WBA0453_v1.

Gestão de riscos em TI
Análise e avaliação de riscos
Bloco 1
Márcio dos Santos
Análise dos riscos

Figura 1 – Análise de riscos • Comunicação e consulta.

• Estabelecimento do contexto.
• Identificação de riscos.
• Análise de riscos.
• Avaliação de riscos.
• Tratamento de riscos.
• Monitoramento e análise crítica.
Fonte: CC BY-NC.
 Figura 2 – Identificação de riscos

Ameaças
• Para se definir os riscos é
necessário identificar as ameaças.

• Ameaças afetam os ativos.

• Agentes de ameaça:
Fonte: Михаил Руденко/iStock.com.
• Internas.

• Externas.

• Naturais.

• Intencionais.

• Não intencionais.
 Figura 2 – Identificação de riscos

Ameaças internas e externas

• As ameaças internas são aquelas
advindas de dentro da própria
organização.
• Já as externas são aquelas vindas de
fora da organização. Fonte: Михаил Руденко/iStock.com.

Por meio da análise de riscos, é possível

esclarecer quais ameaças são relevantes
para os processos operacionais, além de
identificar os riscos associados, garantindo
que as medidas de segurança sejam
corretamente implantadas (HINTZBERGEN
et al., 2018).
Análise e avaliação de riscos
Bloco 2
Márcio dos Santos
 Figura 2 – Identificação de riscos
Ameaças naturais, intencionais e não
intencionais
• Ameaças naturais são aquelas que
não são causadas por ação humana.
• Ameaças intencionais são aquelas
Fonte: Михаил Руденко/iStock.com.
causadas com o objetivo de gerar
dano ou prejuízo.
• Ameaças não intencionais são
aquelas causadas sem o objetivo de
gerar dado nem prejuízo.
Análise e avaliação de riscos
Bloco 3
Márcio dos Santos
Ameaças

• Impacto.
• Os ativos de uma organização.
• Vulnerabilidades.
Avaliação de riscos

• Decomposição.
• Estimativas em faixas de valores e probabilidades.
• Calibragem.
Teoria em Prática
Bloco 4
Márcio dos Santos
Reflita sobre a seguinte situação
A empresa ABC S/A está implantando a gestão de riscos dentro da
organização. A governança de TI já está ciente da importância desta
gestão e está se baseando nas normas técnicas (ISO) disponíveis, além de
seguir as designações passadas pelo COBIT e a biblioteca ITIL.
Todo o contexto já foi estabelecido e a governança está na etapa de
avaliação e análise dos riscos, especificamente na sub etapa de elencar as
ameaças, organizando-as em uma quadro de ameaças. Considere-se
como um gestor de TI desta organização. Elenque as ameaças, tipos,
origem, impactos e outros critérios que poderiam afetar a organização.
Lembre-se de que você pode ser mais criterioso e criar quantas colunas
desejar neste quadro.
OBS.: antes de realizar este desafio, determine o ramo de atividade da
ABC S/A, de forma que o cenário exposto possa fazer mais sentido.
Norte para a resolução...

• Para se identificar ameaças é necessário conhecer bem o contexto da organização. Isso

inclui conhecer detalhes dos setores, departamentos, equipe de colaboradores, bem
como características organizacionais como missão, valores e visão.
• O cálculo de impacto pode variar de acordo com o tipo de organização.
• Uma boa prática é utilizar a referência do COBIT5 para guiar os passos a serem
tomados.
Dica do Professor
Bloco 5
Márcio dos Santos
Conteúdo extra

• Vídeo sobre ITIL:

Este Webinar realizado por Marcelo Correa, tem duração aproximada de uma hora,
e aborda de maneira bastante eficiente os conceitos que envolvem a biblioteca
ITIL. O vídeo é bastante didático e aprofunda em pontos importantes que todo
gestor de TI deve conhecer.
O vídeo está disponível no Youtube e pode ser acessado no endereço abaixo:

Disponível em: https://www.youtube.com/watch?v=1eMnjOxDpbE. Acesso

em: 25 ago. 2020.
Referências

HINTZBERGEN, Jule et al. Fundamentos de segurança da informação: com

base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018.
Bons estudos!