2a Aula Apostila 3 Topico 1 Analise e Gerenciamento de Riscos BACEN 2009 FINAL 20091212114335

BANCO CENTRAL DO BRASIL  BANCO CENTRAL DO BRASIL  BANCO CENTRAL DO BRASIL  BANCO CENTRAL DO BRASIL 

2009/2010  2009/2010  2009/2010  2009/2010 

 ANÁLISE E GER

 ANÁLISE E GERENCIAMENTO

ENCIAMENTO

 ANÁLISE E GEREN

 ANÁLISE E GEREN

CIAMENTO

CIAMENTO

 DE RISCOS 

 DE RISCOS 

 DE RISCOS 

 DE RISCOS 

- Identificação e classificação de ativos; - Identificação e classificação de ativos; - Identificação e classificação de ativos;

- Identificação e classificação de ativos;

- Vulnerabilidades; - Vulnerabilidades; -

- VVuulnerabilidlnerabilidades;ades;

- Ameaças; - Ameaças; - Ameaças; - Ameaças; - Probabilidades; - Probabilidades; - Probabilidades; - Probabilidades; - Impactos; e - Impactos; e - Impactos; e - Impactos; e - Alternativas de mitigação. - Alternativas de mitigação. - Alternativas de mitigação. - Alternativas de mitigação.

Em um mundo onde a competição, a Em um mundo onde a competição, a Em um mundo onde a competição, a

Em um mundo onde a competição, a

evolução e a mudança desempenham papel evolução e a mudança desempenham papel evolução e a mudança desempenham papel

evolução e a mudança desempenham papel

importante para a inovação e o desenvolvimento importante para a inovação e o desenvolvimento importante para a inovação e o desenvolvimento

importante para a inovação e o desenvolvimento

de organizações, a de organizações, a de organizações, a

de organizações, a gestão de segurança dagestão de segurança da_{gestão de segurança dagestão de segurança da}

informação informação informação

informação  é elemento fundamental para o  é elemento fundamental para oé elemento fundamental para oé elemento fundamental para o

sucesso das instituições e empresas. sucesso das instituições e empresas. sucesso das instituições e empresas.

sucesso das instituições e empresas.

Dentre os diversos assuntos tratados pela Dentre os diversos assuntos tratados pela Dentre os diversos assuntos tratados pela

Dentre os diversos assuntos tratados pela

gestão de segurança da informação, um dos gestão de segurança da informação, um dos gestão de segurança da informação, um dos

gestão de segurança da informação, um dos

 principais

 principais elementos elementos que que direcionam direcionam as as ações ações é é oo  principais

 principais elementos elementos que que direcionam direcionam as as ações ações é é oo

gerenciamento de risco gerenciamento de risco gerenciamento de risco

gerenciamento de risco, iniciado com a, iniciado com a, iniciado com a, iniciado com a implementação de um processo de

implementação de um processo de implementação de um processo de

Em um mundo onde a competição, a Em um mundo onde a competição, a Em um mundo onde a competição, a

Em um mundo onde a competição, a

evolução e a mudança desempenham papel evolução e a mudança desempenham papel evolução e a mudança desempenham papel

evolução e a mudança desempenham papel

importante para a inovação e o desenvolvimento importante para a inovação e o desenvolvimento importante para a inovação e o desenvolvimento

importante para a inovação e o desenvolvimento

de organizações, a de organizações, a de organizações, a

de organizações, a gestão de segurança dagestão de segurança da_{gestão de segurança dagestão de segurança da}

informação informação informação

informação  é elemento fundamental para o  é elemento fundamental para oé elemento fundamental para oé elemento fundamental para o

sucesso das instituições e empresas. sucesso das instituições e empresas. sucesso das instituições e empresas.

sucesso das instituições e empresas.

Dentre os diversos assuntos tratados pela Dentre os diversos assuntos tratados pela Dentre os diversos assuntos tratados pela

Dentre os diversos assuntos tratados pela

gestão de segurança da informação, um dos gestão de segurança da informação, um dos gestão de segurança da informação, um dos

gestão de segurança da informação, um dos

 principais

 principais elementos elementos que que direcionam direcionam as as ações ações é é oo  principais

 principais elementos elementos que que direcionam direcionam as as ações ações é é oo

gerenciamento de risco gerenciamento de risco gerenciamento de risco

gerenciamento de risco, iniciado com a, iniciado com a, iniciado com a, iniciado com a implementação de um processo de

implementação de um processo de implementação de um processo de

Cada vez mais as organizações, seus Cada vez mais as organizações, seus Cada vez mais as organizações, seus

Cada vez mais as organizações, seus

sistemas de informação sistemas de informação sistemas de informação

sistemas de informação eeee redes de computadores redes de computadoresredes de computadoresredes de computadores

são colocados  prova por diversos tipos de são colocados  prova por diversos tipos de são colocados  prova por diversos tipos de

são colocados  prova por diversos tipos de

ameaças ameaças ameaças

ameaças, incluindo vazamento de informações,, incluindo vazamento de informações,_{, incluindo vazamento de informações,, incluindo vazamento de informações,}

fraudes, rou!os e invasões "f#sicas e l$gicas%. fraudes, rou!os e invasões "f#sicas e l$gicas%. fraudes, rou!os e invasões "f#sicas e l$gicas%.

fraudes, rou!os e invasões "f#sicas e l$gicas%.

&ro!lemas causados por v#rus e hac'ers são &ro!lemas causados por v#rus e hac'ers são &ro!lemas causados por v#rus e hac'ers são

&ro!lemas causados por v#rus e hac'ers são

freq(entes e se proliferam rapidamente. freq(entes e se proliferam rapidamente. freq(entes e se proliferam rapidamente.

)

) Análise de RiscosAnálise de Riscos tem por o!*etivo+tem por o!*etivo+

 -apear e tratar adequadamente as

 -apear e tratar adequadamente as ameaçasameaças ee vulnera!ilidadesvulnera!ilidades do am!ientedo am!iente

 /dentificar

 /dentificar riscosriscos

 0uantificar o impacto das

 0uantificar o impacto das ameaçasameaças e e

 Conseguir um equil#!rio financeiro entre o  Conseguir um equil#!rio financeiro entre o impacto

)

) identificação dos riscosidentificação dos riscos e seu corretoe seu correto entendimento irá

entendimento irá direcionar os investimentosdirecionar os investimentos dede forma consciente, o!tendo melhores resultados.

forma consciente, o!tendo melhores resultados.

 1esse processo é necessário se quantificar o  1esse processo é necessário se quantificar o impacto dos riscos

impacto dos riscos e2istentes no am!iente so!re ose2istentes no am!iente so!re os resultados da empresa ou instituição.

resultados da empresa ou instituição.

Com a análise de risco é poss#vel verificar Com a análise de risco é poss#vel verificar qual o

qual o investimentoinvestimento necessárionecessário  infraestrutura de infraestrutura de segurança de modo que os

segurança de modo que os riscos inaceitáveisriscos inaceitáveis se*amse*am gerenciados.

3iscos 3iscos

&ro!a!ilidade de ocorr4ncia de um acidente &ro!a!ilidade de ocorr4ncia de um acidente ou evento adverso

ou evento adverso

&ro!a!ilidade de danos potenciais &ro!a!ilidade de danos potenciais

5ator, evento ou condição incerta, com efeito 5ator, evento ou condição incerta, com efeito  positivo ou negativo so!re os o!*etivos da  positivo ou negativo so!re os o!*etivos da

instituição ou empresa instituição ou empresa

6

6 3isco3isco  é a relação e2istente entre aé a relação e2istente entre a  pro!a!ilidade de que uma ameaça de evento  pro!a!ilidade de que uma ameaça de evento adverso ou acidente determinado se concretize e o adverso ou acidente determinado se concretize e o grau de vulnera!ilidade do sistema receptor e seus grau de vulnera!ilidade do sistema receptor e seus

efeitos. efeitos.

3isco

3isco  é a pro!a!ilidade de um agente deé a pro!a!ilidade de um agente de ameaça efetivar uma ameaça, via e2ploração de ameaça efetivar uma ameaça, via e2ploração de uma vulnera!ilidade de um ativo, causando uma vulnera!ilidade de um ativo, causando impactos que comprometem o cumprimento da impactos que comprometem o cumprimento da

missão. missão.

3isco )m!iental 3isco )m!iental

&ossi!ilidade de dano, enfermidade ou morte &ossi!ilidade de dano, enfermidade ou morte resultante da e2posição de seres humanos, animais resultante da e2posição de seres humanos, animais ou vegetais a agentes ou condições am!ientais ou vegetais a agentes ou condições am!ientais  potencialmente perigosas.

)meaças )meaças

)ção ou evento que potencialmente pode )ção ou evento que potencialmente pode romper a segurança e causar danos.

romper a segurança e causar danos.

)gentes ou condições dispostos a e2plorar )gentes ou condições dispostos a e2plorar vulnera!ilidades para geração de incidentes.

vulnera!ilidades para geração de incidentes.

E2.+ funcionários insatisfeitos, enchentes, E2.+ funcionários insatisfeitos, enchentes, temperatura, e2funcionários, concorrentes.

  7 necessário identificar as falhas de7 necessário identificar as falhas de segurança e as ameaças ativas, reagindo de acordo segurança e as ameaças ativas, reagindo de acordo com o n#vel de gravidade do risco e as potenciais com o n#vel de gravidade do risco e as potenciais  perdas.

/dentificação da )meaça /dentificação da )meaça

/dentificação do agente ou evento adverso, /dentificação do agente ou evento adverso, efeitos favoráveis e desfavoráveis, população efeitos favoráveis e desfavoráveis, população

vulnerável e condições de e2posição. vulnerável e condições de e2posição.

Caracterização do 3isco Caracterização do 3isco

Descrição dos diferentes efeitos potenciais Descrição dos diferentes efeitos potenciais relacionados com a ameaça.

relacionados com a ameaça.

7 a etapa final da avaliação de risco, ou se*a, 7 a etapa final da avaliação de risco, ou se*a, descrição da natureza, incluindo a sua intensidade descrição da natureza, incluindo a sua intensidade  para os seres humanos e o grau de incerteza  para os seres humanos e o grau de incerteza

concomitante "pro!a!ilidade de ocorr4ncia%. concomitante "pro!a!ilidade de ocorr4ncia%.

Descrição dos diferentes efeitos potenciais Descrição dos diferentes efeitos potenciais "danos poss#veis% e a quantificação da relação entre "danos poss#veis% e a quantificação da relação entre a magnitude do evento e a intensidade do dano a magnitude do evento e a intensidade do dano

esperado, mediante metodologia cient#fica. esperado, mediante metodologia cient#fica.

Enumeração dos dados esperados a sa8de, ao Enumeração dos dados esperados a sa8de, ao  patrim9nio, instalações, meio am!iente, etc.

 patrim9nio, instalações, meio am!iente, etc.

0uantificação e definição da proporção, por 0uantificação e definição da proporção, por meio de estudos epidemiol$gicos e de modelos meio de estudos epidemiol$gicos e de modelos matemáticos, entre a magnitude do evento e a matemáticos, entre a magnitude do evento e a

intensidade dos danos esperados "causa e efeito%. intensidade dos danos esperados "causa e efeito%. Definição da área e da população em risco. Definição da área e da população em risco.

)valiação da E2posição )valiação da E2posição

Estudo da evolução do fen9meno,

Estudo da evolução do fen9meno,

considerandose a variável tempo. considerandose a variável tempo.

Definição dos n#veis de alerta e alarme. Definição dos n#veis de alerta e alarme.

Estimativa de 3isco Estimativa de 3isco

Conclusão so!re o grau de risco, o!tida ap$s Conclusão so!re o grau de risco, o!tida ap$s a comparação entre a caracterização do risco e a a comparação entre a caracterização do risco e a

avaliação da e2posição. avaliação da e2posição.

Definição de )lternativas de :estão Definição de )lternativas de :estão

&rocesso de desenvolvimento e análise de &rocesso de desenvolvimento e análise de alternativas, com o o!*etivo de controlar e alternativas, com o o!*etivo de controlar e

minimizar os riscos e as vulnera!ilidades. minimizar os riscos e as vulnera!ilidades.

Danos Danos

6s desastres não produzem apenas efeitos 6s desastres não produzem apenas efeitos facilmente percept#veis, pois t4m conseq(4ncias facilmente percept#veis, pois t4m conseq(4ncias que se desenvolvem lentamente e se manifestam que se desenvolvem lentamente e se manifestam

muito tempo depois de ocorrido o desastre. muito tempo depois de ocorrido o desastre.

Danos /ndiretos Danos /ndiretos

3eferemse !asicamente aos !ens e serviços 3eferemse !asicamente aos !ens e serviços que dei2am de ser produzidos ou prestados durante que dei2am de ser produzidos ou prestados durante um lapso de tempo que se inicia logo depois de um lapso de tempo que se inicia logo depois de ocorrido o desastre e pode se prolongar durante a ocorrido o desastre e pode se prolongar durante a

fase de rea!ilitação e reconstrução. fase de rea!ilitação e reconstrução.

Danos Diretos Danos Diretos

;ão aqueles sofridos pelos ativos

;ão aqueles sofridos pelos ativos

imo!ilizados, destru#dos ou danificados. imo!ilizados, destru#dos ou danificados.

<ratase, essencialmente, dos pre*u#zos que o <ratase, essencialmente, dos pre*u#zos que o  patrim9nio sofreu durante o sinistro.

6s desastres podem provocar ainda alguns 6s desastres podem provocar ainda alguns efeitos indiretos dif#ceis de se quantificar.

efeitos indiretos dif#ceis de se quantificar.

;ão os efeitos =intang#veis>, como os ;ão os efeitos =intang#veis>, como os sofrimento humano, a insegurança, re*eição pela sofrimento humano, a insegurança, re*eição pela forma com que a autoridade enfrentaram as forma com que a autoridade enfrentaram as

conseq(4ncias do desastre. conseq(4ncias do desastre.

 1a análise de risco é realizado um  1a análise de risco é realizado um levantamento das ameaças e vulnera!ilidades do levantamento das ameaças e vulnera!ilidades do

am!iente. am!iente.

)s informações resultantes deste

)s informações resultantes deste

levantamento são correlacionadas com os

levantamento são correlacionadas com os ativosativos dada empresa ou instituição, onde são analisados os empresa ou instituição, onde são analisados os riscos poss#veis a cada ativo e o valor financeiro riscos poss#veis a cada ativo e o valor financeiro

que este risco representa. que este risco representa.

6 resultado na análise de risco fornece 6 resultado na análise de risco fornece informações estratégicas que possi!ilitam a informações estratégicas que possi!ilitam a definição de um limite entre os investimentos em definição de um limite entre os investimentos em

segurança e os riscos aceitáveis. segurança e os riscos aceitáveis.

Vulnerabilidades Vulnerabilidades

;ão falhas e2istentes em tecnologias, ;ão falhas e2istentes em tecnologias, am!ientes, processos ou pessoas.

am!ientes, processos ou pessoas.

E2.+ falta de treinamento de funcionários, !ug E2.+ falta de treinamento de funcionários, !ug em soft?are, falta de manutenção de hard?are, em soft?are, falta de manutenção de hard?are, falta de e2tintores de inc4ndio, ine2ist4ncia ou falta de e2tintores de inc4ndio, ine2ist4ncia ou

inadequado controle de acesso a instituição, etc. inadequado controle de acesso a instituição, etc.

 )nálise de @ulnera!ilidades)nálise de @ulnera!ilidades

<em por o!*etivo verificar a e2ist4ncia de <em por o!*etivo verificar a e2ist4ncia de falhas de segurança no am!iente.

falhas de segurança no am!iente.

Esta análise é uma ferramenta importante Esta análise é uma ferramenta importante  para a implementação de controles de segurança  para a implementação de controles de segurança

eficientes so!re os ativos da instituição. eficientes so!re os ativos da instituição.

 1a análise de vulnera!ilidades é realizada  1a análise de vulnera!ilidades é realizada uma verificação detalhada do am!iente da uma verificação detalhada do am!iente da instituição, verificando se o am!iente atual fornece instituição, verificando se o am!iente atual fornece condições de segurança compat#veis com a condições de segurança compat#veis com a

importAncia estratégica dos serviços realizados. importAncia estratégica dos serviços realizados.

) análise de vulnera!ilidade so!re ativos da ) análise de vulnera!ilidade so!re ativos da informação compreende <ecnologias, &rocessos, informação compreende <ecnologias, &rocessos,

&essoas e )m!ientes. &essoas e )m!ientes.

Tecnologias Tecnologias++

;oft?are

;oft?are ee hard?arehard?are  usados em servidores,usados em servidores, estações de tra!alho e outros equipamentos estações de tra!alho e outros equipamentos  pertinentes, como sistemas de telefonia, rádio e  pertinentes, como sistemas de telefonia, rádio e

gravadores. gravadores.

E2.+ estações sem antiv#rus, servidores sem E2.+ estações sem antiv#rus, servidores sem detecção de intrusão, sistemas sem identificação ou detecção de intrusão, sistemas sem identificação ou

autenticação. autenticação.

)

) vulnera!ilidade na computaçãovulnera!ilidade na computação significa asignifica a e2ist4ncia de !recha em um sistema computacional, e2ist4ncia de !recha em um sistema computacional,

tam!ém conhecida como

Processos Processos

)nálise do flu2o de informação, da geração )nálise do flu2o de informação, da geração da informação e de seu consumo. )nalisa tam!ém da informação e de seu consumo. )nalisa tam!ém como a informação é compartilhada entre os como a informação é compartilhada entre os

setores da organização. setores da organização.

Pessoas Pessoas

)s pessoas são ativos da informação e )s pessoas são ativos da informação e e2ecutam processos, logo, precisam ser analisadas. e2ecutam processos, logo, precisam ser analisadas.

&essoas podem possuir grandes e importantes &essoas podem possuir grandes e importantes vulnera!ilidades.

vulnera!ilidades.

E2.+ Desconhecer a importAncia da segurança, E2.+ Desconhecer a importAncia da segurança, desconhecer suas o!rigações e responsa!ilidades, desconhecer suas o!rigações e responsa!ilidades, dei2ando processos com =dois pais> e outros dei2ando processos com =dois pais> e outros

=$rfãos>. =$rfãos>.

Ambientes Ambientes

7 o espaço f#sico onde acontecem os 7 o espaço f#sico onde acontecem os  processos, onde as pessoas tra!alham e onde estão  processos, onde as pessoas tra!alham e onde estão

instalados os componentes de tecnologia. instalados os componentes de tecnologia.

Este item é responsável pela análise de áreas Este item é responsável pela análise de áreas f#sicas.

f#sicas.

E2.+ )cesso não autorizado a servidores, E2.+ )cesso não autorizado a servidores, arquivos, agendas, cofres e fichários.

Impacto Impacto

)inda nesse processo é necessário se )inda nesse processo é necessário se determinar qual o

determinar qual o grau de pre*u#zograu de pre*u#zo da empresa ouda empresa ou instituição se determinado ativo tornarse instituição se determinado ativo tornarse indispon#vel, p8!lico ou não confiável "sem indispon#vel, p8!lico ou não confiável "sem

integridade%. integridade%.

enef!cios da Análise e "erenciamento de enef!cios da Análise e "erenciamento de Riscos

Riscos

 -aior conhecimento do am!iente, seus  -aior conhecimento do am!iente, seus  pro!lemas e riscos

 pro!lemas e riscos

 &ossi!ilidade de tratamento das

 &ossi!ilidade de tratamento das

vulnera!ilidades, com !ase nas informações vulnera!ilidades, com !ase nas informações

geradas geradas

 /nformações estratégicas so!re

 /nformações estratégicas so!re

investimentos investimentos

 -aior organização e ader4ncia a padrões de  -aior organização e ader4ncia a padrões de segurança

segurança

 -aior confia!ilidade do am!iente ap$s a  -aior confia!ilidade do am!iente ap$s a análise

análise

 /nformações para o desenvolvimento da  /nformações para o desenvolvimento da &ol#tica de ;egurança da instituição.

&ol#tica de ;egurança da instituição.

   -elhoria na identificação de ameaças e -elhoria na identificação de ameaças e oportunidades

oportunidades

 @aloração da incerteza e da varia!ilidade  @aloração da incerteza e da varia!ilidade

 :erenciamento pr$ativo ao invés de  :erenciamento pr$ativo ao invés de reativo

reativo

 )locação e uso mais efetivo de recursos  )locação e uso mais efetivo de recursos

  -elhoria no gerenciamento de incidentes e -elhoria no gerenciamento de incidentes e redução nas perdas e no custo do risco

redução nas perdas e no custo do risco

  -elhoria na confiança do -elhoria na confiança do  stakeholder  _stakeholder  e noe no

relacionamento relacionamento

 -enos surpresas  -enos surpresas

  E2ploração de oportunidades E2ploração de oportunidades

   -elhoria no plane*amento e no -elhoria no plane*amento e no desempenho da instituição

desempenho da instituição

  Economia e efici4ncia Economia e efici4ncia   -elhoria na reputação -elhoria na reputação

  &roteção da alta administração &roteção da alta administração   -elhoria pessoal. -elhoria pessoal.

Produtos #inais$ Produtos #inais$

 3eunião de conclusão da análise3eunião de conclusão da análise  3elat$rio de )nálise de 3isco3elat$rio de )nálise de 3isco

 &lano de )ção para curto e médio prazo.  &lano de )ção para curto e médio prazo.

Diagn$stico Diagn$stico

&ara que isso ocorra é necessário &ara que isso ocorra é necessário diagnosticar a situação da segurança na diagnosticar a situação da segurança na organização e recomendar ações e contramedidas organização e recomendar ações e contramedidas  para cada vulnera!ilidade mapeada.

6

6 Diagn$sticoDiagn$stico consiste em umconsiste em um  processo de processo de identificação dos riscos

identificação dos riscos  de segurança a que ade segurança a que a organização está e2posta.

organização está e2posta.

Ele será realizado através de uma avaliação Ele será realizado através de uma avaliação sistemática que visa o mapeamento das ameaças e sistemática que visa o mapeamento das ameaças e

vulnera!ilidades. vulnera!ilidades.

6

6 3isco3isco deve ser visto e entendido para quedeve ser visto e entendido para que as

as oportunidadesoportunidades  se*amse*am ma2imizadasma2imizadas  e ase as  potenciais

 potenciais perdas perdas se*amse*am minimizadasminimizadas.. 6

6 3isco3isco  representa a capacidade derepresenta a capacidade de en2ergar o futuro e suas conseq(4ncias, podendo en2ergar o futuro e suas conseq(4ncias, podendo

ele ser tanto positivo quanto negativo. ele ser tanto positivo quanto negativo.

De fato, e2iste o risco de se perder algo, De fato, e2iste o risco de se perder algo, mas tam!ém e2iste o risco de se ganhar algo.

6s

6s gerenciamento de risco  deve sergerenciamento de risco deve ser modelado, discutido e seguido pelos pro*etos e modelado, discutido e seguido pelos pro*etos e  pelas organizações como um instrumento de  pelas organizações como um instrumento de

tomada de decisões tomada de decisões..

)

) Análise de RiscosAnálise de Riscos é, portanto, fundamentalé, portanto, fundamental

 para ma2imizar oportunidades e minimizar  para ma2imizar oportunidades e minimizar  potenciais perdas, e deve ser aplicada em todos os  potenciais perdas, e deve ser aplicada em todos os

conte2tos. conte2tos.

“

“Você deseja uma válvula que não vaze e fazVocê deseja uma válvula que não vaze e faz todo o oss!vel ara desenvolvê"la# $as no mundo todo o oss!vel ara desenvolvê"la# $as no mundo real s% e&'stem válvulas que vazam# Você tem de real s% e&'stem válvulas que vazam# Você tem de determ'nar o grau de vazamento que ode tolerar#” determ'nar o grau de vazamento que ode tolerar#”

5oi com esta frase que o <he 1e? Bor' <imes 5oi com esta frase que o <he 1e? Bor' <imes apresentou, em  de *aneiro de F, o o!ituário de apresentou, em  de *aneiro de F, o o!ituário de )rthur 3udolph, o cientista responsável pelo )rthur 3udolph, o cientista responsável pelo desenvolvimento do foguete ;aturno G, que lançou desenvolvimento do foguete ;aturno G, que lançou

a primeira missão )polo  Hua. a primeira missão )polo  Hua.

) frase representa, de forma peculiar, a ) frase representa, de forma peculiar, a inquietação dos cientistas quanto ao uso seguro da inquietação dos cientistas quanto ao uso seguro da

tecnologia. tecnologia.

 1um mundo de equipamentos comple2os,  1um mundo de equipamentos comple2os, onde

onde panes panes podem ter conseq(4ncias desastrosas, é podem ter conseq(4ncias desastrosas, é necessário se estar sempre alerta para poss#veis necessário se estar sempre alerta para poss#veis

erros

erros ee falhasfalhas..

Este fato tem ganhado cada vez mais Este fato tem ganhado cada vez mais importAncia, uma vez que o uso de

importAncia, uma vez que o uso de diferentesdiferentes tecnologias

tecnologias  de uma forma interligada aumenta ade uma forma interligada aumenta a comple2idade dos sistemas

comple2idade dos sistemas, que ainda sofrem, que ainda sofrem influ4ncia dos processos das organizações.

)

) ;egurança da /nformação;egurança da /nformação se inserese insere

fortemente ao am!iente de neg$cios,

fortemente ao am!iente de neg$cios,

 principalmente porque a

 principalmente porque a )nálise de 3iscos)nálise de 3iscos é umaé uma  premissas cada vez mais adotada pelas  premissas cada vez mais adotada pelas

organizações. organizações.

)

) Análise de RiscosAnálise de Riscos tem como um dostem como um dos

 pilares a

 pilares a segurança da informaçãosegurança da informação, e2istindo uma, e2istindo uma interrelação entre a gestão da segurança da interrelação entre a gestão da segurança da

informação e o gerenciamento de risco. informação e o gerenciamento de risco.

Ima das visões do risco é que ele está Ima das visões do risco é que ele está relacionado com a

relacionado com a capacidade de se en2ergar ocapacidade de se en2ergar o futuro

futuro, de modo a se tomar as ações mais indicadas, de modo a se tomar as ações mais indicadas e necessárias para minimizar poss#veis danos e e necessárias para minimizar poss#veis danos e

tam!ém para ma2imizar as oportunidades. tam!ém para ma2imizar as oportunidades.

"estão de %egurança da Informação e "erenciamento de Risco

) gestão de segurança da informação ) gestão de segurança da informação influencia cada vez mais os processos das influencia cada vez mais os processos das

organizações. organizações.

Ima !oa gestão de segurança começa com Ima !oa gestão de segurança começa com uma análise de risco, que identifica e analisa os uma análise de risco, que identifica e analisa os  principais riscos capazes de afetar a organização.

  Com !ase nas informações de conte2toCom !ase nas informações de conte2to o!tidas pela análise de risco, as ações mais o!tidas pela análise de risco, as ações mais

indicadas são definidas. indicadas são definidas.

)

) )nálise de 3isco)nálise de 3isco é parte doé parte do :erenciamento:erenciamento de 3isco

de 3isco, que é uma a!ordagem importante para, que é uma a!ordagem importante para que as organizações minimizem os riscos negativos que as organizações minimizem os riscos negativos

e ma2imizem as oportunidades. e ma2imizem as oportunidades.

  7 crescente o interesse das organizações7 crescente o interesse das organizações  !rasileiras por sa!er qual seu grau de e2posição  !rasileiras por sa!er qual seu grau de e2posição frente s ameaças capazes de comprometer a frente s ameaças capazes de comprometer a

esta!ilidade da suas operações. esta!ilidade da suas operações.

;ão

;ão ameaçasameaças  como+ concorrentes, hac'ers,como+ concorrentes, hac'ers, funcionários insatisfeitos, que somadas ao grande funcionários insatisfeitos, que somadas ao grande n8mero de vulnera!ilidades nos sistemas n8mero de vulnera!ilidades nos sistemas tecnol$gicos, materializam o n#vel de risco de uma tecnol$gicos, materializam o n#vel de risco de uma

organização. organização.

  )rriscar )rriscar   faz parte da estratégia, conhecer efaz parte da estratégia, conhecer e gerenciar os riscos é administrar o futuro.

gerenciar os riscos é administrar o futuro.

:arantir que as suas estratégias alcançarão o :arantir que as suas estratégias alcançarão o n#vel dese*ado significa identificar e entender os n#vel dese*ado significa identificar e entender os

riscos, para então administrálos. riscos, para então administrálos.

 Estar vivo, por e2emplo, significa =arriscarEstar vivo, por e2emplo, significa =arriscar se diariamente>. )travessar a rua, ir ao *ogo de se diariamente>. )travessar a rua, ir ao *ogo de fute!ol ou dirigir são e2emplos de situações que fute!ol ou dirigir são e2emplos de situações que

envolvem fatores de risco. envolvem fatores de risco.

&orém, como *á estamos acostumados a &orém, como *á estamos acostumados a enfrentálos, formamos um instinto natural para o enfrentálos, formamos um instinto natural para o cálculo de energia utilizada para minimizar e cálculo de energia utilizada para minimizar e

controlar os riscos. controlar os riscos.

&odemos utilizar a mesma analogia para o &odemos utilizar a mesma analogia para o mundo corporativo onde o =estilo de vida> é a mundo corporativo onde o =estilo de vida> é a operação da empresa ou instituição, a e2posição é o operação da empresa ou instituição, a e2posição é o alcance da sua operação, e a energia investida para alcance da sua operação, e a energia investida para minimizar os riscos é o investimento despendido minimizar os riscos é o investimento despendido  para conhecer e controlar a situação.

  Como analisar riscos sem estudarComo analisar riscos sem estudar minuciosamente os processos de neg$cio que minuciosamente os processos de neg$cio que

sustentam sua organizaçãoJ sustentam sua organizaçãoJ

Como classificar o risco destes processos sem Como classificar o risco destes processos sem antes avaliar as vulnera!ilidades dos componentes antes avaliar as vulnera!ilidades dos componentes

de tecnologia relacionados a cada processoJ de tecnologia relacionados a cada processoJ

0uais são os seus processos cr#ticosJ )queles 0uais são os seus processos cr#ticosJ )queles que sustentam a área comercial, a área financeira que sustentam a área comercial, a área financeira

ou a produçãoJ ou a produçãoJ

@oc4 sa!eria avaliar qual a importAncia do @oc4 sa!eria avaliar qual a importAncia do seu servidor de ?e!J

seu servidor de ?e!J

&ara cada pergunta, uma mesma resposta+ &ara cada pergunta, uma mesma resposta+

&

  A Análise de Risco se divide em cinco partes de igual importncia$

/soladas, estas partes representam muito  pouco ou quase nada.

)linhados e geridos de forma adequada, estes componentes da análise de risco podem apontar caminhos seguros na !usca do n#vel adequado de segurança de uma organização.

 (s cinco pontos são$

KK /dentificação e Classificação dos &rocessos/dentificação e Classificação dos &rocessos de 1eg$cio

de 1eg$cio

KK /dentificação e Classificação dos )tivos/dentificação e Classificação dos )tivos "tecnol$gicos, humanos e processuais%

"tecnol$gicos, humanos e processuais% KK )nálise de )meaças e Danos)nálise de )meaças e Danos KK )nálise de @ulnera!ilidades)nálise de @ulnera!ilidades KK )nálise de 3isco.)nálise de 3isco.

 Padres e )ormasPadres e )ormas

6 o!*etivo das normas é fornecer 6 o!*etivo das normas é fornecer recomendações para gestão da segurança da recomendações para gestão da segurança da informação para uso por aqueles que são informação para uso por aqueles que são responsáveis pela introdução, implementação ou responsáveis pela introdução, implementação ou

manutenção da segurança em suas empresas. manutenção da segurança em suas empresas.

Elas tam!ém se destinam a fornecer uma !ase Elas tam!ém se destinam a fornecer uma !ase comum para o desenvolvimento de normas e de comum para o desenvolvimento de normas e de

 práticas efetivas voltadas  segurança

 práticas efetivas voltadas  segurança

organizacional e tam!ém, a esta!elecer a confiança organizacional e tam!ém, a esta!elecer a confiança

nos relacionamentos entre as organizações. nos relacionamentos entre as organizações.

Itilizase como métrica as melhores práticas Itilizase como métrica as melhores práticas de segurança da informação do mercado, apontadas de segurança da informação do mercado, apontadas

na norma /;6L/EC MM. na norma /;6L/EC MM.

) partir destas informações fazse poss#vel a ) partir destas informações fazse poss#vel a ela!oração do perfil de risco, que segue a f$rmula+ ela!oração do perfil de risco, que segue a f$rmula+

")meaça% 2 "@ulnera!ilidade% 2 "@alor do ")meaça% 2 "@ulnera!ilidade% 2 "@alor do )tivo% N 3/;C6.

)tivo% N 3/;C6.

Atenção$

Atenção$ a /;6L/EC MM não ensina aa /;6L/EC MM não ensina a

analisar o risco, serve apenas como refer4ncia analisar o risco, serve apenas como refer4ncia

normativa. normativa.

 Por /ue fa0er uma análise de risco1

Durante o plane*amento do futuro da empresa Durante o plane*amento do futuro da empresa ou instituição, os gestores da organização devem ou instituição, os gestores da organização devem garantir que todos os cuidados foram tomados para garantir que todos os cuidados foram tomados para

que seus planos se concretizem. que seus planos se concretizem.

) formalização de uma )nálise de 3isco ) formalização de uma )nálise de 3isco  prov4 um documento indicador de que este cuidado  prov4 um documento indicador de que este cuidado

foi o!servado. foi o!servado.

6 resultado da )nálise de 3isco dá  6 resultado da )nálise de 3isco dá  organização o

organização o controle so!re seu pr$prio destinocontrole so!re seu pr$prio destino.. )través do relat$rio final, podese identificar )través do relat$rio final, podese identificar quais controles devem ser implementados

quais controles devem ser implementados em curto,em curto, médio e longo prazo.

médio e longo prazo. )ssim,

)ssim, os ativos serão protegidosos ativos serão protegidos comcom investimentos adequados ao seu valor e ao seu investimentos adequados ao seu valor e ao seu

risco. risco.

 2uando fa0er uma análise de riscos1

Ima análise de riscos deve ser realizada O Ima análise de riscos deve ser realizada O sempre O antecedendo um investimento.

sempre O antecedendo um investimento.

2uem deve participar da análise de riscos1

6 processo de análise de riscos deve envolver 6 processo de análise de riscos deve envolver especialistas em análise de riscos e especialistas no especialistas em análise de riscos e especialistas no

neg$cio da empresa. neg$cio da empresa.

 2uanto tempo o pro3eto deve levar1

) e2ecução do pro*eto deve ser realizada em ) e2ecução do pro*eto deve ser realizada em tempo m#nimo. Em am!ientes dinAmicos a tempo m#nimo. Em am!ientes dinAmicos a

tecnologia muda muito rapidamente. tecnologia muda muito rapidamente.

Im pro*eto com mais de um m4s, em Im pro*eto com mais de um m4s, em determinados am!ientes pode ao final *á estar determinados am!ientes pode ao final *á estar desatualizado e não corresponder ao estado atual da desatualizado e não corresponder ao estado atual da

organização. organização.

6 conceito de análise de risco está 6 conceito de análise de risco está 6 conceito de análise de risco está

6 conceito de análise de risco está

intimamente relacionado  figura da intimamente relacionado  figura da intimamente relacionado  figura da

intimamente relacionado  figura da /ntelig4ncia/ntelig4ncia/ntelig4ncia/ntelig4ncia Competitiva

Competitiva Competitiva

Competitiva, uma vez que agrega =solidez> , uma vez que agrega =solidez> , uma vez que agrega =solidez> , uma vez que agrega =solidez>  informação corporativa.

informação corporativa. informação corporativa.

informação corporativa.

Controlando as ameaças, poderemos chegar Controlando as ameaças, poderemos chegar Controlando as ameaças, poderemos chegar

Controlando as ameaças, poderemos chegar

ao conceito de =administração de cenários>. ao conceito de =administração de cenários>. ao conceito de =administração de cenários>.

) ) )

) Figura 1Figura 1Figura 1Figura 1  apresenta o modelo de  apresenta o modelo deapresenta o modelo deapresenta o modelo de

gerenciamento de risco adotado pela );L1P; gerenciamento de risco adotado pela );L1P; gerenciamento de risco adotado pela );L1P;

gerenciamento de risco adotado pela );L1P;

QFR+SRRQ. 6 modelo apresenta os elementos do QFR+SRRQ. 6 modelo apresenta os elementos do QFR+SRRQ. 6 modelo apresenta os elementos do

QFR+SRRQ. 6 modelo apresenta os elementos do

gerenciamento de risco+ gerenciamento de risco+ gerenciamento de risco+

gerenciamento de risco+

KKK

K Esta!elecimento de conte2toEsta!elecimento de conte2toEsta!elecimento de conte2toEsta!elecimento de conte2to KKK

K /dentificação de risco/dentificação de risco/dentificação de risco/dentificação de risco KKK

K )nálise de risco)nálise de risco)nálise de risco)nálise de risco KKK

K )valiação de risco)valiação de risco)valiação de risco)valiação de risco KKK

K <ratamento de risco<ratamento de risco<ratamento de risco<ratamento de risco KKK

K -onitoramento e revisão-onitoramento e revisão-onitorament-onitoramento e o e revisãorevisão KKK

 De acordo com aDe acordo com a Figura 1Figura 1, ap$s a análise de, ap$s a análise de risco são necessárias atividades de avaliação de risco são necessárias atividades de avaliação de risco, de tratamento de risco, de monitoramento e risco, de tratamento de risco, de monitoramento e

revisão e de comunicação e consulta. revisão e de comunicação e consulta.

) análise de risco é feita ap$s o ) análise de risco é feita ap$s o esta!elecimento de conte2to e a identificação de esta!elecimento de conte2to e a identificação de

risco. risco.

  Im Im dos dos grandes grandes !enef#cios !enef#cios dada implementação de um processo de análise de risco implementação de um processo de análise de risco

é a

é a identificação de pontos que representam ameaçaidentificação de pontos que representam ameaça ao cumprimento da missão estratégica da ao cumprimento da missão estratégica da

organização. organização.

Esses pontos significam riscos que podem Esses pontos significam riscos que podem comprometer o !om desenvolvimento da comprometer o !om desenvolvimento da organização, sendo, portanto, necessário o organização, sendo, portanto, necessário o tratamento adequado ap$s a sua avaliação, que tratamento adequado ap$s a sua avaliação, que

decide pela

decide pela mitigação "intervenção com o intuito demitigação "intervenção com o intuito de reduzir ou remediar um determinado impacto%, reduzir ou remediar um determinado impacto%,

eliminação, transfer4ncia ou aceitação do risco. eliminação, transfer4ncia ou aceitação do risco.

)ssim, o $rgão pode atuar de forma mais )ssim, o $rgão pode atuar de forma mais eficaz, criando as melhores condições para que a eficaz, criando as melhores condições para que a missão se*a cumprida, com diminuição da missão se*a cumprida, com diminuição da  pro!a!ilidade de impactos sociais, pol#ticos ou  pro!a!ilidade de impactos sociais, pol#ticos ou

econ9micos. econ9micos.

 ) aus4ncia de um processo !em estruturado) aus4ncia de um processo !em estruturado de segurança da informação implica em potenciais de segurança da informação implica em potenciais  perdas para a organização, em termos que vão  perdas para a organização, em termos que vão desde a situação financeira até a produtividade, desde a situação financeira até a produtividade,

 passando pela oportunidade, qualidade,

 passando pela oportunidade, qualidade,

credi!ilidade e imagem. credi!ilidade e imagem.

)ature0a do Risco

7 importante ressaltar que o risco pode ser 7 importante ressaltar que o risco pode ser interpretado de diferentes formas.

interpretado de diferentes formas.

)s pessoas vivem em risco constante, e a )s pessoas vivem em risco constante, e a cada momento avaliam as possi!ilidades de futuro cada momento avaliam as possi!ilidades de futuro  para tomar cada ação, mesmo que ela se*a do  para tomar cada ação, mesmo que ela se*a do

cotidiano. cotidiano.

6 simples fato de

6 simples fato de atravessar uma ruaatravessar uma rua, por, por

e2emplo, representa o entendimento das

e2emplo, representa o entendimento das

conseq(4ncias para a decisão pelo melhor conseq(4ncias para a decisão pelo melhor

momento de atravessála. momento de atravessála.

/nvestimentos em

/nvestimentos em  !olsas de valores !olsas de valores tam!émtam!ém representam !em o risco, podendo o investidor representam !em o risco, podendo o investidor

o!ter ganhos e tam!ém sair com pre*u#zos. o!ter ganhos e tam!ém sair com pre*u#zos.

Desta forma, todos gerenciam o risco Desta forma, todos gerenciam o risco continuamente+

continuamente+

KK )lgumas vezes conscientemente)lgumas vezes conscientemente KK )lgumas vezes sem que sai!amos.)lgumas vezes sem que sai!amos.

6 termo =

6 termo =riscorisco> vem do italiano =risicare>,> vem do italiano =risicare>,

que por sua vez é derivado do !ai2olatim =risicu, que por sua vez é derivado do !ai2olatim =risicu,

riscu>, que significa arriscar. riscu>, que significa arriscar.

6 termo indica que o risco significa

6 termo indica que o risco significa ousadiaousadia,,  *á que permite uma

 *á que permite uma opçãoopção, e não relegar os, e não relegar os acontecimentos para o destino.

acontecimentos para o destino. ;ignifica tam!ém a

;ignifica tam!ém a colocação do futuro acolocação do futuro a serviço do presente

serviço do presente. ;ignifica desafio e. ;ignifica desafio e oportunidade, sendo tam!ém pontochave da oportunidade, sendo tam!ém pontochave da

natureza da tomada de decisões. natureza da tomada de decisões.

6 risco, assim, é a chance de algum evento 6 risco, assim, é a chance de algum evento acontecer, resultando em impactos nos o!*etivos.

acontecer, resultando em impactos nos o!*etivos.

De acordo com a /;6L/EC :uide M+SRRS, o De acordo com a /;6L/EC :uide M+SRRS, o risco é a

risco é a com!inação da pro!a!ilidade de umcom!inação da pro!a!ilidade de um evento acontecer e a sua conseq(4ncia

evento acontecer e a sua conseq(4ncia.. )s

)s conseq(4nciasconseq(4ncias  e o impacto podem sere o impacto podem ser tanto

Desta forma, o risco deve ser+ Desta forma, o risco deve ser+ Desta forma, o risco deve ser+

Desta forma, o risco deve ser+

KKK

K CompreendidoCompreendidoCompreendidoCompreendido KKK

K -edido-edido-edido-edido KKK

)s ações tomadas com !ase na compreensão, )s ações tomadas com !ase na compreensão, )s ações tomadas com !ase na compreensão,

)s ações tomadas com !ase na compreensão,

na medição e na avaliação do risco fazem com que na medição e na avaliação do risco fazem com que na medição e na avaliação do risco fazem com que

na medição e na avaliação do risco fazem com que

as chances de sucesso aumentem as chances de sucesso aumentem as chances de sucesso aumentem

as chances de sucesso aumentem, *á que danos são, *á que danos são, *á que danos são, *á que danos são minimizados e oportunidades são ma2imizadas.

minimizados e oportunidades são ma2imizadas. minimizados e oportunidades são ma2imizadas.

minimizados e oportunidades são ma2imizadas.

 1o

 1o entendimento entendimento do do risco risco deve deve se se considerarconsiderar  1o

 1o entendimento entendimento do do risco risco deve deve se se considerarconsiderar

suas suas suas

suas diferentes naturezasdiferentes naturezasdiferentes naturezasdiferentes naturezas. )pesar de haver um. )pesar de haver um. )pesar de haver um. )pesar de haver um interrelacionamento entre os diferentes tipos de interrelacionamento entre os diferentes tipos de interrelacionamento entre os diferentes tipos de

interrelacionamento entre os diferentes tipos de

risco, eles são normalmente a!ordados de uma risco, eles são normalmente a!ordados de uma risco, eles são normalmente a!ordados de uma

risco, eles são normalmente a!ordados de uma

forma particular para cada área de conhecimento forma particular para cada área de conhecimento forma particular para cada área de conhecimento

forma particular para cada área de conhecimento

"""

)

) Figura 2Figura 2 apresenta as diferentes naturezas apresenta as diferentes naturezas

do risco+

 6 gerenciamento de risco deve tratar de uma6 gerenciamento de risco deve tratar de uma forma cada vez mais integrada as diferentes visões forma cada vez mais integrada as diferentes visões

do risco. do risco.

&ara tanto, o grande desafio está na &ara tanto, o grande desafio está na sistematização de um gerenciamento de risco sistematização de um gerenciamento de risco,,

capaz de realizar essa integração através de uma capaz de realizar essa integração através de uma comunicação eficaz no qual todos os envolvidos comunicação eficaz no qual todos os envolvidos entendam e este*am comprometidos com os entendam e este*am comprometidos com os

o!*etivos do gerenciamento de risco. o!*etivos do gerenciamento de risco.

"erenciamento do Risco

6 gerenciamento de risco segue um modelo 6 gerenciamento de risco segue um modelo clássico que é !aseado em normas como a );L1P; clássico que é !aseado em normas como a );L1P;

QFR+SRRQ. QFR+SRRQ.

6 grande desafio é a sistematização da forma 6 grande desafio é a sistematização da forma como o gerenciamento deve ser realizado, o que como o gerenciamento deve ser realizado, o que envolve o uso de diferentes metodologias para cada envolve o uso de diferentes metodologias para cada

elemento do gerenciamento de risco. elemento do gerenciamento de risco.

7 interessante notar que o design e 7 interessante notar que o design e implementação de um sistema de gerenciamento de implementação de um sistema de gerenciamento de

risco são influenciados por aspectos que incluem+ risco são influenciados por aspectos que incluem+ KK @ariedade de necessidades da organização@ariedade de necessidades da organização KK 6!*etivos particulares6!*etivos particulares

KK &rodutos e serviços&rodutos e serviços

)ssim, a forma como o risco deve ser tratado )ssim, a forma como o risco deve ser tratado é definido levandose em consideração os aspectos é definido levandose em consideração os aspectos do pro*eto e o modelo de gerenciamento de risco do pro*eto e o modelo de gerenciamento de risco

como o da

'iclo P4'A 'iclo P4'A

6 Ciclo &DC) nasceu no escopo da 6 Ciclo &DC) nasceu no escopo da tecnologia <0C "<otal 0ualitT Control% como uma tecnologia <0C "<otal 0ualitT Control% como uma ferramenta que melhor representava o ciclo de ferramenta que melhor representava o ciclo de

gerenciamento de uma atividade. gerenciamento de uma atividade.

6 conceito do Ciclo evoluiu ao longo dos 6 conceito do Ciclo evoluiu ao longo dos anos vinculandose tam!ém com a idéia de que, anos vinculandose tam!ém com a idéia de que, uma organização qualquer, encarregada de atingir uma organização qualquer, encarregada de atingir um determinado o!*etivo, necessita plane*ar e um determinado o!*etivo, necessita plane*ar e

controlar as atividades a ela relacionadas. controlar as atividades a ela relacionadas.

6 Ciclo &DC) compõe o con*unto de ações 6 Ciclo &DC) compõe o con*unto de ações em seq(4ncia dada pela ordem esta!elecida pelas em seq(4ncia dada pela ordem esta!elecida pelas

letras que compõem a sigla+ letras que compõem a sigla+

& "plan+ plane*ar% & "plan+ plane*ar%

D "do+ fazer, e2ecutar% D "do+ fazer, e2ecutar%

C "chec'+ verificar, controlar% e C "chec'+ verificar, controlar% e

Como pode ser visto na

Como pode ser visto na Figura 4Figura 4, vários, vários

 processos definidos no &-U6V tratam

 processos definidos no &-U6V tratam

especificamente do risco+ especificamente do risco+

KK &lane*amento do gerenciamento de risco&lane*amento do gerenciamento de risco KK /dentificação de risco/dentificação de risco

KK )nálise de risco qualitativa)nálise de risco qualitativa KK )nálise de risco quantitativa)nálise de risco quantitativa

KK &lane*amento de resposta ao risco&lane*amento de resposta ao risco KK -onitoramento e controle de risco.-onitoramento e controle de risco.

5igura Q+ 3isco

6 processo de plane*amento do

6 processo de plane*amento do

gerenciamento de risco do &-U6V, por e2emplo, gerenciamento de risco do &-U6V, por e2emplo,

é definido da seguinte forma+ é definido da seguinte forma+

KK /nputs/nputs

KK 5atores organizacionais5atores organizacionais

KK )titude e tolerAncia com relação ao risco)titude e tolerAncia com relação ao risco KK &rocessos organizacionais&rocessos organizacionais

KK Categorias de riscoCategorias de risco

KK Definição de conceitos e termosDefinição de conceitos e termos KK &apéis e responsa!ilidades&apéis e responsa!ilidades

KK  1#veis de autoridade para tomada de 1#veis de autoridade para tomada de decisão

KK Escopo do pro*etoEscopo do pro*eto

KK &lano de gerenciamento do pro*eto&lano de gerenciamento do pro*eto KK 5erramentas e técnicas5erramentas e técnicas

KK 3euniões e análises3euniões e análises KK 6utput6utput

  ) estrutura do plano do gerenciamento de) estrutura do plano do gerenciamento de risco segue o seguinte formato+

risco segue o seguinte formato+ KK -etodologia-etodologia

KK &apéis e responsa!ilidades&apéis e responsa!ilidades KK /nvestimento/nvestimento

KK CronogramaCronograma

KK Categorias de risco "3U;%Categorias de risco "3U;%

KK Definição da pro!a!ilidade e impacto doDefinição da pro!a!ilidade e impacto do risco

risco

KK -atriz de pro!a!ilidade e impacto-atriz de pro!a!ilidade e impacto KK <olerAncia dos<olerAncia dos stakeholders stakeholders

KK 5ormato dos relat$rios5ormato dos relat$rios )uditoria.

 6 3U; pode ser visto na6 3U; pode ser visto na Figura 5Figura 5, e divide, e divide os riscos identificados como sendo de natureza os riscos identificados como sendo de natureza técnica, e2terna, organizacional e do pr$prio técnica, e2terna, organizacional e do pr$prio

gerenciamento de pro*eto. gerenciamento de pro*eto.

 1o e2emplo do processo de plane*amento de  1o e2emplo do processo de plane*amento de resposta ao risco do &-U6V, ele possui a seguinte resposta ao risco do &-U6V, ele possui a seguinte

estrutura+ estrutura+

KK /nputs/nputs

KK &lano de gerenciamento de risco&lano de gerenciamento de risco KK 3egistro de risco3egistro de risco

KK Estratégias para riscos negativas ouEstratégias para riscos negativas ou ameaças

ameaças

KK Evitar, transferir, mitigarEvitar, transferir, mitigar

KK Estratégias para riscos positivos ouEstratégias para riscos positivos ou oportunidades

oportunidades

KK E2plorar, compartilhar, ma2imizarE2plorar, compartilhar, ma2imizar

KK Estratégia para ameaça e oportunidadeEstratégia para ameaça e oportunidade KK Estratégia de conting4nciaEstratégia de conting4ncia

KK 6utputs6utputs

KK 3egistro de risco atualizado3egistro de risco atualizado

KK &lano de gerenciamento de risco atualizado&lano de gerenciamento de risco atualizado KK Contrato de acordo so!re os riscos.Contrato de acordo so!re os riscos.

Im ponto importante a ser considerado é Im ponto importante a ser considerado é quanto aos riscos relacionados  segurança da quanto aos riscos relacionados  segurança da

informação. informação.

Ima das metodologias de análise de risco que Ima das metodologias de análise de risco que foca na segurança da informação é a 6C<)@E, foca na segurança da informação é a 6C<)@E, desenvolvida pela Iniversidade de Carnegie desenvolvida pela Iniversidade de Carnegie

-ellon. -ellon.

)s fases da 6C<)@E podem ser vistas na )s fases da 6C<)@E podem ser vistas na Figura 6 

Figura (: !)*A+, e suas Figura (: !)*A+, e suas fases.

  6s elementos do risco tratados, quando6s elementos do risco tratados, quando aspectos de segurança da informação são aspectos de segurança da informação são

considerados, podem ser visto na

considerados, podem ser visto na Figura 7 Figura 7 , que, que teve como foco $rgãos e instituições da teve como foco $rgãos e instituições da

)dministração &8!lica 5ederal. )dministração &8!lica 5ederal.

7 poss#vel verificar que, partindo do conceito 7 poss#vel verificar que, partindo do conceito definido no /;6 :uide M, de que risco é a definido no /;6 :uide M, de que risco é a com!inação da pro!a!ilidade de um evento e de com!inação da pro!a!ilidade de um evento e de suas conseq(4ncias, o conceito mais detalhado suas conseq(4ncias, o conceito mais detalhado

seria+ seria+

Risco

Risco  é a pro!a!ilidade de um agente deé a pro!a!ilidade de um agente de

ameaça efetivar uma ameaça, via e2ploração de ameaça efetivar uma ameaça, via e2ploração de uma vulnera!ilidade de um ativo, causando uma vulnera!ilidade de um ativo, causando impactos que comprometem o cumprimento da impactos que comprometem o cumprimento da

missão. missão.

6s elementos da

6s elementos da Figura 7Figura 7 foram utilizados naforam utilizados na

metodologia 3iscoW:ov, voltada para a

metodologia 3iscoW:ov, voltada para a

)dministração &8!lica 5ederal. )dministração &8!lica 5ederal.

) metodologia 3iscoW:ov conta com G ) metodologia 3iscoW:ov conta com G fases+

fases+

KK 5ase  X Conte2tualização5ase  X Conte2tualização

KK 5ase S X Hevantamento de informações5ase S X Hevantamento de informações KK 5ase  X )nálises5ase  X )nálises

KK 5ase Q X 3ecomendações5ase Q X 3ecomendações

  6 in#cio da metodologia prepara todo o6 in#cio da metodologia prepara todo o  processo de análise de risco a ser conduzido, de  processo de análise de risco a ser conduzido, de

acordo com o conte2to e2istente. acordo com o conte2to e2istente.

6 levantamento de informações é realizado 6 levantamento de informações é realizado usando diferentes técnicas e, ap$s a análise de usando diferentes técnicas e, ap$s a análise de

risco, que envolve ainda análises de

risco, que envolve ainda análises de

vulnera!ilidades e testes de penetração, as vulnera!ilidades e testes de penetração, as recomendações são geradas, documentadas e recomendações são geradas, documentadas e

apresentadas. apresentadas.

6s processos definidos na metodologia de 6s processos definidos na metodologia de 6s processos definidos na metodologia de

6s processos definidos na metodologia de

análise de risco 3iscoW:ov geram resultados análise de risco 3iscoW:ov geram resultados análise de risco 3iscoW:ov geram resultados

análise de risco 3iscoW:ov geram resultados

como o da como o da como o da

como o da Figura 8Figura 8_{Figura 8Figura 8}, que apresenta o n#vel de risco, que apresenta o n#vel de risco, que apresenta o n#vel de risco, que apresenta o n#vel de risco e2istente em um ativo, que pode comprometer o e2istente em um ativo, que pode comprometer o e2istente em um ativo, que pode comprometer o

e2istente em um ativo, que pode comprometer o

cumprimento da missão da organização. cumprimento da missão da organização. cumprimento da missão da

cumprimento da missão da orgorganização.anização.

6 e2emplo mostra uma !ase de informações 6 e2emplo mostra uma !ase de informações 6 e2emplo mostra uma !ase de informações

6 e2emplo mostra uma !ase de informações

consolidadas e que analisa os componentes do risco consolidadas e que analisa os componentes do risco consolidadas e que analisa os componentes do risco

consolidadas e que analisa os componentes do risco

relacionados com a

relacionados com a organiorganização.zação. relacionados com a

Figura 8: Um dos resultados do

Figura 8: Um dos resultados do

Figura 8: Um dos resultados do Figura 8: Um dos resultados do o@Gov.

o@Gov.

o@Gov. o@Gov.

 )s informações contidas nesse relat$rio são+  )s informações contidas nesse relat$rio são+)s informações contidas nesse relat$rio são+)s informações contidas nesse relat$rio são+

os agentes de ameaça, as ameaças, vulnera!ilidades os agentes de ameaça, as ameaças, vulnera!ilidades os agentes de ameaça, as ameaças, vulnera!ilidades

os agentes de ameaça, as ameaças, vulnera!ilidades

e os controles utilizados por cada ativo cr#tico, com e os controles utilizados por cada ativo cr#tico, com e os controles utilizados por cada ativo cr#tico, com

e os controles utilizados por cada ativo cr#tico, com

a determinação do n#vel de risco, que leva em a determinação do n#vel de risco, que leva em a determinação do n#vel de risco, que leva em

a determinação do n#vel de risco, que leva em

consideração a pro!a!ilidade e o impacto consideração a pro!a!ilidade e o impacto consideração a pro!a!ilidade e o impacto

consideração a pro!a!ilidade e o impacto

relacionados. relacionados. relacionados.

 1essa etapa é estimado o impacto que um  1essa etapa é estimado o impacto que um determinado risco pode causar ao neg$cio.

determinado risco pode causar ao neg$cio.

Como é praticamente imposs#vel oferecer Como é praticamente imposs#vel oferecer  proteção total contra todas as ameaças e2istentes, é  proteção total contra todas as ameaças e2istentes, é  preciso identificar os ativos e as vulnera!ilidades  preciso identificar os ativos e as vulnera!ilidades mais cr#ticas, possi!ilitando a priorização dos mais cr#ticas, possi!ilitando a priorização dos

esforços e os gastos com segurança. esforços e os gastos com segurança.

Ima vez que os riscos tenham sido Ima vez que os riscos tenham sido identificados e a organização definiu quais serão identificados e a organização definiu quais serão tratados, as medidas de segurança devem ser de tratados, as medidas de segurança devem ser de

fato implementadas. fato implementadas.

6

6 :erenciamento de 3iscos:erenciamento de 3iscos é um processoé um processo cont#nuo, que não termina com a implementação de cont#nuo, que não termina com a implementação de

uma medida de segurança. uma medida de segurança.

)través de um monitoramento constante, é )través de um monitoramento constante, é  poss#vel identificar quais áreas foram !em  poss#vel identificar quais áreas foram !em

sucedidas e quais precisam de revisões e a*ustes. sucedidas e quais precisam de revisões e a*ustes.