Gestão de Riscos
P r o f. M . S c. M a r c o S i m õ e s
Tópicos da Aula
Norma NBR ISO/IEC 27005:2011 Conceitos Visão Geral do Processo de Gestão de Riscos Definição do Contexto
Análise/Avaliação de Riscos Tratamento de Riscos
Aceitação de Riscos
Comunicação de Riscos
Norma NBR ISO/IEC 27005:2011
● Fornece diretrizes para o processo de gestão
de riscos da segurança da informação
● Processo síncrono com o ciclo PDCA que
suporta a NBR ISO/IEC 27001:2006 => Serve de suporte ao SGSI
● Pode ser usado de forma independente para
avaliar uma aplicação, definir requisitos de segurança de um sistema, etc
Conceitos Importantes
● Aceitação de Risco: decisão de Aceitar um Risco
● Avaliação de Riscos: processo de comparar o Risco
estimado com critérios de Riscos Aceitáveis para determinar a importância do Risco
● Tratamento do Riscos: seleção e implementação de
medidas para reduzir ou eliminar riscos
● Comunicação do Risco: compartilhamento de informações
sobre o risco com as Partes Interessadas
● Estimativa de Riscos: processo de atribuição de valores à
Visão Geral do Processo de Gestão
de Riscos
Definição do Contexto Análise/Avaliação de Riscos Análise de Riscos Identificação de Riscos Estimativa de Riscos Avaliação de Riscos Tratamento de Riscos Aceitação de Riscos C om un ic aç ão d o R is co M o n ito ra m e n to e A n á lis e C rí tic a d e R is co sDefinição do Contexto
● Define os critérios básicos para gestão de
riscos em segurança da informação
● Define o Escopo da Gestão de Riscos
● Estabelecer uma organização básica para
Gestão de Riscos, com definição de papéis e responsabilidades
Contexto – Definir Objetivos
● Suporte ao SGSI
● Conformidade Legal
● Preparação de um Plano de Continuidade de
Negócios
● Preparação de um plano de resposta a incidentes ● Descrição dos requisitos de segurança para um
Contexto – Definir Critérios
● Critérios para Avaliação de Riscos
– criticidade dos ativos, requisitos legais, Estimativa de Riscos, etc
● Critérios de Impacto
– Classificação do ativo, requisitos legais, ocorrências, interrupção de operações, etc
● Critérios para Aceitação de Riscos
– Pode haver mais de um nível de risco (risco aceitável e risco desejável) – Critérios distintos podem ser definidos para categorias distintas de ativos
Contexto – Escopo e Limites
● Objetivos estratégicos, políticas e estragégias ● Processos de Negócio
● Estrutura da Organização
● Requisitos legais e regulatórios
● Política de Segurança da Informação ● Ativos de Informação
● Localização Geográfica
● Expectativas das Partes Interessadas
Contexto – Papéis e
Responsabilidades
● Desenvolvimento do processo de gestão de riscos
adequado
● Identificação e análise das Partes Interessadas
● Definição dos papéis e responsabilidades de partes internas
e externas
● Estabelecimento das relações entre a organização e as
Partes Interessadas
● Definição de alçadas para tomada de decisão ● Especificação de Registros a serem mantidos
Visão Geral do Processo de Gestão
de Riscos
Definição do Contexto Análise/Avaliação de Riscos Análise de Riscos Identificação de Riscos Estimativa de Riscos Avaliação de Riscos Tratamento de Riscos Aceitação de Riscos C om un ic aç ão d o R is co M o n ito ra m e n to e A n á lis e C rí tic a d e R is co sAnálise e Avaliação de Riscos
● Determina o valor dos ativos de informação
● Identifica as ameaças e vulnerabilidades
● Identifica os controles existentes e sua
influência nos riscos
● Determina as consequências da concretização
das ameaças
Identificação de Ativos
● Identifica todos os ativos que suportam o escopo definido no
Contexto
● Ativos podem ser: – Pessoas
– Tecnológicos – Ambientes
– Processos ou Sistemas
● Cada Ativo deve ter um responsável identificado
● Os Ativos precisam ter sua relevância identificada através do
Identificação de Ameaças
● Naturais
● Humanas
– Acidentais – Intencionais
● Exemplos: ações não autorizadas, falhas
técnicas, incêndios, etc => Mais exemplos no Anexo C da norma NBR/ISO 27005
Identificação de Controles
Existentes
● Identificar os controles implementados (ou
planejados implementar)
● É importante medir a eficácia dos controles
● Métodos
– Análise de Documentos
– Entrevistas com responsáveis por ativos e processos – Coleta física de evidências
Identificação de Vulnerabilidades
● Podem ser identificadas vulnerabilidades em:
– Processos e procedimentos – Rotinas de gestão
– Recursos Humanos – Ambiente físico
– Configuração do sistema de informação
– Hardware, software ou ativos de comunicação – Dependência de entidades externas
● A presença de uma vulnerabilidade representa necessariamente
prejuízo à organização ?
Identificação das Consequências
● Consequências para a organização que podem
decorrer de um cenário de incidente
● Exemplos: perda de eficácia, condições
adversas de operação, perda de oportunidades de negócio, reputação afetada, prejuízo
financeiro, etc.
● Exemplos de Impacto (consequências) estão n
Estimativas de Riscos
● Qualitativa. Ex: muito baixo, baixo, médio, alto, muito alto ● Quantitativa
– Valoração das consequências – Valoração dos Ativos
– Estimativa das Probabilidades
● Anexo E da NBR/ISO 27005 apresenta exemplos de metodologias
para estimativa de risco
● Exemplo:
– Baixo Risco: 0-2 – Médio Risco: 3-5 – Alto Risco: 6-8
Estimativas de Riscos - Exemplo
Probabilidade de ocorrência da
Ameaça Baixa Média Alta
Facilidade de Exploração B M A B M A B M A Valor do Ativo 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8
Avaliação de Riscos
● Utilizar critérios de Avaliação e Aceitação de
Risco definidos no Contexto
● Considerar agregação de Riscos num Ativo ou
num Processo
● Gerar lista Riscos ordenados por prioridade
Tratamento de Riscos
Opções de Tratamento de Risco
Redução do Risco Aceitação do Risco Evitar o Risco Transferência do Risco Risco Residuais
Aceitação de Riscos
● Gera uma lista de riscos aceitos de acordo com
os critérios de aceitação definidos
● Riscos aceitos fora do critério de aceitação
devem ser justificados e aprovados pela Alta Direção
Comunicação de Riscos
● Comunicação bidirecional entre os tomadores
de decisão e demais partes interessadas sobre os riscos, planos de tratamentos de riscos,
riscos aceitos e seus critérios
● Processo contínuo que apoia a transparência
da gestão de riscos e a conscientização organizacional
Monitoramento e Análise Crítica
● Mudança de Escopo
● Mudança nos Valores dos Ativos ● Novas vulnerabilidades
● Novas ameaças
● Vulnerabilidades antigas associadas a novas ameaças ● Incidentes de segurança da informação
● Revisão de critérios, metodologia e contexto
● Processo contínuo de melhoria da gestão de riscos ●
Alinhamento entre Gestão de Riscos
e SGSI
Processo do SGSI Processo de Gestão de Riscos
Plan Definição do Contexto
Análise/Avaliação de Riscos
Definição do Plano de Tratamento de Riscos Aceitação de Riscos
Do Implementação do Plano de Tratamento de Riscos
Check Monitoramento contínuo e Análise Crítica de Riscos