Você está na página 1de 32

Segurana e Auditoria de

Sistemas
Prof. Fabiano Sabha

Anlise de Riscos

Prof. Fabiano Sabha

Definio de Risco

Podemos definir o risco como a condio que


aumenta ou diminui o potencial de perdas, ou seja,
o risco a condio existente.

Esta condio deve ser incerta, fortuita e de


conseqncias negativas ou danosas.

No pode haver a certeza de que ocorrer.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

Risco x Perigo

Risco diferente de Perigo!


Perigo a origem do da perda.
Exemplo: Um incndio o perigo, o
risco so as condies do ambiente.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

Anlise de Risco Estruturada


Possui dois parmetros a serem estudados:

PRIMEIRO: Saber qual a chance (probabilidade) dos


perigos virem a acontecer frente ao risco

SEGUNDO: Calcular o impacto seja ele, financeiro


ou operacional

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

Categorias de anlise
A anlise de risco possui duas categorias de anlise
QUALITATIVA: O objetivo tentar calcular valores
numricos objetivos para cada um dos componentes
coletados durante as fases de anlise de
custo/benefcio e de avaliao de risco.
QUANTITATIVA: No tenta atribuir valores financeiros
fixos aos ativos, s perdas esperadas e ao custo de
controles. Em vez disso, tenta calcular valores relativos.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

Perda Esperada

Podemos calcular a Perda Esperada PE, que a multiplicao direta entre a


probabilidade Pb do risco vir a acontecer versus seu impacto financeiro I F.
Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

Mtodo de Anlise de Risco


Didaticamente utilizaremos o mtodo
Brasiliano de Anlise de Riscos
O Mtodo Brasiliano possui como diferencial a obteno
do GRAU DE PROBABILIDADE - GP do perigo. O
Mtodo
Brasiliano foi elaborado com o intuito de criar um dos
parmetros para formar a Matriz de Vulnerabilidade, o
grau de probabilidade.
O Mtodo Brasiliano de Anlise de Riscos possui
quatro fases. So elas:
Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

Mtodo de Anlise de Risco


O Mtodo Brasiliano possui 4 fases:

Identificao dos fatores de riscos;


Determinao do Grau de Probabilidade (GP);
Determinao do Impacto Financeiro;
Elaborao da Perda Esperada e Matriz
Vulnerabilidades

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

de

Identificao dos Fatores


O Mtodo Brasiliano possui 4 fases:
Os fatores de risco so na realidade a origem e ou causa
de cada perigo. Para compreender o risco a condio
a soma de todos os fatores, h a necessidade de
dissecar o fluxo de cada processo.
Utilizamos a tcnica do Diagrama de Causa e Efeito, o
chamado Diagrama de Ishikawa e ou de Espinha de
Peixe para poder dissecar os fatores que influenciam a
concretizao do perigo.
Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

10

Diagrama de Ishikawa

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

11

Meios Organizacionais - MO

o levantamento se na empresa possui normas


de rotina e de emergncia, polticas de
tratamento de riscos, gerenciamento de riscos
entre outras. A no formalizao ou o no
detalhamento pode ser um fator de influncia
para a concretizao do perigo.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

12

Recurso Humano da Segurana - RH

o levantamento do nvel de qualificao,


quantidade, posicionamento ttico da equipe.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

13

Meios Tcnicos Passivos - MTP

o levantamento da no existncia de recursos


fsicos, tais como lay-out de portaria, salas,
resistncias de paredes, vidros entre outros.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

14

Meios Tcnicos Ativos - MTA

o levantamento da no existncia de sistemas


eletrnicos, indo desde CFTV, controle de acesso,
sensoriamento, sistemas de rastreamento e
centrais de segurana.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

15

Ambiente Interno - AI

o levantamento do nvel de relacionamento dos


colaboradores e empresa.
Inclui desde polticas de remunerao at polticas
de recursos humanos.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

16

Ambiente Externo - AE

o levantamento de cenrios prospectivos,


identificando fatores externos incontrolveis mas
que influenciam na concretizao de perigos.
Inclui o levantamento dos ndices de criminalidade,
estrutura do crime organizado, mercados
paralelos, estrutura do judicirio, corrupo
policial, entre outros.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

17

Exemplo Diagrama de Ishikawa


O Diagrama de Ishikawa o risco, a condio.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

18

Determinao do Grau de
Probabilidade - GP
O Grau de Probabilidade GP a conseqncia da
multiplicao dos fatores de riscos versus o critrio
da exposio. uma multiplicao direta, onde
cada critrio possui uma escala de valorao 1 a 5.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

19

Determinao do Grau de
Probabilidade - GP

GRAU DE PROBABILIDADE:
FATOR DE RISCO X EXPOSIO
GP = FR x E

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

20

Fator de Risco - FR
Este critrio possui seis sub critrios, estudados na
fase da identificao da origem de cada perigo. Os
sub critrios possuem uma escala de valorao que
mede o grau de influncia para a concretizao
do perigo. Neste caso julgamos qual o nvel de
influncia, por sub critrio, para que o perigo seja
concretizado.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

21

Fator de Risco - Pontuao

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

22

Fator de Risco - Clculo


AI + AE + RH + MO + MTA + MTP
FR = _____________________________
6
FR = 5 + 2 + 3 + 4 + 3 + 4/6
FR = 21/6
FR = 3,50

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

23

Exposio- E
a freqncia que o perigo costuma manifestar-se
na empresa ou em empresas similares. Possui a
seguinte escala de gradao:

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

24

Determinao do Grau de
Probabilidade - GP

GRAU DE PROBABILIDADE:
FATOR DE RISCO X EXPOSIO

GP = FR x E
Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

25

Classificao da Probabilidade
GP = FR x E O valor obtido desta multiplicao o Grau de
Probabilidade - GP, que para saber sua classificao temos
que consultar a tabela abaixo.
Esta tabela da classificao da probabilidade possui cinco
nveis:

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

26

Classificao da Probabilidade
No exemplo do desvio interno, temos o seguinte:
GP = FR x E
FR = 3,50
E=5
GP = 3,50 x 5 = 17,50
17,50 possui uma classificao de probabilidade
ALTA, ou PROVAVEL.
Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

27

Classificao da Probabilidade

17,50 x 4% = 70%.
A probabilidade do desvio interno vir a
acontecer ou continuar a acontecer na
empresa de 70%.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

28

Matriz de Vulnerabilidade
A matriz de vulnerabilidade mostra de
forma clara quais so as fragilidades
existentes, com a influncia impacto no
desempenho da empresa.
Atravs desta matriz, o gestor de riscos
sabe exatamente como cada risco deve ser
tratado e ter sua prioridade.

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

29

Matriz de Vulnerabilidade

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

30

Matriz de Vulnerabilidade

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

31

Matriz de Vulnerabilidade

Segurana e Auditoria de Sistemas - Prof. Fabiano Sabha

32