Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão de Sistemas de Informação Gestão do Risco http://GSI.4shared.com/ Aulas 13 e 14 Risco Definição tradicional Um fator limitante ou um evento que, se for concretizado, não permitirá que os objetivos determinados pela administração sejam alcançados. Definição recente As incertezas inerentes ao modelo de negócio, às escolhas e às decisões da Organização. Gestão do Risco • É o processo de identificação de um conjunto de medidas que permitam conferir à Empresa o nível de segurança pretendido pela sua Administração. • É parte integrante do Programa de Segurança da Empresa. Gestão do Risco • É composto por uma seqüência de fases, em que os riscos são determinados e classificados, sendo depois especificado um conjunto equilibrado de medidas de segurança (designadas por controles) que permitirão reduzir ou eliminar os riscos a que a Empresa se encontra sujeita. Cronograma Processo de Gestão do Risco - Etapas 1. Identificação dos riscos. 2. Análise de risco. 3. Identificação de controles. 4. Seleção de controles. Etapa 1 - Identificação dos Riscos A Gestão do Risco inicia-se com a sua identificação, que é obtida por meio do levantamento do contexto de risco em que a Empresa existe e atua. Caminho a seguir: – Contextualizar o cenário de risco. – Identificar os elementos necessários à análise de risco: • Ameaças • Vulnerabilidades • bens Etapa 1 - Identificação dos Riscos Contextualização do cenário de risco A empresa pode utilizar vários modelos para contextualizar o cenário de risco. • SWOT • Contexto • Alvo • Bens Etapa 1 - Identificação dos Riscos Análise SWOT de Riscos (FOFA em português) Definição da relação entre a Empresa e o ambiente através da identificação dos pontos fortes, fracos, oportunidades e ameaças à sua segurança. Utilizada para se avaliar uma empresa, um projeto, uma parte do projeto, um produto, uma equipe, etc. Permite à organização que a utiliza, um conjunto de informações importantes para a tomada de decisões. Etapa 1 - Identificação dos Riscos Análise SWOT de Riscos (FOFA em português) S – strengths (pontos fortes – origem interna) W – weaknesses (pontos fracos – origem interna) O – opportunities (oportunidades externas) T – threats (ameaças externas) Etapa 1 - Identificação dos Riscos Análise SWOT de Riscos (FOFA em português) S – strengths (pontos fortes – origem interna) – O que você (empresa/equipe/pessoa) faz bem? – Que recursos especiais você possui e pode aproveitar? – O que outros (empresas/equipes/pessoas) acham que você faz bem? Etapa 1 - Identificação dos Riscos Análise SWOT de Riscos (FOFA em português) W – weaknesses (pontos fracos – origem interna) – No que você pode melhorar? – Onde você tem menos recursos que os outros? – O que outros acham que são suas fraquezas? Etapa 1 - Identificação dos Riscos Análise SWOT de Riscos (FOFA em português) O – opportunities (oportunidades externas) – Quais são as oportunidades externas que você pode identificar? – Que tendências e "modas" você pode aproveitar em seu favor? Etapa 1 - Identificação dos Riscos Análise SWOT de Riscos (FOFA em português) T – threats (ameaças externas) – Que ameaças (leis, regulamentos, concorrentes) podem lhe prejudicar ? – O que seu concorrente anda fazendo? Etapa 1 - Identificação dos Riscos Análise SWOT de Riscos (FOFA em português) Etapa 1 - Identificação dos Riscos Análise SWOT de Riscos (FOFA em português) Etapa 1 - Identificação dos Riscos Análise SWOT de Riscos (FOFA em português) Etapa 1 - Identificação dos Riscos Contextualização do cenário de risco Outros modelos: Contexto: descrição da Empresa, das suas capacidades, metas, objetivos e estratégias implementadas para os alcançar. Alvo: descrição das metas e objetivos, estratégias, âmbito e parâmetros da gestão do risco. Bens: descrição dos bens da Empresa e das suas interdependências. Etapa 1 - Identificação dos Riscos Ameaças • Podem ser identificadas por meio da produção de cenários ou pela criação de listas de tipificação. • A listagem das ameaças por tipo facilita a obtenção de informação estatística sobre a sua freqüência de ocorrência no passado, informação essa que é importante para o passo posterior de análise dos riscos colocados por estas ameaças. • A forma clássica de tipificação dos riscos consiste na definição de categorias e subcategorias de classificação, criando-se uma “árvore”. Etapa 1 - Identificação dos Riscos Ameaças • Para criar esta árvore, o responsável pela segurança da Empresa poderá utilizar como ponto de partida as muitas listas de ameaças existentes na Internet e na literatura, que servirão de base para a realização de entrevistas que permitirão encontrar a informação requerida ao processo de definição da lista final. Etapa 1 - Identificação dos Riscos Ameaças – Árvore de Ameaças • Desastres ou perigos: – de causa natural – com origem humana – ... Etapa 1 - Identificação dos Riscos Ameaças – Árvore de Ameaças • Desastres ou perigos: – de causa natural • provocados por água – Cheias – Inundações – … • provocados por fogo – incêndios florestais – ... • provocados por fenômenos sísmicos Etapa 1 - Identificação dos Riscos Ameaças – Árvore de Ameaças • provocados por vento – Tempestades • provocados por eletricidade – Relâmpagos – descargas de energia • provocados por agentes biológicos ou virais – Epidemias • Desabamentos Etapa 1 - Identificação dos Riscos Ameaças – Árvore de Ameaças – com origem humana • Acidental – Fogo – Inundações – derrames de substâncias químicas ou biológicas – Explosões – queda/despiste de veículos (carros, comboios, aviões, barcos, etc.) – introdução incorreta de dados nos sistemas – configuração incorreta dos sistemas • intencional Etapa 1 - Identificação dos Riscos Ameaças – Árvore de Ameaças • Intencional – quebras contratuais – terrorismo – Tumultos – greves – furto – fraude – Sabotagem – ... Etapa 1 - Identificação dos Riscos Vulnerabilidades • A identificação das vulnerabilidades visa permitir aproximar o cálculo da probabilidade de concretização das ameaças inerentes à realidade da Empresa. • A identificação das vulnerabilidades pode ser suportada pela criação de uma árvore tipológica, cujas folhas serão, naturalmente, vulnerabilidades em vez de ameaças. Etapa 1 - Identificação dos Riscos Vulnerabilidades – Árvore de Vulnerabilidades Origem: – localização/dispersão geográfica • das instalações • instalações em locais inacessíveis a meios de socorro • instalações em locais densamente povoados – Política • postura política do país da Sede • ... Etapa 1 - Identificação dos Riscos Bens • A identificação dos bens é necessária apenas na análise quantitativa do risco, em que o risco é medido pelo impacto resultante da concretização da ameaça. • A principal dificuldade na identificação dos bens, bem como na estimativa dos danos, registra-se relativamente aos bens intangíveis, uma vez que o seu caráter subjetivo dificulta a definição de modelos e métricas. Etapa 1 - Identificação dos Riscos Bens • Uma forma de facilitar a quantificação do valor dos bens é a definição e utilização de escalões, permitindo usar aproximações para evitar cálculos complexos. Etapa 2 – Análise de Riscos • É o processo que permite usar a informação existente de forma sistemática, para determinar o grau de exposição da empresa aos diversos tipos de acontecimentos perigosos a que se encontra sujeita. • Uma atividade voltada para a identificação de falhas de segurança que evidenciem vulnerabilidades que possam ser exploradas por ameaças, provocando impactos nos negócios da organização. • Uma atividade de análise que pretende identificar os riscos aos quais os ativos se encontram expostos. Etapa 2 – Análise de Riscos • Na etapa 1 (identificação dos riscos), o objetivo é a identificação das ameaças, vulnerabilidades e bens. • Agora, a etapa 2 (análisede riscos), o objetivo é ocupar-se da caracterização dos riscos, pela quantificação ou qualificação da probabilidade das ameaças gerarem danos ou, alternativamente, dos danos decorrentes da concretização das diversas ameaças expectáveis. • É a base do processo de seleção e recomendação das medidas identificadas para redução das vulnerabilidades. Etapa 2 – Análise de Riscos Exemplo de Análise de Riscos Uma empresa fictícia “Internet Banking” utiliza para aplicar a análise de riscos uma tabela. O primeiro passo é identificar os processos comerciais da organização em que se deseja implantar ou analisar o nível de segurança da informação. Chamamos essa etapa como a definição do escopo do projeto de análise de riscos; Etapa 2 – Análise de Riscos Exemplo de Análise de Riscos 1º passo – Definição do escopo da análise de riscos Isso permite a realização da análise onde ela seja realmente necessária, com base na relevância do processo para a empresa no intuito de alcançar os objetivos da organização; Surge principalmente devido à necessidade de delimitar o universo dos ativos a serem analisados sobre os quais se oferecerão as recomendações. Etapa 2 – Análise de Riscos Exemplo de Análise de Riscos Ao definir o escopo, deve-se considerar que os processos podem ser uma atuação da organização frente ao mercado, uma funcionalidade interna ou externa, uma atividade exercida ou um produto elaborado, precisando de toda a organização para serem viáveis. Nessa organização os seguintes componentes são analisados de acordo com os quatro escopos da análise de riscos: – Humanos – Tecnológicos – de processos – físicos Etapa 2 – Análise de Riscos Exemplo de Análise de Riscos Escopos da análise de riscos: Humanos – As pessoas que fazem uso do Internet Banking. – Os técnicos que dão suporte aos usuários ou que administram os ativos da organização. – Os responsáveis pelo planejamento e coordenação do trabalho. Etapa 2 – Análise de Riscos Exemplo de Análise de Riscos Escopos da análise de riscos: Tecnológicos – Os servidores de arquivos, nos quais se encontram as informações sobre o produto. – Um servidor de banco de dados que armazena as informações das contas dos clientes do Internet Banking. – Um roteador que permite a conectividade da empresa com a Internet. – Um servidor Web que permite que se façam consultas ao produto pela Internet (em suas plataformas respectivas: Windows, Unix, etc.) Etapa 2 – Análise de Riscos Exemplo de Análise de Riscos Escopos da análise de riscos: de Processos A estrutura organizacional humana que foi estabelecida para a realização do processo. Podemos considerar, na Internet, a definição das equipes para a manutenção e garantia da continuidade dos ativos de tecnologia do processo; as pessoas e o fluxo de atividades relacionadas ao atendimento ao cliente; o fluxo necessário de informações para a realização de uma transação realizada pelo banco virtual etc. Etapa 2 – Análise de Riscos Exemplo de Análise de Riscos Escopos da análise de riscos: Físicos O ambiente operacional que inclui as atividades do produto Internet Banking, como os locais de trabalho das equipes envolvidas, os locais de armazenamento das informações críticas, as agências ou postos de atendimento ao cliente, as centrais de processos de informações como os centros de processamento de dados, as salas de servidores, as centrais de processamentos por telefone, a sala do cofre-forte, etc. Etapa 2 – Análise de Riscos Grau de Risco Resultado da multiplicação da Probabilidade pelo Impacto Potencial. Probabilidade: a chance do risco se materializar no período planejado. A Probabilidade pode ser reduzida pelas ações ou mecanismos de controle aplicados pela Empresa. Impacto Potencial: os danos e perdas materiais impostos à Empresa caso houver concretização do risco. Etapa 2 – Análise de Riscos Análise de Risco Quantitativa A Exposição Anual à Perda (ou Anual Loss Exposure – ALE) é uma metodologia de análise de risco quantitativa, que permite estimar o risco através do cálculo do valor da perda decorrente de uma determinada ameaça. • Fórmulas: ALE = Valor × R R = V × P Etapa 2 – Análise de Riscos Análise de Risco Quantitativa ALE: perda monetária média esperada em um ano, expressa numa unidade monetária. Valor: valor acumulado dos danos provocados pela concretização da ameaça (expresso numa unidade monetária). R: probabilidade de concretização da ameaça na empresa no período de um ano (expresso em ocorrências por ano). Etapa 2 – Análise de Riscos Análise de Risco Quantitativa V: número que representa a vulnerabilidade da empresa à ameaça (sem unidade). Exemplo: V = 0 Empresa invulnerável à ameaça. V = 1 Empresa com exposição normal à ameaça. V > 1 Empresa com uma exposição à ameaça superior à registrada na média do universo do estudo para o cálculo da probabilidade (P). Etapa 2 – Análise de Riscos Análise de Risco Quantitativa P: probabilidade correspondente ao número médio esperado de vezes que a ameaça se irá concretizar por ano (expresso em ocorrências por ano). Exemplo: P = 1 Ameaça concretiza-se uma vez por ano. P = 0,1 A ameaça concretiza-se uma vez por década. P = 12 A ameaça concretiza-se uma vez por mês. Etapa 2 – Análise de Riscos Exemplo Considerando uma empresa com um data center avaliado em € 300.000, situado por baixo de uma cantina, num edifício equipado com sistemas de extinção por água, qual é ALE do risco de perda do equipamento do data center devido a um incêndio? Etapa 2 – Análise de Riscos Exemplo Considerando que em média poderá ocorrer um incêndio grave a cada cem anos, que o tipo de mecanismo de extinção provocará a destruição dos equipamentos em caso de ativação e que a presença da cantina aumenta em 50% o risco de incêndio: P = 1/100 = 0,01 V = 1,0 (normal) + 0,5 (da cantina) + 0,2 (do sistema de extinção) R = 0,01 × 2,0 = 0,02 ALE = 300.000 × 0,02 = 6,000 Etapa 2 – Análise de Riscos Exemplo Considerando que em média poderá ocorrer um incêndio grave a cada cem anos, que o tipo de mecanismo de extinção provocará a destruição dos equipamentos em caso de ativação e que a presença da cantina aumenta em 50% o risco de incêndio: P = 1/100 = 0,01 V = 1,0 (normal) + 0,5 (da cantina) + 0,2 (do sistema de extinção) R = 0,01 × 2,0 = 0,02 ALE = 300.000 × 0,02 = 6,000 Etapa 2 – Análise de Riscos Exemplo Segundo esta metodologia, o risco de perda do equipamento em causa corresponde a uma exposição é da ordem de seis mil Euros por ano, podendo-se então justificar a introdução de controles com um custo anual abaixo deste valor.
Compartilhar