Estudos para elaboração do Plano de Gestão de Riscos de TIC

SUTEC – CGTI

Plano de Gestão de Riscos de TIC

Objetivo:
Definir os processos, artefatos, papeis e ferramentas da Gestão de Riscos.
É um documento que serve para identificar, avaliar e controlar ameaças associadas aos ativos de TIC, de
forma a prever eventos ou situações que possam comprometer esses ativos.
Visa aumentar a probabilidade e o impacto dos eventos positivos, reduzir a probabilidade e o impacto dos
eventos negativos no projeto e orientar a equipe do projeto sobre como os processos de riscos serão
executados.

Governança
É necessária uma abordagem sistemática de gestão de riscos que muda de organização para organização,
assim como o nível de risco aceitável de cada uma, sendo que risco aceitável é o grau de risco que a
organização está disposta a aceitar para concretizar seus objetivos. Além disso, faz-se necessário aumentar a
capacidade de gerir o risco e otimizar o retorno.
Normas para construção do Plano de Risco de Gestão de Riscos:

 Referencial básico de gestão de riscos do TCU, 2018

 ABNT NBR ISO/IEC 27005:2019 = gestão de riscos de segurança da informação
 ABNT NBR ISO 31000:2018 = diretrizes para gerenciar riscos enfrentados pelas organizações
 ABNT ISO GUIA 73:2009 = definições de termos genéricos relativos à gestão de riscos
 Instrução Normativa Conjunta CGU/MP nº 1, de 10 de maio de 2016 (IN 01) CGU/MP, que dispõe
sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo Federal.
 Lei nº 13.303, de 30 de junho de 2016, que dispõe sobre Gestão de Riscos, Auditoria e Controles
Internos no estatuto jurídico da empresa pública, da sociedade de economia mista e de suas
subsidiárias, no âmbito da União, dos Estados, do Distrito Federal e dos Municípios;
termos: Segurança da Informação, Ameaça, Vulnerabilidade, Risco, Riscos de segurança da informação,
Identificação de riscos, Impacto, Estimativa de riscos, Ações de modificação do risco, Comunicação do risco,
Ação de evitar o risco, Retenção do risco, Compartilhamento do risco.
Proposição Estrutura do Documento
PLANO GESTÃO DE RISCO TIC
1. Introdução
2. Contexto
3. Matriz responsabilidades (RACI)
4. Detalhamento dos Processos
1.º. Levantamento dos riscos
 realizar levantamento dos ativos e dar valor
 realizar levantamento das ameaças
 realizar levantamento dos controles existentes
 realizar levantamento das vulnerabilidades
2.º. Análise dos riscos
 definir metodologia de análise do risco
 definir os critérios de probabilidade e impacto
  definir o nível de risco
 definir o nível de risco para serviços essenciais
3.º. Avaliar os riscos
 realizar levantamento de maturidade de controles existentes
 realizar avaliação das consequências no negócio
 definir os limites de aceitação do risco
 definir a priorização de acordo com o nível de risco e a relevância para o negócio
5. Tratamento do risco
6. Comunicação e consulta do risco
7. Monitoramento e revisão dos riscos
 Lista com levantamento de ameaças comuns
 Lista de vulnerabilidades