Material didático ESR 1 Sessão de aprendizagem 1 Modelo de conteúdo do material didático
2 Jean Caminha
Introdução 3 A ação e interação dos objetivos com as incertezas originam ao risco, que se apresenta no dia a dia de toda e qualquer atividade. Muitas vezes, o risco não se apresenta visível, sendo necessárias ações para identificá-lo. Outras vezes, o risco é fruto de ações repentinas que fogem ao controle humano, como em eventos de causas naturais.
Conceitos Fundamentais 4 Ameaça é todo e qualquer evento que possa explorar vulnerabilidades. Causa potencial de um incidente indesejado, que pode resultar em dano para os sistemas, pessoas ou a própria organização.
Conceitos Fundamentais 5 As ameaças podem ser classificadas em: Ameaças intencionais Ameaças da ação da natureza Ameaças não intencionais
Princípios da Gestão de Riscos 6 A gestão de riscos cria e protege valor. A gestão de riscos é parte integrante de todos os processos organizacionais. A gestão de riscos é parte da tomada de decisões.
Princípios da Gestão de Riscos 7 A gestão de riscos aborda explicitamente a incerteza. A gestão de riscos é sistemática, estruturada e oportuna. A gestão de riscos baseia-se nas melhores informações disponíveis.
Princípios da Gestão de Riscos 8 A gestão de riscos é feita sob medida. A gestão de riscos considera fatores humanos e culturais. A gestão de riscos é transparente e inclusiva.
Princípios da Gestão de Riscos 9 A gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças. A gestão de riscos facilita a melhoria contínua da organização.
Norma ABNT NBR ISO/IEC 27005:2011 10 ABNT NBR ISO/IEC 27005:2011 Tecnologia da Informação Técnicas de Segurança Gestão de riscos de segurança da informação Apresenta as diretrizes para o gerenciamento dos riscos de segurança da informação. Emprega os conceitos da norma ABNT NBR ISO 27001:2005.
Visão geral da Gestão de Riscos 11 É necessária uma abordagem sistemática de gestão de riscos que varia de organização para organização assim como o nível de risco aceitável de cada uma. Risco aceitável é o grau de risco que a organização está disposta a aceitar para concretizar os seus objetivos. Necessidade de aumentar a capacidade de gerir o risco e otimizar o retorno.
Visão geral da Gestão de Riscos 12 A abordagem de gestão de riscos de segurança da informação deve ser: Contínua Realizada no tempo apropriado Repetitiva Apoiada pela alta direção Própria ao ambiente da organização Ajustada ao processo de gestão de riscos corporativos Alinhada com os requisitos de negócios
Visão geral da Gestão de Riscos 13 Risco aceitável é o grau de risco que a organização está disposta a aceitar para a concretização dos seus objetivos estratégicos.
Visão geral da Gestão de Riscos 14 Processo de gestão de riscos de segurança da informação Figura 1.1 - Processo de gestão de riscos de segurança da informação.
Visão geral da Gestão de Riscos 15 Definição do contexto Dentro do processo, a definição do contexto é responsável pela definição do ambiente, escopo, critérios de avaliação, entre outras definições. Esta etapa é essencial para a equipe que realiza a gestão de risco conhecer todas as informações sobre a organização.
Visão geral da Gestão de Riscos 16 Análise/Avaliação A próxima iteração é de análise e avaliação de risco, que permitirá a identificação dos riscos e a determinação das ações necessárias para reduzir o risco a um nível aceitável.
Visão geral da Gestão de Riscos 17 Tratamento do risco A partir dos resultados obtidos na análise e avaliação do risco são definidos os controles necessários para o tratamento do risco. A norma ABNT NBR ISO/IEC 27001 especifica os controles que deverão ser implementados.
Visão geral da Gestão de Riscos 18 Aceitação do risco Assegura os riscos aceitos pela organização, ou seja, os riscos que por algum motivo não serão tratados ou serão tratados parcialmente. São os chamados riscos residuais, cujo enquadramento nesta categoria deverá ser justificado.
Visão geral da Gestão de Riscos 19 Comunicação do risco Nesta etapa é feita a comunicação do risco e da forma como será tratado, para todas as áreas operacionais e seus gestores.
Visão geral da Gestão de Riscos 20 Monitoramento e análise crítica São as atividades de acompanhamento dos resultados, implementação dos controles e de análise crítica para a melhoria contínua do processo de gestão de riscos.
Visão geral da Gestão de Riscos 21 Figura 1.2 - Processo de gestão de riscos e o modelo PDCA.
Fatores críticos para o sucesso 22 Redução das surpresas operacionais e prejuízos. Identificação de oportunidades de crescimento e melhorias. Racionalização do capital estabelecendo uma ordem de prioridades de investimento.
Fatores críticos para o sucesso 23 Pró-atividade com o uso dos recursos computacionais nos negócios. Envolvimento e participação da alta direção no processo. Comunicação e treinamento.
Fatores críticos para o sucesso 24 Definição de objetivos. Papéis e responsabilidades definidos. Integração com as atividades de gestão de segurança da informação.
Áreas de conhecimento necessárias 25 Os profissionais envolvidos nas atividades de análise de risco possuem um perfil com conhecimento em diversas áreas: Técnico Negócios Legislação Processos
Visão geral da Gestão de Riscos 26 Quando investidores compram ações, cirurgiões realizam operações, engenheiros projetam pontes, empresários abrem os seus negócios e políticos concorrem a um cargo eletivo, o risco é seu parceiro inevitável. Contudo suas ações revelam que o risco não precisa ser tão temido: administrar o risco é sinônimo de desafio e oportunidade. Peter Bernstein
27 jean@ic.ufmt.br