O documento apresenta os conceitos fundamentais de gestão de riscos para segurança da informação. Discute ameaças, vulnerabilidades e riscos, e introduz o processo de análise e avaliação de riscos, incluindo a caracterização do ambiente, identificação de ameaças e vulnerabilidades, análise de controles, probabilidade de impacto e determinação do risco.
O documento discute a importância da segurança da informação e fornece diretrizes sobre controles de segurança. Ele destaca como os riscos cibernéticos estão aumentando e as consequências para as empresas. O documento também apresenta uma agenda para falar sobre controles de segurança, auditoria e discussão.
O documento discute análise de riscos, apresentando conceitos, origens e classificação de riscos, técnicas de análise como APR, Hazop e AMFE, além de fatores críticos de sucesso e benefícios da gestão de riscos. A aula também aborda políticas de segurança da informação e classificação da informação.
1) O documento discute a análise preliminar de riscos relacionados à gestão ambiental e de saúde e segurança no trabalho. É analisado o planejamento e implementação de um sistema de gestão ambiental.
2) São definidos conceitos como perigo, risco, prevenção e proteção no contexto da gestão de riscos. A análise compara riscos com base na probabilidade e gravidade dos eventos.
3) É enfatizada a importância de identificar e controlar riscos de forma sistemática antes que eventos indesejáveis ocorram, por
O documento discute os riscos associados à implementação de um sistema de gestão ambiental em uma empresa. Ele analisa os riscos preliminares, incluindo reações negativas e positivas à mudança, e detalha as etapas para implementar o sistema, como desenvolver uma política ambiental, planejamento, monitoramento e revisão. O objetivo é identificar riscos e minimizar impactos ambientais adversos por meio da gestão efetiva.
1) O documento apresenta uma análise preliminar de riscos relacionados à gestão ambiental de uma organização. É descrita a importância de identificar riscos, avaliar impactos ambientais e de segurança, e definir etapas para implementação de um sistema de gestão ambiental.
2) São listados possíveis riscos e impactos positivos e negativos de mudanças na organização. Também são apresentadas etapas e requisitos para implantação de um sistema de gestão ambiental.
3) A análise enfatiza a necessidade de avaliações sist
Este documento apresenta um projeto de segurança da informação para uma organização confidencial. O projeto inclui planejamento, diagnóstico da situação atual por meio de entrevistas e visitas técnicas, e elaboração de um plano de ação e política de segurança da informação. O objetivo é avaliar os controles de segurança da informação existentes, identificar riscos e ameaças, e recomendar melhorias para proteger os ativos de informação da organização.
O documento discute a importância da segurança da informação e fornece diretrizes sobre controles de segurança. Ele destaca como os riscos cibernéticos estão aumentando e as consequências para as empresas. O documento também apresenta uma agenda para falar sobre controles de segurança, auditoria e discussão.
O documento discute análise de riscos, apresentando conceitos, origens e classificação de riscos, técnicas de análise como APR, Hazop e AMFE, além de fatores críticos de sucesso e benefícios da gestão de riscos. A aula também aborda políticas de segurança da informação e classificação da informação.
1) O documento discute a análise preliminar de riscos relacionados à gestão ambiental e de saúde e segurança no trabalho. É analisado o planejamento e implementação de um sistema de gestão ambiental.
2) São definidos conceitos como perigo, risco, prevenção e proteção no contexto da gestão de riscos. A análise compara riscos com base na probabilidade e gravidade dos eventos.
3) É enfatizada a importância de identificar e controlar riscos de forma sistemática antes que eventos indesejáveis ocorram, por
O documento discute os riscos associados à implementação de um sistema de gestão ambiental em uma empresa. Ele analisa os riscos preliminares, incluindo reações negativas e positivas à mudança, e detalha as etapas para implementar o sistema, como desenvolver uma política ambiental, planejamento, monitoramento e revisão. O objetivo é identificar riscos e minimizar impactos ambientais adversos por meio da gestão efetiva.
1) O documento apresenta uma análise preliminar de riscos relacionados à gestão ambiental de uma organização. É descrita a importância de identificar riscos, avaliar impactos ambientais e de segurança, e definir etapas para implementação de um sistema de gestão ambiental.
2) São listados possíveis riscos e impactos positivos e negativos de mudanças na organização. Também são apresentadas etapas e requisitos para implantação de um sistema de gestão ambiental.
3) A análise enfatiza a necessidade de avaliações sist
Este documento apresenta um projeto de segurança da informação para uma organização confidencial. O projeto inclui planejamento, diagnóstico da situação atual por meio de entrevistas e visitas técnicas, e elaboração de um plano de ação e política de segurança da informação. O objetivo é avaliar os controles de segurança da informação existentes, identificar riscos e ameaças, e recomendar melhorias para proteger os ativos de informação da organização.
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
O documento discute conceitos de riscos de segurança da informação, incluindo ameaças, vulnerabilidades e incidentes. Também aborda análise de riscos e estratégias para lidar com riscos, como aceitar, evitar ou tornar o risco neutro. A aula apresenta exemplos de cada tópico para explicar os conceitos-chave.
O documento discute o gerenciamento de riscos, destacando: (1) a ideia revolucionária que define a fronteira entre os tempos modernos e o passado é o domínio do risco; (2) o estudo sério do risco iniciou-se no Renascimento, quando as pessoas desafiaram as crenças sagradas; (3) a descoberta da teoria das probabilidades por Pascal e Fermat foi fundamental para o conceito moderno de risco.
Este documento discute análise de riscos, incluindo conceitos, origem e classificação de riscos, fatores de categorias de riscos, técnicas de análise de riscos como APR, Hazop e AMFE, e políticas de segurança. O documento fornece exemplos de como aplicar essas técnicas e fatores críticos para o sucesso da gestão de riscos.
int à segurança de processos e gerenciamento de riscos.pdfLarissaNtali
Este documento fornece uma introdução à segurança de processos, discutindo os seguintes tópicos: (1) histórico de acidentes de processo importantes, (2) conceitos-chave como perigo versus risco, (3) pilares da gestão de segurança de processos como entendimento dos perigos e riscos e gestão de risco, e (4) elementos-chave da gestão de segurança de processos como procedimentos operacionais, integridade de ativos e aprendizado com experiências. O documento destaca a importância de identificar perigos e riscos de processo
O documento discute a importância da segurança da informação para proteger os dados das empresas contra problemas como roubo, vírus e crimes. Ele fornece recursos sobre práticas recomendadas de segurança e gestão de riscos, incluindo a análise e avaliação dos riscos para identificar vulnerabilidades e implementar controles adequados.
Este documento apresenta os conceitos fundamentais de segurança da informação baseados na norma ISO 27001. Ele descreve os pré-requisitos, objetivos e estrutura do curso, incluindo termos e definições, normativos existentes e uma seção sobre análise e avaliação de riscos.
O documento apresenta:
1) Uma explicação do mapeamento de processos e riscos, identificando fornecedores, entradas, processos, saídas e clientes;
2) Um exemplo de preenchimento de um SIPOC para o processo de gestão de documentos;
3) Detalhes sobre a análise preliminar de riscos, incluindo atividades, eventos indesejáveis, causas e consequências.
O documento discute aspectos humanos e técnicos da segurança da informação, incluindo treinamento de usuários, controles de acesso físico e lógico, proteção de dados e sistemas, e a importância de uma política de segurança formal.
O documento discute o processo de gerenciamento de riscos em projetos, incluindo as etapas de planejamento, identificação, análise, resposta e monitoramento. Também aborda a importância de um plano de gerenciamento de riscos e métodos para identificar, classificar e priorizar riscos de projeto e organizacionais.
Este documento apresenta um trabalho de conclusão de curso sobre gestão de riscos e continuidade de negócios em tecnologia da informação. Ele discute fundamentos de segurança da informação, análise e gestão de riscos, e estratégias para garantir a continuidade dos negócios diante de incidentes ou desastres. O documento também aborda normas como ISO 27001 e 27002 e métodos para avaliação e tratamento de riscos que ameaçam a segurança da informação e dos negócios de uma organização.
O documento discute a gestão de riscos nas organizações, abordando conceitos como risco, gestão de riscos e maturidade da gestão de riscos. Também analisa a situação atual da gestão de riscos em organizações brasileiras, identificando fatores que favoreceram avanços e obstáculos como a cultura de pouca importância dada à segurança e saúde do trabalho.
O documento discute conceitos fundamentais de tecnologia da informação, incluindo sistemas de informação, tipos de sistemas, vulnerabilidades da informação, ameaças à segurança, política de segurança e agentes envolvidos na segurança da informação. O documento também aborda classificação de informações, políticas de acesso e falhas comuns em sistemas.
O documento fornece informações sobre avaliação de riscos na segurança do trabalho. Em três frases, o documento discute: 1) os objetivos e métodos de avaliação de riscos que podem causar acidentes; 2) os custos diretos e indiretos dos acidentes de trabalho e como os custos indiretos podem ser 8-9 vezes maiores que os diretos; 3) os conceitos de perigo, risco e dano e como são definidos no contexto da segurança no trabalho.
Este documento apresenta conceitos sobre riscos de segurança, processos de avaliação e tratamento de risco, sistemas de gestão e Sistemas de Gestão de Segurança da Informação (SGSI). Inclui exemplos de riscos, controles e exercícios para identificar riscos e controles para ativos. Também explica o que é um sistema de gestão e seus elementos, além de fatores críticos para o sucesso de um SGSI.
O documento discute ameaças, vulnerabilidades e análise de risco para sistemas de informação. Apresenta diversas ameaças como falhas humanas, espionagem e vandalismo e vulnerabilidades como pequenos suportes armazenarem grandes volumes de dados. Descreve técnicas de análise de risco como prever cenários de ameaças e vulnerabilidades e analisar custo-benefício de medidas para evitar riscos.
O documento discute princípios e conceitos fundamentais de gestão de segurança da informação, incluindo confidencialidade, integridade e disponibilidade. Também aborda vulnerabilidades, ameaças, barreiras de segurança e normas como a ISO 27002.
Rotary Club Vizela (http://rotaryclubevizela.blogspot.pt/) 18 de Junho de 2014
Luis Borges Gouveia
Professor Associado com Agregação
Universidade Fernando Pessoa
1. O documento discute o gerenciamento de riscos em projetos e apresenta os seis processos para gerenciar riscos: planejar o gerenciamento de riscos, identificar riscos, analisar riscos qualitativa e quantitativamente, planejar respostas aos riscos, monitorar e controlar riscos.
2. Os processos incluem identificar riscos por meio de técnicas como brainstorming, analisar riscos usando matriz de probabilidade e impacto, e planejar respostas como prevenir, transferir ou mitigar riscos.
3. O objet
Desde 2011, a Pagliusi Inteligência em cibersegurança está ajudando clientes globais a avaliar, gerenciar e otimizar riscos cibernéticos e de TI, analisar questões tecnológicas de seus negócios e se antecipar aos riscos cibernéticos emergentes, para que seus negócios continuem prosperando.
AE03 - ESTUDO CONTEMPORÂNEO E TRANSVERSAL INDÚSTRIA E TRANSFORMAÇÃO DIGITAL ...Consultoria Acadêmica
“O processo de inovação envolve a geração de ideias para desenvolver projetos que podem ser testados e implementados na empresa, nesse sentido, uma empresa pode escolher entre inovação aberta ou inovação fechada” (Carvalho, 2024, p.17).
CARVALHO, Maria Fernanda Francelin. Estudo contemporâneo e transversal: indústria e transformação digital. Florianópolis, SC: Arqué, 2024.
Com base no exposto e nos conteúdos estudados na disciplina, analise as afirmativas a seguir:
I - A inovação aberta envolve a colaboração com outras empresas ou parceiros externos para impulsionar ainovação.
II – A inovação aberta é o modelo tradicional, em que a empresa conduz todo o processo internamente,desde pesquisa e desenvolvimento até a comercialização do produto.
III – A inovação fechada é realizada inteiramente com recursos internos da empresa, garantindo o sigilo dasinformações e conhecimento exclusivo para uso interno.
IV – O processo que envolve a colaboração com profissionais de outras empresas, reunindo diversasperspectivas e conhecimentos, trata-se de inovação fechada.
É correto o que se afirma em:
ALTERNATIVAS
I e II, apenas.
I e III, apenas.
I, III e IV, apenas.
II, III e IV, apenas.
I, II, III e IV.
Entre em contato conosco
54 99956-3050
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
O documento discute conceitos de riscos de segurança da informação, incluindo ameaças, vulnerabilidades e incidentes. Também aborda análise de riscos e estratégias para lidar com riscos, como aceitar, evitar ou tornar o risco neutro. A aula apresenta exemplos de cada tópico para explicar os conceitos-chave.
O documento discute o gerenciamento de riscos, destacando: (1) a ideia revolucionária que define a fronteira entre os tempos modernos e o passado é o domínio do risco; (2) o estudo sério do risco iniciou-se no Renascimento, quando as pessoas desafiaram as crenças sagradas; (3) a descoberta da teoria das probabilidades por Pascal e Fermat foi fundamental para o conceito moderno de risco.
Este documento discute análise de riscos, incluindo conceitos, origem e classificação de riscos, fatores de categorias de riscos, técnicas de análise de riscos como APR, Hazop e AMFE, e políticas de segurança. O documento fornece exemplos de como aplicar essas técnicas e fatores críticos para o sucesso da gestão de riscos.
int à segurança de processos e gerenciamento de riscos.pdfLarissaNtali
Este documento fornece uma introdução à segurança de processos, discutindo os seguintes tópicos: (1) histórico de acidentes de processo importantes, (2) conceitos-chave como perigo versus risco, (3) pilares da gestão de segurança de processos como entendimento dos perigos e riscos e gestão de risco, e (4) elementos-chave da gestão de segurança de processos como procedimentos operacionais, integridade de ativos e aprendizado com experiências. O documento destaca a importância de identificar perigos e riscos de processo
O documento discute a importância da segurança da informação para proteger os dados das empresas contra problemas como roubo, vírus e crimes. Ele fornece recursos sobre práticas recomendadas de segurança e gestão de riscos, incluindo a análise e avaliação dos riscos para identificar vulnerabilidades e implementar controles adequados.
Este documento apresenta os conceitos fundamentais de segurança da informação baseados na norma ISO 27001. Ele descreve os pré-requisitos, objetivos e estrutura do curso, incluindo termos e definições, normativos existentes e uma seção sobre análise e avaliação de riscos.
O documento apresenta:
1) Uma explicação do mapeamento de processos e riscos, identificando fornecedores, entradas, processos, saídas e clientes;
2) Um exemplo de preenchimento de um SIPOC para o processo de gestão de documentos;
3) Detalhes sobre a análise preliminar de riscos, incluindo atividades, eventos indesejáveis, causas e consequências.
O documento discute aspectos humanos e técnicos da segurança da informação, incluindo treinamento de usuários, controles de acesso físico e lógico, proteção de dados e sistemas, e a importância de uma política de segurança formal.
O documento discute o processo de gerenciamento de riscos em projetos, incluindo as etapas de planejamento, identificação, análise, resposta e monitoramento. Também aborda a importância de um plano de gerenciamento de riscos e métodos para identificar, classificar e priorizar riscos de projeto e organizacionais.
Este documento apresenta um trabalho de conclusão de curso sobre gestão de riscos e continuidade de negócios em tecnologia da informação. Ele discute fundamentos de segurança da informação, análise e gestão de riscos, e estratégias para garantir a continuidade dos negócios diante de incidentes ou desastres. O documento também aborda normas como ISO 27001 e 27002 e métodos para avaliação e tratamento de riscos que ameaçam a segurança da informação e dos negócios de uma organização.
O documento discute a gestão de riscos nas organizações, abordando conceitos como risco, gestão de riscos e maturidade da gestão de riscos. Também analisa a situação atual da gestão de riscos em organizações brasileiras, identificando fatores que favoreceram avanços e obstáculos como a cultura de pouca importância dada à segurança e saúde do trabalho.
O documento discute conceitos fundamentais de tecnologia da informação, incluindo sistemas de informação, tipos de sistemas, vulnerabilidades da informação, ameaças à segurança, política de segurança e agentes envolvidos na segurança da informação. O documento também aborda classificação de informações, políticas de acesso e falhas comuns em sistemas.
O documento fornece informações sobre avaliação de riscos na segurança do trabalho. Em três frases, o documento discute: 1) os objetivos e métodos de avaliação de riscos que podem causar acidentes; 2) os custos diretos e indiretos dos acidentes de trabalho e como os custos indiretos podem ser 8-9 vezes maiores que os diretos; 3) os conceitos de perigo, risco e dano e como são definidos no contexto da segurança no trabalho.
Este documento apresenta conceitos sobre riscos de segurança, processos de avaliação e tratamento de risco, sistemas de gestão e Sistemas de Gestão de Segurança da Informação (SGSI). Inclui exemplos de riscos, controles e exercícios para identificar riscos e controles para ativos. Também explica o que é um sistema de gestão e seus elementos, além de fatores críticos para o sucesso de um SGSI.
O documento discute ameaças, vulnerabilidades e análise de risco para sistemas de informação. Apresenta diversas ameaças como falhas humanas, espionagem e vandalismo e vulnerabilidades como pequenos suportes armazenarem grandes volumes de dados. Descreve técnicas de análise de risco como prever cenários de ameaças e vulnerabilidades e analisar custo-benefício de medidas para evitar riscos.
O documento discute princípios e conceitos fundamentais de gestão de segurança da informação, incluindo confidencialidade, integridade e disponibilidade. Também aborda vulnerabilidades, ameaças, barreiras de segurança e normas como a ISO 27002.
Rotary Club Vizela (http://rotaryclubevizela.blogspot.pt/) 18 de Junho de 2014
Luis Borges Gouveia
Professor Associado com Agregação
Universidade Fernando Pessoa
1. O documento discute o gerenciamento de riscos em projetos e apresenta os seis processos para gerenciar riscos: planejar o gerenciamento de riscos, identificar riscos, analisar riscos qualitativa e quantitativamente, planejar respostas aos riscos, monitorar e controlar riscos.
2. Os processos incluem identificar riscos por meio de técnicas como brainstorming, analisar riscos usando matriz de probabilidade e impacto, e planejar respostas como prevenir, transferir ou mitigar riscos.
3. O objet
Desde 2011, a Pagliusi Inteligência em cibersegurança está ajudando clientes globais a avaliar, gerenciar e otimizar riscos cibernéticos e de TI, analisar questões tecnológicas de seus negócios e se antecipar aos riscos cibernéticos emergentes, para que seus negócios continuem prosperando.
AE03 - ESTUDO CONTEMPORÂNEO E TRANSVERSAL INDÚSTRIA E TRANSFORMAÇÃO DIGITAL ...Consultoria Acadêmica
“O processo de inovação envolve a geração de ideias para desenvolver projetos que podem ser testados e implementados na empresa, nesse sentido, uma empresa pode escolher entre inovação aberta ou inovação fechada” (Carvalho, 2024, p.17).
CARVALHO, Maria Fernanda Francelin. Estudo contemporâneo e transversal: indústria e transformação digital. Florianópolis, SC: Arqué, 2024.
Com base no exposto e nos conteúdos estudados na disciplina, analise as afirmativas a seguir:
I - A inovação aberta envolve a colaboração com outras empresas ou parceiros externos para impulsionar ainovação.
II – A inovação aberta é o modelo tradicional, em que a empresa conduz todo o processo internamente,desde pesquisa e desenvolvimento até a comercialização do produto.
III – A inovação fechada é realizada inteiramente com recursos internos da empresa, garantindo o sigilo dasinformações e conhecimento exclusivo para uso interno.
IV – O processo que envolve a colaboração com profissionais de outras empresas, reunindo diversasperspectivas e conhecimentos, trata-se de inovação fechada.
É correto o que se afirma em:
ALTERNATIVAS
I e II, apenas.
I e III, apenas.
I, III e IV, apenas.
II, III e IV, apenas.
I, II, III e IV.
Entre em contato conosco
54 99956-3050
AE03 - ESTUDO CONTEMPORÂNEO E TRANSVERSAL ENGENHARIA DA SUSTENTABILIDADE UNIC...Consultoria Acadêmica
Os termos "sustentabilidade" e "desenvolvimento sustentável" só ganharam repercussão mundial com a realização da Conferência das Nações Unidas sobre o Meio Ambiente e o Desenvolvimento (CNUMAD), conhecida como Rio 92. O encontro reuniu 179 representantes de países e estabeleceu de vez a pauta ambiental no cenário mundial. Outra mudança de paradigma foi a responsabilidade que os países desenvolvidos têm para um planeta mais sustentável, como planos de redução da emissão de poluentes e investimento de recursos para que os países pobres degradem menos. Atualmente, os termos
"sustentabilidade" e "desenvolvimento sustentável" fazem parte da agenda e do compromisso de todos os países e organizações que pensam no futuro e estão preocupados com a preservação da vida dos seres vivos.
Elaborado pelo professor, 2023.
Diante do contexto apresentado, assinale a alternativa correta sobre a definição de desenvolvimento sustentável:
ALTERNATIVAS
Desenvolvimento sustentável é o desenvolvimento que não esgota os recursos para o futuro.
Desenvolvimento sustantável é o desenvolvimento que supre as necessidades momentâneas das pessoas.
Desenvolvimento sustentável é o desenvolvimento incapaz de garantir o atendimento das necessidades da geração futura.
Desenvolvimento sustentável é um modelo de desenvolvimento econômico, social e político que esteja contraposto ao meio ambiente.
Desenvolvimento sustentável é o desenvolvimento capaz de suprir as necessidades da geração anterior, comprometendo a capacidade de atender às necessidades das futuras gerações.
Entre em contato conosco
54 99956-3050
Se você possui smartphone há mais de 10 anos, talvez não tenha percebido que, no início da onda da
instalação de aplicativos para celulares, quando era instalado um novo aplicativo, ele não perguntava se
podia ter acesso às suas fotos, e-mails, lista de contatos, localização, informações de outros aplicativos
instalados, etc. Isso não significa que agora todos pedem autorização de tudo, mas percebe-se que os
próprios sistemas operacionais (atualmente conhecidos como Android da Google ou IOS da Apple) têm
aumentado a camada de segurança quando algum aplicativo tenta acessar os seus dados, abrindo uma
janela e solicitando sua autorização.
CASTRO, Sílvio. Tecnologia. Formação Sociocultural e Ética II. Unicesumar: Maringá, 2024.
Considerando o exposto, analise as asserções a seguir e assinale a que descreve corretamente.
ALTERNATIVAS
I, apenas.
I e III, apenas.
II e IV, apenas.
II, III e IV, apenas.
I, II, III e IV.
Entre em contato conosco
54 99956-3050
Proteco Q60A
Placa de controlo Proteco Q60A para motor de Braços / Batente
A Proteco Q60A é uma avançada placa de controlo projetada para portões com 1 ou 2 folhas de batente. Com uma programação intuitiva via display, esta central oferece uma gama abrangente de funcionalidades para garantir o desempenho ideal do seu portão.
Compatível com vários motores
2. Objetivos
• Compreender os conceitos de risco,
ameaça, vulnerabilidade e desastre
• Compreender os aspectos que envolvem
riscos e a percepção dos mesmos
• Aplicar a análise e avaliação dos riscos.
3. Material de Estudo
Material Acesso ao Material
Notas de Aula e
Apresentação
http://www.caetano.eng.br/
(Segurança da Informação – Aula 3)
Material Didático Gestão de Segurança da Informação, Cap 4.
Leitura Adicional https://www.esab.edu.br/wp-
content/uploads/monografias/nara-suely-oliveira-
bandeira.pdf (Monografia)
5. Aspectos Lógicos x Físicos
Não existe segurança lógica
sem segurança física
6. Ciclo de Vida da Informação
Criar, importar ou
modificar dados
Detectar dados
Classificar e
Rotular Dados
Proteger os dados
com base em Política
de Segurança
Enviar, compartilhar
e mover dados
Monitorar Dados
Reter, expirar e
deletar dados
8. Ameaça, vulnerabilidade e desastre
• Definindo alguns termos...
– Ameaça
• Qualquer ocorrência que possa provocar perda
– Vulnerabilidade
• Elementos que expõem às ameaças
– Desastre
• Impacto de uma força externa que ocasiona perda ou
prejuízo; não precisa ser destruidor!
9. Ameaça, vulnerabilidade e desastre
• Exemplos
– Ameaças
• Existência de potenciais invasores com interesse nas
informações que mantemos
• Funcionários insatisfeitos com acesso ao banco de
dados
– Vulnerabilidades
• Uma versão antiga de webserver com falha conhecida
• Código PHP mal elaborado que permita injection
– Desastres
• Furto das informações confidenciais de nosso banco
de dados
• Deleção do banco de dados como um todo
10. O que é Risco?
• Risco é uma probabilidade de...
– Ameaças e vulnerabilidades...
– Levarem a desastres
• Em geral, define-se risco como sendo:
• Em outras palavras...
– Se não houver ameaças ou vulnerabilidades...
– ... Não haverá riscos.
𝑟𝑖𝑠𝑐𝑜 = 𝑎𝑚𝑒𝑎ç𝑎𝑠 . 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠
11. Inevitabilidade dos Riscos
• Riscos são inevitáveis
– Investidores comprando ações
– Cirurgiões realizando operações
– Engenheiros projetando pontes
– Empresários abrindo negócios
– Etc...
• Mas gerenciá-los é estratégico:
– Precisam ser minimizados ou mitigados...
– Já que não temos como eliminá-los totalmente
13. Gestão de Riscos
• Gestão de Riscos é:
– Processo para identificar, mensurar e planejar
passos para reduzir um determinado risco a
níveis aceitáveis pela organização
• Já vimos que a informação é estratégica
– Fundamental realizar análise de riscos voltada
aos ativos de informação
– Determinar quais riscos podem afetar a entrega
de produtos ou serviços
– É preciso conhecer os requisitos de negócio!
14. Objetivos da Gestão de Risco
• Fornecer subsídios para:
– A segurança efetiva dos sistemas de TIC –
processamento, armazenagem e transmissão de
dados
– Base sólida para a tomada de decisão – execução
de orçamento e investimentos em tecnologias
para minimizar riscos
– Possibilidade de equilíbrio entre custos de
proteção e desempenho dos sistemas
15. Gestão de Riscos (PMBOK)
• Segundo o PMBOK
– Processos sistemáticos de identificação, análise e
avaliação dos riscos e no estabelecimento de
respostas adequadas
• Processos envolvidos
– Planejar o gerenciamento de riscos
– Identificar os riscos (iterativamente!)
– Analisar qualitativamente os riscos (probab. x impacto)
– Análise quantitativamente os riscos
– Planejar as respostas aos riscos (e responsáveis)
– Monitorar os riscos (acompanhar e identificar novos)
17. Avalição de Riscos
• Passos para a avaliação
– Caracterização do ambiente e sistemas
– Identificação das ameaças
– Identificação das vulnerabilidades
– Análise de controles de segurança
– Determinação da probabilidade
– Análise de impacto
– Determinação do risco
– Recomendação dos controles
– Documentação dos resultados.
18. Caracterização do Ambiente
• Permitir identificar limitações operacionais,
computacionais, de informação etc.
• Inventariar
– Equipamentos
– Sistemas
– Informações
– Serviços (suporte, garantias etc.)
– Pessoas
• Identificar sua criticidade
19. Identificação das Ameaças
• Históricos de incidentes de segurança
– Estatísticas da empresa ou fontes externas
• Tipos de ameaças
– Naturais (terremoto, enchente, incêndio etc...)
– Humanas (dolosos, imperitos, imprudentes ou negligentes)
– Ambientais (falta de energia, poluição etc...)
20. Identificação de Vulnerabilidades
• Falhas ou fraquezas de segurança
• Listas de verificação
– Falhas de software e hardware
• Outros métodos
– Testes e simulações
– Teste de invasão de sistemas
– Auditoria de código
– ...
21. Análise de Controles
• Avaliar controles existentes
– Controles para minimizar ou eliminar chance de
ameaça
– Adequados, ineficazes, insuficientes ou
injustificáveis
• Informações podem ser obtidas através de:
– Análise de documentos dos processos de gestão
de segurança
– Averiguação da efetividade dos controles
existentes.
22. Análise de Probabilidades
• Produção de índice indicativo da chance de
uma ameaça se tornar um desastre
– Alta: existe uma ameaça evidente e nenhum
controle preventivo efetivo
– Média: existe uma ameaça evidente, mas há
controles efetivos em ação
– Baixa: a ameaça é desmotivada e há controles
efetivos em ação
• Considerar experiências passadas
– Estatísticas históricas de ocorrências
– Fatores climáticos e geográficos
– Situações que poderiam levar a erros humanos
23. Análise de Impactos
• Determinar impacto e valor do sistema para a
organização
• Inicia-se com:
– Missão do sistema
– Criticidade do sistema de dados
– Sensibilidade dos dados do sistema
• Identificar o impacto...
– Caso a ameaça “tenha sucesso”
– Integridade, disponibilidade e confidencialidade
• Qualitativa x Quantitativa
24. Determinação do Risco
• Avaliar:
– A possibilidade de exploração da vulnerabilidade
– O impacto ao negócio devido a evento adverso
– Efetividade de controles para reduzir os riscos.
• Tabela conforme ABNT (notas 0 a 8)
25. Recomendações de Controle
• Sugerir novos controles para mitigar riscos
• Considerar:
– Efetividade de opções recomendadas
– Legislação e regulamentação
– Política organizacional
– Impacto operacional
– Segurança e confiabilidade.
26. Documentação dos Resultados
• Documentação e armazenamento
– Estabelecer uma base de conhecimento
– Apoiar novas políticas e procedimentos
• Não se busca apontar erros
– Indicar os riscos inerentes
– Justificar investimentos
– Reduzir potenciais perdas e danos
31. Resumo e Próximos Passos
• Ameaça, vulnerabilidade e riscos
• Gestão de riscos
• Análise e Avaliação de Riscos
– Várias etapas!
• Tratamento dos riscos
– Mitigação
– Aceitação
– Comunicação
– Monitoramento