Escolar Documentos
Profissional Documentos
Cultura Documentos
2009/2010
ANLISE E GERENCIAMENTO
DE RISCOS
- Identificao e classificao de ativos;
- Vulnerabilidades;
- Ameaas;
- Probabilidades;
- Impactos; e
- Alternativas de mitigao.
Professor: Hlbert
Riscos
Probabilidade de ocorrncia de um acidente
ou evento adverso;
Probabilidade de danos potenciais;
Fator, evento ou condio incerta, com efeito
positivo ou negativo sobre os objetivos da
instituio ou empresa;
Risco Ambiental
Possibilidade de dano, enfermidade ou morte
resultante da exposio de seres humanos, animais
ou vegetais a agentes ou condies ambientais
potencialmente perigosas.
Ameaas
Ao ou evento que potencialmente pode
romper a segurana e causar danos.
Agentes ou condies dispostos a explorar
vulnerabilidades para gerao de incidentes.
Ex.: funcionrios insatisfeitos, enchentes,
temperatura, ex-funcionrios, concorrentes.
Identificao da Ameaa
Identificao do agente ou evento adverso,
efeitos favorveis e desfavorveis, populao
vulnervel e condies de exposio.
Caracterizao do Risco
Descrio dos diferentes efeitos potenciais
relacionados com a ameaa.
a etapa final da avaliao de risco, ou seja,
descrio da natureza, incluindo a sua intensidade
para os seres humanos e o grau de incerteza
concomitante (probabilidade de ocorrncia).
Descrio dos diferentes efeitos potenciais
(danos possveis) e a quantificao da relao entre
a magnitude do evento e a intensidade do dano
esperado, mediante metodologia cientfica.
Avaliao da Exposio
Estudo da evoluo do
considerando-se a varivel tempo.
fenmeno,
Estimativa de Risco
Concluso sobre o grau de risco, obtida aps
a comparao entre a caracterizao do risco e a
avaliao da exposio.
Definio de Alternativas de Gesto
Processo de desenvolvimento e anlise de
alternativas, com o objetivo de controlar e
minimizar os riscos e as vulnerabilidades.
Danos
Os desastres no produzem apenas efeitos
facilmente perceptveis, pois tm conseqncias
que se desenvolvem lentamente e se manifestam
muito tempo depois de ocorrido o desastre.
Danos Indiretos
Referem-se basicamente aos bens e servios
que deixam de ser produzidos ou prestados durante
um lapso de tempo que se inicia logo depois de
ocorrido o desastre e pode se prolongar durante a
fase de reabilitao e reconstruo.
Danos Diretos
So
aqueles
sofridos
pelos
imobilizados, destrudos ou danificados.
ativos
Vulnerabilidades
So falhas existentes em
ambientes, processos ou pessoas.
tecnologias,
Anlise de Vulnerabilidades
Tem por objetivo verificar a existncia de
falhas de segurana no ambiente.
Esta anlise uma ferramenta importante
para a implementao de controles de segurana
eficientes sobre os ativos da instituio.
Tecnologias:
Software e hardware usados em servidores,
estaes de trabalho e outros equipamentos
pertinentes, como sistemas de telefonia, rdio e
gravadores.
Ex.: estaes sem anti-vrus, servidores sem
deteco de intruso, sistemas sem identificao ou
autenticao.
Processos
Anlise do fluxo de informao, da gerao
da informao e de seu consumo. Analisa tambm
como a informao compartilhada entre os
setores da organizao.
Pessoas
As pessoas so ativos da informao e
executam processos, logo, precisam ser analisadas.
Pessoas podem possuir grandes e importantes
vulnerabilidades.
Ex.: Desconhecer a importncia da segurana,
desconhecer suas obrigaes e responsabilidades,
deixando processos com dois pais e outros
rfos.
Ambientes
o espao fsico onde acontecem os
processos, onde as pessoas trabalham e onde esto
instalados os componentes de tecnologia.
Este item responsvel pela anlise de reas
fsicas.
Ex.: Acesso no autorizado a servidores,
arquivos, agendas, cofres e fichrios.
Impacto
Ainda nesse processo necessrio se
determinar qual o grau de prejuzo da empresa ou
instituio se determinado ativo tornar-se
indisponvel, pblico ou no confivel (sem
integridade).
estratgicas
sobre
- Explorao de oportunidades;
- Melhoria no planejamento e no
desempenho da instituio;
- Economia e eficincia;
- Melhoria na reputao;
- Proteo da alta administrao;
- Melhoria pessoal.
Produtos Finais:
- Reunio de concluso da anlise;
- Relatrio de Anlise de Risco;
- Plano de Ao para curto e mdio prazo.
Diagnstico
Para que isso ocorra necessrio
diagnosticar a situao da segurana na
organizao e recomendar aes e contramedidas
para cada vulnerabilidade mapeada.
Estar vivo, por exemplo, significa arriscarse diariamente. Atravessar a rua, ir ao jogo de
futebol ou dirigir so exemplos de situaes que
envolvem fatores de risco.
Porm, como j estamos acostumados
enfrent-los, formamos um instinto natural para
clculo de energia utilizada para minimizar
controlar os riscos.
a
o
e
Padres e Normas
O objetivo das normas fornecer
recomendaes para gesto da segurana da
informao para uso por aqueles que so
responsveis pela introduo, implementao ou
manuteno da segurana em suas empresas.
segurana
organizacional e tambm, a estabelecer a confiana
nos relacionamentos entre as organizaes.
O conceito de anlise de
intimamente relacionado figura da
Competitiva, uma vez que agrega
informao corporativa.
risco est
Inteligncia
solidez
Um dos grandes
benefcios da
implementao de um processo de anlise de risco
a identificao de pontos que representam ameaa
ao cumprimento da misso estratgica da
organizao.
Natureza do Risco
importante ressaltar que o risco pode ser
interpretado de diferentes formas.
As pessoas vivem em risco constante, e a
cada momento avaliam as possibilidades de futuro
para tomar cada ao, mesmo que ela seja do
cotidiano.
O simples fato de
exemplo, representa
conseqncias para a
momento de atravess-la.
Gerenciamento do Risco
O gerenciamento de risco segue um modelo
clssico que baseado em normas como a AS/NZS
4360:2004.
O grande desafio a sistematizao da forma
como o gerenciamento deve ser realizado, o que
envolve o uso de diferentes metodologias para cada
elemento do gerenciamento de risco.
Ciclo PDCA
O Ciclo PDCA nasceu no escopo da
tecnologia TQC (Total Quality Control) como uma
ferramenta que melhor representava o ciclo de
gerenciamento de uma atividade.
O conceito do Ciclo evoluiu ao longo dos
anos vinculando-se tambm com a idia de que,
uma organizao qualquer, encarregada de atingir
um determinado objetivo, necessita planejar e
controlar as atividades a ela relacionadas.
Figura 4: Risco
no PMBOK.
O
processo
de
planejamento
do
gerenciamento de risco do PMBOK, por exemplo,
definido da seguinte forma:
Inputs;
Fatores organizacionais;
Atitude e tolerncia com relao ao risco;
Processos organizacionais;
Categorias de risco;
Definio de conceitos e termos;
Papis e responsabilidades;
Nveis de autoridade para tomada de
deciso;
Escopo do projeto;
Plano de gerenciamento do projeto;
Ferramentas e tcnicas;
Reunies e anlises;
Output;
Plano de gerenciamento de risco.
Figura 8:
co@Gov.
Um
dos
resultados
do
de
utilizao,
Benefcios:
-Maior conhecimento as informaes da
organizao;
-Definio de responsabilidades;
-Clareza para os colaboradores sobre as suas
responsabilidades;
- Conhecimento sobre a segurana necessria
para cada informao da organizao.
Classificao de Ativos
Em contabilidade o ativo so os bens e
direitos que a empresa tem num determinado
momento, resultante de suas transaes ou eventos
passados da qual futuros benefcios econmicos
podem ser obtidos. Exemplos de ativos incluem
caixa, estoques, equipamentos e prdios.
Bens intangveis
Os ativos intangveis no possuem
caracterstica fsica e so de difcil avaliao.
So bens no-fsicos. Dentro deste grupo
esto as patentes, franquias, direitos autorais,
marcas, etc.
Ativo Circulante
Em contabilidade, uma referncia aos bens
e direitos que podem ser convertidos em dinheiro
em curto prazo. Os ativos que podem ser
considerados como circulantes incluem: dinheiro
em caixa, conta movimento em banco, aplicaes
financeiras, contas a receber, estoques, despesas
antecipadas, numerrio em caixa, depsito
bancrio, mercadorias, matrias-primas e ttulos.
Ativo No Circulante
Os recursos aplicados no Ativo Fixo ou
Imobilizado, so todas as aplicaes de recursos
feitas pela empresa de forma permanente (fixa) que
a empresa utiliza para a realizao de suas
atividades, e podem ser classificados em bens
tangveis ou intangveis.
Consideraes Finais
O gerenciamento de risco um elemento
chave para o sucesso das organizaes, de
tecnologias ou de projetos.
Os benefcios do gerenciamento de risco so
grandes e resultam em ganhos e na melhor
utilizao de recursos.