Escolar Documentos
Profissional Documentos
Cultura Documentos
2009/2010
ANÁLISE E GERENCIAMENTO
DE RISCOS
- Identificação e classificação de ativos;
- Vulnerabilidades;
- Ameaças;
- Probabilidades;
- Impactos; e
- Alternativas de mitigação.
Professor: Hêlbert
Em um mundo onde a competição, a
evolução e a mudança desempenham papel
importante para a inovação e o desenvolvimento
de organizações, a gestão de segurança da
informação é elemento fundamental para o
sucesso das instituições e empresas.
1 - Trivial / Aceitável
2 - Tolerável
3 - Moderado
4 - Importante
5 - Intolerável / Inaceitável
Índice de Risco e Prioridade de Intervenção
- Menos surpresas;
- Exploração de oportunidades;
- Melhoria no planejamento e no
desempenho da instituição;
- Economia e eficiência;
- Melhoria na reputação;
- Melhoria pessoal.
Produtos Finais:
• Análise de Vulnerabilidades;
• Análise de Risco.
Padrões e Normas
• Estabelecimento de contexto;
• Identificação de risco;
• Análise de risco;
• Avaliação de risco;
• Tratamento de risco;
• Monitoramento e revisão;
• Comunicação e consulta.
Figura 1: Modelo AS/NZS 4360:2004.
De acordo com a Figura 1, após a análise de
risco são necessárias atividades de avaliação de
risco, de tratamento de risco, de monitoramento e
revisão e de comunicação e consulta.
• Compreendido
• Medido
• Avaliado (conseqüências)
As ações tomadas com base na compreensão,
na medição e na avaliação do risco fazem com que
as chances de sucesso aumentem, já que danos são
minimizados e oportunidades são maximizadas.
P (plan: planejar);
Figura 4: Risco
no PMBOK.
O processo de planejamento do
gerenciamento de risco do PMBOK, por exemplo,
é definido da seguinte forma:
• Inputs;
• Fatores organizacionais;
• Atitude e tolerância com relação ao risco;
• Processos organizacionais;
• Categorias de risco;
• Definição de conceitos e termos;
• Papéis e responsabilidades;
• Níveis de autoridade para tomada de
decisão;
• Escopo do projeto;
• Plano de gerenciamento do projeto;
• Ferramentas e técnicas;
• Reuniões e análises;
• Output;
• Plano de gerenciamento de risco.
A estrutura do plano do gerenciamento de
risco segue o seguinte formato:
• Metodologia;
• Papéis e responsabilidades;
• Investimento;
• Cronograma;
• Categorias de risco (RBS);
• Definição da probabilidade e impacto do
risco;
• Matriz de probabilidade e impacto;
• Tolerância dos stakeholders;
• Formato dos relatórios;
• Auditoria.
O RBS pode ser visto na Figura 5, e divide
os riscos identificados como sendo de natureza
técnica, externa, organizacional e do próprio
gerenciamento de projeto.
• Inputs;
• Plano de gerenciamento de risco;
• Registro de risco;
• Ferramentas e técnicas;
• Estratégias para riscos negativas ou
ameaças;
• Evitar, transferir, mitigar;
• Estratégias para riscos positivos ou
oportunidades;
• Explorar, compartilhar, maximizar;
• Estratégia para ameaça e oportunidade;
• Estratégia de contingência;
• Outputs;
• Registro de risco atualizado;
• Plano de gerenciamento de risco atualizado;
• Contrato de acordo sobre os riscos.
Figura 5: Risk Breakdown Structure (RBS) do PMB
Um ponto importante a ser considerado é
quanto aos riscos relacionados à segurança da
informação.
• Fase 1 – Contextualização;
• Fase 2 – Levantamento de informações;
• Fase 3 – Análises;
• Fase 4 – Recomendações;
• Fase 5 – Apresentação dos resultados.
Figura 7: Relacionamentos entre elementos do ris
O início da metodologia prepara todo o
processo de análise de risco a ser conduzido, de
acordo com o contexto existente.
-Definição de responsabilidades;
Bens tangíveis