Gestão de Riscosde Segurança da Informação         (Parte 01)   Prof. Leonardo Lemes Fagundes
“A superfície da terra apresentauma variedade infinita de lugares.Deves fugir de uns e buscar outros.Todavia, deves conhec...
Agenda Revisão Fundamentos de Gestão de Riscos Processo de Gestão de Riscos Considerações Finais Referências Bibliogr...
RevisãoAula 02: ISO 27K ...   Uma família de normas       Voltadas para gestão e operação da Segurança da Informação;   ...
Fundamentos de Gestão de RiscosObjetivos da Aula 03      Apresentar o processo de Gestão de Riscos de Segurança da       ...
Fundamentos de Gestão de RiscosRisco        Risco é a combinação da probabilidade de um determinado evento        ocorrer ...
Fundamentos de Gestão de RiscosExemplo de um Evento de Riscos     Ativo: estação de trabalho     Evento: Usuário consegue ...
Processo de Gestão de Riscos                                                          Definição do ContextoO Processo de G...
Processo de Gestão de RiscosDefinição do Contexto      O contexto para GR de SI envolve: (a) a definição de critérios     ...
Processo de Gestão de RiscosAnálise e Avaliação de Riscos      Convém que os riscos sejam identificados, quantificados ou ...
Processo de Gestão de RiscosTratamento dos Riscos     Convém que    opções    para     o   tratamento    dos riscos   seja...
Processo de Gestão de RiscosTratamento dos Riscos
Processo de Gestão de RiscosTratamento dos Riscos
Processo de Gestão de RiscosTratamento dos Riscos     O risco residual represente o nível de risco remanescente após o    ...
Processo de Gestão de RiscosAceitação dos Riscos      Convém que a decisão de aceitar os riscos seja tomada e      formalm...
Processo de Gestão de RiscosComunicação dos Riscos     Convém que as informações sobre riscos sejam trocadas e/ou     comp...
Processo de Gestão de RiscosMonitoramento dos Riscos     Convém que os riscos e seus fatores (valores dos ativos, impactos...
Processo de Gestão de RiscosMelhoria Contínua (PDCA)
Considerações Finais
Considerações FinaisFatores Críticos de Sucesso       A análise e riscos deve fazer parte de um processo permanente      ...
Considerações FinaisFatores Críticos de Sucesso       Com isso a organização mantém o nível de risco em patamares      ac...
Referências Bibliográficas ABNT NBR ISO/IEC 27002:2006. Código de Prática para a Gestão  da Segurança da Informação. ABN...
Próximos SlideShares
Carregando em…5
×

Aula03

409 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
409
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
33
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Aula03

  1. 1. Gestão de Riscosde Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes
  2. 2. “A superfície da terra apresentauma variedade infinita de lugares.Deves fugir de uns e buscar outros.Todavia, deves conhecer todos osterrenos com perfeição.”Sun TzuA Arte da Guerra
  3. 3. Agenda Revisão Fundamentos de Gestão de Riscos Processo de Gestão de Riscos Considerações Finais Referências Bibliográficas
  4. 4. RevisãoAula 02: ISO 27K ...  Uma família de normas  Voltadas para gestão e operação da Segurança da Informação;  Amadurecimento da área  Imposição de novos desafios  Padrões, Leis e Boas Práticas  De fundamental importância por uma questão de conformidade e também um ponto de apoio para implementação das normas.
  5. 5. Fundamentos de Gestão de RiscosObjetivos da Aula 03  Apresentar o processo de Gestão de Riscos de Segurança da Informação;  Debater sobre a implementação (prática) do processo de gestão de riscos, com ênfase para as atividades de Análise, Avaliação e Tratamento de Riscos;
  6. 6. Fundamentos de Gestão de RiscosRisco Risco é a combinação da probabilidade de um determinado evento ocorrer e de suas consequências (impacto). Um evento é a relação entre as ameaças, as vulnerabilidades e os danos causados - consequências; Ao descrever os riscos estamos detalhando cenários, cujas consequências afetam a CID de determinados ativos.
  7. 7. Fundamentos de Gestão de RiscosExemplo de um Evento de Riscos Ativo: estação de trabalho Evento: Usuário consegue acesso lógico não autorizado, devido a erros na definição de permissões.
  8. 8. Processo de Gestão de Riscos Definição do ContextoO Processo de Gestão de Análise/Avaliação de Riscos Monitoramento e Análise Crítica de RiscosRiscos em Segurança da Análise de Riscos Comunicação do RiscoInformação conforme a ISO Identificação de Riscos27005. Estimativa de Riscos Avaliação de RiscosAtividades coordenadas para Avaliação ok? Não Simdirecionar e controlar uma Tratamento do Riscoorganização no que se refere Tratamento ok? Não Sima riscos Aceitação do Risco
  9. 9. Processo de Gestão de RiscosDefinição do Contexto O contexto para GR de SI envolve: (a) a definição de critérios básicos, (b) a definição do escopo e dos limites da GR e (c) o estabelecimento de uma organização apropriada para operar a Gestão de Riscos de SI.
  10. 10. Processo de Gestão de RiscosAnálise e Avaliação de Riscos Convém que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em função dos critérios de avaliação de riscos e dos objetivos relevantes da organização. A análise/avaliação de riscos consiste nas seguintes atividades: • Análise de Riscos • Identificação e Estimativa de Riscos • Avaliação de Riscos
  11. 11. Processo de Gestão de RiscosTratamento dos Riscos Convém que opções para o tratamento dos riscos sejam selecionadas e que o Plano de Tratamento do Risco (PTR) seja definido. Opções de Tratamento Reduzir Reter Evitar Transferir Riscos Residuais
  12. 12. Processo de Gestão de RiscosTratamento dos Riscos
  13. 13. Processo de Gestão de RiscosTratamento dos Riscos
  14. 14. Processo de Gestão de RiscosTratamento dos Riscos O risco residual represente o nível de risco remanescente após o tratamento de riscos. Uma vez que o PTR tenha sido definido, os riscos residuais precisam ser estimados.
  15. 15. Processo de Gestão de RiscosAceitação dos Riscos Convém que a decisão de aceitar os riscos seja tomada e formalmente registrada, juntamente com a responsabilidade pela decisão. A política de gestão de riscos (item critérios para a aceitação do risco) oferece suporte a essa tomada de decisão.
  16. 16. Processo de Gestão de RiscosComunicação dos Riscos Convém que as informações sobre riscos sejam trocadas e/ou compartilhadas entre o tomador de decisão e as outras partes interessadas, com o objetivo de atingir um consenso sobre como os riscos devem ser administrados.
  17. 17. Processo de Gestão de RiscosMonitoramento dos Riscos Convém que os riscos e seus fatores (valores dos ativos, impactos, ameaças, vulnerabilidades e probabilidade de ocorrência) sejam monitorados e analisados criticamente, a fim de se identificar, o mais rapidamente possível, eventuais mudanças no contexto da organização e de se manter uma visão geral dos riscos.
  18. 18. Processo de Gestão de RiscosMelhoria Contínua (PDCA)
  19. 19. Considerações Finais
  20. 20. Considerações FinaisFatores Críticos de Sucesso  A análise e riscos deve fazer parte de um processo permanente de gestão de riscos de segurança da Informação, capaz de identificar novas vulnerabilidades e ameaças.  É necessário criar uma estrutura adequada para gestão de riscos, mas tão importante quanto definir funções e responsabilidades é desenvolver uma cultura de gestão de riscos.
  21. 21. Considerações FinaisFatores Críticos de Sucesso  Com isso a organização mantém o nível de risco em patamares aceitáveis.
  22. 22. Referências Bibliográficas ABNT NBR ISO/IEC 27002:2006. Código de Prática para a Gestão da Segurança da Informação. ABNT NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança da Informação.

×