ALUNO: ROBSON LUIZ GUIMARÃES SANTOS

CURSO: ANALISE E DESENVOLVIMENTO DE SISTEMAS (ADS)

MAPA MENTAL

PRESERVAÇÃO DA CONFID
ENCIALIDADE, INTEGRIDAD
E E DISPONILIDADE

GERENCIAMENTO DE
RISCOS
 Fazemos uma avaliação de riscos
para saber

T1 T2 T3 T4
Quais ativos de informação Por que precisamos proteger Quais são os riscos? Quais são as prioridades ao
precisamos proteger? esses Ativos? lidar com esses riscos?

Quais são as opções para

lidar com esses riscos?
 Componentes de um risco
T1 T2 T3 T4
Ativos Ameaças Vulnerabilidades Probabilidade de ocorrências

Impacto
 Estratégias para lidar com riscos
T1 T2 T3 T4
Evitar Mitigar Compartilhar Aceitar
Etapas de avaliação e tratamentos
de riscos
T1 T2 T3 T4
Determine os ativos no Determine quem são os Discuta com esses donos Decida quem são os agentes
escopo da avaliação. donos desses ativos. sobre as ameaças a esses de ameaças.
ativos

Obtenha opiniões de Obtenha opiniões de Faça um brainstorming com

Obtenha opiniões de especialistas sobre as especialistas sobre impactos os representantes das partes
especialistas sobre probabilidades de quando as ameaças interessadas
vulnerabilidade desses ativos ocorrências das ameaças. ocorrerem

Defina algum tipo de formula Defina apetite ao risco do Encontre opções para mitigar Implemente os controles de
para calcular o nível de risco donos riscos inaceitáveis segurança
 Analise de Impacto no Negocio
(AIN/BIA)
T1 T2 T3 T4
É feita antes da avaliação de Serve para identificar onde Lida apenas com o impacto Permite que uma
riscos. uma avaliação de risco é de um evento de perda, dano organização identifique os
necessária ou divulgação de processos em que a
informações. segurança é importante.

Não analisa ativos, ameaças,

Deve ser realizada junto com vulnerabilidades,
os donos d negocio. probabilidades. ETC: Apenas
o impacto dos eventos.
 Analise de Impacto no Negocio
(AIN/BIA)
T1 T2 T3 T4
É feita antes da avaliação de Serve para identificar onde Lida apenas com o impacto Permite que uma
riscos. uma avaliação de risco é de um evento de perda, dano organização identifique os
necessária ou divulgação de processos em que a
informações. segurança é importante.

Não analisa ativos, ameaças,

Deve ser realizada junto com vulnerabilidades,
os donos d negocio. probabilidades. ETC: Apenas
o impacto dos eventos.
 Principio da linha de base
(Baseline)
T1 T2 T3
Implemente um conjunto Faça uma avaliação de riscos A IEC/ISO 27001/2 podem
limitado de controles para os em todos os outros ativos e servir como linha de base
ativos que fazem parte do implemente controles extras para a maioria das
escopo. apenas quando necessários. organizações.
Declaração de Aplicabilidade (SoA)
T1 T2 T3
Pode ser atualizada com o Lista os controles que serão É um documento obrigatório
resultado da avaliação de implementados da ISO/IEC para o processo de
riscos. 27001 certificação de empresas na
ISO/IEC 27001