Segurança e Auditoria Informática – 3º ano de Gestão e Informática

Gestão do Risco

1
Gestão do Risco:

 Def: Processo de identificação de um conjunto de medidas que

permitam conferir à Empresa o nível de segurança pretendido.

É parte integrante do Programa de Segurança da Empresa -

composto por várias fases, em que os riscos são determinados e
classificados, sendo depois especificado um conjunto equilibrado de
medidas de segurança (controlos) que permitirão reduzir ou eliminar
os risco.

2
 Gestão do Risco

 As etapas do processo de gestão do risco são:

I) Identificação dos riscos;

II) Análise de risco;

III) Identificação de controlos;

IV) Selecção de controlos.

3
 Gestão do Risco

Reconhecimentos dos riscos

 Fazer um levantamento do contexto de risco em que a Empresa

actua.

 Podem ser empregues diversos modelos:

1) SWOT (strengths, weaknesses, opportunities and threats)

Identificação dos pontos fortes, fracos, oportunidades e ameaças

resultantes da relação entre a Empresa e o ambiente.

4
 Gestão do Risco

2) Contexto

Estudo da Empresa, das suas capacidades, metas, objectivos e

estratégias implementadas para os alcançar.

3) Alvo

Enumeração das metas e objectivos, estratégias, âmbito e

parâmetros da gestão do risco.

4) Bens

Descrição dos bens da Empresa e das suas interdependências.

5
 Gestão do Risco

Ameaças:

 Descobertas pela produção de cenários ou pela criação de listas de

tipificação;

 Lista de ameaças por tipo (facilita a obtenção de informação

estatística sobre a sua frequência de ocorrência no passado);

 Tipificação dos riscos

– definição de categorias e subcategorias, criando-se uma “árvore”

(os ramos correspondem aos tipos de ameaça e as folhas às
ameaças em si).
6
 Gestão do Risco

Vulnerabilidades

 Deve permitir aproximar o cálculo da probabilidade de concretização

das ameaças inerentes à realidade da Empresa.

Ex: Uma organização ligada a uma facção num conflito “quente” deve
encarar o risco de terrorismo como real.

 As vulnerabilidades podem ser identificadas, podendo ser criada

uma árvore, cujas folhas serão vulnerabilidades

7
 Gestão do Risco

Bens:

 Necessária na análise quantitativa do risco, em que o risco

é medido pelo impacto resultante da concretização da
ameaça.

 Dificuldade na identificação e na estimativa dos danos

relativamente aos bens intangíveis - o seu carácter
subjectivo dificulta a definição de modelos e métricas.

8
 Gestão do Risco

Bens:

Exemplo:

– Ameaça de quebra de confidencialidade pela divulgação acidental de

informação (por exemplo, da árvore de vulnerabilidades da Empresa)
pode gerar perdas intangíveis na imagem da marca e até mesmo na
preferência demonstrada pelos clientes.

– A identificação dos bens é óbvia, é difícil quantificar as perdas, ou seja,

estimar o decréscimo de vendas.

9
 Gestão do Risco

Bens:

 De forma a facilitar a quantificação do valor dos bens - definição e

utilização de escalões (Uso de aproximações para evitar cálculos
complexos).

10
 Gestão do Risco

Análises de Risco:

 Usa-se a informação existente de forma sistemática,

para determinar o grau de exposição aos vários tipos de
perigos a que se encontra sujeita.

 Ocupa-se da caracterização dos riscos, pela

quantificação ou qualificação da probabilidade das
ameaças gerarem danos ou, dos danos decorrentes da
concretização das ameaças.

11
 Gestão do Risco

Análises de Risco:

 É a base do processo de selecção e recomendação das

medidas identificadas para redução das vulnerabilidades.

12
 Gestão do Risco

Análise de Risco Quantitativa:

 Exposição Anual à Perda: Estima o risco através do cálculo do valor

da perda expectável decorrente de uma determinada ameaça.

Assenta em duas fórmulas:

ALE = Valor × R

R=V×P

13
 Gestão do Risco

Análise de Risco Quantitativa:

ALE: perda monetária média expectável num ano, expressa numa

unidade monetária.

Valor: valor acumulado dos danos provocados pela concretização

da ameaça (expresso numa unidade monetária).

R: probabilidade de concretização da ameaça na Empresa no

período de um ano (expresso em ocorrências por ano).

V: número que representa a vulnerabilidade da Empresa à ameaça

(sem unidade).

14
 Gestão do Risco

P: probabilidade correspondente ao número médio esperado de

vezes que a ameaça se irá concretizar por ano (expresso em
ocorrências por ano).

15
 Gestão do Risco

- Análise de Risco Qualitativa

 Serve para evitar o perigo de inacção decorrente de um esforço

excessivo de análise - “paralysis by analysis” (paralisia pela análise)

 A ordenação dos riscos é efectuada de forma subjectiva (a

qualidade dos resultados está dependente dos conhecimentos da
equipa que realiza a análise)

16
 Gestão do Risco

- Análise de Risco Qualitativa

Fases da análise qualitativa:

1. Constituição da equipa;

2. Realização de sessões de classificação das ameaças;

3. Realização de sessões de classificação dos impactos;

4. Cálculo dos riscos.

17
 Gestão de Risco

- Análise de Risco Qualitativa

 composição da equipa tem um papel preponderante no resultado final (grupo com

elementos competentes que representem diversas áreas)

- A representatividade conferida por uma lista abrangente de participantes garante

que os controlos recomendados na sequência da análise de risco serão bem aceites
pelas áreas afectadas.

integrando:

– proprietários das aplicações/informação;

– administradores de sistemas/aplicações/bases de dados, etc.;

18
 Gestão de Risco

• Análise de Risco Qualitativa

– especialistas nas diversas áreas tecnológicas;

– utilizadores;

– programadores;

– analistas;

– gestores de produção e operação;

– representante do departamento jurídico; e, se necessário, consultores.

19
 Gestão de Risco

- Análise de Risco Qualitativa

Fazer sessões para discussão e posterior preenchimento da ficha de

classificação das ameaças

Classificações deves ser feitas por consenso ou pela média das

classificações individuais atribuídas pelos membros.

20
 Gestão de Risco

- Análise de Risco Qualitativa

Papel do coordenador da análise (importante)

– fomentar a participação;

– manter a discussão dentro do tópico agendado e da duração predefinida;

– manter a neutralidade e evitar animosidade;

– ouvir mais e falar menos;

– garantir o registo de todas as contribuições.

21
 Gestão de Risco

- Análise de Risco Qualitativa

 O processo de classificação faz sobressair as divergências de ponto

de vista dos participantes, quer devido a traços particulares de
personalidade ou aos seus contextos profissionais distintos
(informáticos, administrativos, juristas, etc.).

 Necessário adoptar algumas regras para evitar perdas de tempo e

até mesmo potenciais conflitos.

22
 Gestão de Risco

- Análise de Risco Qualitativa

 O coordenador deve especificar as regras para a realização das sessões de

classificação das ameaças e dos impactos

Que devem

– todos participam – não há exclusões;

– não sair do tópico;

– todas as ideias são igualmente válidas;

– só se debate um tema de cada vez;

– cada ponto é discutido num tempo predefinido;

– os participantes deverão ser sucintos, justos e correctos.

23
 Gestão de Risco

- Análise de Risco Qualitativa

 Para a conclusão dos processos de classificação, o risco será calculado

através de uma relação simples entre a probabilidade e o impacto
apurados.

Ex:

Risco = Probabilidade + Impacto

• Representa uma relação possível para o cálculo do risco, que permite uma
abordagem equilibrada entre a frequência de concretização da ameaça e o
seu impacto.

24
 Gestão de Risco

- Análise de Impacto no Negócio

Serve para apurar quais as funções, processos e actividades de

suporte (tecnológicas ou não) críticas para o funcionamento da
Empresa.

Para qualquer colaborador da Organização, as tarefas por si

desempenhadas são essenciais.

25
 Gestão de Risco

- Análise de Impacto no Negócio

Identificar:

 funções críticas do negócio;

 de entre os processos que o compõem, aqueles que são essenciais;

 quais das actividades de suporte a estes processos que são

igualmente vitais para a realização do processo em questão

26
 Gestão de Risco

- Análise de Impacto no Negócio

A análise de impacto de negócio deverá determinar

 período de indisponibilidade tolerada

 impacto resultante de uma indisponibilidade para além desse prazo

27
 Gestão de Risco

- Estratégia de Controlo

 Conhecida a situação em termos de riscos, devemos definir as

medidas que deverão ser postas em prática para aumentar a sua
segurança.

 Deve ter-se uma atenção muito particular ao processo de selecção

dos controlos (garantir uma abordagem consistente e abrangente,
assente nos princípios de Prevenção e Protecção)

28