CAPITULO 5:

GESTÃO DE
GRUPO 7
RISCO
OBJECTIVOS + KEKEKEH
VISÃO GERAL DA GESTÃO DE RISCOS
 Quando uma organização depende de sistemas baseados em TI para
permanecer viável, a segurança da informação e a disciplina de
gestão de risco deve se tornar parte integrante da base econômica
para tomar decisões de negócios. Essas decisões são baseadas em
trade-offs entre os custos de aplicar controles de sistemas de
informação e os benefícios de usar sistemas seguros e disponíveis.

 A gestão de risco envolve três grandes empreendimentos:

identificação de risco, avaliação de risco e controle de risco.
PODEM SE COLOCAR ALGUNS
TERMOS CHAVE AQUI
Avaliação de risco: Uma determinação da extensão em que os ativos de informação de uma organização estão expostos ao risco.

Controle de risco: A aplicação de controles que reduzem os riscos às informações dos ativos de uma organização a um nível aceitável.

Identificação de risco: A enumeração e documentação dos riscos para os ativos de informação de uma organização.

Gestão de risco: O processo de identificar o risco, avaliar sua magnitude relativa e tomar passos para reduzi-lo a um nível aceitável.

Avaliação de ativos: O processo de atribuir valor financeiro ou valor a cada ativo de informação.

Avaliação de ameaça: Uma avaliação das ameaças aos ativos de informação, incluindo a determinação de seu potencial para colocar em risco a organização.

Estratégia de controle de defesa: A estratégia de controle de risco que tenta eliminar ou reduzir qualquer risco não controlado remanescente através da
aplicação de controles e salvaguardas adicionais.
Estratégia de controle de mitigação: A estratégia de controle de risco que tenta reduzir o impacto de um ataque bem sucedido através de planejamento e
preparação.
Estratégia controle de aceitação: A estratégia de controle de risco que indica que uma organização está disposta a aceitar o nível atual de risco residual.

Estratégia de controle de rescisão: A estratégia de controle de risco que elimina todos os riscos associados a um ativo de informação, removendo-o de serviço.

Risco residual: A quantidade de risco que permanece para um ativo de informação mesmo após que a organização aplicou o nível desejado de controles.

Apetência ao risco: define a quantidade e a natureza do risco que as organizações estão dispostas a aceitar enquanto eles avaliam as vantagens e desvantagens
entre segurança perfeita e acessibilidade ilimitada.
COMPONENTES DA GESTÃO DE RISCO
IDENTIFICAÇÃO DE RISCO
 Uma estratégia de gerenciamento de risco exige que os profissionais
de segurança da informação conheçam os ativos de informação de
suas organizações, isto é, como identificá-los, classificá-los e
priorizá-los. Uma vez identificados os ativos organizacionais, um
processo de avaliação de ameaças é usado para identificar e
quantificar os riscos enfrentados por cada ativo.
COMPONENTES DA IDENTIFICAÇÃO DE RISCO
PLANEAR E ORGANIZAR O PROCESSO

Como em qualquer grande empreendimento em segurança da

informação, o primeiro passo na identificação de riscos é seguir os
princípios de gerenciamento de projetos. Inicia-se organizando uma
equipa, que geralmente é constituído por representantes de todos os
grupos afetados.
 O processo deve então ser planejado, com entregas periódicas, revisões e
apresentações para a administração. Uma vez o projeto pronto para
começar, a equipe pode organizar uma reunião. As tarefas são
estabelecidas, as atribuições são feitas e os horários são discutidos.
Apenas então a organização está pronta para começar a próxima etapa,
Identificação e categorização de ativos.
IDENTIFICANDO, INVENTARIANDO E CATEGORIZANDO ATIVOS

 Esse processo iterativo começa com a identificação e inventário de

ativos, incluindo todos os elementos do sistema de uma organização,
como pessoas, procedimentos, dados e informações, software,
hardware e rede.
 Em seguida, se categorizam os ativos, adicionando detalhes à
medida que se aprofunda na análise.
 O objetivo desse processo é estabelecer a prioridade relativa dos
ativos para o sucesso da organização.
CLASSIFICANDO, VALORIZANDO E PRIORIZANDO ATIVOS DE INFORMAÇÃO

 A maioria das organizações subdivide ainda mais as categorias.

Cada uma das categorias pode ser subdividida conforme a
necessidade da organização.
 Deve-se também incluir uma dimensão para representar a
prioridade de sensibilidade e segurança dos dados e os dispositivos
que armazenam, transmitem e processam os dados, ou seja, um
esquema de classificação de dados.
 Um esquema de classificação de dados geralmente requer uma
estrutura correspondente para autorização de segurança do pessoal,
que determina o nível de informação que os funcionários estão
autorizados a visualizar com base no que eles precisam saber.
 CLASSIFICAÇÃO DAS INFORMAÇÕES

 Confidencial: Usado para as informações corporativas mais

confidenciais que devem ser rigorosamente controladas, mesmo
dentro da empresa. O acesso à informação com esta classificação é
estritamente com base na necessidade de conhecimento ou conforme
exigido pelos termos de um contrato.
Interno: Usado para todas as informações internas que não atendem
aos critérios da categoria confidencial. As informações internas devem
ser visualizadas apenas por funcionários corporativos, contratados
autorizados e outros terceiros.
Externo: Todas as informações que foram aprovadas pela
administração para divulgação pública.
CRITÉRIOS QUE MELHOR ESTABELECEM O VALOR DOS ATIVOS DE INFORMAÇÃO:

 Qual ativo de informação é mais crítico para o sucesso da

organização?
 Qual ativo de informação gera mais receita?
 Qual desses ativos desempenha o maior papel na geração de receita
ou na prestação de serviços?
 Qual ativo de informação gera mais lucratividade?
 Qual ativo de informação seria o mais caro para substituir?
 Qual ativo de informação seria o mais caro para proteger?
 Qual ativo de informação mais exporia a empresa a
responsabilidade ou constrangimento se revelado?
QUANDO FOR NECESSÁRIO CALCULAR, ESTIMAR OU DERIVAR VALORES
PARA ATIVOS DE INFORMAÇÃO, PODE-SE CONSIDERAR O SEGUINTE:
 Valor retido do custo de criação do ativo de informação;
 Valor retido da manutenção passada do ativo de informação;
 Valor implicado pelo custo de reposição da informação;
 Valor por fornecer a informação;
 Valor incorrido do custo de proteção das informações;
 Valor para os proprietários;
IDENTIFICANDO E PRIORIZANDO AMEAÇAS

Pode-se iniciar uma avaliação de ameaças respondendo a algumas

perguntas básicas, como segue:
 Quais ameaças representam um perigo para os ativos de uma
organização em um determinado ambiente?
 Quais ameaças representam o maior perigo para as informações da
organização?
 Quanto custaria para se recuperar de um ataque bem-sucedido?
 Qual das ameaças exigiria o maior gasto para evitar?
ESPECIFICANDO VULNERABILIDADES DE ATIVOS

 Depois de identificar os ativos de informação da organização e

documentar alguns critérios para começar a avaliar as ameaças que
enfrenta, revisa-se cada ativo de informação para cada ameaça
relevante e cria-se uma lista de vulnerabilidades.
 Em seguida, se examina como cada ameaça possível ou provável
pode ser perpetrada e lista os ativos da organização e suas
vulnerabilidades.
 Ao final do processo de identificação de riscos, você deve ter uma
lista priorizada de ativos e suas vulnerabilidades. Deve também ter
uma lista que priorize as ameaças enfrentadas pela organização.
AVALIAÇÃO DE RISCO

 Tendo sido identificados os ativos de informação da organização e

suas ameaças e vulnerabilidades, pode-se avaliar o risco relativo de
cada vulnerabilidade. Esse processo é chamado de avaliação de
risco. A avaliação de risco atribui uma classificação ou pontuação
de risco a cada ativo de informação.
PRINCIPAIS ETAPAS DA AVALIAÇÃO DE RISCO
.
Planejando e Organizando a Avaliação de Riscos
 O objetivo nesta fase é criar um método para avaliar o risco relativo
de cada vulnerabilidade listada.

Determinando a Frequência de Perda

 A frequência de perda descreve uma avaliação da probabilidade de
um ataque combinado com sua probabilidade de sucesso esperada
se visar sua organização (probabilidade de sucesso de ataque).
 As informações resultantes serão acopladas a um nível esperado de
perda na avaliação de risco.
 .

Avaliar a magnitude das perdas

 A próxima etapa importante da avaliação de risco é determinar quanto de
um ativo de informação pode ser perdido em um ataque bem-sucedido.
Essa quantidade é conhecida como magnitude da perda ou exposição do
ativo; sua avaliação pode ser quantitativa ou qualitativa.

Calculando o Risco
 Se uma organização puder determinar a frequência e a magnitude da
perda para um ativo, ela pode então calcular o risco para o ativo. Para
fins de determinação de risco relativo e simplista, o risco é igual à
frequência da perda vezes a magnitude da perda mais um elemento de
incerteza.
.

Avaliando a Aceitabilidade do Risco

Para cada ameaça e suas vulnerabilidades associadas com risco residual,

você deve criar uma classificação de seus níveis de risco relativos. Esses
rankings fornecem uma abordagem simplista para documentar o risco
residual. Em seguida, a organização deve comparar o risco residual com
sua apetência ao risco.
Quando a apetência ao risco da organização é menor que o risco residual
de um ativo, ela deve passar para o próximo estágio de controle de risco e
buscar estratégias adicionais para reduzir ainda mais o risco.
 Quando a apetência de risco da organização é maior que o risco residual
do ativo, a organização deve passar para os últimos estágios de controle
de risco e continuar a monitorar e avaliar seus controles e ativos.
CONTROLE DE RISCO

Quando a administração de uma organização determina que os

riscos de ameaças à segurança da informação estão criando uma
desvantagem competitiva, ele capacita as comunidades de tecnologia
da informação e segurança da informação de interesse para controlar
os riscos.
 O controle de risco envolve três etapas básicas: seleção de
estratégias de controle, justificativa dessas estratégias para a alta
administração e a implementação, monitoramento e avaliação
contínua dos controles adotados.
SELECIONANDO ESTRATÉGIAS DE CONTROLE

Uma vez que a equipe do projeto de desenvolvimento de segurança da

informação tenha criado a planilha de risco de vulnerabilidade
classificada, a equipe deve escolher uma estratégia para controlar cada
risco resultante dessas vulnerabilidades.
 As cinco estratégias são: defesa, transferência, mitigação, aceitação e
rescisão.
DEFESA
A estratégia de controle de defesa tenta evitar a exploração de
vulnerabilidades. Esta estratégia é a abordagem preferida para controlar o
risco. Isso é feito combatendo ameaças, removendo vulnerabilidades de
ativos, limitando o acesso a ativos e adicionando salvaguardas de
proteção.
A estratégia de defesa inclui três métodos comuns:
 Aplicação da política
 Educação e treinamento
 Aplicação de tecnologia
 .

Transferência
 A estratégia de controle de transferência tenta transferir o risco para
outros ativos, outros processos ou outras organizações. Esses controles
podem ser realizados repensando como os serviços são oferecidos,
revisão de modelos de implantação, terceirização para outras
organizações, compra de seguro ou implementação de contratos de
serviços com fornecedores.

Mitigação
A estratégia de controle de mitigação tenta reduzir o impacto de um
ataque em vez de reduzir o sucesso do ataque em si. Essa abordagem
requer a criação de três tipos de planos de contingência: o plano de resposta
a incidentes, o plano de recuperação de desastres e o plano de continuidade
de negócios.
.

Aceitação
A estratégia de controle de aceitação é a escolha de não fazer mais nada
para proteger uma vulnerabilidade com base no risco residual atual e na
apetência de risco da organização. Esta estratégia pode ou pode não ser
uma decisão de negócios consciente.

Rescisão
A estratégia de controle de encerramento orienta a organização a evitar
atividades de negócios que introduzir riscos incontroláveis. Ao encerrar a
atividade questionável, a organização reduz a exposição ao risco.
 .

Justificando Controles
Antes de implementar uma das cinco estratégias de controle para uma
vulnerabilidade específica, a organização deve explorar todas as
consequências da vulnerabilidade para o ativo de informação. Para justificar o
uso de um controle, a organização deve determinar as vantagens reais e
percebidas do controle em oposição às suas desvantagens reais e percebidas.

Implementação, Monitoramento e Avaliação de Controles de Risco

A seleção de uma estratégia de controle não é o fim de um processo. A
estratégia e os controles que a acompanham devem ser implementados e
monitorados continuamente para determinar sua eficácia e calcular com
precisão o risco residual estimado. Uma vez que os controles são
implementados, é crucial examinar continuamente seus benefícios para
determinar quando eles devem ser atualizados, suplementados ou
substituídos.
.

VALEU
‍♂️ 🙋‍️👋🏃‍
‍♂️ ️