Aula 2 - Gestão de Riscos

621 visualizações

Publicada em

Identificação análise e tratamento de riscos

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
621
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
40
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Aula 2 - Gestão de Riscos

  1. 1. Carlos Henrique M. da Silva carloshenrique.85@globo.com
  2. 2. É um processo no qual os riscos são identificados, analisados e reduzidos a um nível aceitável.
  3. 3. Uma vez compreendidos os riscos que envolvem os ativos de informação e, consequentemente, os processos de negócio da organização, é possível então decidir o que fazer em relação a esses riscos identificados.
  4. 4. Existem basicamente quatro opções para tratamento dos riscos: 1. Evitar 2. Controlar 3. Transferir 4. e Aceitar Onde a organização decide quais opções irá seguir, desenvolvendo uma série de ações (controles) para alinhar os riscos com o nível de risco aceitável.
  5. 5. Essa opção parece a mais óbvia para o tratamento dos riscos. Evitar os riscos, ou seja, não adquirir ou tecnologias ou processos que ofereçam riscos ao negócio. Exemplo: Gravidez indesejada
  6. 6. A maior parte dos riscos não podem pura e simplesmente ser evitados, eles existem e fazem parte do negócio da organização. Uma outra opção é agir para diminuir os riscos, ou seja, implementar controles que diminuam as vulnerabilidades dos ativos que suportam os processos da organização.
  7. 7. A opção de transferir o risco para outra pessoa ou organização, em alguns casos é recomendada pela análise de riscos. Uma forma de fazer a transferência dos riscos é contratar um seguro cuja indenização cubra os prejuízos envolvidos em um incidente de segurança da informação. Outra forma é transferir o risco para outra pessoa ou organização, passando esse serviço a ser prestado por essa pessoa/organização com base em um contrato que garanta um nível mínimo de serviço, ou um SLA (Service Level Agreement).
  8. 8. Aceitação do risco se deve a análise de riscos que aponta quais os riscos relevantes, mais que ficam abaixo do nível de risco considerado mínimo para tomar ações tais como evitar, controlar e transferir esse risco. Sendo assim só resta uma opção: ACEITAR. Mas mesmo aceitando o risco é importante saber que ele existe para o caso de algum dia esse risco aumentar e causar um impacto considerável caso venha acontecer um incidente de segurança da informação, a organização possa tomar ações e monitorar esse risco.
  9. 9. Reduzir a probabilidade de ocorrência do risco em 0%
  10. 10.  ABNT NBR ISO 31000 - Gestão de Riscos — Princípios e Diretrizes  NBR ISO/IEC 27005 - Gestão de Riscos de Tecnologia da Informação  ABNT, NBR ISO/IEC 17799 - “Tecnologia da Informação - Código de Prática Para Gestão da Segurança da Informação”, 2001
  11. 11.  Formado em Análise de Sistemas  Pós-Graduado em Auditoria em T.I.  Gerente de TI da CLIOC – Coleção de Leishmania do Instituto Oswaldo Cruz – Fiocruz  Certificado em Gestão de Segurança da Informação e Gerenciamento de T.I. pela Academia Latino-Americana (Microsoft TechNet / Módulo Security) Carlos Henrique M. da Silva carloshenrique.85@globo.com

×