Gestão de riscos

Grupo 7
Discentes:

Maputo, Outubro de 2022

1
  OBJECTIVOS
 Definir a gestão, identificar e controlo dos riscos;
 Descrever como o risco é identificado e controlado;
 Avaliar o risco com base na ocorrência de probabilidade e o impacto do
mesmo;
 Explicar o aspecto fundamental da documentação dos riscos via processo de
avaliação de riscos;
 Descrever varias opções para uma estratégia de mitigação de riscos;
 Identificar as categorias que podem ser usados para classificar os controlos; e
 Discutir o quadro conceptual para avaliar os controlos de risco e formular
uma análise custo-beneficio.
2
 INTRODUÇÃO
Quando uma organização depende de sistemas baseados em TI para
permanecerem viável, a segurança da informação e a disciplina de gestão de
risco deve se tornar parte integrante da base económica para tomar decisões
de negócios.

Gestão de Risco
É o processo de identificar o risco, avaliar sua magnitude relativa e tomar
passos para reduzi-lo a um nível aceitável.
A gestão de risco envolve 3 processos importantes, identificação de risco,
avaliação de risco e controlo de risco.
3
Figura 1 – Componentes da gestão de risco 4
 IDENTIFICAÇÃO DE RISCOS

É a enumeração e documentação dos riscos para uma

organização.
 Uma estratégia de gestão de riscos requer que os profissionais
de segurança da informação conheçam os seus activos de
informação da organização, ou seja, como identifica-los e
prioriza-los.

5
IDENTIFICAÇÃO DE RISCOS

6
 PLANIFICAR E ORGANIZAR O PROCESSO
Uma vez identificados os activos organizacionais, é utilizando um processo de
avaliação de ameaças para identificar e quantificar os riscos que cada activo
enfrenta. O primeiro passo para a identificação dos riscos é de seguir os
princípios de gestão de projectos. Inicia-se organizando uma equipa, que
geralmente é constituído por representantes de todos os grupos afetados.
O processo deve então ser planejado, com entregas periódicas, revisões e
apresentações para a administração. Uma vez o projeto pronto para começar, a
equipe pode organizar uma reunião. As tarefas são estabelecidas, as atribuições
são feitas e os horários são discutidos. Apenas então a organização está pronta
para começar a próxima etapa, Identificação e categorização de ativos.

 
7
IDENTIFICAR, INVENTARIAR E CATEGORIZAR OS ACTIVOS

Este processo interactivo começa com a identificação e inventários de

activos, incluindo todos os elementos do sistema de uma organização, tais
como pessoas, procedimentos, dados de informação, software, hardware e
elementos de informação. Depois, categoriza os activos, adicionando
detalhes à medida que aprofunda a análise. O objectivo deste processo é
estabelecer a prioridade relativa dos activos para o sucesso da organização.

8
 INVENTARIAR ACTIVOS

Esse processo é de grande importância porque nos ajuda a

entender oque a organização está a proteger.
O inventário é fundamental para determinar onde a informação
esta localizada, sendo que nem toda informação esta
armazenada na base de dados.

9
CLASSIFICAR, VALOR (AVALIANDO O VALOR)
E PRIORIZAR ACTIVOS DE INFORMAÇÃO
As classificações das informações são as seguintes:
Confidencial: Usado para as informações corporativas mais
confidenciais que devem ser rigorosamente controladas, mesmo dentro
da empresa.
O acesso à informação com esta classificação é estritamente com base
na necessidade de conhecimento ou conforme exigido.

10
 CLASSIFICAR, VALOR (AVALIANDO O VALOR) E
PRIORIZAR ACTIVOS DE INFORMAÇÃO
 Interno: Usado para todas as informações internas que não atendem
aos critérios da categoria confidencial.
As informações internas devem ser visualizadas apenas por funcionários
corporativos, contratados autorizados e outros terceiros.
 Externo: Todas as informações que foram aprovadas pela
administração para divulgação pública.

11
 12

Figura 3: Amostra de inventário e classificação de dados

 CRITÉRIOS A SEREM CONSIDERADOS QUE MELHOR
ESTABELECEM O VALOR DOS ACTIVOS DE INFORMAÇÃO:
 Qual activo de informação é mais crítico para o sucesso da
organização?
 Qual activo de informação gera mais receita?
 Qualdesses ativos desempenha o maior papel na geração de receita ou
na prestação de serviços?
 Qual activo de informação gera mais lucratividade?
 Qual activo de informação seria o mais caro para substituir?
 Qual activo de informação seria o mais caro para proteger?
 Qualactivo de informação mais exporia a empresa a responsabilidade
ou constrangimento se revelado? 13
 IDENTIFIÇÃO E PRIORIZAÇÃO DE AMEAÇAS
Depois que uma organização identificar e realizar a classificação
preliminar de seus activos de informação, a fase de análise em seguida
examina as ameaças à organização. Cada um deve ser examinado para
avaliar seu potencial de colocar em risco a organização.
Pode-se iniciar uma avaliação de ameaças respondendo a algumas
perguntas básicas, como segue:
 Quais ameaças representam um perigo para os activos de uma
organização em um determinado ambiente?

14
Cont…
 Quais ameaças representam o maior perigo para as informações da
organização?
 Quanto custaria para se recuperar de um ataque bem-sucedido?
 Qual das ameaças exigiria o maior gasto para evitar?
Ao responder às perguntas anteriores, você estabelece uma estrutura para
discutir a avaliação de ameaças. Esta lista de perguntas pode não abrangir
tudo o que afecta a segurança da informação.

15
 ESPECIFICAÇÃO DAS VULNERABILIDADES
DOS ACTIVOS
Depois de identificar os activos de informação da organização e documentar
alguns critérios para começar a avaliar as ameaças que enfrenta, revise cada
activo de informação para cada ameaça relevante e crie uma lista de
vulnerabilidades.
Vulnerabilidades são brechas específicas que agentes de ameaças podem
explorar para atacar um activo de informação. São fendas na armadura uma
falha ou fraqueza em um activo de informação, procedimento de segurança,
projeto ou controlos que poderia ser explorado acidentalmente ou de
propósito para violar a segurança.
Ao final do processo de identificação de riscos, você deve ter uma lista
16

priorizada de activos e suas vulnerabilidades.

Cont…

Figura 4: Exemplo de uma TVA

17
 AVALIAÇÃO DE RISCO

É o processo de determinar a extensão em que os activos de

informação de uma organização estão expostos ao risco, ou seja.
Tendo sido identificados os activos de informação da organização,
suas ameaças e vulnerabilidades, pode-se avaliar o risco relativo de
cada vulnerabilidade. A avaliação de risco atribui uma classificação
ou pontuação de risco a cada activo de informação.

18
 19

Figura 5: Fases da avaliação de risco

 FASE DA AVALIAÇÃO DE RISCO
Planejar e organizar a avaliação de riscos
O objetivo nesta fase é criar um método para avaliar o risco relativo de cada
vulnerabilidade listada.
Determinar a frequência de perda
A frequência de perda descreve uma avaliação da probabilidade de um ataque
combinado com sua probabilidade de sucesso esperada se visar sua
organização (probabilidade de sucesso de ataque). As informações resultantes
serão acopladas a um nível esperado de perda na avaliação de risco.

Frequência de perda = Probabilidade da Vulnerabilidade % *

Probabilidade de sucesso de um ataque %
20
 FASE DA AVALIAÇÃO DE RISCO

Avaliar a magnitude das perdas

A próxima etapa importante da avaliação de risco é determinar o quanto de
um activo de informação pode ser perdido em um ataque bem-sucedido.
Essa quantidade é conhecida como magnitude da perda ou exposição do
activo, a sua avaliação pode ser quantitativa ou qualitativa.

Magnitude de perdas = Valor do activo * Probabilidade de perda %

21
 FASE DA AVALIAÇÃO DE RISCO
Calcular o risco
Se uma organização puder determinar a frequência e a magnitude
da perda para um activo, ela pode então calcular o risco para o
activo. Para fins de determinação de risco relativo e simplista, o
risco é igual à frequência da perda vezes a magnitude da perda
mais um elemento de incerteza.
Risco = (Perdas frequentes * Magnitude de perdas) + Incerteza das
estimativas de todos valores declarados %

22
 FASE DA AVALIAÇÃO DE RISCO
Avaliar a aceitabilidade do risco
Para cada ameaça e suas vulnerabilidades associadas com risco residual, você deve
criar uma classificação de seus níveis de risco relativos. Esses rankings fornecem uma
abordagem simples para documentar o risco residual.
Risco Residual é a quantidade de risco que permanece para um activo de informação
mesmo apos a organização tenha aplicado um nivél desejado de controlos.
Em seguida, a organização deve comparar o risco residual com sua apetência ao risco.
Apetência ao risco é a quantidade e a natureza do risco que as organizações estão
dispostas a aceitar enquanto eles avaliam as vantagens e desvantagens entre
segurança perfeita e acessibilidade limitada.

23
Cont…
Quando a apetência ao risco da organização é menor que o risco
residual de um activo, ela deve passar para o próximo estágio de
controle de risco e buscar estratégias adicionais para reduzir ainda
mais o risco.
Quando o apetência ao risco da organização é maior que o risco
residual do ativo, a organização deve passar para os últimos estágios
de controle de risco e continuar a monitorar e avaliar seus controles e
activos.

24
 CONTROLO DE RISCO
É o processo de aplicar controlos que reduzem os riscos às informações de
activos de uma organização a um nível aceitável.
O controle de risco envolve três etapas básicas: seleção de estratégias de
controle, justificativa dessas estratégias para a alta administração e a
implementação, monitoramento e ava liação contínua dos controles
adotados.
 Selecionar estratégias de controle
Uma vez que a equipe do projeto de desenvolvimento de segurança da
informação tenha criado a planilha de risco de vulnerabilidade classificada,
a equipe deve escolher uma estratégia para controlar cada risco resultante
dessas vulnerabilidades.
25
 TIPOS DE ESTRATÉGIAS DE CONTROLO
 Defesa
Tenta evitar a exploração de vulnerabilidades. Esta estratégia é a abordagem
preferida para controlar o risco. Isso é feito combatendo ameaças,
removendo vulnerabilidades de activos, limitando o acesso a ativos e
adicionando salvaguardas de proteção.
A estratégia de defesa inclui três métodos comuns:
Aplicação da política;
Educação e treinamento; e
Aplicação de tecnologia.

  26
 TIPOS DE ESTRATÉGIAS DE CONTROLO
 Transferência
Tenta transferir o risco para outros activos, outros processos ou outras organizações.
Esses controles podem ser realizados repensando como os serviços são oferecidos,
revisão de modelos de implantação, terceirização para outras organizações, compra
de seguro ou implementação de contratos de serviços com fornecedores.
 Mitigação
A estratégia de controle de mitigação tenta reduzir o impacto de um ataque em vez de
reduzir
o sucesso do ataque em si. Essa abordagem requer a criação de três tipos de planos
de contingência: o plano de resposta a incidentes, o plano de recuperação de
desastres e o plano de continuidade de negócios.
 
27
 TIPOS DE ESTRATÉGIAS DE CONTROLO

 Aceitação

É a escolha de não fazer mais nada para proteger uma vulnerabilidade com
base no risco residual atual e na apetência de risco da organização. Esta
estratégia pode ou pode não ser uma decisão de negócios consciente.
 Rescisão

Orienta a organização a evitar atividades de negócios que introduzir riscos

incontroláveis. Ao encerrar a atividade questionável, a organização reduz a
exposição ao risco.

28
Justificando Controles
Para justificar o uso de um controle, a organização deve determinar as
vantagens reais e percebidas do controle em oposição às suas desvantagens reais
e percebidas.
 
Implementação, Monitoramento e Avaliação de Controles de Risco
A seleção de uma estratégia de controle não é o fim de um processo. A
estratégia e os controles que a acompanham devem ser implementados e
monitorados continuamente para determinar sua eficácia e calcular com
precisão o risco residual estimado.

29
 ANÁLISE DE CUSTO-BENEFÍCIO (ACB)
A análise de custo-benefício determina se um determinado controlo vale o seu
custo e pode ser calculado antes de ser implementado um controlo ou
salvaguarda para determinar se vale a pena implementar, ou, podem ser
calculados depois de os controlos estarem a funcionar há algum tempo.
O seu calculo é dado pela seguinte formula:

ACB = ALE (Anterior) – ALE(Posterior) - ACS

ARO – Taxa de ocorrências anualizadas SLE = Valor do activo * EF

ALE – Expectativa de perda anualizada ALE = SLE * ARO
EF – Factor de Exposição
30
SLE – Expectativa de perda única
BIBLIOGRAFIA

Michael E. Whitman, Herbert J. Mattord - Principles

of Information Security-Course Technology (2014)

31
Obrigado!

32