Gesto da Segurana da

Informao (GSI)
Segurana da Informao
Semestre VI

Gesto de Riscos
Parte 1 Anlise de Riscos

Anlise de Risco
A anlise de risco possibilita identificar o grau de
proteo que os ativos de precisam.
Permite as empresas melhor avaliar a proteo
em grau adequado para o negcio.
Usar de maneira inteligente os investimentos a
serem direcionados para segurana das
informaes.

Anlise de Risco
Sem um analise ou avaliao de riscos, no
possvel determinar quais medidas so mais
necessrias ou eficazes na segurana dessas
informaes.

Anlise de Risco
Anlise de Risco, pode ser feita atravs de dois mtodos:
Anlise Qualitativa
o Faz uso de clculos mais simplificados.
o No se preocupa com a quantidade de dados, mas sim
com a qualidade.
o Deseja extrair algo no trivial, no visvel, que no
mensurvel.
o Depende do conhecimento e anlise do avaliador para
uma interpretao.

Anlise de Risco
Anlise de Risco, pode ser feita atravs de dois mtodos:
Anlise Quantitativa
o Utiliza clculos mais complexos, envolvendo estatsticas.
o Comumente associada a resultados numricos.
o Alto rigor na coleta de dados ( confiabilidade do mtodo)
o Objetiva buscar padres, encontrar frequncias
numricas.
Pesquisa de inteno de votos

Mtodo ISRAM
ISRAM Information Security Risk Analysis Method.
um mtodo de anlise de riscos, utilizado para avaliar
o risco causado por problemas de segurana da
informao.
O mtodo prope a determinao do risco com base
em questionrios relacionados com os problemas de
segurana e recorre a uma frmula especfica para o
clculo do ndice do risco

Mtodo ISRAM
Este mtodo adota uma frmula simples,
frequentemente usada por muitos autores, em que o
risco o produto da probabilidade de ocorrer uma
quebra de segurana pelo valor das consequncias a
ela associadas, e expresso como segue:

Mtodo ISRAM
O ISRAM consiste em sete etapas principais:
1. Identificar os problemas de segurana que envolve a
organizao em estudo;
2. Listar todos os fatores que podem influenciar a
ocorrncia de uma quebra de segurana;
3. Elaborar um questionrio com base nos fatores
identificados na fase anterior;

Mtodo ISRAM
O ISRAM consiste em sete etapas principais:
4. Elaborar a tabela de converso das respostas obtidas
em funo de valores quantitativos e qualitativos para
a probabilidade de ocorrer uma quebra de segurana e
para as consequncias de uma quebra de segurana;
5. Aplicao dos questionrios aos utilizadores;
6. Clculo do ndice do risco;

Mtodo ISRAM
O ISRAM consiste em sete etapas principais:
7. Anlise dos resultados com o intuito de tentar apontar
medidas que corrijam o problema de segurana.

Anlise de Risco

Exemplo Genrico para uma Industria.

Clculo do Risco no nvel de Servios.

Anlise de Risco
Para realizar uma avaliao de de riscos
necessrio entender como funciona e quais so os:
Processos
Servios
Ativos da empresa

Ativos suportam os servios que por sua vez

suportam os processos.

Processos
Servios
Ativos

Produo
Preparar insumos
Produzir produto final
Embalar produto final
Vendas
Fazer Propaganda
Vender para consumidor final
Vender para Atacadista

Servio de Arquivos
Servio de Impressoras
Acesso a Internet
Sistema de Vendas

Servidor de Aplicao
Servidor de Firewall
Servidor de Banco de Dados
Poltica de uso de recursos
Gerente de rede
Gerente de Banco de Dados

Anlise de Risco: Avaliao da Relevncia

Aps conhecer quais so os processos, servios,
ativos e como funcionam necessrio definir a
relevncia de cada um dentro do funcionamento
da empresa.
Relevncia dos Processos
Relevncia dos Servios
Relevncia dos Ativos

Anlise de Risco:
Relevncia dos Processos
A avaliao de relevncia de um processo, pode ser
realizada por meio de questionrios aplicados:
Usurios chaves (key users) do processo.
Todos do departamento e utilizar faixas percentuais na tabela
de equivalncia para estimar a relevncia.

importante o conhecimento sobre os principais

processos executados pela organizao para que seja
avaliado quanto sua relevncia.

Anlise de Risco:
Relevncia dos Processos
Muitos aspectos podem ser considerados nessa avaliao.
Por exemplo:
Anlise pelo ponto de vista de Disponibilidade.
Tempo de indisponibilidade que ira impactar a operao.

Anlise pelo ponto de vista financeiro.

Contribuio do processo no lucro da empresa.

Anlise de Risco:
Relevncia dos Processos
Para facilitar o entendimento da relevncia de
cada processo, Pergunte ao gerente da empresa
por quanto tempo que estes processos poderiam
ficar parados sem gerar prejuzo para empresa?
A resposta a essa questo ira direcionar a
classificao da relevncia de cada processo.

Anlise de Risco: - Tabela de Equivalncia

Relevncia dos Processos
Relevncia do Processo
Rtulo de
Relevncia
Mnima
Baixa
Mdia
Alta
Mxima

Valor Nominal

Faixa Percentual

1
2
3
4
5

01-20
21-40
41-60
61-80
81-100

Anlise de Risco:
Relevncia dos Processos
rea de Processo - Produo

Relevncia do
Processo

a. Preparar insumos

Alta

b. Produzir produto final

Mxima

c. Embalar produto final

Mdia

rea de Produo - Vendas

a. Fazer propaganda
b. Vender para consumidor final
c. Vender para atacadistas

Relevncia do
Processo
Baixa
Mxima
Alta

Anlise de Risco:
Relevncia dos Processos
Grupo de Processos [Produzir]

Valor Nominal

a. Preparar insumos

b. Produzir produto final

c. Embalar produto final

Grupo de Processos [Vender]

Valor Nominal

a. Fazer propaganda

b. Vender para consumidor final

c. Vender para atacadistas

Trabalho de Gesto de Riscos

Em Dupla avaliar o cenrio proposto pelo professor.
Discutir e elaborar o questionrio utilizado para avaliar
a relevncia dos servios propostos.
A dupla deve utilizar o arquivo modelo de atividades do
EAD, gerar um PDF e carregar o arquivo para a tarefa
Entregvel 01 Relevncia de Processos presente no
EAD no Trabalho Gesto de Risco.