SENAC Pós-Graduação em Segurança da Informação: Análise de Riscos Parte 2 Leandro Loss, Dr. Eng. loss@gsigma.ufsc.br http://www.gsigma.ufsc.br/~loss Roteiro Introdução Conceitos básicos Riscos Tipos de Estratégias Programa de gerenciamento de riscos Identificação de riscos Tipos de Riscos Planejamento de Gestão de Riscos Plano de gestão de riscos Identificação dos Riscos Registro dos de riscos Monitoramento e Controle do Risco Planejamento de Resposta aos Riscos Atualização no plano de gestão de riscos Acordos contratuais relacionados ao risco Registro dos riscos (atualização) Um planejamento cuidadoso e explícito aumenta a possibilidade de sucesso dos outros cinco processos de gerenciamento de riscos Este é o processo de decidir como abordar e executar as atividades de gerenciamento de riscos Análise de Risco Qualitativa Registro dos riscos (atualização) Análise de Risco Quantitativa Ele é importante para garantir que o nível, tipo e a visibilidade do gerenciamento de riscos estejam de acordo com o risco e a importância destes para a O pode ser dividido em três passos-macro: Ferramentas e Técnicas organização, e prover condições da organização fornecer tempo e recursos suficientes para as atividades de gerenciamento de riscos e para uma 1. Fatores ambientais da empresa 2. Ativos de Processos organizacionais 3. Declaração de escopo 1. Análise e reuniões de planejamento 1. Plano de gerenciamento de riscos 2. Definição de probabilidade de impacto dos riscos possível reação ao risco 1
1. Fatores ambientais da empresa 2. Ativos de Processos organizacionais 3. Declaração de escopo 1 - Fatores ambientais da empresa As atitudes em relação ao risco e a tolerância a risco das organizações e pessoas envolvidas nas atividades influenciarão na própria gestão da organização As atitudes e tolerâncias a risco podem ser expressas em declarações de políticas ou reveladas em ações (cultura organizacional) 2 - Ativos de processos organizacionais As organizações podem ter abordagens predefinidas em relação ao gerenciamento de riscos, como: Categorias de risco, Definição comum de conceitos e termos Modelos padrão Funções e responsabilidades padrão, e Níveis de autoridade para a tomada de decisões 3 - Declaração do escopo Descreve, em detalhes, as entregas de um projeto ou de processos e o trabalho necessário para criar essas entregas Fornece também um entendimento comum do escopo a todas as partes interessadas e descreve os principais objetivos do projeto ou dos processos Permite a equipe realizar um planejamento mais detalhado, orientar o trabalho dos funcionários e fornecer a linha de base para avaliar solicitações de mudanças ou trabalho adicional e verificar se estão contidos dentro ou fora dos limites do projeto/processo Declaração do escopo O grau e o nível de detalhe com que uma declaração do escopo definem o trabalho que será realizado e o trabalho que será excluído O escopo de uma atividade podem determinar a eficácia de uma equipe Enradas 1. Fatores ambientais da empresa 2. Ativos de Processos organizacionais 3. Declaração de escopo Ferramentas e Técnicas 1. Análise e reuniões de planejamento 2
Ferramentas e Técnicas Análise e reuniões de planejamento Os envolvidos realizam reuniões de planejamento para desenvolver o plano de gerenciamento de riscos Os participantes dessas reuniões podem incluir o gerente, membros da equipe selecionados e partes interessadas, qualquer pessoa da organização que tenha responsabilidade no gerenciamento das atividades de execução e planejamento de riscos, e outras pessoas, conforme necessário Ferramentas e Técnicas Análise e reuniões de planejamento Os planos básicos para executar as atividades de gerenciamento de riscos são definidos nessas reuniões Serão desenvolvidos os elementos de custo de riscos e as atividades do cronograma de riscos para serem incluídos no orçamento da organização Ferramentas e Técnicas Análise e reuniões de planejamento Serão designadas as responsabilidades de riscos Modelos organizacionais gerais para categorias de risco e Ferramentas e Técnicas definições de termos como níveis de risco, probabilidade por tipo de risco, impacto por tipo de objetivos, além da matriz de probabilidade e impacto, serão adaptados para o caso específico As saídas dessas atividades serão resumidas no plano de 1. Fatores ambientais da empresa 2. Ativos de Processos organizacionais 3. Declaração de escopo 1. Análise e reuniões de planejamento 1. Plano de gerenciamento de riscos 2. Definição de probabilidade de impacto dos riscos gerenciamento de riscos 1 - Plano de gerenciamento de riscos O plano de gerenciamento de riscos descreve como o gerenciamento de riscos será estruturado e executado e inclui: Metodologia. Define as abordagens, ferramentas e fontes de dados que podem ser usadas para executar o gerenciamento de riscos Funções e responsabilidades. Define a liderança, suporte e participação da equipe de gerenciamento de riscos em cada tipo de atividade do plano de gerenciamento de riscos, designa pessoas para essas funções e esclarece suas responsabilidades Orçamentação. Designa recursos e estima os custos necessários para o gerenciamento de riscos com o objetivo de incluí-los na linha de base dos custos da organização Tempos. Define quando e com que freqüência o processo de gerenciamento de riscos será executado e estabelece as atividades de gerenciamento de riscos que serão incluídas no cronograma 3
Categorias de risco Fornece uma estrutura que garante um processo abrangente para identificar sistematicamente os riscos até um nível consistente de detalhes e contribui para a eficácia e qualidade da identificação de riscos Uma organização pode usar uma categorização previamente preparada dos riscos típicos Uma estrutura analítica dos riscos (EAR) é uma abordagem para fornecer essa estrutura, mas ela pode também ser realizada através da listagem simples dos diversos aspectos envolvidos A Estrutura Analítica dos Riscos (EAR) lista as categorias nas quais os riscos podem surgir. Estas categorias podem mudar de acordo com a natureza dos processos e/ou projetos Um benefício desta abordagem é lembrar os participantes de um exercício de identificação dos riscos das muitas fontes das quais os riscos podem surgir Estrutura Analítica dos Riscos (EAR) Requisitos Fornecedores Risco Técnico Externo Organizacional Dependências Gerenciamento de projetos Estimativa Atividade Reunir grupos com quatro pessoas pessoas e iniciar o Planejamento da Gestão de Riscos Identificar o papel de cada indivíduo no planejamento de riscos e o escopo das atividades Tecnologia Regulamentos Recursos Planejamento Elencar as principais categorias que podem influenciar na Desempenho Mercado Financiamento Controle Segurança da Informação Complexidade Cliente Priorização Comunicação Para isso, utilizar uma Estrutura Analítica de Riscos (EAR) Qualidade Clima As categorias de risco podem ser reexaminadas durante o processo de Identificação de Riscos Uma boa prática é revisar as categorias de risco durante o processo antes de usá-las no processo Identificação de Riscos As categorias de risco que se baseiam em outras experiências (projetos anteriores) podem precisar ser ampliadas, ajustadas ou adequadas a novas situações antes de poderem ser usadas 2 - Definições de probabilidade e impacto de riscos A qualidade e a credibilidade para o processo Análise Qualitativa de riscos exigem a definição de níveis diferentes de probabilidades e impactos de riscos As definições gerais dos níveis de probabilidade e impacto são ajustadas durante o processo Gerenciamento de Riscos para serem usadas no processo Análise qualitativa de riscos (a ser apresentada) 4
Probabilidade Pode ser usada uma escala relativa que representa os valores das probabilidades desde muito improvável até quase certeza Alternativamente, é possível usar probabilidades numéricas atribuídas em uma escala geral: Por exemplo: 0,1; 0,3; 0,5; 0,7; 0,9 Impacto A escala de impacto reflete a importância do impacto, negativa para ameaças ou positiva para oportunidades, se ocorrer um risco As escalas de impacto são específicas do objetivo potencialmente afetado, da situação financeira e estratégias da organização e da sensibilidade da organização a impactos específicos As escalas relativas de impacto são descritores classificados de forma simples, como muito baixo, baixo, moderado, alto e muito alto, que refletem os impactos cada vez maiores conforme definido pela organização Impacto Alternativamente, as escalas numéricas atribuem valores a esses impactos (por exemplo: 0,05, 0,1, 0,2, 0,4, 0,8) As escalas podem representar o desejo da organização de evitar ameaças de alto impacto ou de explorar oportunidades de alto impacto, mesmo se elas tiverem uma probabilidade relativamente baixa Matriz de Probabilidade e Impacto Os riscos são priorizados de acordo com suas possíveis implicações para o atendimento dos objetivos da organização A abordagem típica de priorização de riscos é usar uma tabela de pesquisa ou uma matriz de probabilidade e impacto É importante entender o significado dos números e como se relacionam entre si, como são derivados e o efeito que podem ter sobre os diversos objetivos do projeto Matriz de Probabilidade e Impacto Matriz de Probabilidade e Impacto As combinações específicas de probabilidade e impacto que podem fazer com que um risco seja classificado como de importância alta, moderada ou baixa a importância correspondente para o planejamento de respostas ao risco normalmente são definidas pela organização Estas matrizes devem ser revisadas e adequadas à organização durante o processo gerenciamento de riscos Esta tabela apresenta exemplos de definições de impacto de riscos para quatro objetivos diferentes: Custo Tempo Escopo Qualidade 5
Matriz de Probabilidade e Impacto Condições definidas para as escalas de impacto de um risco em objetivos importantes (impactos negativos) Objetivo Muito Baixo Baixo Moderado Alto Muito alto 0,05 0,10 0,20 0,40 0,80 Aumento de Aumento de Aumento de custo Aumento Aumento Custo custo não cusot < 10 % de 10% a 20% de custo de custo significativo de 20% a 40% > 40% Aumento de Aumento de Aumento de tempo Aumento Aumento Tempo tempo não tempo < 5% de 5% a 10% de tempo de tempo significativo de 10% a 20% > 20% Diminuição do Áreas menos Áreas importantes Redução Item final Escopo escopo quase importantes do do escopo afetadas do escopo sem nenhuma imperceptível escopo afetadas inaceitável utilidade Degradação da Somente aplicações Redução da qualidade Redução da Item final Qualidade qualidade quase mais críticas exige aprovação qualidade sem nenhuma imperceptível afetadas do patrocinador inaceitável utilidade Além da Matriz de Probabilidade e Impacto, pode-se levar em consideração os componentes das categorias de risco A surge como uma segunda alternativa ou para complementar a matriz de probabilidade de impacto Risco de Desempenho o grau de incerteza de que o produto atenda seus requisitos e seja adequado para o seu uso planejado Risco de Custo o grau de incerteza de que o orçamento será mantido Risco de Apoio o grau de incerteza da manutenção (dificuldades) envolvida Risco de Cronograma o grau de incerteza de que o cronograma será mantido e que o produto/serviço será entregue no prazo O impacto de cada fator de risco é dividido em: Negligível Marginal Componentes Categoria Negligível 1 Desempenho Apoio Custo Cronograma Falha em satisfazer o requisito criaria Inconveniência ou impacto não operacional Erro resulta em pequeno impacto no custo e/ou cronograma com valor previsto de menos de $1K Crítico 2 Sem redução no desempenho técnico Possível sobra de orçamento Data de entrega antecipável Catastrófico 1 Potencial conseqüência de erros ou falhas no produto não-detectados 2 Potencial conseqüência se o resultado desejado não é conseguido 6
Componentes Desempenho Apoio Custo Cronograma Categoria Componentes Desempenho Apoio Custo Cronograma Categoria Marginal 1 2 Falha em satisfazer o requisito resultaria na degradação da missão secundária De mínima a pequena redução do desempenho técnico Custos, impactos e/ou atrasos de Cronograma recuperáveis com valor previsto de U$ 1K a U$ 100K Recursos financeiros suficientes Cronograma realístico exeqüível Crítica Falha em satisfazer o requisito degradaria o desempenho até um 1 ponto em que o sucesso da missão é questionável Alguma redução Pequenos 2 no desempenho atrasos técnico nas modificações Falha resulta em atrasos operacionais e/ou aumento de custo com valor previsto de U$ 100K a U$ 500K Alguma falta de recursos financeiros, possível estouro de orçamento Possível ultrapassagem da data de entrega 1 Potencial conseqüência de erros ou falhas no produto não-detectados 2 Potencial conseqüência se o resultado desejado não é conseguido 1 Potencial conseqüência de erros ou falhas no produto não-detectados 2 Potencial conseqüência se o resultado desejado não é conseguido Componentes Categoria Catastrófica 1 2 Desempenho Apoio Custo Cronograma Falha em satisfazer o requisito resultaria na falha da missão Da degradação significativa a não-alcance do desempenho técnico Falha resulta em aumento de custo de atraso de cronograma com valores que excedem U$ 500K Falta significativa de recursos Data de entrega financeiros, provável estouro de inexeqüível orçamento 1 Potencial conseqüência de erros ou falhas no produto não-detectados 2 Potencial conseqüência se o resultado desejado não é conseguido Atividade Criar uma matriz de probabilidade de impacto positivo e negativo para os riscos da atividade anterior e uma matriz de componente de riscos para (ao menos) três categorias de riscos relacionados com Segurança da Informação Utilizar a Estrutura Analítica de Riscos (EAR) elaborada na atividade anterior como base Revisão das tolerâncias das partes interessadas As tolerâncias das partes interessadas podem ser revisadas no processo Gerenciamento de riscos Formatos de relatório Descreve o conteúdo e formato do registro de riscos Define como serão documentados, analisados e comunicados os Acompanhamento Documenta como todos os aspectos das atividades de risco serão registrados em benefício do projeto atual, das necessidades futuras e das lições aprendidas Documenta se os processos de gerenciamento de riscos passarão por auditoria e como isso será feito resultados dos processos de gerenciamento de riscos 7
SENAC Pós-Graduação em Segurança da Informação: Análise de Riscos Parte 2 Leandro Loss, Dr. Eng. loss@gsigma.ufsc.br http://www.gsigma.ufsc.br/~loss 8