Você está na página 1de 88

Anlise e Gerenciamento de Riscos

Professor Jaime Pinto


www.professorjaimepinto.com

Agenda

Conceito

Tipos de Risco
Elementos da Anlise de Risco Anlise de Risco Gerenciamento de Riscos Controle de Riscos Case VAH Concluso Referncias
Professor Jaime Pinto
www.professorjaimepinto.com

Conceito

RISCO

Usualmente: perigo ou incerteza Etimologia: origem no italiano antigo risicare = ousar Conotao original: prejuzo e ganho decorrente de uma deciso. Uma opo e no um destino. Implica no apenas em prejuzo (como a compreenso vulgar) Risco corresponde a uma parte de construo da realidade.
Professor Jaime Pinto
www.professorjaimepinto.com

O CONCEITO DE RISCO

Professor Jaime Pinto


www.professorjaimepinto.com

Conceito
Riscos so caracterizados pela possibilidade de um projeto no se
realizar de acordo com os objetivos (especificaes, custos, tempo, etc.) e com as condies externas. Os desvios que ocorrem podem ser de difcil aceitao ou at mesmo inaceitveis.

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Anlise e Gerenciamento de riscos


Anlise (gerenciamento) de riscos uma medida que busca avaliar qual a real probabilidade de que ameaas se concretizem utilizando: AS vulnerabilidades existentes, Identificar os possveis impactos que possam ser causados. A anlise de riscos tem como resultado uma lista de problemas que devem ser priorizados, uns dos principais objetivos diagnosticar a situao da segurana da informao na organizao e recomendar aes para cada vulnerabilidade mapeada.
Professor Jaime Pinto
www.professorjaimepinto.com

Elementos da Anlise de Risco

Ameaa - aquilo que gera um risco. Quanto mais ameaa, maior a chance de risco. Probabilidade - a chance de alguma ameaa se concretizar. Impacto - a medida de dano que o risco pode causar pessoa ou ao objeto. Incerteza - no se pode determinar um risco pela falta de informao. Ao Alternativa - determinao de aes para eliminar ou mitigar o risco.
Professor Jaime Pinto
www.professorjaimepinto.com

Identificando as ameaas
Esta etapa iniciada com um brainstorming, onde o facilitador expe um tema a ser analisado. Isto inclui a definio do que se deseja analisar e alguns exemplos de ameaas que o time poder usar para se guiar inicialmente, conforme ilustrado na Tabela 9.3 (PELTIER, 2005).

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Tratando os Riscos Segundo Martins (2003), aps fazer a anlise/avaliao de riscos, o prximo passo fazer as recomendaes para que a empresa crie ou modifique os mecanismos de segurana existentes. Nesta atividade, as vulnerabilidades existentes devem ser consideradas, assim como os respectivos riscos
Professor Jaime Pinto
www.professorjaimepinto.com

Para cada forma de ameaa, dever ser definida uma ou mais contramedidas que devero ser aplicadas aos ativos como, por exemplo, o uso de criptografia, senha robusta, e outras, alm de seus custos. Os resultados sero as respostas s seguintes questes: a) O QUE deve ser protegido; b) DE QUEM proteger; c) COM QUE RISCOS (no custo desejado, a proteo provavelmente no dar uma segurana total); e d) A QUE CUSTO;
Professor Jaime Pinto
www.professorjaimepinto.com

Uma Anlise de Risco bem realizada poder garantir : a confidencialidade, a disponibilidade a integridade das informaes nas empresas.

Professor Jaime Pinto


www.professorjaimepinto.com

Fazem parte de uma anlise de risco: Processos de Negcio: identificar junto aos gestores e colaboradores os Processos de Negcio existentes na Empresa. Ativos: identificar os ativos que sero considerados na Anlise de Risco: Pessoas, lnfra-estrutura, Aplicaes, Tecnologia e informaes. Vulnerabilidades: identificar as vulnerabilidades existentes nos ativos que possam causar indisponibilidade dos servios ou serem utilizadas para roubo das suas informaes. Ameaas: identificar os agentes que podem vir a ameaar a empresa.
Professor Jaime Pinto
www.professorjaimepinto.com

O que levar em conta na anlise: Pontos fortes: _ verificao de conformidade; _ independncia entre os setores da empresa envolvidos, o que permite colher uma gama maior de vises; _ criao de um plano de ao; _ verificao do nvel de maturidade. Pontos fracos: _ no permite a classificao de ativos; _ no permite a insero de vulnerabilidades no previstas; _ plano de ao dependente do conhecimento da equipe; _ no identifica vulnerabilidades; _ no identifica alterao no parque tecnolgico; _ clculo de risco no leva em conta a dependncia entre ativos.

Professor Jaime Pinto


www.professorjaimepinto.com

Anlise de Risco

Professor Jaime Pinto


www.professorjaimepinto.com

Passos para avaliao do risco

Professor Jaime Pinto


www.professorjaimepinto.com

Onde est o Risco?


Onde esta o risco?

Professor Jaime Pinto


www.professorjaimepinto.com

Gerenciamento de Risco
Gerenciamento de Risco OBJETIVO O Gerenciamento de Riscos permitir que as organizaes convivam de uma maneira mais segura com os riscos a que esto expostos. Com o Gerenciando do Risco possvel proteger seres humanos, recursos materiais e meioambiente.

Professor Jaime Pinto


www.professorjaimepinto.com

Para Peltier (2005), gesto de riscos o processo que permite aos gerentes dos negcios balancearem os custos operacionais com medidas de proteo adequadas, visando obter ganhos de acordo com a misso da empresa. Ateno: a gesto de riscos no est restrita ao campo da tecnologia da informao, nem tampouco ao foco da segurana da informao. Na verdade, um processo de negcio que ajuda aos gestores a proteger os interesses da organizao.
Professor Jaime Pinto
www.professorjaimepinto.com

Estratgias de Gerenciamento de Riscos

Mitigao de Riscos: Esta a reao a riscos normalmente lembrada em primeiro lugar. Ela contm todas as contramedidas tomadas pelas equipes de segurana contra as ameaas, inclusive firewalls, deteco de invases e antivrus.
Professor Jaime Pinto
www.professorjaimepinto.com

Aceitao de Riscos: Se o custo de eliminao de um risco for maior que o risco em si, ou se a eliminao dele desviar recursos de um risco muito mais grave, a providncia racional poder ser simplesmente aceitar o risco.

Professor Jaime Pinto


www.professorjaimepinto.com

Transferncia de Riscos: Em alguns casos mais prudente transferir o risco a terceiros, como uma seguradora, que alocar recursos limitados para iniciativas de mitigao que provavelmente faro pouca ou nenhuma diferena.

Professor Jaime Pinto


www.professorjaimepinto.com

Conteno de Riscos: Haver casos em que o nvel de risco e o custo de elimin-lo simplesmente no pode ser tolerado. Nesses casos melhor evitar totalmente o risco, seja retirando o sistema em questo, ou, antes disso, deixando de instal-lo
Professor Jaime Pinto
www.professorjaimepinto.com

Princpios da Gesto de Riscos


Gesto de riscos compreende um conjunto de atividades coordenadas para direcionar e controlar uma organizao no que se refere aos riscos. A gesto de riscos geralmente inclui as seguintes macro-atividades principais:
a)

anlise de riscos uso sistemtico de informaes para identificar fontes de ameaas, a fim de estimar os riscos; avaliao de riscos processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco; tratamento de riscos processo de seleo e implementao de medidas para modificar um risco.
Professor Jaime Pinto
www.professorjaimepinto.com

b)

c)

Caractersticas do Risco
Risco Estratgico: Posicionamento da organizao no mercado, origem externa (mercado, cliente, fornecedor, agncia reguladora etc.) Longo Prazo Risco Financeiro: So os objetivos decorrentes da gesto ampla do caixa, nas atividades de aplicao e captao de recursos em operaes nos mercados financeiros. Risco Operacional; So aqueles que contribuem com a produo e distribuio dos produtos e servios da companhia
Professor Jaime Pinto
www.professorjaimepinto.com

Risco Conformidade; So os objetivos relacionados com o cumprimento da legislao e/ou regulamentao aplicveis ao negcio e s normas e procedimentos internos. Risco Ambiental. Considera a mensurao do montante de custos e de passivos ambientais da empresa e a avaliao de sua efetiva capacitao em administr-los gerencial e financeiramente.

Professor Jaime Pinto


www.professorjaimepinto.com

Habilidades Desejveis para a Conduo projeto de gerenciamento risco

a)

b)

c)

d)

Ouvir nos dias atuais a arte de saber ouvir tem se tornado um pouco esquecido. Conduzir Essa habilidade requer que o facilitador conduza o grupo dentro do objetivo. Refletir - O facilitador deve repetir e dar nfase ao que os participantes dizem. Inclusive, um bom exerccio, repetir a idia exposta pelos membros. Sumarizar Essa habilidade requer que o facilitador coloque junto os temas e as idias apresentadas.

Professor Jaime Pinto


www.professorjaimepinto.com

e) Confrontar O facilitador deve colher as opinies e transformar qualquer posio contrria, radical, muito enftica ou agressiva de algum membro da equipe em sentenas positivas. f) Apoiar Nesta habilidade, o facilitador cria um ambiente de confiana mtua e aceitao. g) Construir Cabe ao facilitador fazer com que os membros do time aceitem outras vises.

Professor Jaime Pinto


www.professorjaimepinto.com

Vulnerabilidade

Vulnerabilidade: falha ou fraqueza de procedimento, design, implementao, ou controles internos de um sistema que possa ser acidentalmente ou propositalmente explorada, resultando em uma brecha de segurana ou violao da poltica de segurana do sistema;

Professor Jaime Pinto


www.professorjaimepinto.com

Tipos de Vulnerabilidade
Ameaas Causadas por Pessoas Espionagem Crimes Empregados insatisfeitos Empregados doentes Empregados desonestos Vandalismo Terrorismo Erros dos Utilizadores
Professor Jaime Pinto
www.professorjaimepinto.com

Conceituando Ativos

Professor Jaime Pinto


www.professorjaimepinto.com

Considerando um ativo como tudo aquilo que seja relevante para uma organizao e que necessite de algum tipo de proteo ou cuidado, por conta disso, o entendimento adequado do que ativo, dentro de um escopo organizacional, de suma importncia, tendo em vista que a identificao desses ativos informacionais o passo fundamental para o estabelecimento de qualquer estratgia de proteo, associada a uma metodologia de gesto de riscos a ser adotada.
Professor Jaime Pinto
www.professorjaimepinto.com

O termo ativo possui esta denominao oriunda da rea financeira, por ser considerado um elemento de valor para um indivduo ou organizao, e que, por este motivo, necessita de proteo adequada.

Professor Jaime Pinto


www.professorjaimepinto.com

Para Martins (2003), ativos so objetos fsicos e lgicos que tm algum valor para o processo de negcio da empresa. No primeiro caso esto objetos como hardware, prdios e outros, na segunda categoria esto objetos como e-mail, sottwares, banco de dados, entre outros
Professor Jaime Pinto
www.professorjaimepinto.com

A norma NBR ISO!IEC 17799 (2005) recomenda que todos os ativos sejam inventariados e tenha um proprietrio responsvel, e que esse proprietrio seja identificado e a ele atribudo a responsabilidade pela manuteno apropriada dos controles, podendo esses delegar estas atribuies, conforme apropriado; porm o proprietrio permanece responsvel pela proteo adequada dos ativos.
Professor Jaime Pinto
www.professorjaimepinto.com

Identificar uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos, e no a pessoa que realmente tenha qualquer direito de propriedade no ativo. (SECURITY OFFICER, 2006, p. 115).

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Tipos de ativos
a)

ativos de informao, como sendo base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e informaes armazenadas;

b) ativos de software, como sendo aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;


Professor Jaime Pinto
www.professorjaimepinto.com

c) ativos fsicos, como sendo equipamentos computacionais, equipamentos de comunicao, mdias removveis e outros equipamentos; d) servios de computao e comunicaes, utilidades gerais, tais como aquecimento, iluminao, eletricidade e refrigerao; e) pessoas e suas qualificaes, habilidades e experincias; f)e intangveis, tais como a reputao e a imagem da organizao.
Professor Jaime Pinto
www.professorjaimepinto.com

Como Definir nosso Risco ?

Professor Jaime Pinto


www.professorjaimepinto.com

CONTINUIDADE DE NEGCIO E PLANO DE CONTINGNCIA

Um plano de contingncia, tambm chamado de planejamento de riscos, plano de continuidade de negcios plano de recuperao de desastres,

Professor Jaime Pinto


www.professorjaimepinto.com

OBJETIVO DO PLANO DE CONTINGNCIA

tem o objetivo de descrever as medidas a serem tomadas por uma empresa: incluindo a ativao de processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num estado minimamente aceitvel, o mais rpido possvel, evitando assim uma paralisao prolongada que possa gerar maiores prejuzos a corporao, como: a fuga de acionistas, grandes perdas de receita, sanes governamentais, problemas jurdicos para os dirigentes, abordagens maliciosas da imprensa, fuga de funcionrios para os concorrentes e at mesmo, em casos extremos, o fechamento da empresa.
Professor Jaime Pinto
www.professorjaimepinto.com

Causas Comuns

Os incidentes mais comuns que causam a contingncia na rea de sistemas so: enchentes, incndios, rebelies, greves, terremotos, tsunamis, furaces, falta de energia, ataques de hackers internos (funcionrios ou consultores mal intencionados) ou externos, vrus de computador, vazamento qumico, sabotagem, atentados terroristas, acidentes e erros humanos.
Professor Jaime Pinto
www.professorjaimepinto.com

Onde concentrar os planos de contingncia

devem se concentrar nos incidentes de maior probabilidade e no nos catastrficos que, normalmente, so menos provveis

Professor Jaime Pinto


www.professorjaimepinto.com

Confeco de um Plano de Contingncia

O plano de contingncia deve ser desenvolvido envolvendo todas as reas sujeitas a catstrofes, sistema de informtica quanto as de negcio e no deve ser de exclusiva responsabilidade da rea de Tecnologia da Informao da organizao. Testes peridicos no plano tambm so necessrios para verificar se o processo continua vlido. O detalhamento das medidas deve ser apenas o necessrio para sua rpida execuo, sem excesso de informaes que podem ser prejudiciais numa situao crtica.

Professor Jaime Pinto


www.professorjaimepinto.com

Alguns procedimentos de um plano de Contigncia


Os procedimentos mais simples de contingncia so: manter backup regular das bases de dados, manter um site de contingncia sempre atualizado, possuir ferramentas seguras para acesso aos dados remotamente para o caso da impossibilidade chegar at o prdio da empresa (VPN ou acesso discado, por exemplo), ter cpias completas e atualizadas de servidores vitais para o funcionamento da empresa (principalmente os que requerem muito tempo para reconstituio) , manter senhas em local seguro mas de fcil acesso a pessoas chaves da empresa no caso de uma emergncia.
Professor Jaime Pinto
www.professorjaimepinto.com

Para se criar um plano de contingncia mais eficaz, normalmente as grandes empresas algumas utilizam regras abaixo descritas,

Identificar todos os processos de negcio da organizao; Avaliar os impactos no negcio, ou seja, para cada processo identificado, avaliar o impacto que a sua falha representa para a organizao, levar em considerao tambm as interdependncias entre processos. Como resultado deste trabalho ser possvel identificar todos processos crticos para a sobrevivncia da organizao;
Professor Jaime Pinto
www.professorjaimepinto.com

Identificar riscos e definir cenrios possveis de falha para cada um dos processos crticos, levando em conta a probabilidade de ocorrncia de cada falha, provvel durao dos efeitos, conseqncias resultantes, custos inerentes e os limites mximos aceitveis de permanncia da falha sem a ativao da respectiva medida de contingncia;

Professor Jaime Pinto


www.professorjaimepinto.com

Identificar medidas para cada falha, ou seja, listar as medidas a serem postas em prtica caso a falha acontea, incluindo at mesmo o contato com a imprensa;

Professor Jaime Pinto


www.professorjaimepinto.com

Definir aes necessrias para operacionalizao das medidas cuja implantao dependa da aquisio de recursos fsicos e/ou humanos (por exemplo, aquisio de gerador e combustvel para um sistema de contingncia de energia eltrica);

Professor Jaime Pinto


www.professorjaimepinto.com

Estimar custos de cada medida, comparando-os aos custos incorridos no caso da contingncia no existir; Definir forma de monitoramento aps a falha; Definir critrios de ativao do plano, como tempo mximo aceitvel de permanncia da falha;
Professor Jaime Pinto
www.professorjaimepinto.com

Identificar o responsvel pela ativao do plano, normalmente situado em um alto nvel hierrquico da companhia;

Professor Jaime Pinto


www.professorjaimepinto.com

Identificar os responsveis em colocar em prtica as medidas de contingncia definidas, tendo cada elemento responsabilidades formalmente definidas e nominalmente atribudas.

Professor Jaime Pinto


www.professorjaimepinto.com

Deve tambm existir um substituto nominalmente definido para cada para cada elemento. Todos devem estar familiarizados com o plano visando evitar hesitaes ou perdas de tempo que possam causas maiores problemas em situao de crise.
Professor Jaime Pinto
www.professorjaimepinto.com

Definir a forma de reposio do negcio aos moldes habituais, ou seja, quando e como sair do estado de contingncia e retornar ao seu estado normal de operao, assim como quem so os responsveis por estas aes e como este processo ser monitorado.
Professor Jaime Pinto
www.professorjaimepinto.com

Concluso plano de contigncia

Um plano de contingncia nada mais , conforme seu prprio nome sugere, um documento que descreve, passo a passo, quais aes a empresa deve tomar a fim de retomar normalmente seus processos de trabalho, aps a ocorrncia de um incidente segurana (ou uma contingncia). Trata-se de um documento desenvolvido com o intuito de : treinar, organizar, orientar, facilitar, agilizar e uniformizar as aes necessrias s respostas de controle e combate s ocorrncias anormais.
Professor Jaime Pinto
www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Para que uma crise seja bem administrada, necessria a existncia prvia de um planejamento bem elaborado e factvel. Este plano possui diversas etapas, as quais destacam: Levantamento de riscos Diagnstico de ameaas Planejamento de processos Implementao Manuteno
Professor Jaime Pinto
www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Elementos da Anlise de Risco


ELEMENTOS
Ameaa - aquilo que gera um risco. Quanto mais ameaa, maior a chance de risco. Probabilidade - a chance de alguma ameaa se concretizar. Impacto - a medida de dano que o risco pode causar pessoa ou

ao objeto.
Incerteza - no pode-se determinar um risco pela falta de informao.

Ao Alternativa - determinao de aes para eliminar ou mitigar


o risco.
Professor Jaime Pinto Fonte: Marcos Hashimoto Voc S/A www.professorjaimepinto.com

Gerenciamento de Risco

OBJETIVO
O Gerenciamento de Riscos permitir que as organizaes convivam de uma maneira mais segura com os riscos a que esto expostos. Com o Gerenciando do Risco possvel proteger seres humanos, recursos materiais e meio-ambiente.

Professor Jaime Pinto


www.professorjaimepinto.com

Controle de Riscos
FERRAMENTAS APR (anlise preliminar de riscos), TIC (Tcnica de insidentes crticos) SR (srie de riscos)

AE (arvore de causas)
WIF (What IF/ Checklist) AAF (Anlise de rvore de falhas) AMFE ( Anlise do modo de falha e efeitos) HAZOP (Estudo de operabilidade e riscos) Value at risk (mensurao de riscos) Professor Jaime Pinto
www.professorjaimepinto.com

CONCLUSO:

Professor Jaime Pinto


www.professorjaimepinto.com

Professor Jaime Pinto


www.professorjaimepinto.com

Referncias
1. Lieber, Renato Rocha. Melhoria das Condies de Trabalho e o Conceito de Risco. ABEPRO- Associao Brasileira de Engenharia de Produo. Disponvel em (http://www.abepro.org.br/biblioteca/ENEGEP1999_A0556.PDF). Acesso em: 5 out. 2008. Melo, Carlos Haddad de. Avaliao de Riscos para Priorizao do Plano de Segurana. Departamento de Engenharia de Produo e Sistemas. Disponvel em (http://www.eps.ufsc.br/disserta96/anete/cap1/cap1_ane.htm#1). Acesso em: 8out. 2008. Braga, Paulo Csar Fonseca. Clausewitz e Gesto de Riscos. Revista Eletrnica/Brasiliano & Associados Julho/Agosto de 2007 Ed. 31. ISSN 16782496N. Disponvel em (http://www.abrepo.org.br/biblioteca/ENEGEP1994 A0556.pdf).Acesso em: 9 out. 2008. Matos, Ricardo N. de. Gerenciamento de Riscos: Uma Abordagem Prtica.PMI/MG -Project Management Institute de Minas Gerais. Setembro de 2005. Disponvel em (http://www.pmimg.org.br/downloads/Ger_de_RiscosPMIMG_site.pdf). Acesso em: 20 out. 2008.

2.

3.

4.

Professor Jaime Pinto


www.professorjaimepinto.com

Referncias
5. Marcos Laureano - Um site diferente sobre segurana, sistemas operacionais e sobre mim tambmGerenciamento de Risco. Disponvel em (http://www.mlaureano.org/aulas_material/gst/gst_cap_09_v1.pdf). Acesso em 21 out. 2008. Alberto, Lus Cludio. Gerindo Riscos e Flexibilidade: a importncia do prazo de retorno. GR TIPS - Um blog sobre Governana, Riscos, TI, Pessoas e Servios. Disponvel em (http://www.virtue.com.br/blog/?p=58). Acesso em 21 set. 2008. ENAP-Escola Nacional de Administrao Pblica. A Gesto de Riscos. Disponvel em (http://www.enap.gov.br/downloads/gestao_de_riscos.pdf). Acesso em 21 set 2008. Departamento de Engenharia de Produo e Sistemas. Universidade Federal de Santa Catarina. Disponvel em (http://www.eps.ufsc.br/disserta96/anete/cap1/cap1_ane.htm#1). Acesso em: 14 out. 2008.

6.

7.

8.

Professor Jaime Pinto


www.professorjaimepinto.com

[mitigao] substantivo fem singular . Sinnimos: aao de mitigar ou atenuar diminuiao do mal alivio consolao refrigrio lenitivo . Antnimos: opresso carga aumento do mal sensao de sufoco

Professor Jaime Pinto


www.professorjaimepinto.com

Você também pode gostar