Escolar Documentos
Profissional Documentos
Cultura Documentos
Evitar o risco
Transferir o risco (p. ex. seguro)
Reduzir as vulnerabilidades
Reduzir as ameaças
Reduzir os possíveis impactos
Detectar eventos indesejados, reagir e
recuperar
Aceitar o risco (residual)
Exercício
As respostas dependem de critérios pessoais por isso é importante que o profissional que
esteja realizando a análise busque padronizar seus conceitos antes de finalizar o
tratamento de riscos
Exercício resposta
Descrição Disponibilid. Integrid. Confidencial. Valor Comentário Vulnerabilidade Ameaças Probabilid Riscos
Metodo- Acarreta Não há pessoal Roubo,
logia dano, mas o de Segurança, Divulgação
processo Não há critérios
pode ser de contratação
executado para o pessoal
de apoio.
Ativos
Têm
Impacto Potencial
no Negócio
Valor
Porque têm Portanto é
valor são necessário
que se
defina
Vulneráveis
E por isso Requisitos de
podem ser Segurança
atacados por
Ameaças E
E correm
Controles
Riscos
Podendo provocar
Processos de Avaliação e Tratamento do Risco
Avaliação de risco
Identificação e valorização dos ativos
Identificação das vulnerabilidades
Identificação das ameaças
Avaliação de impactos que a perda de confidencialidade, integridade e
disponibilidade nos ativos pode causar
Análise e avaliação dos riscos
Priorização dos riscos
Tratamento de risco
Definição do grau de garantia
Revisão de controles existentes
Identificação de novos controles
Implementação dos novos controles
Aceitação do risco residual
Que uma avaliação de risco seja realizada para identificar ameaças aos ativos
Exercício
Continuando o exercício anterior onde foram identificados os riscos para 1 destes ativos
agora identifique do seu ponto de vista e dentro do seu conhecimento controles que
poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou
eliminar cada um destes riscos.
Resposta
Descrição Disponibilid. Integrid. Confidencial. Valo Comentário Vulnerabilidade Ameaças Probabili Riscos
r d
Servidor Peça Antivírus, Contamina
chave do desatualizado ção por
processo , Backup Vírus,
inadequado e Ataque de
Patches Hacker
Desatualizad
os
Criar procedimento
automático para atualização
Criar Política adequada
para tratar o problema
Terceirizar a manutenção e
Controle contra Software atualização do sistema anti -
Malicioso vírus
Criar procedimento de
Backup
Controlar a disponibilidade
de espaço
Terceirizar procedimento de
Housekeeping backup
Criar procedimento para
atualização de patches
Terceirizar a informação e
Desenvolvimento e atualização dos softwares
Manutenção de Sistema Adquirir software IDS
O que é um Sistema de Gestão?
Definição de Sistema de Gestão
Um sistema de gestão é um sistema para estabelecer política e objetivos e
para atingir estes objetivos, utilizando:
A estrutura organizacional
Processos sistemáticos e recursos associados
Metodologia de medição e avaliação
Processo de análise crítica para assegurar que os problemas são corrigidos e
as oportunidades de melhoria são identificadas e implementadas quando
necessário
SGSI
Parte do sistema de gestão, baseado no enfoque de risco nos negócios, para
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a
segurança da informação
Projeto e Implementação
Influenciados pelas necessidades e objetivos dos negócios, resultando em
requisitos de segurança, processos utilizados, tamanho e estrutura da
organização. Espera-se que o SGSI e os sistemas de apoio mudem com o
tempo.
Fatores Críticos do Sucesso
Comprometimento e apoio visível de todos os níveis da direção
Provisão de recursos para as atividades de gerenciamento da segurança da
informação
Divulgação, conscientização, educação e treinamento adequados
Política de segurança da informação, objetivos e atividades que refletindo os
objetivos do negócio
Bom entendimento dos requisitos de segurança da informação, avaliação de risco
e gerenciamento de risco
Fatores Críticos do Sucesso