1. SEGURANÇA E RISCOS
Identificação e Análise de Riscos / Avaliação de Riscos e Plano de Resposta a Risco
/ Plano de Continuidade de TI
Profª Clausia Mara Antoneli
2. Objetivos
Refletir sobre os principais conceitos relacionados aos Riscos para a área de
Segurança da Informação
Compreender como se dá a identificação de Riscos
Compreender os conceitos básicos da avaliação dos riscos identificados e
Conhecer as possibilidades para avaliação de riscos.
Entender os tipos e as estratégias para respostas e reações aos riscos.
Entender conceitos básicos de um Plano de Continuidade.
Conhecer ferramentas de apoio ao processo de gestão de risco
Profª Clausia Mara Antoneli
3. Para pensar ...
... por que é necessário se preocupar com
a Segurança da Informação?
Profª Clausia Mara Antoneli
4. Segurança e Riscos
Devido ao crescente uso da Tecnologia da
Informação e da Internet desde os anos 80, as
possibilidades de erros e ataques cibernéticos
tornam-se cada vez mais recorrentes.
Por que é necessário se preocupar com a Segurança da
Informação?
Profª Clausia Mara Antoneli
5. • existem sistemas 100% seguros?
• os problemas de Segurança da
Informação são internos ou externos às
organizações?
Profª Clausia Mara Antoneli
6. • Organizações trabalham com dados e processos expostos
• Dados e processos podem sofrer ataques, podem ser
destruídos
• Prevenção e Proteção das Informações são necessários
• Identificação de possíveis problemas é muito importante
• Gestão de Risco - prevenção e proteção das informações
Profª Clausia Mara Antoneli
Segurança e Riscos
7. Segurança e Riscos – conceitos básicos
• Risco – possibilidade de uma ameaça explorar possíveis
vulnerabilidades, prejudicando a organização.
• Vulnerabilidade – falha ou fraqueza de um sistema que, se
explorada, pode causar problemas de segurança (erro de
software, problemas de configuração, segurança
inadequada).
• Ameaça – perigos, evento ou atitude com possibilidade de
remover, desabilitar ou destruir um recurso (de desastres
naturais a ataques e vazamentos de dados cibernéticos).
Profª Clausia Mara Antoneli
8. • Probabilidade – chance e possibilidade de que algo
aconteça.
• Impacto – consequência de algum acontecimento.
Profª Clausia Mara Antoneli
Segurança e Riscos – conceitos básicos
10. Segurança e Riscos – Principais tipos de Riscos
• Operacionais
• Corporativos
• Ambientais
• Gerenciamento de projetos
• Segurança do trabalho
• Tecnologia da Informação - TI
Profª Clausia Mara Antoneli
11. Segurança e Riscos – Componentes básicos
para todo tipo de Risco
• Evento – com causa e consequente efeito específico.
• Probabilidade - associada.
• Impacto(s) – associado(s).
Profª Clausia Mara Antoneli
12. Processo básico para Gestão de Riscos
• Identificação.
• Análise.
• Tratamento dos Riscos.
• Uma das formas de se fazer a Gestão de Riscos é a
adoção da Norma ISO – normas internacionais
reconhecidas.
• NBR ISSO 31000:2018 – norma brasileira para gestão
de riscos em geral.
Profª Clausia Mara Antoneli
13. Segurança da Informação e Gestão de Riscos
• Eventos são ocorrências ou
mudanças em um conjunto de
circunstâncias.
• Podem ser positivos ou negativos.
• Riscos lógicos ou físicos acarretam
eventos.
• Os impactos dos eventos podem
causar sérios danos e prejuízos aos
negócios.
• É preciso mensurar de alguma forma
a probabilidade de ocorrência de um
evento.
O ciclo PDCA - método interativo
de gestão com quatro passos,
utilizado para o controle e melhoria
contínua de processos e produtos.
Profª Clausia Mara Antoneli
14. Segurança da Informação e Gestão de Riscos –
Áreas envolvidas
• Negócios
TI
A parceria da áreas de negócios com a T.I.,
envolvem a responsabilidade sobre as tomadas de
decisões, identificando riscos, com transparência,
documentação dos processos e aprovação pelos
envolvidos.
Profª Clausia Mara Antoneli
15. Segurança da Informação e Gestão de Riscos –
Categorização do Risco
O PMBOK (2017) define as categorias de risco na organização como um
agrupamento de informações orientados ao risco, de forma estruturada a
identificação desses riscos, análise e discussão das partes interessadas.
Já a TI procura analisar os acessos não autorizados, interromper esses
ataques, verificar as instabilidades, violação de leis e políticas de SI.
Profª Clausia Mara Antoneli
16. Para pensar ....
É possível avaliar o Risco?
Profª Clausia Mara Antoneli
17. Avaliação de Riscos
Os riscos identificados precisam de
avaliação
Profª Clausia Mara Antoneli
18. Mapeamento dos Riscos
Probabilidade – quando o risco pode tornar-
se realidade.
Impacto – se ocorrer, o que o risco pode
causar.
Profª Clausia Mara Antoneli
20. Técnicas de Avaliação de Risco
Risco
NÃO
NÃO
Processo simples e
prático.
Prioriza-se o que é mais
crítico, importante e/ou
urgente.
Depende da estratégia da
organização.
Precisam de alinhamento
com o Planejamento
estratégico e orçamento.
Profª Clausia Mara Antoneli
21. Técnicas de Avaliação de Risco
ISO 27005
8.3 Análise de riscos
8.3.1 Metodologia de análise de riscos
8.3.2 Avaliação das consequências
8.3.3 Avaliação da probabilidade dos incidentes
8.3.4 Determinação do nível de risco
8.4 Avaliação de riscos
Profª Clausia Mara Antoneli
22. Cálculo do Risco
Análise Qualitativa
IMPACTO PROBABILIDADE
Desprezível Extremo
Levemente Prejudicial Alto
Prejudicial Médio
Muito prejudicial Baixo
Extremamente Prejudicial Irrelevante
Profª Clausia Mara Antoneli
23. Cálculo do Risco
Severidade – probabilidade x impacto
IMPACTO
PROBABILIDADE
Desprezível
Levemente
Prejudicial
Prejudicial
Muito
prejudicial
Extremamente
Prejudicial
Extremo Risco Moderado Risco Elevado Risco Extremo Risco Extremo Risco Extremo
Alto Risco Moderado Risco Moderado Risco Elevado Risco Elevado Risco Elevado
Médio Risco baixo Risco baixo Risco
Moderado
Risco Elevado Risco Elevado
Baixo Risco insignificante Risco baixo Risco baixo Risco
Moderado
Risco Elevado
Irrelevante Risco insignificante Risco insignificante Risco baixo Risco baixo Risco Moderado
Profª Clausia Mara Antoneli
24. Risco Inerente x Risco Residual
Risco inerente – associado ao negócio e
existe sempre.
Risco residual – remanescente, após
medidas tomadas para reduzi-lo.
Profª Clausia Mara Antoneli
25. Auditoria em Gestão de Riscos
para cada risco identificado existe uma
ação efetiva?
todos os riscos foram identificados?
os riscos são monitorados?
Profª Clausia Mara Antoneli
26. Auditoria em Gestão de Riscos
A norma ISO 31000 que trata de Gestão de
Risco pode ser utilizada pelo Auditor
um guia para verificações e validações dentro
do ambiente de TI e da área de Segurança da
Informação.
Profª Clausia Mara Antoneli
27. Plano de Respostas a Risco
Desenvolvimento de estratégias de resposta a
riscos.
Entendimento dos tipos de reações aos riscos.
Conhecimento dos casos de gestão de riscos
com devidas respostas.
Profª Clausia Mara Antoneli
30. Processo de Resposta ao Risco
Desenvolvimento de opções e consequentes ações
(descrição)
IMPORTANTE:
a resposta deve ser realista;
adequada à importância e prioridade do risco;
alinhada à estratégia da organização;
com prazo estabelecido;
designação de um responsável.
Profª Clausia Mara Antoneli
31. Planos de Ação
Final do Plano de resposta a risco
ID Risco Resultado Estratégia Ação Responsável
Positivo Prevenir
Negativo Evitar
Mitigar
Melhorar
Profª Clausia Mara Antoneli
32. Apresentação do Plano de Ação
Gestão de Risco deve ser divulgada
Deve ser oficial
Apresentada a todas as áreas
Comunicação – e-mail, palestras, intranet
Grande quantidade de Planos de Ação – positivo
Demonstração de maturidade e segurança
Profª Clausia Mara Antoneli
33. As organizações devem manter seus serviços
protegidos
Plano de Continuidade de TI
Profª Clausia Mara Antoneli
34. Continuidade em TI
ISO 17799 atualizada para ISO 27002
Padronização internacional da área de
segurança - previne impactos de
conceitua aspectos humanos, físicos e
tecnológicos; certificação.
ISO 22301 rege a continuidade dos negócios
Profª Clausia Mara Antoneli
35. Continuidade em TI
Segundo a ISO 22301
“capacidade da organização de continuar a
entrega de produtos ou serviços em um nível
aceitável previamente definido após incidentes
de interrupção”.
Profª Clausia Mara Antoneli
36. Plano de Continuidade - PCN
BIA - Análise de
Impacto nos negócios
PCO - Plano de
Contingência
Operacional
PRD - Plano de
Recuperação de
desastres
PCOM, PGC, PAC
- Plano de
Comunicação;
Plano de Crises;
Plano de
Administração de
crise
PCN
Profª Clausia Mara Antoneli
37. Recursos Críticos
Recursos que quando sobre ameaça podem afetar os
processos da organização.
provedor que hospeda o website, que pode ficar
indisponível.
próprio website da organização, que pode ser
atacado e ficar indisponível.
meio de entrega pelos Correios, que pode ter greve
e não entregar o produto.
Profª Clausia Mara Antoneli
38. Desenvolvimento de PCN
Imaginar situações que normalmente pareceriam
impossíveis e não só considerar fatalidades que podem
atingir a continuidade dos negócios da organização.
Lembrar que as crises podem ter várias origens:
econômica;
problemas com investidores;
ataques cibernéticos;
vazamento de dados
crise na comunicação;
comprometimento da imagem da empresa ...
Profª Clausia Mara Antoneli
39. Desenvolvimento de PCN
PDCA clássico - Planejar-Fazer-Checar-Agir:
Planejar: estabelecer a política para a continuidade dos
negócios;
Fazer: implementar e operar a política de continuidade de
negócios;
Checar: monitorar e rever a performance da política de
continuidade de negócio;
Agir manter e melhorar o Processo de Desenvolvimento
de Plano de Continuidade.
Por onde iniciar?
Profª Clausia Mara Antoneli
40. Desenvolvimento de PCN
Planejar e nomear os profissionais
responsáveis;
Analisar o impacto das interrupções ao
negócio;
Planejar resposta e recuperação de desastres;
Profª Clausia Mara Antoneli
41. Plano de Continuidade - PCN
Organização - ter ciência de seus processos críticos e
uma posição clara e definida sobre o que fazer com eles.
Organização - estar preparada para os momentos de
crise, tomando atitudes proativas e de recuperação para
que um plano de continuidade seja acionado e
Profissional de Segurança da Informação - saber montar
um plano, alertar aos gestores e atuar quando planejado
ou demandado, conforme plano de continuidade
elaborado e periodicamente validado.
Profª Clausia Mara Antoneli
42. Gestão de Risco na área de Segurança da
Informação
Governança de TI
um dos pilares é a Gestão
de Risco de TI como um
todo, e a Segurança da
Informação enquadra-se
nesta parte.
Profª Clausia Mara Antoneli
43. Ferramentas de Apoio
Soluções de apoio ao gerenciamento de riscos
RISK MANAGER RISK INSIGHT
IRIS
INTELLIGENCE
Implementar um processo eficaz
para a automação e integração
processos de Governança, Riscos e
Compliance, eliminando os silos,
reduzindo custos e favorecendo a
colaboração entre as áreas.
Apoio à implementação dos
requisitos de certificação para
PCI-DSS, ISO 27002, ISO 27001, BS
25999, COBIT, Basiléia II e FISAP
Permite informar facilmente as
partes relevantes sobre a
exposição aos riscos e ampliar a
visão dos planos de ação e da
execução. Oferece a
possibilidade de visualizar
os riscos, de todas as formas e
ângulos, com muitas
funcionalidades de gestão de
risco associadas.
É uma ferramenta britânica
para gestão de risco nas
organizações, usada, por
exemplo, na NASA, no
Exército americano e na
Royce.
Profª Clausia Mara Antoneli
44. Ameaças à Segurança da Informação
Falta de
orientação
Erros de
procedimentos
internos
Negligência Malícia
Não saber como
operar
equipamentos,
sistemas,
aplicativos,
recursos de TI, e o
desconhecimento
de técnicas de
proteção, coloca
em risco a
segurança da
informação.
Procedimentos de
gestão da segurança
da informação mal
estruturados ou
desatualizados
podem acarretar
vulnerabilidades e
perdas de dados.
Deixar de cumprir
com as regras da
política de
segurança da
informação ou com
os procedimentos
internos de TI, por
mera negligência,
pode custar caro —
prejuízos
financeiros, de
imagem ou
materiais.
As ações mal-
intencionadas de
colaboradores
internos insatisfeitos e
de pessoas externas
tornam instável a
segurança da
informação,
especialmente, se
houver mecanismos
de detecção de
intrusões.
Profª Clausia Mara Antoneli
45. Projetos e seus Riscos
Projeto – temporário, com início, meio e fim
definidos.
Gerenciar projetos - aplicar conhecimentos,
habilidades e técnicas voltadas ao gerenciamento de
diferentes áreas envolvidas no desenvolvimento de
algum projeto, a fim de que ele possa ser concluído
de forma efetiva e eficaz.
Gerenciar projetos competência estratégica baseada
em um conjunto de ações organizadas em torno de
um resultado previamente planejado.
Profª Clausia Mara Antoneli
46. Gerenciamento de Riscos de Projeto
11.1 Planejar o Gerenciamento de Riscos.
11.2 Identificar os Riscos.
11.3 Realizar a Análise Qualitativa dos Riscos.
11.4 Realizar a Análise Quantitativa dos Riscos.
11.5 Planejar as Respostas aos Riscos.
11.6 Implementar Respostas aos Riscos.
11.7 Monitorar os Riscos.
Guia
PMBOK
Profª Clausia Mara Antoneli
47. Auditoria e Planejamento de TI para
recuperação de acidentes
O framework de referência mundial é o COBIT
cujos domínios são: planejar e organizar;
adquirir e implementar; entregar e dar
suporte; monitorar e avaliar.
Profª Clausia Mara Antoneli
48. Auditoria e Planejamento de TI para
recuperação de acidentes
Análise GAP: exame de Auditoria para
verificação da conformidade com as políticas,
normas e procedimentos relacionados à
Segurança da Informação.
Lei Geral de Proteção aos dados - LGPD e
sua relação com a área de Segurança da
informação, para recuperação de acidentes.
Profª Clausia Mara Antoneli
49. Auditoria e Planejamento de TI para
recuperação de acidentes
Para realizar auditoria, tanto interna como
externa, é preciso seguir um roteiro e adotar
boas práticas de execução e postura
de forma neutra.
Profª Clausia Mara Antoneli