• Nenhum resultado encontrado

Gestao de Riscos

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Gestao de Riscos"

Copied!
25
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 25 páginas )

Texto

(1)

Gestão de Riscos

(2)

P r o f. M . S c. M a r c o S i m õ e s

Tópicos da Aula

 Norma NBR ISO/IEC 27005:2011  Conceitos

 Visão Geral do Processo de Gestão de Riscos  Definição do Contexto

 Análise/Avaliação de Riscos  Tratamento de Riscos

 Aceitação de Riscos

 Comunicação de Riscos

(3)

Norma NBR ISO/IEC 27005:2011

● Fornece diretrizes para o processo de gestão

de riscos da segurança da informação

● Processo síncrono com o ciclo PDCA que

suporta a NBR ISO/IEC 27001:2006 => Serve de suporte ao SGSI

● Pode ser usado de forma independente para

avaliar uma aplicação, definir requisitos de segurança de um sistema, etc

(4)

Conceitos Importantes

Aceitação de Risco: decisão de Aceitar um Risco

Avaliação de Riscos: processo de comparar o Risco

estimado com critérios de Riscos Aceitáveis para determinar a importância do Risco

Tratamento do Riscos: seleção e implementação de

medidas para reduzir ou eliminar riscos

Comunicação do Risco: compartilhamento de informações

sobre o risco com as Partes Interessadas

Estimativa de Riscos: processo de atribuição de valores à

(5)

Visão Geral do Processo de Gestão

de Riscos

Definição do Contexto Análise/Avaliação de Riscos Análise de Riscos Identificação de Riscos Estimativa de Riscos Avaliação de Riscos Tratamento de Riscos Aceitação de Riscos C om un ic aç ão d o R is co M o n ito ra m e n to e A n á lis e C rí tic a d e R is co s

(6)

Definição do Contexto

● Define os critérios básicos para gestão de

riscos em segurança da informação

● Define o Escopo da Gestão de Riscos

● Estabelecer uma organização básica para

Gestão de Riscos, com definição de papéis e responsabilidades

(7)

Contexto – Definir Objetivos

● Suporte ao SGSI

● Conformidade Legal

● Preparação de um Plano de Continuidade de

Negócios

● Preparação de um plano de resposta a incidentes ● Descrição dos requisitos de segurança para um

(8)

Contexto – Definir Critérios

● Critérios para Avaliação de Riscos

– criticidade dos ativos, requisitos legais, Estimativa de Riscos, etc

● Critérios de Impacto

– Classificação do ativo, requisitos legais, ocorrências, interrupção de operações, etc

● Critérios para Aceitação de Riscos

– Pode haver mais de um nível de risco (risco aceitável e risco desejável) – Critérios distintos podem ser definidos para categorias distintas de ativos

(9)

Contexto – Escopo e Limites

● Objetivos estratégicos, políticas e estragégias ● Processos de Negócio

● Estrutura da Organização

● Requisitos legais e regulatórios

● Política de Segurança da Informação ● Ativos de Informação

● Localização Geográfica

● Expectativas das Partes Interessadas

(10)

Contexto – Papéis e

Responsabilidades

● Desenvolvimento do processo de gestão de riscos

adequado

● Identificação e análise das Partes Interessadas

● Definição dos papéis e responsabilidades de partes internas

e externas

● Estabelecimento das relações entre a organização e as

Partes Interessadas

● Definição de alçadas para tomada de decisão ● Especificação de Registros a serem mantidos

(11)

Visão Geral do Processo de Gestão

de Riscos

Definição do Contexto Análise/Avaliação de Riscos Análise de Riscos Identificação de Riscos Estimativa de Riscos Avaliação de Riscos Tratamento de Riscos Aceitação de Riscos C om un ic aç ão d o R is co M o n ito ra m e n to e A n á lis e C rí tic a d e R is co s

(12)

Análise e Avaliação de Riscos

● Determina o valor dos ativos de informação

● Identifica as ameaças e vulnerabilidades

● Identifica os controles existentes e sua

influência nos riscos

● Determina as consequências da concretização

das ameaças

(13)

Identificação de Ativos

● Identifica todos os ativos que suportam o escopo definido no

Contexto

● Ativos podem ser: – Pessoas

– Tecnológicos – Ambientes

– Processos ou Sistemas

● Cada Ativo deve ter um responsável identificado

● Os Ativos precisam ter sua relevância identificada através do

(14)

Identificação de Ameaças

● Naturais

● Humanas

– Acidentais – Intencionais

● Exemplos: ações não autorizadas, falhas

técnicas, incêndios, etc => Mais exemplos no Anexo C da norma NBR/ISO 27005

(15)

Identificação de Controles

Existentes

● Identificar os controles implementados (ou

planejados implementar)

● É importante medir a eficácia dos controles

● Métodos

– Análise de Documentos

– Entrevistas com responsáveis por ativos e processos – Coleta física de evidências

(16)

Identificação de Vulnerabilidades

● Podem ser identificadas vulnerabilidades em:

– Processos e procedimentos – Rotinas de gestão

– Recursos Humanos – Ambiente físico

– Configuração do sistema de informação

– Hardware, software ou ativos de comunicação – Dependência de entidades externas

● A presença de uma vulnerabilidade representa necessariamente

prejuízo à organização ?

(17)

Identificação das Consequências

● Consequências para a organização que podem

decorrer de um cenário de incidente

● Exemplos: perda de eficácia, condições

adversas de operação, perda de oportunidades de negócio, reputação afetada, prejuízo

financeiro, etc.

● Exemplos de Impacto (consequências) estão n

(18)

Estimativas de Riscos

● Qualitativa. Ex: muito baixo, baixo, médio, alto, muito alto ● Quantitativa

– Valoração das consequências – Valoração dos Ativos

– Estimativa das Probabilidades

● Anexo E da NBR/ISO 27005 apresenta exemplos de metodologias

para estimativa de risco

● Exemplo:

– Baixo Risco: 0-2 – Médio Risco: 3-5 – Alto Risco: 6-8

(19)

Estimativas de Riscos - Exemplo

Probabilidade de ocorrência da

Ameaça Baixa Média Alta

Facilidade de Exploração B M A B M A B M A Valor do Ativo 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8

(20)

Avaliação de Riscos

● Utilizar critérios de Avaliação e Aceitação de

Risco definidos no Contexto

● Considerar agregação de Riscos num Ativo ou

num Processo

● Gerar lista Riscos ordenados por prioridade

(21)

Tratamento de Riscos

Opções de Tratamento de Risco

Redução do Risco Aceitação do Risco Evitar o Risco Transferência do Risco Risco Residuais

(22)

Aceitação de Riscos

● Gera uma lista de riscos aceitos de acordo com

os critérios de aceitação definidos

● Riscos aceitos fora do critério de aceitação

devem ser justificados e aprovados pela Alta Direção

(23)

Comunicação de Riscos

● Comunicação bidirecional entre os tomadores

de decisão e demais partes interessadas sobre os riscos, planos de tratamentos de riscos,

riscos aceitos e seus critérios

● Processo contínuo que apoia a transparência

da gestão de riscos e a conscientização organizacional

(24)

Monitoramento e Análise Crítica

● Mudança de Escopo

● Mudança nos Valores dos Ativos ● Novas vulnerabilidades

● Novas ameaças

● Vulnerabilidades antigas associadas a novas ameaças ● Incidentes de segurança da informação

● Revisão de critérios, metodologia e contexto

● Processo contínuo de melhoria da gestão de riscos ●

(25)

Alinhamento entre Gestão de Riscos

e SGSI

Processo do SGSI Processo de Gestão de Riscos

Plan Definição do Contexto

Análise/Avaliação de Riscos

Definição do Plano de Tratamento de Riscos Aceitação de Riscos

Do Implementação do Plano de Tratamento de Riscos

Check Monitoramento contínuo e Análise Crítica de Riscos

Referências

Descarregar agora ( PDF - 25 páginas - 109.25 KB )

Documentos relacionados

Sustentabilidade Económica-Financeira dos Serviços de Abastecimentos de Água e de Saneamento de Águas Residuais - Caso de Estudo e Avaliação de Cenários

Figura A.164 – Custos de Exploração por metro cúbico de água faturada em função do número médio de trabalhadores para EG de gestão direta por grau de fiabilidade dos dados.

Direitos políticos e princípio de presunção de inocência: a Lei da Ficha Limpa frente à Constituição

Para se buscar mais subsídios sobre esse tema, em termos de direito constitucional alemão, ver as lições trazidas na doutrina de Konrad Hesse (1998). Para ele, a garantia

Download/Open

As relações hídricas das cultivares de amendoim foram significativamente influenciadas pela a deficiência hídrica, reduzindo o potencial hídrico foliar e o conteúdo relativo de

O canteiro de obras virtual: uma proposta de ambiente de aprendizagem para o ensino de construção civil na internet

Com um treinamento adequado para mudar o processo e novos tipos de avaliação (preferencialmente envolvendo mapas conceituais ou diagramas) pode-se, pelo que ficou evidenciado

Exploração seletiva do sub-bosque: uma alternativa para aumentar a rentabilidade dos bracatingais

A produção de cabos de ferramentas (enxada, machado, martelo, formão, etc.) e de utensílios de cozinha (facas, conchas, etc.), a partir de plantas do sub-bosque, é considerada

Desempenho do setor de energia no Brasil 2006-2012

Diante disso torna-se importante uma análise individual a respeito do setor elétrico brasileiro no que diz respeito à geração, transmissão e distribuição de energia

Existência e Aproximação de Soluções para Inclusões Dinâmicas em Escalas de Tempo

[3] proves the existence of solutions for second order dynamic inclusions in time scales with boundary conditions.. The work [4] proves the existence of solutions for first

Desafios da avaliação de desempenho no Ministério da Educação e Ciência: o caso do Instituto Politécnico de Portalegre

A questão das quotas estará sempre na ordem do dia, porquanto constitui-se como motivo central de discórdia (Vaz, 2008) razão pela qual o desafio principal da administração pública