Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Gerenciamento de Risco

    Enviado por

    Mateus Novaes
    5 visualizações6 páginas

    Título original

    Gerenciamento de risco

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    TXT, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato TXT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    5 visualizações6 páginas

    Gerenciamento de Risco

    Enviado por

    Mateus Novaes

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato TXT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 6

    Resumo Prova 1 - Gaseta.

    Risco: as vezes necessárias as ações para identificá-lo;


    Outras vezes, oriscoéfruto de ações repentinasquefogem ao controlehumano, comoem
    eventos de causasnaturais.

    Ameaça é todo e qualquer evento que possa explorar vulnerabilidades. Causa


    potencial de um incidente indesejado.

    As ameaças podem ser classificadas em: Ameaças intencionais; não intencionais;


    Ameaças da ação da natureza.

    Vulnerabilidade:

    fraqueza de um bem;
    podem ser alvos os bens, ativos, ou recursos intangíveis de informática,
    respectivamente, software, ou programas de bancos de dados, ou informações, ou
    ainda a imagem corporativa.
    Fragilidade que poderia ser explorada por uma ameaça;

    Controle
    •Ação utilizada para conter vulnerabilidades, podendo ser:

    •Técnicas
    •Administrativas
    •Processos
    •Práticas
    •Procedimentos

    Ataques ativos: São os que intervêm no fluxo normal de informação; normalmente com
    intuitos de atentar contra a segurança de um sistema.
    Ataques passivos: São aqueles que não alteram a informação, nem o seu fluxo normal,
    no canal sob escuta, mas que utilizam deste ataque para obter algum benefício.

    Princípios da Gestão de Riscos:

    cria e protege valor;


    integrante de todos os processos organizacionais;
    parte da tomada de decisões;
    aborda explicitamente a incerteza;
    é sistemática, estruturada e oportuna;
    baseia-se nas melhores informações disponíveis.
    é feita sob medida.
    considera fatores humanos e culturais.
    é transparente.
    é dinâmica, iterativa e capaz de reagir a mudanças.
    facilita a melhoria contínua da organização.

    Normas associadas:
    ISO/IEC 27001
    ISO/IEC 27002

    Risco aceitável é o grau de risco que a organização está disposta a aceitar para
    concretizar os seus objetivos.
    Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno.
    A abordagemde gestão de riscos de segurança da informação deve ser:

    •Contínua
    •Própria ao ambiente da organização
    •Realizada no tempo apropriado
    •Repetitiva
    •Ajustada ao processo de gestão de riscos corporativos
    •Alinhada com os requisitos de negócios

    Risco aceitável é o grau de riscoque a organização está disposta a aceitar para a


    concretização dos seus objetivos estratégicos.

    Definição do contexto:

    responsável pela definição do ambiente, escopo, critérios de avaliação, entre


    outras definições.
    Esta etapa é essencial para a equipe que realiza a gestão de risco conhecer todas
    as informações sobre a organização.

    Análise/Avaliação:
    permitirá a identificaçãodos riscose a determinação das ações necessárias para
    reduzir o risco a um nível aceitável.

    Tratamento do risco:
    A partir dos resultados obtidos na análise e avaliação do risco são definidosos
    controles necessários para o tratamento do risco.

    Aceitação do risco:
    Assegura os riscos aceitos pelaorganização, ouseja, os riscos que por algum motivo
    não serão tratados ou serão tratados parcialmente.

    Comunicação do risco:
    Nesta etapa é feita a comunicação do risco e da forma como será tratado.

    Monitoramentoe análise crítica:


    São as atividades de acompanhamento dos resultados implementação dos controles e
    de análise crítica.

    Ao iniciar qualquer tipo de trabalho, a primeira atividade a ser feita é conhecer o


    ambiente em que o trabalho será desenvolvido.
    a definição doc ontexto é a parte inicial e tem como objetivo permitir o
    conhecimento do ambiente da organização.

    Contexto Externo:
    É o ambiente externo no qual a organização se situa e busca atingir seus objetivos
    (ambiente cultural,financeiro, regulatórios,tecnológico,econômico,competitivo,entre
    outros).

    Contexto Interno:
    É o ambiente interno no qual a organização busca atingir seus objetivos
    (governança, estrutura organizacional, políticas,objetivos,capacidades,sistemas de
    informação, cultura organizacional,normas,diretrizes,entre outras).

    Escopo é descrição dos limites do projeto, sua abrangência, seus resultados e


    entregas. É a finalidade da gestão de riscos.

    Critérios para avaliação de riscos:


    forma e o valor (pesos)com que os riscos e impactos serão valorados.
    A definição de critérios de risco envolve decidir sobre:
    Os critérios que nortearão a decisão pelo tratamento do risco.
    Os parâmetros para definir quando um risco é aceitável e/ou tolerável.
    Se as combinações de riscos serão tomadas em consideração.

    A definição dos papéis e responsabilidades é importante para o sucesso do processo


    de gestão de riscos.

    Após as fases de identificação do contexto e definição do escopo,a próxima fase é a


    de análise/ avaliação de riscos,
    composta porduas grandes etapasde trabalho:
    Análise de riscos Avaliação de riscos

    Você também pode gostar