Escolar Documentos
Profissional Documentos
Cultura Documentos
Gesto de Risco
Ativo tudo aquilo que tenha valor e que necessita de algum tipo de proteo.
Escopo Conjunto de ativos, ameaas e vulnerabilidades que sero cobertos pelo Sistema de Gesto de Risco.
Vulnerabilidade As vulnerabilidades criam situaes que podem ser exploradas por uma ameaa.
Avaliao de Risco
Tratamento de Risco Aceitao de Risco
Comunicao de Risco
Os riscos no podem ser completamente eliminados, e a poro de risco excedente, aps todas as medidas tomadas, chamada de Risco Residual.
O principal objetivo da Gesto de Risco trazer o risco residual para dentro de patamares aceitveis.
Esses patamares so definidos pelo critrio de risco adotado pela organizao. o risco que a organizao definiu como sendo tolervel.
Ela cobre todo o ciclo de vida de tratamento do risco, desde a sua identificao at a sua comunicao as partes envolvidas.
Anlise e Avaliao Tratamento Aceitao Comunicao
A Anlise um processo dividido em duas partes: Anlise de Risco (processo de identificao de ameaas) e Estimativa de Risco.
A Identificao de Ameaas feita atravs de buscas em bases de informao que possam servir como fonte sobre os diversos tipos de ameaas existentes para os ativos que estamos avaliando. A Estimativa de Risco ir atribuir valores aos componentes do risco, basicamente s consequncias (impactos) e probabilidades (ameaas + vulnerabilidades).
A fase seguinte, Avaliao, compreende o processo de comparar os riscos que foram previamente identificados e estimados com os critrios de risco definidos pela organizao. A partir disso, decidimos se tratamos ou aceitamos o risco em questo.
Tratamento
Aceitao Comunicao
a segunda fase da G.R., onde selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Medidas que visam trazer os nveis de risco para patamares aceitveis.
A Aceitao ocorre quando o custo de proteo contra um determinado risco no vale a pena. Ocorre quando o custo de proteo maior que o custo do prprio ativo que est sendo protegido.
o ltimo componente da G.R. a ao de compartilhar informaes sobre o risco com todas as partes envolvidas.
Quando comunicamos os riscos s partes envolvidas estamos compartilhando a responsabilidade a respeito deles.
Tratamento de Riscos
Como feito
Primeiro feito um mapeamento dos processos de negcio, posteriormente, escolhemos os ativos que suportam cada um deles. Selecionam-se todos os ativos constante em um local
Vantagem
Grande alinhamento da AAR com o negcio, j que os ativos so selecionados de acordo com os processos mais importantes O levantamento de ativos pode ser feito de forma bastante rpida
Desvantagem
Impossvel de ser executado caso a empresa no possua os processos mapeados. Encarece em muito o projeto.
Como feito
D-se focos a ativos de um determinado tipo, geralmente ativos de TI
Vantagem
Especialmente eficaz quando a AAR feita pela TI e ter foco predominantemente tcnico
Desvantagem
Negligencia ativos importantes, levando a um alinhamento menor com o negcio
Mista
Depois de fechado o escopo, o passo seguinte identificar as possveis ameaas s quais esto sujeitos cada um dos ativos. Tenha foco nas ameaas mais comuns
O conjunto de ameaas que assola um ativo tende ao infinito. No existe forma de cobrir todas as situaes, nem necessrio fazer isso.
Essa probabilidade pode ser analisada, basicamente, atravs de dois fatores: Frequncia e Vulnerabilidade.
A Frequncia representa o nmero de vezes esperado no qual uma ameaa tentar causar algum prejuzo a um ativo. A Vulnerabilidade a ausncia de um mecanismo de proteo ou uma falha em um mecanismo de proteo existente.
MB 1 1 1
BA 2 2 2
ME 3 3 3
AL MA 4 5 4 5 4 5
Alto Risco (45 a 125) Mdio Risco (15 a 44) Baixo Risco (0 a 14)
Tratamento do Risco
Tratamento do Risco
Uma vez finalizada a fase em que identificamos os riscos aos quais a organizao est sujeita, a fase seguinte o tratamento. O Critrio de Risco define quais so os nveis mximos que uma organizao est disposta a tolerar.
Toda vez que um determinado risco estiver acima deste nvel ele dever ser tratado.
Aceitao do Risco
Aceitao do Risco
Quando no somos capazes de encontrar formas eficazes para reduzir o risco, levando em considerao todas as questes financeiras envolvidas, devemos simplesmente aceitar o risco. A aceitao do risco implica saber que ele existe e que no foi resolvido.
Os prejuzos que podem ser trazidos por ele podem mesmo ocorrer.
Mas esses riscos tambm devem ser monitorados.
Comunicao do Risco
Comunicao do Risco
O ltimo passo da gesto de Risco envolve a sua comunicao.
de vital importncia para qualquer organizao conhecer os riscos aos quais ela est sujeito, bem como ter uma idia de quais riscos foram tratados.
Como vimos em Gesto de Pessoas: Conscientizar os usurios das ferramentas e sobre os riscos envolvidos em relao ao seu uso.