Escolar Documentos
Profissional Documentos
Cultura Documentos
Agilidade:
@oss#ir a ca3acidade de m#dar com c#stos controlados e ra3ide5.
8s a#tores (i1id.! a%irmam 0#e os %atores de risco 3or eles a3resentados %ormam #ma
/ierar0#ia, = 0#al denominam D3ir[mide dos riscos da TID e 0#e est gra%icamente re3resentada na
%ig#ra :.
?I*U+A : - @I+_-IDE D8S +ISC8S DA TI
?8NTEC Ada3tado de SESTE+-AN e KUNTE+ (900), 3. >B a3#d CKAVES, 90, 3. :Z!
A dis3osi$&o dos %atores na 3ir[mide demonstra 0#e o %ator 3osicionado n#ma determinada
camada in%l#encia n&o a3enas os riscos associados a ela, mas tam12m a0#eles associados =s
camadas s#3eriores.
`#anto ao tratamento dos riscos, alg#mas das classi%ica$6es 3oss4veis 3ara as medidas de
3rote$&o #tili5adas, seg#ndo Jeal (900L, 3.9Z a3#d *ross, 90', 3. 9Z!, s&oC
-edidas 3reventivasC controles 0#e red#5em a 3ro1a1ilidade de #ma amea$a se concreti5ar
o# dimin#em o gra# de v#lnera1ilidade do am1iente o# ativo, red#5indo assim a
3ro1a1ilidade de #m ata0#e e(o# s#a ca3acidade de gerar e%eitos adversos na organi5a$&o.
-edidas corretivas o# reativasC red#5em o im3acto de #m ata0#e(incidente. S&o medidas
tomadas d#rante o# a3s a ocorr<ncia do evento.
-2todos detectivosC e;36em ata0#es(incidentes e dis3ara medidas reativas, tentando evitar a
concreti5a$&o do dano, red#54-lo o# im3edir 0#e se re3ita.
As eta3as da gest&o do risco s&o e;i1idas na %ig#ra '.
9
?I*U+A ' - ETA@AS DA *ESTY8 D8 +ISC8
?8NTEC Jeal (900L, 3.) a3#d *ross, 90', 3. 9)!
+ainer, Sn^der e Carr (BB! ressaltam 0#e, inde3endentemente da metodologia #tili5ada
3ara identi%icar e tratar riscos de TI, 2 dese7vel 0#e esta ten/a certas 3ro3riedades. @rimeiro, ela
deve ser aceita 3ela rea de gerenciamento o# negcios, a com#nidade de #s#rios envolvidos e o
de3artamento de sistemas de in%orma$&o. Seg#ndo, mesmo 0#e nen/#ma metodologia de anlise de
risco 3ossa considerar todos os riscos, ela deve ser o mais com3reens4vel 3oss4vel e 3oss#ir a
/a1ilidade de lidar com novas tecnologias. Terceiro, ela deve soar logicamente correta. `#arto, ela
deve ser 3rtica - signi%icando 0#e ela deve entregar 3rote$&o otimi5ada 3elo c#sto des3endido.
`#into, ela deve ser a1erta, de modo 0#e 3ossa ser avaliada 3or todos os interessados. Se;to, ela
deve contri1#ir 3ara o a3rendi5ado, acom3an/ando #ma doc#menta$&o clara e registros de
deli1era$6es (trad#$&o nossa!.
CO.SIDERA/:ES I.AIS
No decorrer da 3es0#isa %eita 3ara %orm#lar esse tra1al/o, 3assamos a con/ecer #ma
3artic#laridade da gest&o de riscos 0#e at2 ent&o n&o con/ec4amos. *erir riscos 3arecia ser #ma
tare%a Tnica e 3rinci3almente restrita ao 3ro1lema o# evento negativo ocorrido. Na verdade n&o o 2.
A gest&o de riscos comtem3la #ma s2rie de eventos encadeados 0#e n&o s&o 3ass4veis de
conviv<ncia mTt#a sem #m 3lane7amento e e;ec#$&o ade0#ados. A cria$&o de #ma c#lt#ra relativa =
seg#ran$a dos ativos de in%orma$&o entre e;ec#tivos, gestores e cola1oradores 2 o 3onto de 3artida
3ara come$ar a resolver os 3ro1lemas de seg#ran$a nessa rea.
:
Nos tem3os at#ais n&o 3odemos nos dar ao l#;o de desconsiderar os riscos aos 0#ais
estamos s#7eitos. A atit#de de ignorar os riscos n&o os %a5 dei;ar de e;istir. Essa a%irmativa toma
cor3o e reveste-se como verdade in0#estionvel a 3artir das nossas inocentes redes dom2sticas, o
c/amado Ai-%i de casa, a1rangendo at2 o to3o da es%era cor3orativa, 3ois a in%orma$&o 2 #m 1em
3recioso de toda e 0#al0#er organi5a$&o e a s#a seg#ran$a tem 0#e %a5er 3arte da s#a gest&o.
As cor3ora$6es, e 3or 0#e n&o di5er at2 mesmo os 3ro%issionais li1erais, esta1elecem dia
a3s dia, #ma de3end<ncia cada ve5 maior de in%orma$6es 0#e s&o acessadas 3elos sistemas de
in%orma$&o, mas 0#ando se trata de a3licar rec#rsos %inanceiros 3ara 3rote$&o desses ativos 3arece
0#e Ues0#ecemM 0#e e0#i3amentos e so%tAares est&o s#7eitos = %al/as e 3ortanto deve /aver #m
3lane7amento 3ara a contin#idade das o3era$6es, o# se7a, contin#idade do 3r3rio negcio.
Nossa 3es0#isa indico# tam12m 0#e im3lementar #ma metodologia 3reventiva, a3esar dessa
metodologia acarretar em c#stos mais elevados, l no %inal das contas c#sta mais 1arato do 0#e
reagir atacando as conse0#<ncias de tais eventos negativos. A maioria das organi5a$6es #tili5a a
metodologia reativa devido ao descon/ecimento da mat2ria. A3rendemos 0#e nem t#do 2 negativo
0#ando se trata de gerir riscos em TI. E;em3li%icando mel/or, 0#ando a inseg#ran$a e;iste ela gera
incerte5as. E 3or mais antagHnico 0#e 3are$a as 3r3rias incerte5as 3odem ser #sadas como
o3ort#nidades 3ara evol#$&o, 3rinci3almente no 0#e di5 res3eito = 3rocessos mel/ores na rea da
gest&o e tam12m de 3rod#tos mais e%icientes e e%ica5es, 3ois o sim3les %ato de 3oder ocorrer #ma
%al/a nos ind#5 a tra1al/ar em #m desenvolvimento mais a3#rado dos 3rod#tos.
Nessa eta3a de3aramo-nos com #ma verdade irre%#tvel a res3eito do tema gest&o de riscos
em TIC n&o / mais es3a$o 3ara amadores. Seg#ran$a da in%orma$&o 2 ass#nto 3ara 3ro%issionais. A
%orma$&o na rea acom3an/ada da 3rtica, e 3rinci3almente as a$6es em con%ormidade com as
c/amadas U1oas 3rticasM s&o condi$6es essenciais 3ara 0#e os es%or$os dis3endidos 3elos
3ro%issionais envolvidos nessa rd#a tare%a 3ossam e;ec#tar e 3rinci3almente o1ter s#cesso no
tra1al/o 0#e tem 0#e ser %eito, o# se7a, c/egar mais 3r;imo 3oss4vel do risco 5ero.
@roteger os ativos de in%orma$&o tem como conse0#<ncia os c#stos de man#ten$&o da dessas
in%orma$6es, 0#e com certe5a, em alg#ns casos, 3ode envolver a a3lica$&o de rec#rsos %inanceiros
de elevada monta. 8s sistemas 0#e n&o levam em considera$&o a seg#ran$a, em s#a grande maioria,
s&o mais sim3les e 3raticamente n&o e;igem nen/#ma man#ten$&o mais a3#rada, entretanto, %ica
#ma 0#est&o a ser res3ondidaC 0#anto c#sta 3ara #ma organi5a$&o a 3erda de in%orma$6es o# at2
mesmo a %alta de dis3oni1ilidade o# con%ia1ilidade nelasa
S&o m#itos os as3ectos 0#e est&o interligados 3ara 7#sti%icar o investimento em seg#ran$a da
in%orma$&o, dentre os 0#ais 3odemos destacar o alin/amento estrat2gico da organi5a$&o, 0#al ser o
'
n4vel de com3etitividade alme7ado 3ela em3resa, e 3rinci3almente 0#al 2 o valor 0#e a 3r3ria
em3resa d 3ara se#s ativos de in%orma$&o.
*erir riscos em TI investe os 3ro%issionais envolvidos da miss&o de %a5er com 0#e os riscos
3ro3riamente ditos n&o #ltra3assem o limite de aceita1ilidade esta1elecido 3ela alta dire$&o. +iscos
%a5em 3arte do conte;to 0#e 3oss#i m#itas variveis, tais como, tecnologias, 3rocessos e 3essoas.
@ara 0#e os riscos se7am minimi5ados a alta dire$&o deve %ornecer meios, incentivar, e acima de
t#do dar o e;em3lo no 0#e di5 res3eito =s mel/ores 3rticas 0#e devem ser adotadas.
REER;.CIAS <I<$IOGR=ICAS
JEAL, Adriana. Segurana da informaoC 3rinc43ios e mel/ores 3rticas 3ara a 3rote$&o dos
ativos de in%orma$&o nas organi5a$6es. S&o @a#loC Atlas, 900L. InC *+8SS, C/ristian -einecbeI
*+8SS, ]an C/arles. Segurana da Informao. IndaialC Uniasselvi, 90'.
JITSCK, ?riedemann. Safe5> pa55ern#C t/e be^ to %ormal s3eci%ication o% sa%et^ re0#irements.
InC V8*ES, Udo (8rg.!, @roceedings o% t/e 90t/ Con%erence on Com3#ter Sa%et^, +elia1ilit^ and
Sec#rit^ - SA?EC8-@ (Lect#re Notes in Com3#ter Science!. Keidel1ergC S3ringer, v. 9L), 3.
)Z-LB, 900. InC CKAVES, S^dnei. A ?ue#5o do# ri#co# em am!ien5e# de compu5ao em
nuvem. 90. >0 %. Disserta$&o (-estrado! " Universidade de S&o @a#lo, S&o @a#lo, 90.
CKAVES, S^dnei. A ?ue#5o do# ri#co# em am!ien5e# de compu5ao em nuvem. 90. >0 %.
Disserta$&o (-estrado! " Universidade de S&o @a#lo, S&o @a#lo, 90.
C8--ITTEE 8? S@8NS8+IN* 8+*ANIcATI8NS 8? TKE T+EADSAd C8--ISSI8N
(C8S8!. En5erpri#e ri#4 managemen5C Integrated %rameAorb (e;ec#tive s#mmar^!. C8S8, set.
900'.
C+8UKd, -ic/el et al. T%e e##en5ial# of ri#4 managemen5. NeA dorb, Nd (US!C -c*raA-Kill,
900Z.
ESALD, ?rancois. Ins#rance and risb. InC JU+CKELL, *ra/am et al. T%e oucaul5 effec5C st#dies
in governmentalit^. C/icago, IL (US!C T/e Universit^ o% C/icago @ress, 3. B)-90, BB.
*+8SS, C/ristian -einecbeI *+8SS, ]an C/arles. Segurana da Informao. IndaialC
Uniasselvi, 90'.
KAJE**E+, Jeat. Ri#4 anal>#i# and managemen5 in a d>namic ri#4 land#cape. InC (8rg!.
In5erna5ional %and!oo4 on ri#4 anal>#i# and managemen5. c#ric/C ETK c#ric/ - Center %or
Sec#rit^ St#dies (CSS!, 3. :-:9, 900L. InC CKAVES, S^dnei. A ?ue#5o do# ri#co# em am!ien5e#
de compu5ao em nuvem. 90. >0 %. Disserta$&o (-estrado! " Universidade de S&o @a#lo, S&o
@a#lo, 90.
INTE+NATI8NAL 8+*ANIcATI8N ?8+ STANDA+DIcATI8N (IS8!. IS8 :000C900B - +isb
management - @rinci3les and g#idelines. *eneveC IS8, nov. 900B. InC CKAVES, S^dnei. A ?ue#5o
do# ri#co# em am!ien5e# de compu5ao em nuvem. 90. >0 %. Disserta$&o (-estrado! "
Universidade de S&o @a#lo, S&o @a#lo, 90.
>
eLIE-, +al3/ L. Ri#4 managemen5 for !u#ine## proce## reengineering pro@ec5#. In%ormation
S^stems -anagement. 8;%ord, UeC Ta^lor and ?rancis, V. ), n. ', 3. -:, set. 9000.
LEVES8N, Nanc^ *. Appl>ing #>#5em# 5%in4ing 5o anal>"e and learn Aom even5#. Sa%et^
Science. AmsterdamC Elsevier, v. 'B, n. l, 3. >>-Z', 7an. 90.
+Ac, T5viI KILLS8N, David. A compara5ive revieB of ri#4 managemen5 #5andard#. +isb
-anagementC An International ]o#rnal. Kam3s/ire, UeC @algrave -acmillan, v. ), n. ', 3. >:-ZZ,
o#t. 900>.
+AINE+, +e; eell^ ]r.I SNdDE+, C/arles A.I CA++, Ko#ston K. +isb anal^sis %or In%ormation
o% Tec/nolog^. Cournal of )anagemen5 Informa5ion S>#5em#. NeA dorb, US, Vol. L, No. , 3.
9B-'), 7#n. BB.
ST8NEJU+NE+, *ar^I *8*UEN, Alice e ?E+IN*A, Ale;is. NIST S@ L00-:0 Ri#4
managemen5 guide for informa5ion 5ec%nolog> #>#5em#. LocalC a Ed.C NIST, 9009. InC LENT8,
L#i5 8tavio Jotel/o. Ge#5o de Ri#co#. EmC V/tt3C((AAA.diegomacedo.com.1r(gestao-de-riscos(X.
Acesso emC ) 7#n/o 90'.
T+ENTIN, ?ernando +. Ri#4 )anagemen5. EmC V/tt3C((rtrentin.Aord3ress.com(900(0B(X. Acesso
emC 9' 7#n/o 90'.
UNITED STATES DE@A+T-ENT 8? DE?ENSE. -IL-STD-LL9D - S5andard prac5ice for
#>#5em #afe5>. %ev. 9000. InC CKAVES, S^dnei. A ?ue#5o do# ri#co# em am!ien5e# de
compu5ao em nuvem. 90. >0 %. Disserta$&o (-estrado! " Universidade de S&o @a#lo, S&o
@a#lo, 90.
SEN*E+, Andreas et al. @re%ace. InC Ka1egger, Jeat (8rg!, In5erna5ional %and!oo4 on ri#4
anal>#i# and managemen5. c#ric/I ETK c#ric/ - Center %or Sec#rit^ St#dies (CSS!, 900L.
SESTE+-AN, *eorgeI KUNTE+, +ic/ard. IT ri#4C t#rning 1#siness t/reats into com3etitive
advantage. Joston, -A (US!C Karvard J#siness Sc/ool @ress, 900). InC CKAVES, S^dnei. A
?ue#5o do# ri#co# em am!ien5e# de compu5ao em nuvem. 90. >0 %. Disserta$&o (-estrado!
" Universidade de S&o @a#lo, S&o @a#lo, 90.