos
O ambiente operacional que inclui as atividades do produto 
Internet Banking, como os locais de trabalho das equipes 
envolvidas, os locais de armazenamento das informações 
críticas, as agências ou postos de atendimento ao cliente, as 
centrais de processos de informações como os centros de 
processamento de dados, as salas de servidores, as 
centrais de processamentos por telefone, a sala do 
cofre-forte, etc.
Etapa 2 – Análise de Riscos
Grau de Risco
Resultado da multiplicação da Probabilidade pelo Impacto
Potencial.
Probabilidade: a chance do risco se materializar no período
planejado.
A Probabilidade pode ser reduzida pelas ações ou mecanismos de
controle aplicados pela Empresa.
Impacto Potencial: os danos e perdas materiais 
impostos à Empresa caso houver concretização do 
risco.
Etapa 2 – Análise de Riscos
Análise de Risco Quantitativa
A Exposição Anual à Perda (ou Anual Loss Exposure –
ALE) é uma metodologia de análise de risco quantitativa,
que permite estimar o risco através do cálculo do valor da
perda decorrente de uma determinada ameaça.
• Fórmulas:
ALE = Valor × R
R = V × P
Etapa 2 – Análise de Riscos
Análise de Risco Quantitativa
ALE: perda monetária média esperada em um ano,
expressa numa unidade monetária.
Valor: valor acumulado dos danos provocados pela
concretização da ameaça (expresso numa unidade
monetária).
R: probabilidade de concretização da ameaça na empresa 
no período de um ano (expresso em ocorrências por ano).
Etapa 2 – Análise de Riscos
Análise de Risco Quantitativa
V: número que representa a vulnerabilidade da
empresa à ameaça (sem unidade).
Exemplo:
V = 0 Empresa invulnerável à ameaça.
V = 1 Empresa com exposição normal à ameaça.
V > 1 Empresa com uma exposição à ameaça superior
à registrada na média do universo do estudo para
o cálculo da probabilidade (P).
Etapa 2 – Análise de Riscos
Análise de Risco Quantitativa
P: probabilidade correspondente ao número médio esperado 
de vezes que a ameaça se irá concretizar por ano (expresso 
em ocorrências por ano).
Exemplo: 
P = 1 Ameaça concretiza-se uma vez por ano.
P = 0,1 A ameaça concretiza-se uma vez por década.
P = 12 A ameaça concretiza-se uma vez por mês.
Etapa 2 – Análise de Riscos
Exemplo
Considerando uma empresa com um data center avaliado
em € 300.000, situado por baixo de uma cantina, num
edifício equipado com sistemas de extinção por água, qual é
ALE do risco de perda do equipamento do data center
devido a um incêndio?
Etapa 2 – Análise de Riscos
Exemplo
Considerando que em média poderá ocorrer um incêndio
grave a cada cem anos, que o tipo de mecanismo de
extinção provocará a destruição dos equipamentos em caso
de ativação e que a presença da cantina aumenta em 50% o
risco de incêndio:
P = 1/100 = 0,01
V = 1,0 (normal) + 0,5 (da cantina) + 0,2 (do sistema de
extinção)
R = 0,01 × 2,0 = 0,02
ALE = 300.000 × 0,02 = 6,000
Etapa 2 – Análise de Riscos
Exemplo
Considerando que em média poderá ocorrer um incêndio
grave a cada cem anos, que o tipo de mecanismo de
extinção provocará a destruição dos equipamentos em caso
de ativação e que a presença da cantina aumenta em 50% o
risco de incêndio:
P = 1/100 = 0,01
V = 1,0 (normal) + 0,5 (da cantina) + 0,2 (do sistema de
extinção)
R = 0,01 × 2,0 = 0,02
ALE = 300.000 × 0,02 = 6,000
Etapa 2 – Análise de Riscos
Exemplo
Segundo esta metodologia, o risco de perda do equipamento
em causa corresponde a uma exposição é da ordem de seis
mil Euros por ano, podendo-se então justificar a introdução
de controles com um custo anual abaixo deste valor.