Escolar Documentos
Profissional Documentos
Cultura Documentos
Grupo 7
Discentes:
Gestão de Risco
É o processo de identificar o risco, avaliar sua magnitude relativa e tomar
passos para reduzi-lo a um nível aceitável.
A gestão de risco envolve 3 processos importantes, identificação de risco,
avaliação de risco e controlo de risco.
3
Figura 1 – Componentes da gestão de risco 4
IDENTIFICAÇÃO DE RISCOS
5
IDENTIFICAÇÃO DE RISCOS
6
PLANIFICAR E ORGANIZAR O PROCESSO
Uma vez identificados os activos organizacionais, é utilizando um processo de
avaliação de ameaças para identificar e quantificar os riscos que cada activo
enfrenta. O primeiro passo para a identificação dos riscos é de seguir os
princípios de gestão de projectos. Inicia-se organizando uma equipa, que
geralmente é constituído por representantes de todos os grupos afetados.
O processo deve então ser planejado, com entregas periódicas, revisões e
apresentações para a administração. Uma vez o projeto pronto para começar, a
equipe pode organizar uma reunião. As tarefas são estabelecidas, as atribuições
são feitas e os horários são discutidos. Apenas então a organização está pronta
para começar a próxima etapa, Identificação e categorização de ativos.
7
IDENTIFICAR, INVENTARIAR E CATEGORIZAR OS ACTIVOS
8
INVENTARIAR ACTIVOS
9
CLASSIFICAR, VALOR (AVALIANDO O VALOR)
E PRIORIZAR ACTIVOS DE INFORMAÇÃO
As classificações das informações são as seguintes:
Confidencial: Usado para as informações corporativas mais
confidenciais que devem ser rigorosamente controladas, mesmo dentro
da empresa.
O acesso à informação com esta classificação é estritamente com base
na necessidade de conhecimento ou conforme exigido.
10
CLASSIFICAR, VALOR (AVALIANDO O VALOR) E
PRIORIZAR ACTIVOS DE INFORMAÇÃO
Interno: Usado para todas as informações internas que não atendem
aos critérios da categoria confidencial.
As informações internas devem ser visualizadas apenas por funcionários
corporativos, contratados autorizados e outros terceiros.
Externo: Todas as informações que foram aprovadas pela
administração para divulgação pública.
11
12
14
Cont…
Quais ameaças representam o maior perigo para as informações da
organização?
Quanto custaria para se recuperar de um ataque bem-sucedido?
Qual das ameaças exigiria o maior gasto para evitar?
Ao responder às perguntas anteriores, você estabelece uma estrutura para
discutir a avaliação de ameaças. Esta lista de perguntas pode não abrangir
tudo o que afecta a segurança da informação.
15
ESPECIFICAÇÃO DAS VULNERABILIDADES
DOS ACTIVOS
Depois de identificar os activos de informação da organização e documentar
alguns critérios para começar a avaliar as ameaças que enfrenta, revise cada
activo de informação para cada ameaça relevante e crie uma lista de
vulnerabilidades.
Vulnerabilidades são brechas específicas que agentes de ameaças podem
explorar para atacar um activo de informação. São fendas na armadura uma
falha ou fraqueza em um activo de informação, procedimento de segurança,
projeto ou controlos que poderia ser explorado acidentalmente ou de
propósito para violar a segurança.
Ao final do processo de identificação de riscos, você deve ter uma lista
16
18
19
21
FASE DA AVALIAÇÃO DE RISCO
Calcular o risco
Se uma organização puder determinar a frequência e a magnitude
da perda para um activo, ela pode então calcular o risco para o
activo. Para fins de determinação de risco relativo e simplista, o
risco é igual à frequência da perda vezes a magnitude da perda
mais um elemento de incerteza.
Risco = (Perdas frequentes * Magnitude de perdas) + Incerteza das
estimativas de todos valores declarados %
22
FASE DA AVALIAÇÃO DE RISCO
Avaliar a aceitabilidade do risco
Para cada ameaça e suas vulnerabilidades associadas com risco residual, você deve
criar uma classificação de seus níveis de risco relativos. Esses rankings fornecem uma
abordagem simples para documentar o risco residual.
Risco Residual é a quantidade de risco que permanece para um activo de informação
mesmo apos a organização tenha aplicado um nivél desejado de controlos.
Em seguida, a organização deve comparar o risco residual com sua apetência ao risco.
Apetência ao risco é a quantidade e a natureza do risco que as organizações estão
dispostas a aceitar enquanto eles avaliam as vantagens e desvantagens entre
segurança perfeita e acessibilidade limitada.
23
Cont…
Quando a apetência ao risco da organização é menor que o risco
residual de um activo, ela deve passar para o próximo estágio de
controle de risco e buscar estratégias adicionais para reduzir ainda
mais o risco.
Quando o apetência ao risco da organização é maior que o risco
residual do ativo, a organização deve passar para os últimos estágios
de controle de risco e continuar a monitorar e avaliar seus controles e
activos.
24
CONTROLO DE RISCO
É o processo de aplicar controlos que reduzem os riscos às informações de
activos de uma organização a um nível aceitável.
O controle de risco envolve três etapas básicas: seleção de estratégias de
controle, justificativa dessas estratégias para a alta administração e a
implementação, monitoramento e ava liação contínua dos controles
adotados.
Selecionar estratégias de controle
Uma vez que a equipe do projeto de desenvolvimento de segurança da
informação tenha criado a planilha de risco de vulnerabilidade classificada,
a equipe deve escolher uma estratégia para controlar cada risco resultante
dessas vulnerabilidades.
25
TIPOS DE ESTRATÉGIAS DE CONTROLO
Defesa
Tenta evitar a exploração de vulnerabilidades. Esta estratégia é a abordagem
preferida para controlar o risco. Isso é feito combatendo ameaças,
removendo vulnerabilidades de activos, limitando o acesso a ativos e
adicionando salvaguardas de proteção.
A estratégia de defesa inclui três métodos comuns:
Aplicação da política;
Educação e treinamento; e
Aplicação de tecnologia.
26
TIPOS DE ESTRATÉGIAS DE CONTROLO
Transferência
Tenta transferir o risco para outros activos, outros processos ou outras organizações.
Esses controles podem ser realizados repensando como os serviços são oferecidos,
revisão de modelos de implantação, terceirização para outras organizações, compra
de seguro ou implementação de contratos de serviços com fornecedores.
Mitigação
A estratégia de controle de mitigação tenta reduzir o impacto de um ataque em vez de
reduzir
o sucesso do ataque em si. Essa abordagem requer a criação de três tipos de planos
de contingência: o plano de resposta a incidentes, o plano de recuperação de
desastres e o plano de continuidade de negócios.
27
TIPOS DE ESTRATÉGIAS DE CONTROLO
Aceitação
É a escolha de não fazer mais nada para proteger uma vulnerabilidade com
base no risco residual atual e na apetência de risco da organização. Esta
estratégia pode ou pode não ser uma decisão de negócios consciente.
Rescisão
28
Justificando Controles
Para justificar o uso de um controle, a organização deve determinar as
vantagens reais e percebidas do controle em oposição às suas desvantagens reais
e percebidas.
Implementação, Monitoramento e Avaliação de Controles de Risco
A seleção de uma estratégia de controle não é o fim de um processo. A
estratégia e os controles que a acompanham devem ser implementados e
monitorados continuamente para determinar sua eficácia e calcular com
precisão o risco residual estimado.
29
ANÁLISE DE CUSTO-BENEFÍCIO (ACB)
A análise de custo-benefício determina se um determinado controlo vale o seu
custo e pode ser calculado antes de ser implementado um controlo ou
salvaguarda para determinar se vale a pena implementar, ou, podem ser
calculados depois de os controlos estarem a funcionar há algum tempo.
O seu calculo é dado pela seguinte formula:
31
Obrigado!
32