Gerenciamento de risco

587 visualizações

Publicada em

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
587
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
17
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Gerenciamento de risco

  1. 1. Gerenciamento de Risco Marcos Aurelio Pchek Laureano laureano@ppgia.pucpr.br Gestão de Segurança Roteiro l Conceitos básicos l Importância da Informação – utilidade, valor, validade, classificaçãoMarcos Laureano l Riscos – Análise – Identificação – Gerência l Estudo de caso 2 Gestão de Segurança Risco l Uma expectativa de perda expressada como a probabilidade de que uma ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízoMarcos Laureano l Uma medida da incerteza associada aos retornos esperados de investimentos l Não é ruim por definição, o risco é essencial para o progresso e as falhas decorrentes são parte de um processo de aprendizado. 3 1
  2. 2. Gestão de Segurança Avaliação ou Análise de Risco l Um processo que identifica sistematicamente – recursos valiosos de sistema – ameaças a aqueles recursosMarcos Laureano – quantifica as exposições de perda – recomenda como alocar recursos às contramedidas no para minimizar a exposição total 4 Gestão de Segurança Gerenciamento de Riscos l O processo de identificar, de controlar, os eventos incertos, eliminando ou minimizando os que podem afetar os recursos de sistema l Uma das ferramentas mais poderosas noMarcos Laureano gerenciamento de riscos é o conhecimento l Indica os caminhos e as informações que devem ser protegidas – disponibilidade, integridade, confidencialidade, ... 5 Gestão de Segurança Cenário Atual l O risco não é um novo problema ou uma nova terminologia l Os seres humanos sempre tiveram de enfrentar (ou encarar) os riscos no seu meioMarcos Laureano ambiente 6 2
  3. 3. Gestão de Segurança Risco e Perigo l O perigo tem duas importantes características – a gravidade (algumas vezes denominada de dano) – probabilidade da ocorrência l A gravidade é definida como o pior acidente possívelMarcos Laureano de ocorrer l A probabilidade de ocorrência pode ser especificada quantitativamente e qualitativamente Risco Nível do Perigo Probabilidade Probabilidade Exposição Exposição do perigo do perigo 7 Gravidade Gravidade Probabilidade de Probabilidade de ao perigo ao perigo conduzir a conduzir a do Perigo ocorrência do perigo do Perigo ocorrência do perigo um acidente um acidente Gestão de Segurança Importância da Informação l Qual a utilidade da Informação ? – Lembrar dos fins: suporte, estratégia, ... l Qual o valor da Informação ? Avaliação pessoal do dono da informaçãoMarcos Laureano – l Qual a validade da Informação ? – Deve possuir um período de validade l Quem é o responsável pela manutenção da classificação da informação ? 8 – O criador é responsável pela classificação inicial Gestão de Segurança Vale a pena proteger tudo ? l Segurança requer investimentos l Pode-se utilizar o ROI - Return on Investment Não existe um modelo unificadoMarcos Laureano – l Conhecimento do Negócio – Este é o ponto chave de qualquer gerenciamento de riscos Riscos Custos 9 3
  4. 4. Gestão de Segurança Proteger contra o quê ? l O objetivo da segurança da informação é protegê-la contra riscosMarcos Laureano l O objetivo é proteger a informação, não o ativo que a contém 10 Gestão de Segurança Como proteger uma informação ? l Identificação dos Riscos – que o negócio está sujeito l Quantificação dos Riscos impacto sobre o negócioMarcos Laureano – l Tratamento dos Riscos – medidas para mitigar o risco l Monitoração dos Riscos – acompanhamento do risco 11 Gestão de Segurança Requisitos básicos para Gerência l Objetivos do Negócio – Especificação clara do objetivo l Riscos Identificação dos riscos para cada objetivo deMarcos Laureano – negócio l Ações – Ações para cada risco identificado 12 4
  5. 5. Gestão de Segurança A Análise l A análise de risco consiste em um processo de identificação e avaliação dos fatores de risco presentes e de forma antecipada no Ambiente Organizacional, possibilitando umaMarcos Laureano visão do impacto negativo causado aos negócios. 13 Gestão de Segurança Análise de Risco Probabilidade Conseqüência RISCO = X De um evento do evento Ameaças Vulnerabilidades Danos MateriaisMarcos Laureano Interrupções $ Imagem Valor Risco = Vulnerabilidade X Ameaça X do Ativo Multas l Conhecer o risco é ganhar mobilidade. 14 l Segurança é risco tendendo a zero. Gestão de Segurança Análise de Risco 1. Por que fazer uma análise de risco ? 1. Indicações que os planos se concretizem 2. Quando fazer uma análise de riscos ? Sempre, antecedendo um investimentoMarcos Laureano 1. 3. Quem deve participar da análise de riscos ? 1. Especialistas em análise de riscos e no negócio da empresa 4. Quanto tempo o projeto deve levar ? 1. deve ser realizada em tempo mínimo 15 5
  6. 6. Gestão de Segurança Roteiro para Identificar RiscosMarcos Laureano 16 Gestão de Segurança Roteiro para Identificar RiscosMarcos Laureano 17 Gestão de Segurança Finalizando l Qualquer investimento deve ter objetivo – A análise de riscos serve para Conseqüência direcionar investimentos de segurança l Não existe segurança 100% Mover EvitarMarcos Laureano – Segurança é risco tendendo a zero – Se você não puder medir o risco, você não poderá reduzí - lo. l A Gerência de Riscos (PMI) Aceitar Reduzir pode (deve) ser utilizado como referência Probabilidade 18 6
  7. 7. Gestão de Segurança Então.... l Dúvidas ?? l Perguntas ??Marcos Laureano l Comentários ?? 19 7

×