Escolar Documentos
Profissional Documentos
Cultura Documentos
Agenda
Conceito
Tipos de Risco
Elementos da Anlise de Risco Anlise de Risco Gerenciamento de Riscos Controle de Riscos Case VAH Concluso Referncias
Professor Jaime Pinto
www.professorjaimepinto.com
Conceito
RISCO
Usualmente: perigo ou incerteza Etimologia: origem no italiano antigo risicare = ousar Conotao original: prejuzo e ganho decorrente de uma deciso. Uma opo e no um destino. Implica no apenas em prejuzo (como a compreenso vulgar) Risco corresponde a uma parte de construo da realidade.
Professor Jaime Pinto
www.professorjaimepinto.com
O CONCEITO DE RISCO
Conceito
Riscos so caracterizados pela possibilidade de um projeto no se
realizar de acordo com os objetivos (especificaes, custos, tempo, etc.) e com as condies externas. Os desvios que ocorrem podem ser de difcil aceitao ou at mesmo inaceitveis.
Ameaa - aquilo que gera um risco. Quanto mais ameaa, maior a chance de risco. Probabilidade - a chance de alguma ameaa se concretizar. Impacto - a medida de dano que o risco pode causar pessoa ou ao objeto. Incerteza - no se pode determinar um risco pela falta de informao. Ao Alternativa - determinao de aes para eliminar ou mitigar o risco.
Professor Jaime Pinto
www.professorjaimepinto.com
Identificando as ameaas
Esta etapa iniciada com um brainstorming, onde o facilitador expe um tema a ser analisado. Isto inclui a definio do que se deseja analisar e alguns exemplos de ameaas que o time poder usar para se guiar inicialmente, conforme ilustrado na Tabela 9.3 (PELTIER, 2005).
Tratando os Riscos Segundo Martins (2003), aps fazer a anlise/avaliao de riscos, o prximo passo fazer as recomendaes para que a empresa crie ou modifique os mecanismos de segurana existentes. Nesta atividade, as vulnerabilidades existentes devem ser consideradas, assim como os respectivos riscos
Professor Jaime Pinto
www.professorjaimepinto.com
Para cada forma de ameaa, dever ser definida uma ou mais contramedidas que devero ser aplicadas aos ativos como, por exemplo, o uso de criptografia, senha robusta, e outras, alm de seus custos. Os resultados sero as respostas s seguintes questes: a) O QUE deve ser protegido; b) DE QUEM proteger; c) COM QUE RISCOS (no custo desejado, a proteo provavelmente no dar uma segurana total); e d) A QUE CUSTO;
Professor Jaime Pinto
www.professorjaimepinto.com
Uma Anlise de Risco bem realizada poder garantir : a confidencialidade, a disponibilidade a integridade das informaes nas empresas.
Fazem parte de uma anlise de risco: Processos de Negcio: identificar junto aos gestores e colaboradores os Processos de Negcio existentes na Empresa. Ativos: identificar os ativos que sero considerados na Anlise de Risco: Pessoas, lnfra-estrutura, Aplicaes, Tecnologia e informaes. Vulnerabilidades: identificar as vulnerabilidades existentes nos ativos que possam causar indisponibilidade dos servios ou serem utilizadas para roubo das suas informaes. Ameaas: identificar os agentes que podem vir a ameaar a empresa.
Professor Jaime Pinto
www.professorjaimepinto.com
O que levar em conta na anlise: Pontos fortes: _ verificao de conformidade; _ independncia entre os setores da empresa envolvidos, o que permite colher uma gama maior de vises; _ criao de um plano de ao; _ verificao do nvel de maturidade. Pontos fracos: _ no permite a classificao de ativos; _ no permite a insero de vulnerabilidades no previstas; _ plano de ao dependente do conhecimento da equipe; _ no identifica vulnerabilidades; _ no identifica alterao no parque tecnolgico; _ clculo de risco no leva em conta a dependncia entre ativos.
Anlise de Risco
Gerenciamento de Risco
Gerenciamento de Risco OBJETIVO O Gerenciamento de Riscos permitir que as organizaes convivam de uma maneira mais segura com os riscos a que esto expostos. Com o Gerenciando do Risco possvel proteger seres humanos, recursos materiais e meioambiente.
Para Peltier (2005), gesto de riscos o processo que permite aos gerentes dos negcios balancearem os custos operacionais com medidas de proteo adequadas, visando obter ganhos de acordo com a misso da empresa. Ateno: a gesto de riscos no est restrita ao campo da tecnologia da informao, nem tampouco ao foco da segurana da informao. Na verdade, um processo de negcio que ajuda aos gestores a proteger os interesses da organizao.
Professor Jaime Pinto
www.professorjaimepinto.com
Mitigao de Riscos: Esta a reao a riscos normalmente lembrada em primeiro lugar. Ela contm todas as contramedidas tomadas pelas equipes de segurana contra as ameaas, inclusive firewalls, deteco de invases e antivrus.
Professor Jaime Pinto
www.professorjaimepinto.com
Aceitao de Riscos: Se o custo de eliminao de um risco for maior que o risco em si, ou se a eliminao dele desviar recursos de um risco muito mais grave, a providncia racional poder ser simplesmente aceitar o risco.
Transferncia de Riscos: Em alguns casos mais prudente transferir o risco a terceiros, como uma seguradora, que alocar recursos limitados para iniciativas de mitigao que provavelmente faro pouca ou nenhuma diferena.
Conteno de Riscos: Haver casos em que o nvel de risco e o custo de elimin-lo simplesmente no pode ser tolerado. Nesses casos melhor evitar totalmente o risco, seja retirando o sistema em questo, ou, antes disso, deixando de instal-lo
Professor Jaime Pinto
www.professorjaimepinto.com
anlise de riscos uso sistemtico de informaes para identificar fontes de ameaas, a fim de estimar os riscos; avaliao de riscos processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco; tratamento de riscos processo de seleo e implementao de medidas para modificar um risco.
Professor Jaime Pinto
www.professorjaimepinto.com
b)
c)
Caractersticas do Risco
Risco Estratgico: Posicionamento da organizao no mercado, origem externa (mercado, cliente, fornecedor, agncia reguladora etc.) Longo Prazo Risco Financeiro: So os objetivos decorrentes da gesto ampla do caixa, nas atividades de aplicao e captao de recursos em operaes nos mercados financeiros. Risco Operacional; So aqueles que contribuem com a produo e distribuio dos produtos e servios da companhia
Professor Jaime Pinto
www.professorjaimepinto.com
Risco Conformidade; So os objetivos relacionados com o cumprimento da legislao e/ou regulamentao aplicveis ao negcio e s normas e procedimentos internos. Risco Ambiental. Considera a mensurao do montante de custos e de passivos ambientais da empresa e a avaliao de sua efetiva capacitao em administr-los gerencial e financeiramente.
a)
b)
c)
d)
Ouvir nos dias atuais a arte de saber ouvir tem se tornado um pouco esquecido. Conduzir Essa habilidade requer que o facilitador conduza o grupo dentro do objetivo. Refletir - O facilitador deve repetir e dar nfase ao que os participantes dizem. Inclusive, um bom exerccio, repetir a idia exposta pelos membros. Sumarizar Essa habilidade requer que o facilitador coloque junto os temas e as idias apresentadas.
e) Confrontar O facilitador deve colher as opinies e transformar qualquer posio contrria, radical, muito enftica ou agressiva de algum membro da equipe em sentenas positivas. f) Apoiar Nesta habilidade, o facilitador cria um ambiente de confiana mtua e aceitao. g) Construir Cabe ao facilitador fazer com que os membros do time aceitem outras vises.
Vulnerabilidade
Vulnerabilidade: falha ou fraqueza de procedimento, design, implementao, ou controles internos de um sistema que possa ser acidentalmente ou propositalmente explorada, resultando em uma brecha de segurana ou violao da poltica de segurana do sistema;
Tipos de Vulnerabilidade
Ameaas Causadas por Pessoas Espionagem Crimes Empregados insatisfeitos Empregados doentes Empregados desonestos Vandalismo Terrorismo Erros dos Utilizadores
Professor Jaime Pinto
www.professorjaimepinto.com
Conceituando Ativos
Considerando um ativo como tudo aquilo que seja relevante para uma organizao e que necessite de algum tipo de proteo ou cuidado, por conta disso, o entendimento adequado do que ativo, dentro de um escopo organizacional, de suma importncia, tendo em vista que a identificao desses ativos informacionais o passo fundamental para o estabelecimento de qualquer estratgia de proteo, associada a uma metodologia de gesto de riscos a ser adotada.
Professor Jaime Pinto
www.professorjaimepinto.com
O termo ativo possui esta denominao oriunda da rea financeira, por ser considerado um elemento de valor para um indivduo ou organizao, e que, por este motivo, necessita de proteo adequada.
Para Martins (2003), ativos so objetos fsicos e lgicos que tm algum valor para o processo de negcio da empresa. No primeiro caso esto objetos como hardware, prdios e outros, na segunda categoria esto objetos como e-mail, sottwares, banco de dados, entre outros
Professor Jaime Pinto
www.professorjaimepinto.com
A norma NBR ISO!IEC 17799 (2005) recomenda que todos os ativos sejam inventariados e tenha um proprietrio responsvel, e que esse proprietrio seja identificado e a ele atribudo a responsabilidade pela manuteno apropriada dos controles, podendo esses delegar estas atribuies, conforme apropriado; porm o proprietrio permanece responsvel pela proteo adequada dos ativos.
Professor Jaime Pinto
www.professorjaimepinto.com
Identificar uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos, e no a pessoa que realmente tenha qualquer direito de propriedade no ativo. (SECURITY OFFICER, 2006, p. 115).
Tipos de ativos
a)
ativos de informao, como sendo base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e informaes armazenadas;
c) ativos fsicos, como sendo equipamentos computacionais, equipamentos de comunicao, mdias removveis e outros equipamentos; d) servios de computao e comunicaes, utilidades gerais, tais como aquecimento, iluminao, eletricidade e refrigerao; e) pessoas e suas qualificaes, habilidades e experincias; f)e intangveis, tais como a reputao e a imagem da organizao.
Professor Jaime Pinto
www.professorjaimepinto.com
Um plano de contingncia, tambm chamado de planejamento de riscos, plano de continuidade de negcios plano de recuperao de desastres,
tem o objetivo de descrever as medidas a serem tomadas por uma empresa: incluindo a ativao de processos manuais, para fazer com que seus processos vitais voltem a funcionar plenamente, ou num estado minimamente aceitvel, o mais rpido possvel, evitando assim uma paralisao prolongada que possa gerar maiores prejuzos a corporao, como: a fuga de acionistas, grandes perdas de receita, sanes governamentais, problemas jurdicos para os dirigentes, abordagens maliciosas da imprensa, fuga de funcionrios para os concorrentes e at mesmo, em casos extremos, o fechamento da empresa.
Professor Jaime Pinto
www.professorjaimepinto.com
Causas Comuns
Os incidentes mais comuns que causam a contingncia na rea de sistemas so: enchentes, incndios, rebelies, greves, terremotos, tsunamis, furaces, falta de energia, ataques de hackers internos (funcionrios ou consultores mal intencionados) ou externos, vrus de computador, vazamento qumico, sabotagem, atentados terroristas, acidentes e erros humanos.
Professor Jaime Pinto
www.professorjaimepinto.com
devem se concentrar nos incidentes de maior probabilidade e no nos catastrficos que, normalmente, so menos provveis
O plano de contingncia deve ser desenvolvido envolvendo todas as reas sujeitas a catstrofes, sistema de informtica quanto as de negcio e no deve ser de exclusiva responsabilidade da rea de Tecnologia da Informao da organizao. Testes peridicos no plano tambm so necessrios para verificar se o processo continua vlido. O detalhamento das medidas deve ser apenas o necessrio para sua rpida execuo, sem excesso de informaes que podem ser prejudiciais numa situao crtica.
Os procedimentos mais simples de contingncia so: manter backup regular das bases de dados, manter um site de contingncia sempre atualizado, possuir ferramentas seguras para acesso aos dados remotamente para o caso da impossibilidade chegar at o prdio da empresa (VPN ou acesso discado, por exemplo), ter cpias completas e atualizadas de servidores vitais para o funcionamento da empresa (principalmente os que requerem muito tempo para reconstituio) , manter senhas em local seguro mas de fcil acesso a pessoas chaves da empresa no caso de uma emergncia.
Professor Jaime Pinto
www.professorjaimepinto.com
Para se criar um plano de contingncia mais eficaz, normalmente as grandes empresas algumas utilizam regras abaixo descritas,
Identificar todos os processos de negcio da organizao; Avaliar os impactos no negcio, ou seja, para cada processo identificado, avaliar o impacto que a sua falha representa para a organizao, levar em considerao tambm as interdependncias entre processos. Como resultado deste trabalho ser possvel identificar todos processos crticos para a sobrevivncia da organizao;
Professor Jaime Pinto
www.professorjaimepinto.com
Identificar riscos e definir cenrios possveis de falha para cada um dos processos crticos, levando em conta a probabilidade de ocorrncia de cada falha, provvel durao dos efeitos, conseqncias resultantes, custos inerentes e os limites mximos aceitveis de permanncia da falha sem a ativao da respectiva medida de contingncia;
Identificar medidas para cada falha, ou seja, listar as medidas a serem postas em prtica caso a falha acontea, incluindo at mesmo o contato com a imprensa;
Definir aes necessrias para operacionalizao das medidas cuja implantao dependa da aquisio de recursos fsicos e/ou humanos (por exemplo, aquisio de gerador e combustvel para um sistema de contingncia de energia eltrica);
Estimar custos de cada medida, comparando-os aos custos incorridos no caso da contingncia no existir; Definir forma de monitoramento aps a falha; Definir critrios de ativao do plano, como tempo mximo aceitvel de permanncia da falha;
Professor Jaime Pinto
www.professorjaimepinto.com
Identificar o responsvel pela ativao do plano, normalmente situado em um alto nvel hierrquico da companhia;
Identificar os responsveis em colocar em prtica as medidas de contingncia definidas, tendo cada elemento responsabilidades formalmente definidas e nominalmente atribudas.
Deve tambm existir um substituto nominalmente definido para cada para cada elemento. Todos devem estar familiarizados com o plano visando evitar hesitaes ou perdas de tempo que possam causas maiores problemas em situao de crise.
Professor Jaime Pinto
www.professorjaimepinto.com
Definir a forma de reposio do negcio aos moldes habituais, ou seja, quando e como sair do estado de contingncia e retornar ao seu estado normal de operao, assim como quem so os responsveis por estas aes e como este processo ser monitorado.
Professor Jaime Pinto
www.professorjaimepinto.com
Um plano de contingncia nada mais , conforme seu prprio nome sugere, um documento que descreve, passo a passo, quais aes a empresa deve tomar a fim de retomar normalmente seus processos de trabalho, aps a ocorrncia de um incidente segurana (ou uma contingncia). Trata-se de um documento desenvolvido com o intuito de : treinar, organizar, orientar, facilitar, agilizar e uniformizar as aes necessrias s respostas de controle e combate s ocorrncias anormais.
Professor Jaime Pinto
www.professorjaimepinto.com
Para que uma crise seja bem administrada, necessria a existncia prvia de um planejamento bem elaborado e factvel. Este plano possui diversas etapas, as quais destacam: Levantamento de riscos Diagnstico de ameaas Planejamento de processos Implementao Manuteno
Professor Jaime Pinto
www.professorjaimepinto.com
ao objeto.
Incerteza - no pode-se determinar um risco pela falta de informao.
Gerenciamento de Risco
OBJETIVO
O Gerenciamento de Riscos permitir que as organizaes convivam de uma maneira mais segura com os riscos a que esto expostos. Com o Gerenciando do Risco possvel proteger seres humanos, recursos materiais e meio-ambiente.
Controle de Riscos
FERRAMENTAS APR (anlise preliminar de riscos), TIC (Tcnica de insidentes crticos) SR (srie de riscos)
AE (arvore de causas)
WIF (What IF/ Checklist) AAF (Anlise de rvore de falhas) AMFE ( Anlise do modo de falha e efeitos) HAZOP (Estudo de operabilidade e riscos) Value at risk (mensurao de riscos) Professor Jaime Pinto
www.professorjaimepinto.com
CONCLUSO:
Referncias
1. Lieber, Renato Rocha. Melhoria das Condies de Trabalho e o Conceito de Risco. ABEPRO- Associao Brasileira de Engenharia de Produo. Disponvel em (http://www.abepro.org.br/biblioteca/ENEGEP1999_A0556.PDF). Acesso em: 5 out. 2008. Melo, Carlos Haddad de. Avaliao de Riscos para Priorizao do Plano de Segurana. Departamento de Engenharia de Produo e Sistemas. Disponvel em (http://www.eps.ufsc.br/disserta96/anete/cap1/cap1_ane.htm#1). Acesso em: 8out. 2008. Braga, Paulo Csar Fonseca. Clausewitz e Gesto de Riscos. Revista Eletrnica/Brasiliano & Associados Julho/Agosto de 2007 Ed. 31. ISSN 16782496N. Disponvel em (http://www.abrepo.org.br/biblioteca/ENEGEP1994 A0556.pdf).Acesso em: 9 out. 2008. Matos, Ricardo N. de. Gerenciamento de Riscos: Uma Abordagem Prtica.PMI/MG -Project Management Institute de Minas Gerais. Setembro de 2005. Disponvel em (http://www.pmimg.org.br/downloads/Ger_de_RiscosPMIMG_site.pdf). Acesso em: 20 out. 2008.
2.
3.
4.
Referncias
5. Marcos Laureano - Um site diferente sobre segurana, sistemas operacionais e sobre mim tambmGerenciamento de Risco. Disponvel em (http://www.mlaureano.org/aulas_material/gst/gst_cap_09_v1.pdf). Acesso em 21 out. 2008. Alberto, Lus Cludio. Gerindo Riscos e Flexibilidade: a importncia do prazo de retorno. GR TIPS - Um blog sobre Governana, Riscos, TI, Pessoas e Servios. Disponvel em (http://www.virtue.com.br/blog/?p=58). Acesso em 21 set. 2008. ENAP-Escola Nacional de Administrao Pblica. A Gesto de Riscos. Disponvel em (http://www.enap.gov.br/downloads/gestao_de_riscos.pdf). Acesso em 21 set 2008. Departamento de Engenharia de Produo e Sistemas. Universidade Federal de Santa Catarina. Disponvel em (http://www.eps.ufsc.br/disserta96/anete/cap1/cap1_ane.htm#1). Acesso em: 14 out. 2008.
6.
7.
8.
[mitigao] substantivo fem singular . Sinnimos: aao de mitigar ou atenuar diminuiao do mal alivio consolao refrigrio lenitivo . Antnimos: opresso carga aumento do mal sensao de sufoco