q
1 A definição dos papéis e responsabilidades é importante para o sucesso do processo de gestão de riscos.
1 Devem ser definidos:
2 O processo de gestão de risco adequado à organização. 2 As partes interessadas.
2 Os papéis e responsabilidades das partes envolvidas, internas e externas à organização. 2 As relações necessárias entre a organização, suas partes interessadas e
outros projetos.
2 A cadeia de comunicação e de decisões. 2 Os registros que devem ser mantidos.
2 Outros registros que atendam a particularidades específicas de cada tipo de organização.
1 Todas estas atividades devem gerar evidências para a aplicação dos processos de gestão de riscos.
A definição dos papéis e responsabilidades é um fator importante para o sucesso do processo de gestão de riscos. Para tal isto deve estar formalmente definida, comunicada, documentada e aprovada pelos gestores da alta administração.
Deve ficar claro para todos os envolvidos que o conjunto destas atividades deve gerar evidências que auxiliem para uma aplicação adequada dos processos de gestão de riscos. Sendo assim, é importante que todas as informações e dados sejam documentados para o caso de uma futura auditoria.
Leitura complementar
1 Sessão 7 da norma ABNT NBR ISO/IEC 27005. 1 Sessões 5, 6 e 7 da norma ABNT NBR ISO/IEC 27002.
1 Capítulo 5 do livro “O risco de TI” (Desenvolvendo o processo de governança de risco), de George Westerman e Richard Hunter: Harvard Business School Press, 2008.
Ca pí tu lo 2 - R ot ei ro d e A tiv id ad es
Roteiro de Atividades 2
Visão geral da atividade
Serão realizadas as atividades necessárias para a “Definição do contexto”. A figura a seguir apresenta graficamente a localização destas atividades no processo de gestão de riscos.
IDENTIFICAÇÃO DE RISCOS ANÁLISE DE RISCOS
ACEITAÇÃO DO RISCO
FIM DA PRIMEIRA OU DAS DEMAIS ITERAÇÕES
COMUNICAÇÃO E CONSULTA DO RISCO
MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS
PONTO DE DECISÃO 2 Tratamento satisfatório PONTO DE DECISÃO 1 Avaliação satisfatória Não Sim Não Sim
PROCESSO DE AVALIAÇÃO DE RISCOS
TRATAMENTO DO RISCO AVALIAÇÃO DE RISCOS DEFINIÇÃO DO CONTEXTO
A realização desta atividade deve ser acompanhada da leitura da norma ABNT NBR ISO/IEC 27005, do material de apoio fornecido e ainda pela vivência e experiência em sua organização. Para esta atividade, o aluno deve se valer do Anexo A (Descrição da Empresa), que permitirá a criação de uma empresa fictícia ou ainda auxiliar em algumas observações sobre sua orga- nização. A planilha desta atividade é composta de perguntas básicas para o entendimento do contexto organizacional.
A sequência das atividades será:
1. Leitura da Seção 7 e do Anexo A da norma ABNT NBR ISO/IEC 27005; 2. Leitura do Anexo A (Descrição da Empresa) deste caderno de atividades;
Figura 2.2 Atividades para
a “Definição do contexto”.
G es tã o d e R is co s d e T I N BR 2 70 05
4. Execução das atividades da planilha: a. Exercícios da guia “Definir Contexto”
O objetivo desta atividade é, através de respostas a algumas perguntas, desenvolver no aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o contexto. Devem ser respondidas as perguntas que permitirão que a equipe de análise de risco identi- fique e compreenda o contexto do ambiente onde será desenvolvida a análise.
Para cada tópico deverão ser colocadas à direita as observações ou justificativas correspondentes. Só passe para a guia seguinte após concluir.
b. Exercícios da guia “Restrições”
Esta atividade conduz ao entendimento da importância da identificação das restrições existentes. Nesta guia serão inseridas as restrições aplicáveis à organização, de acordo com o Anexo A da ABNT NBR ISO/IEC 27005.
A coluna “Restrições” apresenta uma lista baseada na norma, cabendo ao aluno escolher as que se aplicam e escrever a justificativa.
Existem restrições que afetam a organização e restrições que afetam o escopo da gestão de riscos. Só passe para a guia seguinte após concluir.
a. Exercícios da guia “Escopo”
O objetivo desta atividade é, através de respostas a algumas perguntas, desenvolver no aluno o entendimento do que deve ser pensado, planejado e verificado ao definirmos o escopo e seus limites.
Esta guia apresenta exercícios para que a equipe de análise tenha um perfeito entendi- mento do escopo e seus limites. Para cada tópico deverão ser colocadas à direita as observa- ções correspondentes.
Só passe para a guia seguinte após concluir. b. Exercícios da guia “Critérios”
Esta guia apresenta um exercício para permitir a definição dos critérios que serão traba- lhados durante toda a análise de risco.
Aqui a equipe de análise de risco da organização onde é realizado o trabalho, definirá os cri- térios que conduzirão os trabalhos durante todo o processo. É importante que estes critérios sejam factíveis e válidos para o ambiente do escopo da gestão de riscos e para a organização.
Figura 2.3 Análise das restrições.
Ca pí tu lo 2 - R ot ei ro d e A tiv id ad es
Critérios a serem definidos:
1 Probabilidade – representa o percentual de chance de um evento ocorrer;
1 Relevância do ativo – importância do ativo para os negócios/serviços da organização; 1 Severidade das consequências – grau das consequências sofridas por um ativo em
relação aos serviços/negócios (disponibilizados pelo ativo ou que passam por ele) ao ser atacado ou parar de funcionar;
1 Impacto – índice para mensurar o montante dos danos ou custos à organização causados pela ocorrência de um evento de segurança da informação;
1 Critério de risco – define o nível ou sua escala de aceitação dos riscos e depende das políticas, metas e objetivos da organização.
IMPACTO
Nível Descrição
Desprezível De acordo com a organização - DEFINA
Baixo De acordo com a organização - DEFINA
Significativo De acordo com a organização - DEFINA
Importante Afetam a imagem da organização e causam interrupção de 12 horas nos negócios. A empresa deixa de funcionar/produzir por 12 horas.
Desastre De acordo com a organização - DEFINA
Cada critério é composto por nível e descrição. Para cada um deles a equipe de análise deverá definir seus critérios.
Para a atividade, as descrições que possuem a palavra DEFINA deverão ser comple- tadas pela equipe e alguns níveis poderão ser alterados. Os critérios definirão as demais atividades no decorrer do curso.
5. Verificação e correção pelo instrutor.
Ao concluir o Roteiro de Atividades 2, a equipe de análise conhecerá o ambiente da organi- zação. O escopo da análise estará definido, assim como os critérios de análise que nortearão todos os trabalhos da gestão de risco.
Tabela 2.6 Definição de critérios.
G es tã o d e R is co s d e T I N BR 2 70 05