Ativos Críticos: Habilidades Recursos

Transcrição

1 Ativos Críticos: Ativo Crítico é tudo aquilo que é considerado essencial para organização, de modo que se não estiver intacto, disponível/acessível somente às pessoas autorizadas, poderá acarretar danos graves à organização. Contamos com dois tipos de ativos principais, sendo eles: 1. Habilidades Gerenciamento, organização, processos, conhecimento e pessoas. 2. Recursos Pessoas, informação, aplicações, infraestrutura e capital. Note que a palavra Pessoas foi citada nos dois ativos, no ativo de habilidades e no ativo de recursos, porém há uma grande diferença entre os dois. Dentro de Recursos o termo pessoas, significa número de pessoas, ou seja, mão de obra. Já em Habilidades pessoas significa experiência e habilidades, ou seja, pessoas com certificações, pessoas com qualidade de assumir certo tipo de papel dentro da organização. Recursos Um termo genérico que inclui capital financeiro, infraestrutura, aplicativos, informação e pessoas. Os recursos são necessários para a produção de um bem ou fornecimento de um serviço. Os recursos podem ser adquiridos facilmente em relação às habilidades. Habilidades Refere-se ao gerenciamento, organização, processos, conhecimento e pessoas. São ativos intangíveis. As habilidades são usadas para transformar os recursos em serviços.

2 A empresa contará com uma intranet onde será armazenada toda a documentação patrimonial dos ativos. Bens relacionados com a infraestrutura, ou equipamentos que são usados apenas na empresa como mesas, computadores, modens, HDs externos (Ativos físicos), ou sistemas operacionais, softwares de segurança (Ativos de Software) serão de responsabilidade da empresa e serão catalogados de acordo com a importância do material. Já os ativos que serão de uso pessoal, tais como notebooks, celulares da empresa e etc. serão de responsabilidade do colaborador que o utiliza e o mesmo deverá assinar um termo de responsabilidade que também será introduzido na intranet. Os ativos de informação como banco de dados, manuais de sistema, dados sobre a empresa, clientes e seus funcionários deverão ter um tratamento especial e categorizados com prioridade máxima de sigilo e terão credenciais especiais dentro da intranet. Outros ativos importantes são os Serviços como energia elétrica, internet, telefonia e etc. Riscos: De acordo com o glossário da ITIL Risco significa: Um evento possível que pode causar perdas ou danos, ou afetar a habilidade de atingir os objetivos. Um risco é calculado pela probabilidade de uma determinada ameaça ocorrer, pela vulnerabilidade do ativo relacionado à ameaça e pelo impacto gerado caso a ameaça ocorra. Uma ameaça é qualquer coisa que pode explorar uma vulnerabilidade. Uma vulnerabilidade é um ponto fraco que pode ser explorado por uma ameaça. Por exemplo: a porta do firewall aberta é uma vulnerabilidade e a ameaça é um hacker invadir a rede. O risco seria o hacker conseguir invadir o sistema e obter dados confidenciais da empresa. Uma contramedida pode ser fechar esta porta do firewall e implementar um sistema de detecção de intrusos.

3 Para lidar com os riscos a organização deveria implementar uma estrutura considerando dois aspectos: Avaliação de riscos Coletar informações sobre a exposição a riscos para que a organização possa fazer uma avaliação de riscos, tomar decisões apropriadas e acompanhar o tratamento dos riscos. Analisar o valor dos ativos, identificar as ameaças a estes ativos e avaliar o quanto cada ativo está vulnerável às ameaças. Gerenciamento de riscos Ter processos para monitorar os riscos, obter informações atualizadas e confiável sobre os riscos, definir respostas para lidar com os riscos e processo para revisão. A avaliação de probabilidade e impacto é feita para cada risco identificado através de entrevistas, reuniões ou outras técnicas. A probabilidade e o impacto podem ser classificados através de um domínio específico. Veja por exemplo o domínio usado na nossa planilha de registro de riscos. Probabilidade de acontecimentos: 1-Muito baixa: Menor que 15% 2-Baixa: De 16% a 30% 3-Média: De 31% a 50% 4-Alta: De 51% a 70% 5-Muito Alta: De 71% a 100%

4 A avaliação de probabilidade e impacto é seguida por uma Matriz de Riscos, onde a classificação da probabilidade é multiplicada pela classificação do impacto e assim obtemos o grau de risco de determinado ativo. O menor grau de risco é 1 e o maior é 25. Classificamos um baixo risco quando a nota é menor ou igual à 4, risco médio quando a nota é de 5 a 12, e alto risco com nota 15 até 25.

5 Abaixo está uma imagem com alguns exemplos de risco aos ativos e medidas para o controle destes riscos: