objetivos de negócio e com os critérios de risco
Exercício de fixação 1 e
Monitoramento e análise crítica dos riscos
O que é monitoramento e análise crítica dos riscos? Explique sua finalidade.
Monitoramento, análise crítica e melhoria do processo de
gestão de riscos
q
1 Garante que o processo de gestão de riscos atende aos requisitos estratégicos do negócio da organização.
2 Entrada: TODAS as informações obtidas sobre os riscos e atividades desenvol- vidas.
2 Ação: monitoramento, análise crítica e melhoria do processo de gestão de riscos de segurança da informação.
2 Saída: a garantia permanente da relevância do processo de gestão de riscos de segu- rança para os objetivos de negócio da organização ou a atualização do processo. 1 Permite que a organização analise seu processo de gestão de riscos e execute as
melhorias necessárias ao processo.
1 O trabalho da equipe de análise nesta atividade é ter realizado a atividade anterior e ter passado os resultados para a organização, para que estes sejam utilizados como subsídios para o monitoramento, análise crítica e melhorias do processo de gestão de riscos para toda a organização.
Figura 10.2 Atividade de monitoramento e análise crítica.
Ca pí tu lo 1 0 - M on ito ra m en to d os r is co s
q
1 O monitoramento e análise da organização permitirão:
2 A verificação da disponibilidade dos recursos necessários à gestão e tratamento do risco.
2 A verificação da necessidade de mudanças nos critérios, na metodologia ou nas ferramentas utilizadas.
Esta atividade tem por objetivo garantir que o processo de gestão de riscos esteja realmente atendendo aos requisitos estratégicos do negócio da organização.
Na atividade de monitoramento, análise crítica e melhoria do processo de gestão de riscos: 1 Entrada: são TODAS as informações sobre os riscos obtidos e atividades desenvolvidas 1 Ação: monitoramento, análise crítica e melhoria do processo de gestão de riscos de segu-
rança da informação.
1 Saída: a garantia permanente da relevância do processo de gestão de riscos de segu- rança para os objetivos de negócio da organização ou a atualização do processo.
Esta atividade permite que a organização analise seu processo de gestão de riscos e a possi- bilidade de execução das melhorias necessárias ao processo. Nesta atividade, o trabalho da equipe de análise é ter realizado a atividade anterior e ter passado os resultados para a organização, para que sejam utilizados como subsídios para o monitoramento, análise crítica e melhoria do processo de gestão de riscos, para toda a organização.
O monitoramento permite que a organização verifique se todos os recursos necessários à gestão e tratamento do risco estão disponíveis, e também a verificação da necessidade de mudanças nos critérios, na metodologia ou nas ferramentas utilizadas.
TODAS as informações sobre os riscos obtidas nas atividades
Entrada Ação Saída
Monitoramento, Análise crítica e Melhoria do processo (12.2 da ABNT NBR ISO/IEC 27005) Garantia permanente do processo de gestão de riscos para os objetivos de negócios ou atualização do processo
Leitura complementar
1 Sessão 12.1 da norma ABNT NBR ISO/IEC 27005. 1 Sessão 12.2 da norma ABNT NBR ISO/IEC 27005.
Figura 10.3 Atividade de monitoramento, análise crítica e melhoria do processo de gestão de riscos.
G es tã o d e R is co s d e T I N BR 2 70 05
Ca pí tu lo 1 0 - R ot ei ro d e A tiv id ad es
Roteiro de Atividades 10
Visão geral da atividade
Nesta atividade, serão realizadas as atividades necessárias para a “Análise de risco – monitoramento dos riscos”.
A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos:
DEFINIÇÃO DO CONTEXTO
IDENTIFICAÇÃO DE RISCOS ANÁLISE DE RISCOS
ACEITAÇÃO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES
COMUNICAÇÃO E CONSULTA DO RISCO
PONTO DE DECISÃO 2 Tratamento satisfatório PONTO DE DECISÃO 1 Avaliação satisfatória Não Sim Não Sim
PROCESSO DE AVALIAÇÃO DE RISCOS
TRATAMENTO DO RISCO AVALIAÇÃO DE RISCOS
MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS
A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade o aluno deve se valer das observações da empresa KWX.
A sequência das atividades será:
1. Leitura da Seção 12 da ABNT NBR ISO/IEC 27005;
2. Explicação e demonstração da planilha de análise de risco pelo instrutor; 3. Execução das atividades da planilha;
Figura 10.4 Atividades do processo de gestão de riscos.
G es tã o d e R is co s d e T I N BR 2 70 05
q
Na guia Sessão 10 da Planilha encontram-se duas guias: 1º) a guia “Monitoramento dos Riscos”
2º) a guia “Monitoramento_Melhoria_Processo”
a. Exercício da guia “Monitoramento dos Riscos” – Monitoramento e análise crítica dos riscos de segurança da informação.
Neste exercício, a equipe de análise realizará as atividades necessárias para o monitora- mento e análise crítica dos riscos. Estas atividades na realidade são desenvolvidas desde a primeira atividade do processo de gestão de riscos.
Esta atividade visa fazer o monitoramento e a análise crítica dos riscos encontrados. A equipe está encontrando os riscos? Está deixando de observar alguma coisa?
Para o exercício, a equipe de análise de risco responderá a uma sequência de perguntas que visam mostrar um processo lógico de monitoramento e análise crítica de riscos durante toda a gestão de riscos, para permitir um perfeito entendimento desta importante atividade da organização. O monitoramento e a análise crítica de riscos permitirão orientar e aperfeiçoar a execução dos trabalhos da equipe de análise da gestão de riscos.
A planilha permite a edição apenas das células azuis. Só passe para a guia seguinte após concluir.
b. Exercício da guia “Monitoramento_Melhoria_Processo” – Monitoramento, análise crítica e melhoria do processo de gestão dos riscos.
Neste exercício, a equipe de análise realizará juntamente com a organização as atividades necessárias para o monitoramento, análise crítica e melhoria do processo de gestão dos riscos. Estas atividades são desenvolvidas com o objetivo de identificar se a gestão dos riscos está sendo eficiente, eficaz e atendendo aos requisitos dos negócios.
Esta atividade visa fazer o monitoramento do processo de gestão dos riscos e a análise crítica para a melhoria contínua da gestão dos riscos. O processo de gestão dos riscos está funcionando? O que é necessário melhorar no processo de gestão dos riscos?
Para o exercício, a equipe de análise de risco responderá a uma sequência de perguntas que visam mostrar um processo lógico do monitoramento, análise crítica e melhoria do processo da gestão dos riscos na organização, visando o aperfeiçoamento contínuo do processo e das atividades que o compõem.
A planilha permite a edição apenas das células azuis. 4. Verificação e correção pelo instrutor.
Ao concluir o Roteiro de Atividades 10, a equipe de análise terá concluído todo um ciclo da gestão dos riscos. Os próximos passos serão:
1 A confecção de um relatório contendo os resultados (ativos, ameaças, vulnerabilidades, consequências, impactos e riscos priorizados);
1 Confecção de um plano de tratamento contendo os controles que devem ser implemen- tados para a mitigação dos riscos.
Observe a guia “Gráficos_Exemplos” na qual constam alguns exemplos de gráficos que podem ser realizados para ilustrar a apresentação dos resultados e servirem de compa- ração com outras análises de risco realizadas.
Ca pí tu lo 1 0 - R ot ei ro d e A tiv id ad es
É importante que todo o trabalho seja feito baseado nas normas de segurança da infor- mação que formam a base da gestão da segurança da informação.
O que foi aprendido
q
1 Conceito de monitoramento, análise crítica e melhoria do processo. 1 Razões para a realização do monitoramento.
1 Atividades para realização do monitoramento.
1 Razões para executar a análise crítica e a melhoria contínua.
Conclusão
Visão geral da gestão de riscos
Neste curso foram vistos todos os aspectos da gestão dos riscos, de acordo com a NBR ISO/ IEC 27005. A figura a seguir apresenta graficamente a localização destas atividades no pro- cesso de gestão de riscos.
DEFINIÇÃO DO CONTEXTO
IDENTIFICAÇÃO DE RISCOS ANÁLISE DE RISCOS
ACEITAÇÃO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES
COMUNICAÇÃO E CONSULTA DO RISCO
MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS
PONTO DE DECISÃO 2 Tratamento satisfatório PONTO DE DECISÃO 1 Avaliação satisfatória Não Sim Não Sim
PROCESSO DE AVALIAÇÃO DE RISCOS
TRATAMENTO DO RISCO AVALIAÇÃO DE RISCOS
Os objetivos de proporcionar conhecimento sobre a gestão dos riscos e fornecer um ferra- mental para a realização da gestão de riscos foram detalhados e praticados em cada sessão de aprendizagem deste curso. É importante saber que ao realizar um primeiro ciclo de
Figura 10.5 Atividades no processo de gestão de riscos.
G es tã o d e R is co s d e T I N BR 2 70 05
A gestão de riscos é um processo que sempre irá trazer benefícios para a organização. A melhoria das condições de segurança da informação passa obrigatoriamente pelo conheci- mento das fraquezas e vulnerabilidades que podem ser exploradas para que as ameaças se concretizem. E, indiscutivelmente, a melhor forma de fazer isso é através da gestão de riscos.
Bib lio gr afi a
Bibliografia
1 AS/NZS 4360 – Gestão de riscos – Princípios e diretrizes.
1 BERNSTEIN, Peter L. Desafio aos deuses: a fascinante história do risco. 23ª ed., Editora Campus, 1997.
1 CERIAS – The Center for Education and Research in Information Assurance and Security: http://www.cerias.purdue.edu/ (acesso em julho de 2013).
1 Cert.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil: http://www.cert.br/links/ (acesso em julho de 2013). 1 DE CICCO, Francesco; FANTAZZINI, Mario Luiz. Tecnologias consagradas
de gestão de riscos. São Paulo: Risk Tecnologia Editora, 2003.
1 Enterprise Risk Management: Past, Present and Future: http://www.casact. org/education/erm/2004/handouts/kloman.pdf (acesso em julho de 2013). 1 Interdisciplinary Risk Management:,
http://www.riskinfo.com/rmr/rmrjun05.htm (acesso em julho de 2013). 1 Marcos Sêmola – website Gestão de Riscos da Informação:
http://www.semola.com.br/conceitos.html (acesso em julho de 2013). 1 NBR Guia 73 – Gestão de riscos – Vocabulário
1 NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos.
1 NBR ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação.
1 NBR ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação.
1 NBR ISO/IEC 31000 – Gestão de riscos – Princípios e diretrizes.
1 PELTIER, Thomas R. Information Security Risk Analysis. CRC Press, 2005. 1 SANS – The Cyber Security Risks:
http://www.sans.org/top-cyber-security-risks/?ref=top20 (acesso em julho de 2013).
1 Security Focus – Vulnerabilities: http://www.securityfocus.com/ (acesso em julho de 2013).
1 WESTERMAN, George; HUNTER, Richard. O risco de TI. Harvard Business School Press, 2008.
G es tã o d e R is co s d e T I N BR 2 70 05
Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisa- dor, gerente de projeto e gerente téc- nico, em inúmeros projetos de gestão de riscos, gestão de segurança da informação, continuidade de negócios, PCI, auditoria e recu- peração de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como palestrante nos principais eventos do Brasil e ainda como instrutor de trei- namentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, inovação e tec- nologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Possui a certificação CRISC da ISACA, além de diversas outras em segurança e governança.