SENAC Pós-Graduação em Segurança da Informação: Análise de Riscos Parte 5 Leandro Loss, Dr. Eng. loss@gsigma.ufsc.br http://www.gsigma.ufsc.br/~loss Roteiro Análise de Qualitativa Quantitativa Medidas de tratamento dos Planejamento de respostas a Monitoramento de Controle de Valor da informação e dos recursos Padrões e Normas Planejamento de Gestão de Riscos Plano de gestão de Identificação dos Riscos Registro dos de Análise de Risco Qualitativa Registro dos (atualização) Monitoramento e Controle do Risco Planejamento de Resposta aos Riscos Registro dos (atualização) Análise de Risco Quantitativa Atualização no plano de gestão de Acordos contratuais relacionados ao risco A análise quantitativa de é realizada nos que foram priorizados pelo processo Análise Qualitativa de Riscos por afetarem potencial e significativamente as atividades O processo Análise quantitativa de analisa o efeito desses eventos de risco e atribui uma classificação numérica a esses Ela também apresenta uma abordagem quantitativa para a tomada de decisões na presença da incerteza Este processo usa técnicas como a simulação de Monte Carlo e a análise da árvore de decisão O objetivo é: Quantificar os possíveis resultados do projeto e suas probabilidades Avaliar a probabilidade de atingir objetivos específicos 1
Identificar os que exigem mais atenção quantificando sua contribuição relativa para o risco total Identificar metas realistas e alcançáveis de custo, cronograma ou, quando fornecidos os Determinar a melhor decisão de gestão quando algumas condições ou resultados forem incertos Em geral, a análise quantitativa de segue o processo Análise qualitativa de, embora gerentes de experientes algumas vezes realizem essa análise diretamente após a identificação de Em alguns casos, a análise quantitativa de pode não ser necessária para desenvolver respostas a eficazes A disponibilidade de tempo e orçamento e também a necessidade de declarações qualitativas ou quantitativas sobre risco e impactos determinarão o(s) método(s) que serão usados A análise quantitativa de deve ser repetida após o planejamento de respostas a, e também como parte do monitoramento e controle de, para determinar se o risco total diminuiu de forma satisfatória As tendências podem indicar uma necessidade de aumento ou diminuição das ações de de Ferramentas e Técnicas de 4. Registro de 1. Técnicas de representação e coleta de dados 2. Análise quantitativa de e técnicas de modelagem 1. Registro dos (atualizações) de 4. Registro de 2
1 - Ativos de processos As informações sobre projetos anteriores semelhantes e terminados, estudos de projetos semelhantes feitos por especialistas em e bancos de dados de que podem estar disponíveis comercialmente ou a partir de fontes proprietárias 2 - Declaração do do projeto 3 - Plano de de Inclui funções e responsabilidades para realizar de, orçamentos e atividades do cronograma para de, categorias de risco, a EAR e revisão das tolerâncias a risco das partes interessadas 4 - Registro de Os principais itens incluem a lista de identificados, a classificação relativa ou lista de prioridades de do projeto e os agrupados por categorias 5 - Plano de Gerenciamento Gerenciamento do cronograma Define o formato e estabelece os critérios de desenvolvimento e controle do cronograma Gerenciamento Define o formato e estabelece os critérios de planejamento, estruturação, estimativa, orçamentação e controle dos custos de 4. Registro de Ferramentas e Técnicas 1. Técnicas de representação e coleta de dados 2. Análise quantitativa de e técnicas de modelagem 1 - Técnicas de representação e coleta de dados Entrevistas São usadas para quantificar a probabilidade e o impacto dos nos objetivos As informações necessárias dependem do tipo de distribuições de probabilidades que será usado Por exemplo, as informações seriam coletadas nos cenários otimista (baixo), pessimista (alto) e mais provável para algumas distribuições comumente usadas, e a média e o desvio padrão para outras 3
Distribuições de probabilidades As distribuições contínuas de probabilidades representam a incerteza nos valores, como duração de atividades do cronograma e custos dos componentes do projeto Opinião especializada Os especialistas no assunto, internos ou externos à organização, como especialistas em engenharia e estatística, validam os dados e as técnicas As distribuições discretas podem ser usadas para representar eventos incertos, como o resultado de um teste ou um cenário possível em uma árvore de decisão 2 - Análise quantitativa de e técnicas de modelagem Análise de sensibilidade A análise de sensibilidade ajuda a determinar quais apresentam maior impacto potencial Ela examina a extensão com que a incerteza de cada elemento do projeto afeta o objetivo que está sendo examinado quando todos os outros elementos incertos são mantidos em seus valores de linha de base Análise de sensibilidade R$8.4, Expected Value R$7.5, R$6.6, R$5.7, R$4.8, R$3.9, R$3., R$2.1, Sensitivity Analysis on p_awareness R$1.2,,5,6,7,8,9 Increase work power Status quo More time Sub-contracting Threshold Values: p_awareness =,73 EV = R$5.258,7 p_awareness Análise de sensibilidade Análise do valor monetário esperado A análise do valor monetário esperado (VME) é um conceito estatístico que calcula o resultado médio quando o futuro inclui cenários que podem ou não acontecer (por exemplo, a análise em condições de incerteza) A VME das oportunidades será normalmente expressa em valores positivos, enquanto a dos será expressa em valores negativos 4
Análise do valor monetário esperado A VME é calculada pela multiplicação do valor de cada resultado possível por sua probabilidade de ocorrência e adicionando os dois É recomendável usar modelagem e simulação para a análise de risco de custo e cronograma, pois são mais poderosas e menos sujeitas a uso inadequado que a análise do valor monetário esperado Análise da árvore de decisão A árvore de decisão é estruturada usando um diagrama da árvore de decisão que descreve uma situação que está sendo considerada e as implicações de cada uma das escolhas disponíveis e cenários possíveis Ela incorpora o custo de cada escolha disponível, as probabilidades de cada cenário possível e o retorno de cada caminho lógico alternativo Y Y F(X 7, X 4, X 8 ) F(X 7, X 4, X 8 ) Avaliação Geral Função de Utilidade Chairs Increase work power Status quo More time p_accomplish Do not accomplish 1-p_accomplish Awareness p_awareness Unaware 1-p_awareness p_accomplish 6,45 Penalties Medium,35,2 v_awareness v_without_awareness 7 1 25 35 X7 X 7 X8 X 8 F(X 1, X 2, X 3 ) F(X 1, X 2, X 3 ) F(X 5, X 6 ) F(X 5, X 6 ) X1 X 1 X2 X 2 X3 X 3 X4 X 4 X5 X 5 X6 X 6 Atributo Agregado Função de Utilidade Atributo Básico p_accomplish=,65 p_awareness=,7 v_awareness=1 v_without_awareness=-75 Sub-contracting Do not accomplish 1-p_accomplish Partner 1 Partner 2 Partner 3 Partner 4 Penalties,9,1,9,1,9,1,9,1,45 Medium,35,2 5 55 4 5 1 25 35 Chairs p_accomplish=,65 p_awareness=,7 v_awareness=1 v_without_awareness=-75 R$6., Increase work,65 power R$4.68,75 Do not accomplish Penalties : R$2.25,,35,45 Penalties Medium,35 R$2.25,,2 Awareness Status quo v_awareness = R$1.,,7 Unaware R$4.75, v_without_awareness = (R$7.5,),3 R$7.,; P =,65,65 More time R$5.258,75 More time : R$5.258,75 Do not accomplish Penalties : R$2.25,,35,45 Penalties Medium,35 R$2.25,,2 Partner 1 R$5.,,9 R$4.5,,1 Partner 2 R$5.5,,9 Partner 2 : R$4.95, Sub-contracting R$4.95,,1 Partner 3 R$4.,,9 R$3.6,,1 Partner 4 R$5.,,9 R$4.5,,1 R$1., R$2.5, R$3.5, R$1.,; P =,158 R$2.5,; P =,122 R$3.5,; P =,7 Modelagem e simulação Uma simulação um modelo que traduz as incertezas especificadas em um nível detalhado para seu impacto potencial nos objetivos As simulações são normalmente realizadas usando a técnica de Monte Carlo 5
Modelagem e simulação O modelo é calculado muitas vezes (iterado), sendo os valores das entradas randomizados a partir de uma função de distribuição de probabilidades (por exemplo, custo ou duração das atividades do cronograma) escolhida para cada iteração a partir das distribuições de probabilidades de cada variável Uma distribuição de probabilidades (por exemplo, custo total ou data de término) é calculada de 4. Registro de Ferramentas e Técnicas 1. Técnicas de representação e coleta de dados 2. Análise quantitativa de e técnicas de modelagem 1. Registro dos (atualizações) Registro de (atualizações) O registro de é iniciado no processo Identificação de Riscos e atualizado na análise qualitativa de Ele é novamente atualizado na análise quantitativa de O registro de é um componente do plano de gestão As atualizações incluem os seguintes componentes principais: Análise probabilística do projeto São feitas estimativas dos possíveis resultados do cronograma e custo, listando as datas de término e custos possíveis juntamente com seus níveis de confiança associados Essas saídas são usadas em conjunto com as tolerâncias a risco das partes interessadas para permitir a quantificação das reservas para contingências dos custos e de tempo Essas reservas para contingências são necessárias para que o risco de ultrapassar os objetivos declarados do projeto fique em um nível aceitável para a organização Probabilidade de realização dos objetivos de custo e tempo Com os que o projeto enfrenta, a probabilidade de realizar os objetivos do projeto com o plano atual pode ser estimada usando os resultados da análise quantitativa de Lista priorizada de quantificados Esta lista de inclui os que representam a maior ameaça ou oferecem a maior oportunidade Esses incluem os que exigem a maior contingência de custo e os com maior probabilidade de influenciar o caminho crítico Tendências dos resultados da análise quantitativa de Conforme a análise é repetida, pode ficar evidente uma tendência que leva a conclusões que afetam as respostas a 6
Atividade Elaborar uma árvore de decisão para descrever uma situação de risco que está sendo considerada e as suas implicações SENAC Pós-Graduação em Segurança da Informação: Análise de Riscos Parte 5 Leandro Loss, Dr. Eng. loss@gsigma.ufsc.br http://www.gsigma.ufsc.br/~loss 7