Escolar Documentos
Profissional Documentos
Cultura Documentos
Sessão 2
Sessão 3
Sessão 4
Sessão 5
Sessão 6
Sessão 7
Sessão 8
Sessão 9
Sessão 10
Gestão de Riscos de TI – NBR 27005
Sessão 2
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 2. Compreender e desenvolver o início de
exto
estrições
po
érios
Análise da Organização e Contexto
Seus valores Sua missão é viabilizar soluções que contribuam para o desenvolvimento e acesso
Organograma A organização contará com uma direção geral, e sub-diretores administrativos, fin
hierárquico
A organização contará com uma direção geral, e sub-diretores administrativos, fin
Organograma
hierárquico
Qual ou quais os
No processo primário está a difusão da malha ótica dentro da localização com ob
principais processos de clientes finais
negócio da organização?
Quais os seus
fornecedores principais Datacom
Quais os seus Datacom
fornecedores principais
ternet
da CPFL, ANATEL
Larga
eirizados
Análise das Restrições
Restrições Justificativa
Restrições que afetam a organização
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
RESTRIÇÕES JUSTIFICATIVA
Restrições que afetam o escopo
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ESCOLHA A OPÇÃO
ificuldade de finalização de projeto ótico
Seu entendimento do
escopo (da equipe de
risco - explique o escopo)
Quais os departamentos
(áreas/gerencias) Diretore técnico, supervisor técnico, técnicos de infraestrutura
envolvidas / abrangidas
pelo escopo?
Quais os processos e
sistemas envolvidos /
abrangidos pelo escopo?
Quantas pessoas
(Recursos Humanos) 4
envolvidos / abrangidos
pelo escopo?
Quantos ativos
envolvidos/abrangidos 0
pelo escopo? Aproximado
Quantos ativos
envolvidos/abrangidos 0
pelo escopo? Aproximado
Quais os limites do
escopo?
Critério de Probabilidade
Nível Definição
Nível Descrição
Nível Descrição
Elevada As ocorências não afetam os negócios ou não causam paradas maior que
uma hora.
Impacto
Nível Descrição
Critério de Risco
Nível Descrição
Critério de Risco
Nível Descrição
3 vezes
udância
ndância
gia
horas
or mais de 48 horas,
etando sua imagem pública de
os, ações na justiça.
or mais de 24 horas,
etando sua imagem pública
or mais de 12 horas,
rça de trabalho ou em
m pessoas extra-muros. -
stalações - Sistemas de TI
0 (trinta) minutos. Emissão
e necessidade de recuperar
Sessão 3
OBJETIVO: Compreender e desenvolver o início de um processo de análise de risco e iniciar a identificação dos risco
ão 3
Ativos
Ameaças
Justificativa / Evidê
At 03
Ativos Primários
At 04
At 05
At 06
At 07
At 08
At 09
At 10
At 15
At 16
Ativos de Suporte e Infraestrutura
At 17
At 18
At 19
At 20
At 21
At 22
At 23
At 24
At 25
At 26
At 27
At 28
At 29
At 30
Justificativa / Evidências
Controle Existente ou
Ativo Ameaças Planejado
Segurança da
Controle Informação
Divulgação indevida
Controle Firewall
Informações pessoais de
At 01
clientes finais
Controle Firewall
Processamento ilegal de
dados
Controle Não existe
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
At 07 0
Identifique uma Ameaça
Controle Não existe
At 07 0
Controle Não existe
Identifique uma Ameaça
Controle Não existe
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Falha do ar- Controle Backup do serviço
condicionado ou do
sistema de suprimento
de água Controle Câmeras
At 11 Roteadores
Controle Não existe
Identifique uma Ameaça
At 11 Roteadores
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
At 20 0
Identifique uma Ameaça
Controle Não existe
At 20 0
Controle Não existe
Identifique uma Ameaça
Controle Não existe
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Controle Existente ou
Ativo Ameaças Planejado
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Gestão de Riscos de TI – NBR 27005
Sessão 4
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 4. Compreender e desenvolver a identifica
Vulnerabilidades
Consequencias
Identificação das Vulnerabilidades NÃO Atendidas pelos Controles Existentes
1 CPF divulgados
Controle Segurança da Infor
2 Dados bancários divulg
Divulgação indevida
3
Informações Controle Firewall
4
At 01 pessoais de
clientes finais 5 Processo da ANATEL
Controle Firewall
Processamento ilegal de 6
dados 7
Controle Não existe
8
1 Disjuntores falhando
Controle Monitores de energi
2
Falha de equipamento
3
Controle Alarme
Sistema 4
At 02
proprietário 5 Câmeras com baixa res
Controle Cameras
6
Alteração do software
7
Controle Logs
8
Ativo Ameaças Controle existente Nr. Vulnerabilidades Encon
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 03 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 04 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 05 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 06 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
At 06 0
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 07 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 08 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 09 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 10 0
5
Controle Não existe
Identifique uma Ameaça
At 10 0
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1 Nenhum equipamento
Falha do ar- Controle Backup do serviço
condicionado ou do 2
sistema de suprimento 3
de água Controle Câmeras
4
At 11 Roteadores
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Acidente grave
3
Controle Não existe
4
At 13 Gerente de TI
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Furto de equipamentos
3
Controle Não existe
At 14 Radius
Furto de equipamentos
Controle Não existe
4
At 14 Radius
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 15 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 16 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 17 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
Identifique uma Ameaça
At 18 0
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 18 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 19 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 20 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 21 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
Ativo Ameaças Controle existente Nr. Vulnerabilidades Encon
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 22 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 23 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 24 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 25 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
At 25 0
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 26 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 27 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 28 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 29 0
5
Controle Não existe
Identifique uma Ameaça
At 29 0
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
1
Controle Não existe
2
Identifique uma Ameaça
3
Controle Não existe
4
At 30 0
5
Controle Não existe
6
Identifique uma Ameaça
7
Controle Não existe
8
Controles Existentes
CPF divulgados
Dados bancários divulgados
Processo da ANATEL
Disjuntores falhando
Vulnerabilidades
Ativo Ameaças Controle existente Nr. Encontradas Consequências
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 03 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 04 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 05 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 06 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 07 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr. Encontradas Consequencias
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 08 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
At 09 0
Identifique uma Ameaça
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 09 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 10 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
Nenhum equipamento Prejuizo financeiro por retrabalho
1 para substituição
Falha do ar- Controle Backup do serviço
condicionado ou do 2 0 DEFINA A CONSEQUÊNCIA:
sistema de suprimento 3 0 DEFINA A CONSEQUÊNCIA:
de água Controle Câmeras
4 0 DEFINA A CONSEQUÊNCIA:
At 11 Roteadores
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Acidente grave
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 13 Gerente de TI
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Furto de equipamentos
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 14 Radius
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr. Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 15 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
At 16 0
Identifique uma Ameaça
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 16 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 17 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 18 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 19 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 20 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 21 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr. Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 22 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
At 23 0
Identifique uma Ameaça
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 23 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 24 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 25 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 26 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 27 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 28 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr. Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 29 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Vulnerabilidades
Ativo Ameaças Controle existente Nr.
Encontradas Consequências
1 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
2 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
3 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
At 30 0
Identifique uma Ameaça
Controle Não existe
4 0 DEFINA A CONSEQUÊNCIA:
At 30 0
5 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
6 0 DEFINA A CONSEQUÊNCIA:
Identifique uma Ameaça
7 0 DEFINA A CONSEQUÊNCIA:
Controle Não existe
8 0 DEFINA A CONSEQUÊNCIA:
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Justificativa/Evidências
Gestão de Riscos de TI – NBR 27005
Sessão 5
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 5. Compreender e desenvolver um process
Lembre-se: estas atividades devem ser feitas 5.2 Avaliação Qualitativa Severidade d
na sequência e com o acompanhamento da
norma 27005
Qualquer dúvida pergunte ao instrutor!!
esenvolver um processo de avaliação QUALITATIVA de risco.
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Evidências
Avaliação das Consequências – Severidade
das
Justificativa/Evidências
as
das
Justificativa/Evidências
as
das
Justificativa/Evidências
as
das
as Justificativa/Evidências
das Justificativa/Evidências
as
das
as Justificativa/Evidências
das
Justificativa/Evidências
as
das Justificativa/Evidências
as
das
as Justificativa/Evidências
das
Justificativa/Evidências
as
das Justificativa/Evidências
as
das
Justificativa/Evidências
as
das Justificativa/Evidências
as
das
Justificativa/Evidências
as
das Justificativa/Evidências
as
das
Justificativa/Evidências
as
das Justificativa/Evidências
as
das Justificativa/Evidências
as
das Justificativa/Evidências
as
das
Justificativa/Evidências
as
das Justificativa/Evidências
as
das
as Justificativa/Evidências
das
Justificativa/Evidências
as
das Justificativa/Evidências
as
das Justificativa/Evidências
as
das
Justificativa/Evidências
as
das Justificativa/Evidências
as
das
Justificativa/Evidências
as
das Justificativa/Evidências
as
Gestão de Riscos de TI – NBR 27005
Sessão 6
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 6. Compreender, desenvolver a estimativa do risc
Probabilidade
Estimativa
Estimativa Qualitativa
Avaliação das Probabilidades
Improvável
Improvável
Nível
Nível
Nível
Nível
Nível
Nível
das
as Probabilidade Justificativa/Evidências
Remoto
Nível
Nível
Nível
Ocasional
Nível
Nível
Nível
das
Probabilidade Justificativa/Evidências
as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as Probabilidade Justificativa/Evidências
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as Probabilidade Justificativa/Evidências
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
Probabilidade Justificativa/Evidências
as
Remoto
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as Probabilidade Justificativa/Evidências
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as Probabilidade Justificativa/Evidências
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
Probabilidade Justificativa/Evidências
as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as Probabilidade Justificativa/Evidências
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as Probabilidade Justificativa/Evidências
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
Probabilidade Justificativa/Evidências
as
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
das
as Probabilidade Justificativa/Evidências
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Nível
Critério de Probabilidade
Nível Definição
Relevância do Ativo
Nível Definição
Nível Definição
Impacto
Nível Definição
Critério de Risco
Nível Definição
da mês 4
Atenção!
u menos. Nos últimos seis
3
Preencha
apenas os
pesos
1 vezes 2
menos 3 vezes 1
0
Peso
m redudância 0
m redundância 2
e energia 3
Peso
Peso
0
0
e 1 hora 1
4
is de 6 horas 2
8
sam interrupção de 12 horas
onar/produzir por 12 horas 3
12
oras 4
16
Aceitação
De Até Prioridade
Nenhuma
Estudo futuro
Resultado das Estimativas
3 Desastre Improvável 0
4 Desastre Improvável 0
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
Desastre Nível
2 Desastre Remoto 1
Desastre Nível
Desastre Nível
Desastre Nível
1 Desastre Ocasional 2
Desastre Nível
Desastre Nível
Desastre Nível
Sessão 7
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 7. Compreender e desenvolver um process
calcular o risco.
o
Cálculo do Risco
At 08 0 Descrição
Ameaça
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
ficativa/Evidências
Gestão de Riscos de TI – NBR 27005
Sessão 8
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 8. Compreender e desenvolver o tratamen
riscos.
mento
oles do Plano
Risco
Definição de Tratamento dos Risco
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
Definição dos Controles
At 28 0 Descrição
Ameaça
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
amento Controle 1 Controle 2 Justificativa/Evidências
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
ha o Tratamento
Levantamento dos Riscos Residuais
At 11 Roteadores Descrição
sistema de suprimento
de água
4 0 DEFINA A CONSEQUÊNCIA: Nível
At 11 Roteadores Descrição
5 0 DEFINA A CONSEQUÊNCIA: Nível
Identifique uma 6 0 DEFINA A CONSEQUÊNCIA: Nível
Ameaça 0 DEFINA A CONSEQUÊNCIA: Nível
7
8 0 DEFINA A CONSEQUÊNCIA: Nível
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Risco Residual é: Decisão Justificativa/Evidências Responsável
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Risco Residual é: Decisão Justificativa/Evidências Responsável
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Extremo Decisão
Gestão de Riscos de TI – NBR 27005
Sessão 9
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 9. Compreender e desenvolver a comunica
Atividades – Sessão 9
Na atividade que faz parte desta sessão, serão
vistos os conceitos apreendidos na sessão 9. 9.1 Comunicação dos Riscos
os Riscos
Comunicação dos Riscos
Quem são os
responsáveis pela Pedro
comunicação de riscos na
equipe de análise?
Quem são os
responsáveis pela Pedro
comunicação de riscos na
organização?
Qual o procedimento da
equipe ao identificar um Comunicar os responsáveis e iniciar a ánalise da solução de contorno
risco com alta gravidade?
Qual o procedimento da
equipe ao descobrir que Comunicar os responsáveis e iniciar a ánalise da solução de contorno
surgiram novas ameaças
em determinado ativo?
No meio do processo de
análise a equipe foi
avisada que a topologia
da rede irá mudar. Qual o Desenvolver um relatório detalhado tornando clara onde serão e quais os beneficios d
procedimento da equipe
para a comunicação desta
mudança?
Apresente o fluxograma
de comunicação que
funcionará durante a
realização deste projeto
Como é feita a
comunicação dos
resultados para o órgão
que solicitou a análise?
Em que momento a
equipe de análise de risco
irá comunicar as Vulnerabilidade críticas devem ser comunicadas no momento da identificação
vulnerabilidades
consideradas críticas
identificadas na sessão 3?
Em que momento a
equipe de análise de risco
irá comunicar as Vulnerabilidade críticas devem ser comunicadas no momento da identificação
vulnerabilidades
consideradas críticas
identificadas na sessão 3?
Considerando este
exercício em quais
momentos foram
efetivamente realizadas
"comunicações" as partes
interessadas no projeto?
Considerando este
exercício quem deve
participar da reunião final Gestores e gerentes de processo
de apresentação dos
resultados?
Considerando este
exercício exemplifique
com as atividades já
realizadas um fato
gerador que necessite de
comunicação imediata?
Explique e justifique.
Como será formalizada a
comunicação?
Em que momento
termina a comunicação
dentro da gestão de
risco? Exemplifique neste
exercício.
Em que momento
termina a comunicação
dentro da gestão de
risco? Exemplifique neste
exercício.
o de contorno
o de contorno
mento da identificação
mento da identificação
es
Gestão de Riscos de TI – NBR 27005
Sessão 10
OBJETIVO: Aplicar num exercício os conhecimentos adquiridos na sessão 10. Compreender, desenvolver e realizar o
Atividades – Sessão 10
Nas duas atividades que fazem parte desta sessão, 10.1 Monitoramento e Análise Crítica
serão vistos os conceitos apreendidos na sessão 10.
A atividade 10.3 é um exemplo com gráficos dos
resultados da análise de risco. 10.2 Monitorar, Análise Crítica e Melh
Como funciona o
monitoramento na Por meio de sistemas inteligentes e real-tim
equipe de análise?
Qual o procedimento ao
identificar um novo
Comunicar os responsáveis
evento de segurança da
informação?
Em que momento é
realizado o Real-time
monitoramento?
Qual a finalidade da
realização da análise Evitar riscos de vazamento de informações
crítica neste trabalho?
Qual o procedimento
para a análise crítica?
Qual o procedimento
para a análise crítica?
Qual o procedimento,
para o monitoramento e
a análise crítica, ao serem
descobertas novas
ameaças? E para novos
ativos?
Considerando a análise
de risco do exercício,
quais as atividades que
necessitam de um
monitoramento bem
rígido?
nicar os responsáveis
s ativos e processos
Pedro
Real-time
e vazamento de informações
Como é feito o
monitoramento do
processo de gestão de
riscos pela organização?
Qual a participação da
equipe de análise no
monitoramento do
processo de gestão dos
riscos?
Como é realizado a
análise critica pela
organização? Em que
momento é feito?
Como é realizado a
análise critica pela
organização? Em que
momento é feito?
Qual a participação da
equipe de análise na
análise crítica do
processo de gestão dos
riscos?
Como a organização
realiza a melhoria do
processo de gestão dos
riscos?
Qual a participação da
equipe de análise na
melhoria do processo de
gestão dos riscos?
Conhecendo a
organização como você
conhece, por integrar a
equipe de análise, quais
as recomendações que
você dará para a melhoria
do processo?
No caso do exercício,
como a organização deve
acompanhar os trabalhos
para a melhoria do
processo de gestão de
risco?
No caso do exercício, ao
concluir seu trabalho qual
suas observações com
relação ao
monitoramento do
processo de gestão de
riscos?
No caso do exercício, ao
concluir seu trabalho qual
suas observações com
relação a melhoria
contínua do processo de
gestão de riscos?
de Gestão dos Riscos
Gráficos
DISTRIBUIÇÃO
ANÁLISE DE RISCO
Significante 0
Baixo 0
Insignificante 0
SOMA 0
IMPACTO
ANÁLISE DE RISCO
Quantidade
250
Quant Após Plano
200
Desastre 240
Importante 0
Impactos
150
Significativo 0
100
Baixo 0
50
Desprezível 0
SOMA 240 0
QUANTIDADE
ANÁLISE DE RISCO
Quantidade
150
100
50
0
Quantidade
250
200
150
Riscos
Médio 0
100
Baixo 0
Irrelevante 0 50
SOMA 240 0
DISTRIBUIÇÃO ATIVOS
Crítico
Importante
Significante
Baixo
Insignificante
IMPACTO
Desastre
Quantidade
250
Importante
200
Significativo
Baixo
150 Desprezível
100
50
QUANTIDADE de RISCOS
Extremo
Quantidade
250
Alto
200 Médio
Baixo
150
Irrelevante
100
50
0
Extremo
Quantidade
250
Alto
200 Médio
Baixo
150
Irrelevante
100
50
0
Tipo
1
2
3
Dano físico
4
5
6
7
8
9 Eventos naturais
10
11
12
13 Paralisação de serviços essenciais
14
15
16 Distúrbio causado por radiação
17
18
19
20
21
22
23 Comprometimento da informação
24
25
26
27
28
29
30
31 Falhas técnicas
32
Falhas técnicas
33
34
35
36 Ações não autorizadas
37
38
39
40
41 Comprometimento de funções
42
43
Identifique uma Ameaça
Fogo
Água
Poluição
Acidente grave
Destruição de equipamento ou mídia
Poeira, corrosão, congelamento
Fenômeno climático
Fenômeno sísmico
Fenômeno vulcânico
Fenômeno Meteorológico
Inundação
Falha do ar-condicionado ou do sistema de suprimento de água
Interrupção do suprimento de energia
Falha do equipamento de telecomunicação
Radiação eletromagnética
Radiação térmica
Pulsos eletromagnéticos
Interceptação de sinais de interferência comprometedores
Espionagem à distância
Escuta não autorizada
Furto de mídia ou documentos
Furto de equipamentos
Recuperação de mídia reciclada ou descartada
Divulgação indevida
Dados de fontes não confiáveis
Alteração do hardware
Alteração do software
Determinação da localização
Falha de equipamento
Defeito de equipamento
Saturação do sistema de informação
Defeito de software
Violação das condições de uso do sistema de informação que possibilitam sua manutenção
I
I
A, I
I
I
A
A, I
I
I
A, I, N
Geral
Operação
Marketing
Suprimentos
desatualizados
ORGANIZACIONAIS
Motivação pessoal
Resistência a mudanças
X
X
X
X
X
X
informação
Classificação das informações
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
da informação
Acordos de confidencialidade
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Adequação do sistema
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
estratégicas
Área compartilhada do servidor de arquivos
X
X
X
Job rotation
X
Backup de funcionário
X
Job rotation
Backup de funcionário
Contratação de funcionários
Adequação do sistema
Vendas
Gestão de Recursos
Gerais
Falta de documentação X
Falta de funcionários X X
PABX
Active Directory
Arquivos do sistema localizados na mesma partição lógica dos
arquivos de usuários
Permissão de sincronização de diretórios associada a um usuário
Infraestrutura
X X X
X X
X X
X X
X X
Suporte
Gerais
Recuperação de senha
Windows 2003
X X
X X X X
X X
X X
Oracle
Parâmetros Oracle
GLOBAL_NAMES = FALSE
AUDIT_TRAIL = NONE
Linux
X X
Ctrl-Alt-Del habilitado
Gerais
Falta de documentação