Material didático ESR

Tamanho: px

Começar a partir da página:

Download "Material didático ESR"

Marco Antônio Santiago Bentes
10 Há anos
Visualizações:

1 Material didático ESR 1 Sessão de aprendizagem 1 Modelo de conteúdo do material didático

2 2 Jean Caminha

3 Introdução 3 A ação e interação dos objetivos com as incertezas originam ao risco, que se apresenta no dia a dia de toda e qualquer atividade. Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo. Outras vezes, o risco é fruto de ações repentinas que fogem ao controle humano, como em eventos de causas naturais.

Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para

4 Conceitos Fundamentais 4 Ameaça é todo e qualquer evento que possa explorar vulnerabilidades. Causa potencial de um incidente indesejado, que pode resultar em dano para os sistemas, pessoas ou a própria organização.

Causa potencial de um incidente indesejado, que pode

5 Conceitos Fundamentais 5 As ameaças podem ser classificadas em: Ameaças intencionais Ameaças da ação da natureza Ameaças não intencionais

6 Princípios da Gestão de Riscos 6 A gestão de riscos cria e protege valor. A gestão de riscos é parte integrante de todos os processos organizacionais. A gestão de riscos é parte da tomada de decisões.

7 Princípios da Gestão de Riscos 7 A gestão de riscos aborda explicitamente a incerteza. A gestão de riscos é sistemática, estruturada e oportuna. A gestão de riscos baseia-se nas melhores informações disponíveis.

8 Princípios da Gestão de Riscos 8 A gestão de riscos é feita sob medida. A gestão de riscos considera fatores humanos e culturais. A gestão de riscos é transparente e inclusiva.

9 Princípios da Gestão de Riscos 9 A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. A gestão de riscos facilita a melhoria contínua da organização.

Norma ABNT NBR ISO/IEC 27005:2011 10 ABNT NBR ISO/IEC 27005:2011 Tecnologia da Informação Técnicas de Segurança Gestão de riscos de segurança da

10 Norma ABNT NBR ISO/IEC 27005: ABNT NBR ISO/IEC 27005:2011 Tecnologia da Informação Técnicas de Segurança Gestão de riscos de segurança da informação Apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. Emprega os conceitos da norma ABNT NBR ISO 27001:2005.

segurança da informação Apresenta as diretrizes para o gerenciamento dos

11 Visão geral da Gestão de Riscos 11 É necessária uma abordagem sistemática de gestão de riscos que varia de organização para organização assim como o nível de risco aceitável de cada uma. Risco aceitável é o grau de risco que a organização está disposta a aceitar para concretizar os seus objetivos. Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno.

Risco aceitável é o grau de risco que a organização está disposta a aceitar para concretizar

Visão geral da Gestão de Riscos 12 A abordagem de gestão de riscos de segurança da informação deve ser: Contínua Realizada no tempo apropriado Repetitiva

12 Visão geral da Gestão de Riscos 12 A abordagem de gestão de riscos de segurança da informação deve ser: Contínua Realizada no tempo apropriado Repetitiva Apoiada pela alta direção Própria ao ambiente da organização Ajustada ao processo de gestão de riscos corporativos Alinhada com os requisitos de negócios

Repetitiva Apoiada pela alta direção Própria ao ambiente da organização

13 Visão geral da Gestão de Riscos 13 Risco aceitável é o grau de risco que a organização está disposta a aceitar para a concretização dos seus objetivos estratégicos.

14 Visão geral da Gestão de Riscos 14 Processo de gestão de riscos de segurança da informação Figura Processo de gestão de riscos de segurança da informação.

15 Visão geral da Gestão de Riscos 15 Definição do contexto Dentro do processo, a definição do contexto é responsável pela definição do ambiente, escopo, critérios de avaliação, entre outras definições. Esta etapa é essencial para a equipe que realiza a gestão de risco conhecer todas as informações sobre a organização.

critérios de avaliação, entre outras definições.

16 Visão geral da Gestão de Riscos 16 Análise/Avaliação A próxima iteração é de análise e avaliação de risco, que permitirá a identificação dos riscos e a determinação das ações necessárias para reduzir o risco a um nível aceitável.

permitirá a identificação dos riscos e a determinação das

17 Visão geral da Gestão de Riscos 17 Tratamento do risco A partir dos resultados obtidos na análise e avaliação do risco são definidos os controles necessários para o tratamento do risco. A norma ABNT NBR ISO/IEC especifica os controles que deverão ser implementados.

controles necessários para o tratamento do risco.

18 Visão geral da Gestão de Riscos 18 Aceitação do risco Assegura os riscos aceitos pela organização, ou seja, os riscos que por algum motivo não serão tratados ou serão tratados parcialmente. São os chamados riscos residuais, cujo enquadramento nesta categoria deverá ser justificado.

motivo não serão tratados ou serão tratados parcialmente.

19 Visão geral da Gestão de Riscos 19 Comunicação do risco Nesta etapa é feita a comunicação do risco e da forma como será tratado, para todas as áreas operacionais e seus gestores.

20 Visão geral da Gestão de Riscos 20 Monitoramento e análise crítica São as atividades de acompanhamento dos resultados, implementação dos controles e de análise crítica para a melhoria contínua do processo de gestão de riscos.

resultados, implementação dos controles e de análise

Visão geral da Gestão de Riscos 21 Figura 1.

21 Visão geral da Gestão de Riscos 21 Figura Processo de gestão de riscos e o modelo PDCA.

22 Fatores críticos para o sucesso 22 Redução das surpresas operacionais e prejuízos. Identificação de oportunidades de crescimento e melhorias. Racionalização do capital estabelecendo uma ordem de prioridades de investimento.

23 Fatores críticos para o sucesso 23 Pró-atividade com o uso dos recursos computacionais nos negócios. Envolvimento e participação da alta direção no processo. Comunicação e treinamento.

24 Fatores críticos para o sucesso 24 Definição de objetivos. Papéis e responsabilidades definidos. Integração com as atividades de gestão de segurança da informação.

25 Áreas de conhecimento necessárias 25 Os profissionais envolvidos nas atividades de análise de risco possuem um perfil com conhecimento em diversas áreas: Técnico Negócios Legislação Processos

concorrem a um cargo eletivo, o risco é seu parceiro inevitável.

26 Visão geral da Gestão de Riscos 26 Quando investidores compram ações, cirurgiões realizam operações, engenheiros projetam pontes, empresários abrem os seus negócios e políticos concorrem a um cargo eletivo, o risco é seu parceiro inevitável. Contudo suas ações revelam que o risco não precisa ser tão temido: administrar o risco é sinônimo de desafio e oportunidade. Peter Bernstein

27 27

Documentos relacionados

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.