WBA0453_v1.

Gestão de riscos em TI
Contexto e identificação de
riscos
Bloco 1
Márcio dos Santos
Normas ISO

• O que são as normas ISO?

• Família ISO 27000:
• Trata a respeito de segurança, mais especificamente quanto a
Sistema de Gestão de Segurança da Informação (SGSI).
• Família ISO 31000:
• Traz informações, diretrizes e princípios sobre melhores práticas
para implantação e manutenção da Gestão de Riscos em uma
organização.
 Figura 1 – Ciclo PDCA

Melhoria contínua - PDCA

Planejar Executar

• O que é o PDCA?

• A importância de planejar. Agir Checar

• O processo de execução de uma tarefa.

• A mensuração dos resultados. Fonte: elaborada pelo autor.

• Adaptação e promoção de melhorias contínuas.

Contexto e identificação de
riscos
Bloco 2
Márcio dos Santos
Explanando o contexto

Nas palavras de Hintzbergen (2018), a definição de contexto é esboçada

como a definição de questões internas e externas que sejam relevantes para
seu propósito e que afetem a habilidade de alcançar resultados pretendidos.
Em um contraponto, para Barreto et al. (2018), o contexto está relacionado
aos setores envolvidos em um processo de gestão de riscos.
• O contexto analisa o cenário no qual a gestão de riscos será implantada,
de forma a conhecer as características e peculiaridades de cada setor ou
departamento.
Contexto e identificação de
riscos
Bloco 3
Márcio dos Santos
O processo de identificação dos riscos

Figura 2 – Gestão de riscos • Agrupamento e listagem de

riscos comuns que podem afetar
a realização dos objetivos da
organização.
• Utilizando o Guia PMBOK e sua
visão sobre gestão de riscos.

Fonte: ridvan_celik/iStock.com.
O processo de identificação dos riscos Figura 3 – Respostas aos riscos

• Estágios para implementar

respostas aos riscos.
• Entradas.
• Ferramentas e técnicas. Fonte: PMBOK® 6a Edição (2017, p. 51).

• Saídas.
• O ciclo PDCA e os estágios
propostos pelo PMBOK.
Teoria em Prática
Bloco 4
Márcio dos Santos
Reflita sobre a seguinte situação
Você compõe a Governança de TI da organização ABC S/A e, já tendo
colaborado na implantação da filosofia de gestão de riscos com sucesso,
toda a equipe precisa introduzir a família ISO 31000 neste processo. Você
sabe que existem alguns passos a serem dados, sendo o primeiro deles o
estabelecimento do contexto da organização, compreendido basicamente
pela definição do cenário no qual a gestão de riscos atuará. A governança de
TI deverá estabelecer os procedimentos a serem adotados para estabelecer
um contexto que represente de fato a organização, ou seja, será necessário
que sejam estabelecidos quais os departamentos desta organização
(categorizando-os por níveis de criticidade), quais são os responsáveis destes
departamentos e o organograma funcional de cada um.
Reflita sobre a seguinte situação

Será necessário, ainda, apontar o seguimento que cada

departamento atua na composição do todo, bem como a
relação que os departamentos têm entre si. Adicionalmente,
será necessário expor os níveis de informação – e suas
respectivas criticidades – que circulam em cada departamento,
de forma a gerar uma categorização. Uma dica seria esboçar
esta estrutura de forma individual (departamento a
departamento) e depois uni-las para compor um quadro
completo. Como você, enquanto membro da governança de TI,
realizaria esta tarefa?
Norte para a resolução...
• É sempre importante reforçar a cultura da governança de TI: visão, valores
e objetivos. Este deve ser um processo contínuo para que a organização e
os membros que compõem a governança nunca se esqueçam do papel
desta extensão corporativa que toma decisões cruciais para os processos
organizacionais.
• Um contexto organizacional só é possível quando sabe-se corretamente
todos os departamentos e setores que compõem a organização, bem
como os papeis de cada membro, integrante, organograma hierárquico.
Espera-se, ainda, que os responsáveis por cada setor tenham pleno
conhecimento do departamento e de suas especificidades.
• Uma forma eficiente de se chegar a este resultado é respondendo a
pergunta: “O que esta organização faz e quais os passos para se atingir
este(s) objetivo(s)?”. A resposta a esta pergunta pode fazer até com que
novos setores ou departamentos sejam criados para atender de maneira
eficiente à demanda.
Dica do Professor
Bloco 5
Márcio dos Santos
Conteúdo extra

• Leitura do COBIT 5.
O COBIT 5, nas palavras da própria organização que o criou – ISACA – é “um
modelo corporativo de negócios e gestão para governança e gerenciamento
corporativo da TI”. Ele pode ser considerado um framework de boas práticas para
dar os primeiros passos na governança de TI e é uma das leituras fundamentais
para quem tem interesse em seguir nesta linha de atuação.
A versão 5 está disponível para download em formato digital (PDF) diretamente no
site da ISACA, mediante cadastro. Link de acesso: Disponível em:
https://www.isaca.org/bookstore/cobit-5/wcb5b. Acesso em: 25 ago. 2020.
O COBIT 5 possui 98 páginas.
Referências

BARRETO, Jeanine dos Santos et al. Fundamentos de segurança da

informação. Porto Alegre, RS: SAGAH, 2018.

Guia PMBOK®. Um Guia do Conhecimento em Gerenciamento de Projetos.

6. ed. Project Management Institute: 2017.

HINTZBERGEN, Jule et al. Fundamentos de segurança da informação: com

base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018.
Bons estudos!