Escolar Documentos
Profissional Documentos
Cultura Documentos
GESTÃO DE
GRUPO 7
RISCO
OBJECTIVOS + KEKEKEH
VISÃO GERAL DA GESTÃO DE RISCOS
Quando uma organização depende de sistemas baseados em TI para
permanecer viável, a segurança da informação e a disciplina de
gestão de risco deve se tornar parte integrante da base econômica
para tomar decisões de negócios. Essas decisões são baseadas em
trade-offs entre os custos de aplicar controles de sistemas de
informação e os benefícios de usar sistemas seguros e disponíveis.
Controle de risco: A aplicação de controles que reduzem os riscos às informações dos ativos de uma organização a um nível aceitável.
Identificação de risco: A enumeração e documentação dos riscos para os ativos de informação de uma organização.
Gestão de risco: O processo de identificar o risco, avaliar sua magnitude relativa e tomar passos para reduzi-lo a um nível aceitável.
Avaliação de ativos: O processo de atribuir valor financeiro ou valor a cada ativo de informação.
Avaliação de ameaça: Uma avaliação das ameaças aos ativos de informação, incluindo a determinação de seu potencial para colocar em risco a organização.
Estratégia de controle de defesa: A estratégia de controle de risco que tenta eliminar ou reduzir qualquer risco não controlado remanescente através da
aplicação de controles e salvaguardas adicionais.
Estratégia de controle de mitigação: A estratégia de controle de risco que tenta reduzir o impacto de um ataque bem sucedido através de planejamento e
preparação.
Estratégia controle de aceitação: A estratégia de controle de risco que indica que uma organização está disposta a aceitar o nível atual de risco residual.
Estratégia de controle de rescisão: A estratégia de controle de risco que elimina todos os riscos associados a um ativo de informação, removendo-o de serviço.
Risco residual: A quantidade de risco que permanece para um ativo de informação mesmo após que a organização aplicou o nível desejado de controles.
Apetência ao risco: define a quantidade e a natureza do risco que as organizações estão dispostas a aceitar enquanto eles avaliam as vantagens e desvantagens
entre segurança perfeita e acessibilidade ilimitada.
COMPONENTES DA GESTÃO DE RISCO
IDENTIFICAÇÃO DE RISCO
Uma estratégia de gerenciamento de risco exige que os profissionais
de segurança da informação conheçam os ativos de informação de
suas organizações, isto é, como identificá-los, classificá-los e
priorizá-los. Uma vez identificados os ativos organizacionais, um
processo de avaliação de ameaças é usado para identificar e
quantificar os riscos enfrentados por cada ativo.
COMPONENTES DA IDENTIFICAÇÃO DE RISCO
PLANEAR E ORGANIZAR O PROCESSO
Calculando o Risco
Se uma organização puder determinar a frequência e a magnitude da
perda para um ativo, ela pode então calcular o risco para o ativo. Para
fins de determinação de risco relativo e simplista, o risco é igual à
frequência da perda vezes a magnitude da perda mais um elemento de
incerteza.
.
Transferência
A estratégia de controle de transferência tenta transferir o risco para
outros ativos, outros processos ou outras organizações. Esses controles
podem ser realizados repensando como os serviços são oferecidos,
revisão de modelos de implantação, terceirização para outras
organizações, compra de seguro ou implementação de contratos de
serviços com fornecedores.
Mitigação
A estratégia de controle de mitigação tenta reduzir o impacto de um
ataque em vez de reduzir o sucesso do ataque em si. Essa abordagem
requer a criação de três tipos de planos de contingência: o plano de resposta
a incidentes, o plano de recuperação de desastres e o plano de continuidade
de negócios.
.
Aceitação
A estratégia de controle de aceitação é a escolha de não fazer mais nada
para proteger uma vulnerabilidade com base no risco residual atual e na
apetência de risco da organização. Esta estratégia pode ou pode não ser
uma decisão de negócios consciente.
Rescisão
A estratégia de controle de encerramento orienta a organização a evitar
atividades de negócios que introduzir riscos incontroláveis. Ao encerrar a
atividade questionável, a organização reduz a exposição ao risco.
.
Justificando Controles
Antes de implementar uma das cinco estratégias de controle para uma
vulnerabilidade específica, a organização deve explorar todas as
consequências da vulnerabilidade para o ativo de informação. Para justificar o
uso de um controle, a organização deve determinar as vantagens reais e
percebidas do controle em oposição às suas desvantagens reais e percebidas.
VALEU
♂️ 🙋️👋🏃
♂️ ️