Gerenciamento e Avaliação dos Riscos Gerir os riscos nada mais é do que identificá-los e tratá-los de forma sistemática e contínua. Es...
Gerenciamento e Avaliação dos Riscos
Gerir os riscos nada mais é do que identificá-los e tratá-los de forma sistemática e contínua. Este processo de gestão de risco é responsável por identificar, avaliar e implementar medidas de proteções necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informações. O risco pode ser definido pela combinação da probabilidade de um evento e sua consequência.
Sistema de Gestão de Risco
Pode-se dizer que o sistema de gestão de risco é o ato de administrar o risco criando mecanismos para identificar, analisar, tratar e comunicar as decisões sobre as melhores formas de gerir esses riscos, alinhados com a estratégia da organização. Os benefícios do uso de um programa de gestão de risco são evidentes, pois, quando implantado e seguido com eficácia, além de priorizar os riscos e suas ações, pode-se conhecer melhor os riscos e tomar conhecimento de quais mecanismos têm o consenso administrativo. Desse modo, terão maior embasamento para adotar proteções e terão uma métrica com indicadores de resultados realmente eficazes.
SEGURANÇA DA INFORMAÇÃO
Segurança Física
A segurança física é uma parte importante da segurança da informação. Ela envolve a proteção de ativos de informação contra acesso não autorizado, bem como a prevenção de danos físicos aos ativos de informação. Alguns dos elementos básicos que podem ser úteis para proteger a segurança física incluem: controle de acesso, monitoramento por vídeo, iluminação, campo de visão, evitar pontos de esconderijo, modos de prever os movimentos, vigilância natural, manutenção e a localidade das instalações.
Segurança Lógica
Uma das formas de segurança lógica que considero eficiente, é a chamada segurança por obscuridade, essa parte do princípio de que um ativo de informação só pode ser atacado se alguém souber de sua existência. Então, ocultar as informações que poderiam ser possivelmente utilizadas por um atacante é uma excelente prática que pode melhorar a segurança como um todo. Alguns dos elementos básicos que podem ser úteis para proteger a comunicação com a nuvem ou entre as principais redes da organização incluem: roteadores de borda, firewalls, NAT (Network Address Translation) VPN (Virtural Private Network), Bastion Host, Perímetro Lógico, IDS (Intrusion Detection System), IPS (Intrusion Prevention System)
Segurança dos Softwares
Nesse nível de segurança, além da instalação e configuração de um antivírus eficiente, afim de sempre estar realizando varredura no sistema em busca de vulnerabilidades, bloquear possíveis ataques advindos de crackers, e implementar a proteção juntos aos outros dispositivos de segurança, é primordial a elaboração de um programa de treinamento ao usuário final, sendo esse, muitas vezes, o elo mais fraco no que se refere a segurança da informação. De nada adianta um programa de segurança física e lógica eficiente se o próprio usuário realiza a instalação de malwares nas máquinas, sendo muita das vezes, por falta de conhecimento técnico. Podendo ainda, ser vítima de um ataque de Engenharia Social. Esse tipo de ataque é voltado diretamente para o usuário final, e a melhor forma de preveni-lo é com a elaboração de um eficiente programa de capacitação, orientando-o como identificar e como agir diante de tal situação. Manter um integrante da equipe de TI responsável pela atualização dos principais softwares da empresa, também é uma excelente prática. Outra forma de proporcionar o princípio da confidencialidade das informações é implementar controles de acesso em três formas: baseado no que você é (como impressão digital), no que você sabe (como senhas) e no que você tem (como cartões de acesso). O tipo de controle de acesso a ser estabelecido dependerá tanto do ambiente a ser acessado, quanto no grau de confidencialidade da informação a ser acessada.
Gerir os riscos nada mais é do que identificá-los e tratá-los de forma sistemática e contínua. Este processo de gestão de risco é responsável por identificar, avaliar e implementar medidas de proteções necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informações. O risco pode ser definido pela combinação da probabilidade de um evento e sua consequência.
Sistema de Gestão de Risco
Pode-se dizer que o sistema de gestão de risco é o ato de administrar o risco criando mecanismos para identificar, analisar, tratar e comunicar as decisões sobre as melhores formas de gerir esses riscos, alinhados com a estratégia da organização. Os benefícios do uso de um programa de gestão de risco são evidentes, pois, quando implantado e seguido com eficácia, além de priorizar os riscos e suas ações, pode-se conhecer melhor os riscos e tomar conhecimento de quais mecanismos têm o consenso administrativo. Desse modo, terão maior embasamento para adotar proteções e terão uma métrica com indicadores de resultados realmente eficazes.
SEGURANÇA DA INFORMAÇÃO
Segurança Física
A segurança física é uma parte importante da segurança da informação. Ela envolve a proteção de ativos de informação contra acesso não autorizado, bem como a prevenção de danos físicos aos ativos de informação. Alguns dos elementos básicos que podem ser úteis para proteger a segurança física incluem: controle de acesso, monitoramento por vídeo, iluminação, campo de visão, evitar pontos de esconderijo, modos de prever os movimentos, vigilância natural, manutenção e a localidade das instalações.
Segurança Lógica
Uma das formas de segurança lógica que considero eficiente, é a chamada segurança por obscuridade, essa parte do princípio de que um ativo de informação só pode ser atacado se alguém souber de sua existência. Então, ocultar as informações que poderiam ser possivelmente utilizadas por um atacante é uma excelente prática que pode melhorar a segurança como um todo. Alguns dos elementos básicos que podem ser úteis para proteger a comunicação com a nuvem ou entre as principais redes da organização incluem: roteadores de borda, firewalls, NAT (Network Address Translation) VPN (Virtural Private Network), Bastion Host, Perímetro Lógico, IDS (Intrusion Detection System), IPS (Intrusion Prevention System)
Segurança dos Softwares
Nesse nível de segurança, além da instalação e configuração de um antivírus eficiente, afim de sempre estar realizando varredura no sistema em busca de vulnerabilidades, bloquear possíveis ataques advindos de crackers, e implementar a proteção juntos aos outros dispositivos de segurança, é primordial a elaboração de um programa de treinamento ao usuário final, sendo esse, muitas vezes, o elo mais fraco no que se refere a segurança da informação. De nada adianta um programa de segurança física e lógica eficiente se o próprio usuário realiza a instalação de malwares nas máquinas, sendo muita das vezes, por falta de conhecimento técnico. Podendo ainda, ser vítima de um ataque de Engenharia Social. Esse tipo de ataque é voltado diretamente para o usuário final, e a melhor forma de preveni-lo é com a elaboração de um eficiente programa de capacitação, orientando-o como identificar e como agir diante de tal situação. Manter um integrante da equipe de TI responsável pela atualização dos principais softwares da empresa, também é uma excelente prática. Outra forma de proporcionar o princípio da confidencialidade das informações é implementar controles de acesso em três formas: baseado no que você é (como impressão digital), no que você sabe (como senhas) e no que você tem (como cartões de acesso). O tipo de controle de acesso a ser estabelecido dependerá tanto do ambiente a ser acessado, quanto no grau de confidencialidade da informação a ser acessada.
Essa pergunta também está no material:
💡 1 Resposta
Ed 
Qual é a sua pergunta sobre o texto "Gerenciamento e Avaliação dos Riscos"?
✏️ Responder
Para escrever sua resposta aqui, entre ou crie uma conta
Outros materiais
Perguntas relacionadas
Materiais relacionados
152 pág.
Compartilhar