SlideShare uma empresa Scribd logo

Aula03

P
paulopcc

O documento apresenta o processo de gestão de riscos de segurança da informação de acordo com a ISO 27005, incluindo as etapas de definição do contexto, análise e avaliação de riscos, tratamento de riscos, aceitação de riscos, comunicação de riscos e monitoramento de riscos. O objetivo é direcionar e controlar uma organização no que se refere a riscos de segurança da informação.

Tecnologia
1 de 22
Baixar para ler offline
Gestão de Riscos de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes
“A superfície da terra apresenta uma variedade infinita de lugares. Deves fugir de uns e buscar outros. Todavia, deves conhecer todos os terrenos com perfeição.” Sun Tzu A Arte da Guerra
Agenda  Revisão  Fundamentos de Gestão de Riscos  Processo de Gestão de Riscos  Considerações Finais  Referências Bibliográficas
Revisão Aula 02: ISO 27K ...  Uma família de normas  Voltadas para gestão e operação da Segurança da Informação;  Amadurecimento da área  Imposição de novos desafios  Padrões, Leis e Boas Práticas  De fundamental importância por uma questão de conformidade e também um ponto de apoio para implementação das normas.
Fundamentos de Gestão de Riscos Objetivos da Aula 03  Apresentar o processo de Gestão de Riscos de Segurança da Informação;  Debater sobre a implementação (prática) do processo de gestão de riscos, com ênfase para as atividades de Análise, Avaliação e Tratamento de Riscos;
Fundamentos de Gestão de Riscos Risco Risco é a combinação da probabilidade de um determinado evento ocorrer e de suas consequências (impacto). Um evento é a relação entre as ameaças, as vulnerabilidades e os danos causados - consequências; Ao descrever os riscos estamos detalhando cenários, cujas consequências afetam a CID de determinados ativos.
Fundamentos de Gestão de Riscos Exemplo de um Evento de Riscos Ativo: estação de trabalho Evento: Usuário consegue acesso lógico não autorizado, devido a erros na definição de permissões.
Processo de Gestão de Riscos Definição do Contexto O Processo de Gestão de Análise/Avaliação de Riscos Monitoramento e Análise Crítica de Riscos Riscos em Segurança da Análise de Riscos Comunicação do Risco Informação conforme a ISO Identificação de Riscos 27005. Estimativa de Riscos Avaliação de Riscos Atividades coordenadas para Avaliação ok? Não Sim direcionar e controlar uma Tratamento do Risco organização no que se refere Tratamento ok? Não Sim a riscos Aceitação do Risco
Processo de Gestão de Riscos Definição do Contexto O contexto para GR de SI envolve: (a) a definição de critérios básicos, (b) a definição do escopo e dos limites da GR e (c) o estabelecimento de uma organização apropriada para operar a Gestão de Riscos de SI.
Processo de Gestão de Riscos Análise e Avaliação de Riscos Convém que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em função dos critérios de avaliação de riscos e dos objetivos relevantes da organização. A análise/avaliação de riscos consiste nas seguintes atividades: • Análise de Riscos • Identificação e Estimativa de Riscos • Avaliação de Riscos
Processo de Gestão de Riscos Tratamento dos Riscos Convém que opções para o tratamento dos riscos sejam selecionadas e que o Plano de Tratamento do Risco (PTR) seja definido. Opções de Tratamento Reduzir Reter Evitar Transferir Riscos Residuais
Processo de Gestão de Riscos Tratamento dos Riscos
Processo de Gestão de Riscos Tratamento dos Riscos
Processo de Gestão de Riscos Tratamento dos Riscos O risco residual represente o nível de risco remanescente após o tratamento de riscos. Uma vez que o PTR tenha sido definido, os riscos residuais precisam ser estimados.
Processo de Gestão de Riscos Aceitação dos Riscos Convém que a decisão de aceitar os riscos seja tomada e formalmente registrada, juntamente com a responsabilidade pela decisão. A política de gestão de riscos (item critérios para a aceitação do risco) oferece suporte a essa tomada de decisão.
Processo de Gestão de Riscos Comunicação dos Riscos Convém que as informações sobre riscos sejam trocadas e/ou compartilhadas entre o tomador de decisão e as outras partes interessadas, com o objetivo de atingir um consenso sobre como os riscos devem ser administrados.
Processo de Gestão de Riscos Monitoramento dos Riscos Convém que os riscos e seus fatores (valores dos ativos, impactos, ameaças, vulnerabilidades e probabilidade de ocorrência) sejam monitorados e analisados criticamente, a fim de se identificar, o mais rapidamente possível, eventuais mudanças no contexto da organização e de se manter uma visão geral dos riscos.
Processo de Gestão de Riscos Melhoria Contínua (PDCA)
Considerações Finais
Considerações Finais Fatores Críticos de Sucesso  A análise e riscos deve fazer parte de um processo permanente de gestão de riscos de segurança da Informação, capaz de identificar novas vulnerabilidades e ameaças.  É necessário criar uma estrutura adequada para gestão de riscos, mas tão importante quanto definir funções e responsabilidades é desenvolver uma cultura de gestão de riscos.
Considerações Finais Fatores Críticos de Sucesso  Com isso a organização mantém o nível de risco em patamares aceitáveis.
Referências Bibliográficas  ABNT NBR ISO/IEC 27002:2006. Código de Prática para a Gestão da Segurança da Informação.  ABNT NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança da Informação.

Recomendados

Governancia de TI risc
Governancia de TI riscGovernancia de TI risc
Governancia de TI riscalcinoaraujo
 
Classificação
ClassificaçãoClassificação
ClassificaçãoNRFACIL www.nrfacil.com.br
 
A risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionA risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionNuno Silva
 
Gestão de Risco
Gestão de RiscoGestão de Risco
Gestão de RiscoAdeildo Caboclo
 
Política Pública na Prevenção de Desastres Naturais
Política Pública na Prevenção de Desastres NaturaisPolítica Pública na Prevenção de Desastres Naturais
Política Pública na Prevenção de Desastres NaturaisClaudio Ferreira
 
Uma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyUma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyCarlos Ferreira
 
Classificação nr36
Classificação nr36Classificação nr36
Classificação nr36NRFACIL www.nrfacil.com.br
 
Eletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosEletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosQualikadi Assessoria Técnica
 

Recomendados

Governancia de TI risc
Governancia de TI riscGovernancia de TI risc
Governancia de TI riscalcinoaraujo
 
Classificação
ClassificaçãoClassificação
ClassificaçãoNRFACIL www.nrfacil.com.br
 
A risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionA risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionNuno Silva
 
Gestão de Risco
Gestão de RiscoGestão de Risco
Gestão de RiscoAdeildo Caboclo
 
Política Pública na Prevenção de Desastres Naturais
Política Pública na Prevenção de Desastres NaturaisPolítica Pública na Prevenção de Desastres Naturais
Política Pública na Prevenção de Desastres NaturaisClaudio Ferreira
 
Uma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyUma década da lei americana sarbanes oxley
Uma década da lei americana sarbanes oxleyCarlos Ferreira
 
Classificação nr36
Classificação nr36Classificação nr36
Classificação nr36NRFACIL www.nrfacil.com.br
 
Eletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosEletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosQualikadi Assessoria Técnica
 
Analise de risco
Analise de riscoAnalise de risco
Analise de riscohrlima7
 
Sistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoSistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoAndré Santos
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
Modelo Plano de Gerenciamento de crises
Modelo Plano de Gerenciamento de crises Modelo Plano de Gerenciamento de crises
Modelo Plano de Gerenciamento de crises Comunicação Integrada - Cursos e Soluções (Isabela Pimentel)
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
Solução ERM Addtech (Enterprise Risk Mananger)
Solução ERM Addtech (Enterprise Risk Mananger)Solução ERM Addtech (Enterprise Risk Mananger)
Solução ERM Addtech (Enterprise Risk Mananger).add
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Jefferson Oliveira
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)israellfelipe
 
TCC Gerenciamento de Riscos Corporativos
TCC Gerenciamento de Riscos CorporativosTCC Gerenciamento de Riscos Corporativos
TCC Gerenciamento de Riscos CorporativosDaniel Pacheco Mendes
 
Risco - um fator estratégico
Risco - um fator estratégicoRisco - um fator estratégico
Risco - um fator estratégicoShield Consulting
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
Risco ietec versão_2
Risco ietec versão_2Risco ietec versão_2
Risco ietec versão_2Carlos Sousa
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Implemente Aud Riscos Abr
Implemente Aud Riscos AbrImplemente Aud Riscos Abr
Implemente Aud Riscos AbrLuiz Deoclecio Fiore, CRMA Certified
 
Aula 7 gestão de riscos
Aula 7 gestão de riscosAula 7 gestão de riscos
Aula 7 gestão de riscosDaniel Moura
 
Gerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRGerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRelliando dias
 
gestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdfgestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdfBrbaraMonteiro35
 
Auditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-laAuditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-laFrancesco De Cicco
 
Tema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docxTema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docxLichucha
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 

Mais conteúdo relacionado

Mais procurados

Analise de risco
Analise de riscoAnalise de risco
Analise de riscohrlima7
 
Sistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoSistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoAndré Santos
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
Solução ERM Addtech (Enterprise Risk Mananger)
Solução ERM Addtech (Enterprise Risk Mananger)Solução ERM Addtech (Enterprise Risk Mananger)
Solução ERM Addtech (Enterprise Risk Mananger).add
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Jefferson Oliveira
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)israellfelipe
 
TCC Gerenciamento de Riscos Corporativos
TCC Gerenciamento de Riscos CorporativosTCC Gerenciamento de Riscos Corporativos
TCC Gerenciamento de Riscos CorporativosDaniel Pacheco Mendes
 
Risco - um fator estratégico
Risco - um fator estratégicoRisco - um fator estratégico
Risco - um fator estratégicoShield Consulting
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 

Mais procurados (11)

Analise de risco
Analise de riscoAnalise de risco
Analise de risco
 
Sistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - ImplantaçãoSistema de Gestão de Risco - Implantação
Sistema de Gestão de Risco - Implantação
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)
 
Modelo Plano de Gerenciamento de crises
Modelo Plano de Gerenciamento de crises Modelo Plano de Gerenciamento de crises
Modelo Plano de Gerenciamento de crises
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Solução ERM Addtech (Enterprise Risk Mananger)
Solução ERM Addtech (Enterprise Risk Mananger)Solução ERM Addtech (Enterprise Risk Mananger)
Solução ERM Addtech (Enterprise Risk Mananger)
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
 
Segurança da informação (2)
Segurança da informação (2)Segurança da informação (2)
Segurança da informação (2)
 
TCC Gerenciamento de Riscos Corporativos
TCC Gerenciamento de Riscos CorporativosTCC Gerenciamento de Riscos Corporativos
TCC Gerenciamento de Riscos Corporativos
 
Risco - um fator estratégico
Risco - um fator estratégicoRisco - um fator estratégico
Risco - um fator estratégico
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 

Semelhante a Aula03

Risco ietec versão_2
Risco ietec versão_2Risco ietec versão_2
Risco ietec versão_2Carlos Sousa
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Aula 7 gestão de riscos
Aula 7 gestão de riscosAula 7 gestão de riscos
Aula 7 gestão de riscosDaniel Moura
 
Gerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRGerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRelliando dias
 
gestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdfgestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdfBrbaraMonteiro35
 
Auditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-laAuditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-laFrancesco De Cicco
 
Tema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docxTema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docxLichucha
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
gestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptgestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptOtacioCandido1
 
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptxPREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptxOtacioCandido1
 
Disciplina de Gerenciamento de Riscos
Disciplina de Gerenciamento de RiscosDisciplina de Gerenciamento de Riscos
Disciplina de Gerenciamento de RiscosLuthiano Vasconcelos
 
slides-explicativos.pdf
slides-explicativos.pdfslides-explicativos.pdf
slides-explicativos.pdfMarcioJackson1
 
Gerenciamento Riscos Senai 2
Gerenciamento Riscos Senai 2Gerenciamento Riscos Senai 2
Gerenciamento Riscos Senai 2robsonnasc
 

Semelhante a Aula03 (20)

Risco ietec versão_2
Risco ietec versão_2Risco ietec versão_2
Risco ietec versão_2
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Implemente Aud Riscos Abr
Implemente Aud Riscos AbrImplemente Aud Riscos Abr
Implemente Aud Riscos Abr
 
Aula 7 gestão de riscos
Aula 7 gestão de riscosAula 7 gestão de riscos
Aula 7 gestão de riscos
 
Gerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRGerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BR
 
gestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdfgestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdf
 
Auditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-laAuditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-la
 
Tema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docxTema 3 Os Riscos e Oportunidades 2022.docx
Tema 3 Os Riscos e Oportunidades 2022.docx
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
 
Gerenciamento de risco no trabalho
Gerenciamento de risco no trabalhoGerenciamento de risco no trabalho
Gerenciamento de risco no trabalho
 
gestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptgestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.ppt
 
Pgr edilene. pgr
Pgr edilene. pgrPgr edilene. pgr
Pgr edilene. pgr
 
Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018Gestão de Riscos Corporativos 2018
Gestão de Riscos Corporativos 2018
 
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptxPREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
 
Disciplina de Gerenciamento de Riscos
Disciplina de Gerenciamento de RiscosDisciplina de Gerenciamento de Riscos
Disciplina de Gerenciamento de Riscos
 
slides-explicativos.pdf
slides-explicativos.pdfslides-explicativos.pdf
slides-explicativos.pdf
 
Gerenciamento Riscos Senai 2
Gerenciamento Riscos Senai 2Gerenciamento Riscos Senai 2
Gerenciamento Riscos Senai 2
 
Gestão riscos estratégicos
Gestão riscos estratégicosGestão riscos estratégicos
Gestão riscos estratégicos
 

Aula03

  • 1. Gestão de Riscos de Segurança da Informação (Parte 01) Prof. Leonardo Lemes Fagundes
  • 2. “A superfície da terra apresenta uma variedade infinita de lugares. Deves fugir de uns e buscar outros. Todavia, deves conhecer todos os terrenos com perfeição.” Sun Tzu A Arte da Guerra
  • 3. Agenda  Revisão  Fundamentos de Gestão de Riscos  Processo de Gestão de Riscos  Considerações Finais  Referências Bibliográficas
  • 4. Revisão Aula 02: ISO 27K ...  Uma família de normas  Voltadas para gestão e operação da Segurança da Informação;  Amadurecimento da área  Imposição de novos desafios  Padrões, Leis e Boas Práticas  De fundamental importância por uma questão de conformidade e também um ponto de apoio para implementação das normas.
  • 5. Fundamentos de Gestão de Riscos Objetivos da Aula 03  Apresentar o processo de Gestão de Riscos de Segurança da Informação;  Debater sobre a implementação (prática) do processo de gestão de riscos, com ênfase para as atividades de Análise, Avaliação e Tratamento de Riscos;
  • 6. Fundamentos de Gestão de Riscos Risco Risco é a combinação da probabilidade de um determinado evento ocorrer e de suas consequências (impacto). Um evento é a relação entre as ameaças, as vulnerabilidades e os danos causados - consequências; Ao descrever os riscos estamos detalhando cenários, cujas consequências afetam a CID de determinados ativos.
  • 7. Fundamentos de Gestão de Riscos Exemplo de um Evento de Riscos Ativo: estação de trabalho Evento: Usuário consegue acesso lógico não autorizado, devido a erros na definição de permissões.
  • 8. Processo de Gestão de Riscos Definição do Contexto O Processo de Gestão de Análise/Avaliação de Riscos Monitoramento e Análise Crítica de Riscos Riscos em Segurança da Análise de Riscos Comunicação do Risco Informação conforme a ISO Identificação de Riscos 27005. Estimativa de Riscos Avaliação de Riscos Atividades coordenadas para Avaliação ok? Não Sim direcionar e controlar uma Tratamento do Risco organização no que se refere Tratamento ok? Não Sim a riscos Aceitação do Risco
  • 9. Processo de Gestão de Riscos Definição do Contexto O contexto para GR de SI envolve: (a) a definição de critérios básicos, (b) a definição do escopo e dos limites da GR e (c) o estabelecimento de uma organização apropriada para operar a Gestão de Riscos de SI.
  • 10. Processo de Gestão de Riscos Análise e Avaliação de Riscos Convém que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em função dos critérios de avaliação de riscos e dos objetivos relevantes da organização. A análise/avaliação de riscos consiste nas seguintes atividades: • Análise de Riscos • Identificação e Estimativa de Riscos • Avaliação de Riscos
  • 11. Processo de Gestão de Riscos Tratamento dos Riscos Convém que opções para o tratamento dos riscos sejam selecionadas e que o Plano de Tratamento do Risco (PTR) seja definido. Opções de Tratamento Reduzir Reter Evitar Transferir Riscos Residuais
  • 12. Processo de Gestão de Riscos Tratamento dos Riscos
  • 13. Processo de Gestão de Riscos Tratamento dos Riscos
  • 14. Processo de Gestão de Riscos Tratamento dos Riscos O risco residual represente o nível de risco remanescente após o tratamento de riscos. Uma vez que o PTR tenha sido definido, os riscos residuais precisam ser estimados.
  • 15. Processo de Gestão de Riscos Aceitação dos Riscos Convém que a decisão de aceitar os riscos seja tomada e formalmente registrada, juntamente com a responsabilidade pela decisão. A política de gestão de riscos (item critérios para a aceitação do risco) oferece suporte a essa tomada de decisão.
  • 16. Processo de Gestão de Riscos Comunicação dos Riscos Convém que as informações sobre riscos sejam trocadas e/ou compartilhadas entre o tomador de decisão e as outras partes interessadas, com o objetivo de atingir um consenso sobre como os riscos devem ser administrados.
  • 17. Processo de Gestão de Riscos Monitoramento dos Riscos Convém que os riscos e seus fatores (valores dos ativos, impactos, ameaças, vulnerabilidades e probabilidade de ocorrência) sejam monitorados e analisados criticamente, a fim de se identificar, o mais rapidamente possível, eventuais mudanças no contexto da organização e de se manter uma visão geral dos riscos.
  • 18. Processo de Gestão de Riscos Melhoria Contínua (PDCA)
  • 20. Considerações Finais Fatores Críticos de Sucesso  A análise e riscos deve fazer parte de um processo permanente de gestão de riscos de segurança da Informação, capaz de identificar novas vulnerabilidades e ameaças.  É necessário criar uma estrutura adequada para gestão de riscos, mas tão importante quanto definir funções e responsabilidades é desenvolver uma cultura de gestão de riscos.
  • 21. Considerações Finais Fatores Críticos de Sucesso  Com isso a organização mantém o nível de risco em patamares aceitáveis.
  • 22. Referências Bibliográficas  ABNT NBR ISO/IEC 27002:2006. Código de Prática para a Gestão da Segurança da Informação.  ABNT NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança da Informação.