Universidade Católica de Brasília

Gerência de riscos em Sistemas de Informação.

Professor Marco Antônio de Oliveira Araújo

Robson Oliveira Ávila

http://www.virtue.com.br/blog/?p=26Resumo

Introdução

Este documento tem como objetivo e premissa a elaboração de um resumo referente ao link
acima conforme a sistemática do trabalho para conclusão da disciplina de Segurança e Auditoria
de Sistema, não tenho aqui como objetivo julgar o trabalho do autor, mas tirar as minhas
conclusões e compreensão do estudo sobre o que é Gerenciamento de risco em Sistema de
Informação.
 Lendo o conteúdo do autor o mesmo fala sobre Gestão de Risco seus conceitos e suas
definições, onde sita que fazendo uma pesquisa sobre o assunto existe uma grande quantidade
de documento sobre a causa, e também como proteger, também fala que o problema não é de
hoje, mas as soluções que aparecem sim são novas e recentes, interessante que mais de 2
milhões de dados na internet está em português e mais de 124 milhões de páginas está em
inglês, fala ainda que a disciplina vem buscando um equilíbrio para cobrir riscos e custos, e a
Gestão de Risco vem sendo praticada a décadas, nas mais variadas instituições e organizações,
e este termo tornou-se conhecido e vem sendo utilizado recentemente.

O autor do documento enfatiza que a Gestão de Risco é somente associada aos ativos
financeiros, tais como seguros, créditos, taxa de câmbio, empréstimos etc., demostra no artigo
que atualmente a mesma vem passando por modificações é que começou a ser associada a
Tecnologia da informa, demostra que a medida que os negócios dos ativos vêm crescendo, nos
dias atuais, mais dependência e necessidade a internet e aos sistemas de Tecnologia da
Informação. Os riscos também tornam-se visível, e alguns parágrafos fala que violações e falhas
em Sistemas de Informações vem causando prejuízos e crises nas organizações, mostra
evidencias que os danos a reputação por roubos a identidade, vazamentos de informações
confidencias, fala ainda sobre falhas de sistemas e restrições aplicadas e a procura por
conformidade e grande.

O autor informa em seu artigo que manchetes tem apresentado e publicado artigos sobre
números alarmantes de risco tecnológicos, roubos de mídia de backup, processos litigiosos de
produção e preservação de impróprias de registros eletrônicos, fala ainda que as corporações
do mundo todo vem buscando alternativas para estar disseminando os riscos e para ter um
retorno em seus negócios, fala em seu artigo e apresenta um disciplina que é Gestão de Risco e
que antigamente os ricos as TI estava limitado no diz respeito à segurança o que não era possível
dar continuidade aos negócios, diz ainda que risco em Tecnologia da Informação evoluiu, está
claramente evidenciada e os risco hoje não são unidimensionais, apresenta que hoje existe um
programa de Gestão de Riscos onde o mesmo avalia todo aspecto organizacional.

Finalizando seu raciocínio o autor apresenta algumas aplicabilidades e sita o que pode ser
criado para diminuir os riscos para os negócios de uma organização, tais como Segurança,
Disponibilidade, Performance e conformidade, com tudo isto devemos aprimorar nossos
conhecimentos e prioriza-las para estabelecer um efetivo programa de Gestão de Risco da TI e
Sistemas de Informações.
 Analisando o artigo o mesmo apresentou tópicos e informações relevantes a Gestão e
Gerencia de Riscos da Informação, o autor apresentou os risco de ativos em uma organização,
mostrou que as corporações hoje vem tentando buscar medidas para proteger as informações
de suas organizações, este termo que só recentemente, tornou uma premissa as necessidades,
pois valores financeiros tem sido hoje alvo claro e evidenciado, nas organizações.

Mostrando claramente que quanto mais os negócios crescem, mais e mais crescem a
necessidade de proteção no que diz respeito a internet e aos sistema de informação os riscos
tornou-se mais visíveis e significante, o autor apresentou tópicos onde se fala de violações aos
sistemas de informações e causando sérios problemas e crises de negócios, achei que o artigo
do autor vem apresentando claramente que tanto danos a reputação da empresa e documentos
são roubados, vazamento de informações roubos de informações confidenciais é o que tem mais
acontecidos, devidos as falhas de sistemas.

O mesmo ainda apresenta manchetes, onde tem acontecidos constantemente, tanto em

redes sociais como televisivos, destaca com ênfase os problemas e falta de preparo e
conhecimentos relacionado aos riscos tecnológicos, resumidamente apresenta detalhes dos
ativos que vem sendo roubados nas organizações, mostra que hoje as organizações vem
buscando incansavelmente respostas.

Fala a disciplina de Gestão de Risco é nova e apresenta que no passado a TI esteve até
então limitada aos aspectos como segurança e gestão de riscos, fala que o conceito evoluiu o
que para mim é uma verdade, mas ainda está longe de alcançar um patamar onde a
aplicabilidade aos ativos da informação.

O autor consegui atingir alguns tópicos sobre o tema proposto por ele e apresenta uma
categoria mostra que pode criar uma estrutura para os negócios da empresa, a meu ver o
conteúdo, está interagindo com um grupo de pessoas que não conhece o que é uma gestão ou
gerencia de risco, mas que pode tomar algumas medidas para se proteger e proteger o seu bem
mais valioso que é informações de sua empresa ou até mesmo de arquivos pessoais
 O que percebi de negativo neste que o autor poderia ter apresentado com mais detalhes
informações sobre a disciplina, poderia ter evidenciado com mais detalhes quais são os ativos a
se proteger, apresentar tópicos mais completos e seus conceitos gerais sobre a Segurança da
informação, ter apresentado mais ricamente os atributos tais como confidencialidade a
integridade e disponibilidades das informações, que existe diversos motivos para as
organizações procurar um plano de contingência, apresentar as classificações onde a proteção
tem que ser na parte logica, física e administrativa, seus tipos e uma descrição mais detalhada
do assunto, seu artigo tem alguns tópicos bons, mas digo que foi muito superficial faltou
conhecimento a fundo da causa, poderia ter apresentado também aspectos sobre a segurança
da informação, que existe variados fatores que devem ser gerenciados para garantir uma
segurança, tópicos apresentado como uma manchetes, poderia um parágrafo abaixo informa
também que existem componentes básicos para uma segurança em uma organização, poderia
ter falado nos investimentos necessários e essenciais como um plano para segurança deste tais
como valor, ameaças, vulnerabilidades, impacto e risco, depois apresentado um plano de
contingências a estes componentes, ter informado em seu artigo que já existia desde 1985 uma
norma apresentada por Trusted Computer Evaluation Criteria, - D0D 5200.28 – conhecido como
STD.

Poderia ter finalizado o artigo informando que a Gerencia de Riscos, pode ser tratada com
mais detalhes com termos e suas definições e que as vulnerabidades existem, mas proteção,
tratamento, aceitação que existem riscos, mas tem que ser comunicado e deve ser priorizado,
ter maior conhecimento sobre ele e desafios sempre haverá, mas planos de contingência
também existem.
 Conclusão a minha opinião o artigo faltou experiências e conhecimentos sobre o que
realmente é um Gerencia e Riscos em Sistemas de Informação, faltou o autor do arquivo da mais
relevância citar e fazer uma classificação da informação, conceitos gerais da causa, estratégias
para proteção, um projeto bem planejado para os riscos iminentes e ter apresentado que existe
auditoria de sistemas para uma gerencia de riscos, o autor do artigo poderia também ter falado
sobre um ambiente organizacional da segurança, onde o mesmo poderia ter feito uma pergunta
para seu leitores tê-los feitos pensar no assunto, por que se preocupar com a segurança dos
ativos da empresa onde podemos chegar com a gerencia de riscos em um ambiente
organizacional, ter dado ênfase informando diversos níveis de segurança, e este níveis pode
afetar uma empresa.

Ter mostrado aos leitores que os problemas mais visíveis em uma organização como
premissa, mas sim que os riscos começam na porta de entrada, ter apresentado exemplos mais
detalhados ou pelo menos citar exemplos de vírus, worm, risco hoje mais visto nas organização,
informar que com a evolução tecnológica também trouxe pessoas mal intencionadas, falado de
leis e regulamentos que estão ou já foram criadas, hoje as empresas deveriam focar uma
segurança nas pessoas, não somente em arquivos, hoje uma pessoa para se falar de segurança
da informação ou gerencia de risco tem que conhecer sobre as vulnerabilidade e também
estratégias de defesa contra todos os ativos ao seu redor.

O autor do texto deveria ter informado que os incidentes tem acontecidos mais
frequentes e os mesmo tem sidos cada vez mais elaborados e criativos, não só grandes empresas
tem lidado com isto, mas pessoas físicas, atores, cantores artistas entre outros, enfim deveria
ter informado com mais detalhes as situações comumente enfrentas nos dias atuais, hoje os
eventos apresentam de várias forma sejam eles naturais, acidentais ou intencionais, o
responsável por este artigo deviria ter dado uma ênfase também nestes pontos, mostrar ao
leitor fazê-lo, crer que estamos todos vulneráveis e o fator humano é que tem que receber mais
atenção, poderia ter citado que existe estratégias que podem ser implementadas para inibir
perdas, informa aos leitores que tanto uma rede seja ela corporativa ou domestica se deve
aplicar níveis de privilégios aos acessos, seja ela em pastas até mesmo em uma rede wireless,
este também é um sistema de gerencia de risco que teria ter informado no artigo do autor.

Este texto deveria ter apresentado também, pode se aplicar uma defesa de profundidade,
mas informa que não existe um sistema infalível, mas temos que dificultar o acesso em um todo
do não ficar apagar incêndios, melhor usar um sistema de prevenção, para inibir ou dificultar
acesso, ter apresentado que existe sempre um elo mais fraco e este elo mais franco sempre será
o homem, no texto poderia ter apresentado um técnica usada como um Choke Point, onde tudo
tem que passar por um entrada devidamente identificada, poderia também ter falado um pouco
sobre segurança através da obscuridade, um tópico bastante interessante de fácil compreensão,
informando que a melhor forma de se proteger uma informação é não deixar que outras pessoas
saibam que ela existe.

Lendo este conteúdo que fiz em pesquisa para complemento deste artigo que fala
também sobre gerenciamento de risco achei muito interessante esta imagem o autor fala e
apresenta de forma animada as probabilidades de riscos que estamos expostos, o que
infelizmente não foi apresentado com mais detalhes no artigo que está sendo apresentado por
mim, em minhas palavras faltou um contexto mais amplo do que é gerencia de risco e falhas no
que o autor diz.
 http://analistati.com/gestao-de-riscos-em-ambientes-seguros/

Alguns assuntos que posso dizer que até então tinha me interessado neste texto foi que
o mesmo disse sobre a pesquisa que se pode fazer e os resultados quando você pesquisa no
Google o termo “Gestão de Riscos”, fiquei assustado a pesquisa mostra que o brasil ainda está
longe de tratar o problema tem mais é apagado incêndios, falta de conhecimentos de
especialistas formados na área, o autor poderia ter apresentado que a simplicidade de uso de
uma estratégia pode ajudar uma organização, poderia ter dito que um gerenciamento de risco
é tudo aquilo que pode ser gerenciado e planejado e medidas de aplicabilidade e várias
estratégias poderiam ser usadas para inibir e até dificultar os invasores, colocar em prática um
rotina para as organizações, poderia também ter apresentado que existem soluções mais em
conta para os problemas.

Neste artigo faltou argumentos mais detalhados para chamar atenção do leitor, como são
classificados a informação, o benefício de se classificar, as políticas de podem ser classificadas,
podem também ser desclassificas e reclassificadas os papeis que cada uma tem e suas
responsabilidades, os levantamentos preliminares e requisitos legais, lendo este conteúdo os
autor apresenta com mais detalhes o que é gerencia de riscos apresenta mais ricamente em
detalhes o que uma pessoa maliciosa pode solicitar e o que e como pode se evitar estas falhas
tão comuns e muitas vezes repetitivas, mas que falta conhecimentos em muitos posso citar o
autor deste texto.

http://www.academia.edu/4845113/ATPS-SEGURANCA_E_AUDITORIA_ETAPA_3

Considerações finais, não importa a segurança aplicada em um ambiente coorporativo,

pois não existe uma gerencia que seja completa, mas uma série de fatores que pode formar uma
segurança, quando se fala em gerencia de risco existe uma infinidade que termos e definições
onde o mesmo pode ser apresentado como uma vulnerabilidade, uma proteção as
vulnerabilidades, os riscos e também pode-se fazer uma análise, avaliação, posso dizer que
existem tratamento, onde o ativo mais importante que é o ambiente a ser gerenciado tem a
premissa de aceitar os riscos que são eminentes, tem que haver uma comunicação, priorizar em
combater os riscos e ações como medidas para seu ambiente, vale ressaltar que quanto maior
conhecimentos sobre os riscos, maior o mecanismo para obtenção e consenso, fazer um
embasamento para as proteções atuais, tendo como objetivos alcançar uma métrica e
resultados sempre sabendo que os desafios para o gerenciamento de sistema sempre vai existir,
mas também uma dose consenso eu maturidade a gerencia para os iminente risco sempre tem
que estar à frente.