SlideShare uma empresa Scribd logo
1 de 32
Baixar para ler offline
INTRODUÇÃO À SEGURANÇA
DA INFORMAÇÃO
Prof. Dr. Daniel Caetano
2020 - 1
GESTÃO DE RISCOS
– PARTE I
Objetivos
• Compreender os conceitos de risco,
ameaça, vulnerabilidade e desastre
• Compreender os aspectos que envolvem
riscos e a percepção dos mesmos
• Aplicar a análise e avaliação dos riscos.
Material de Estudo
Material Acesso ao Material
Notas de Aula e
Apresentação
http://www.caetano.eng.br/
(Segurança da Informação – Aula 3)
Material Didático Gestão de Segurança da Informação, Cap 4.
Leitura Adicional https://www.esab.edu.br/wp-
content/uploads/monografias/nara-suely-oliveira-
bandeira.pdf (Monografia)
RETOMANDO:
SEGURANÇA FÍSICA X LÓGICA E
CICLO DE VIDA DA INFORMÃÇÃO
Aspectos Lógicos x Físicos
Não existe segurança lógica
sem segurança física
Ciclo de Vida da Informação
Criar, importar ou
modificar dados
Detectar dados
Classificar e
Rotular Dados
Proteger os dados
com base em Política
de Segurança
Enviar, compartilhar
e mover dados
Monitorar Dados
Reter, expirar e
deletar dados
RISCO? QUE RISCO?
Ameaça, vulnerabilidade e desastre
• Definindo alguns termos...
– Ameaça
• Qualquer ocorrência que possa provocar perda
– Vulnerabilidade
• Elementos que expõem às ameaças
– Desastre
• Impacto de uma força externa que ocasiona perda ou
prejuízo; não precisa ser destruidor!
Ameaça, vulnerabilidade e desastre
• Exemplos
– Ameaças
• Existência de potenciais invasores com interesse nas
informações que mantemos
• Funcionários insatisfeitos com acesso ao banco de
dados
– Vulnerabilidades
• Uma versão antiga de webserver com falha conhecida
• Código PHP mal elaborado que permita injection
– Desastres
• Furto das informações confidenciais de nosso banco
de dados
• Deleção do banco de dados como um todo
O que é Risco?
• Risco é uma probabilidade de...
– Ameaças e vulnerabilidades...
– Levarem a desastres
• Em geral, define-se risco como sendo:
• Em outras palavras...
– Se não houver ameaças ou vulnerabilidades...
– ... Não haverá riscos.
𝑟𝑖𝑠𝑐𝑜 = 𝑎𝑚𝑒𝑎ç𝑎𝑠 . 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠
Inevitabilidade dos Riscos
• Riscos são inevitáveis
– Investidores comprando ações
– Cirurgiões realizando operações
– Engenheiros projetando pontes
– Empresários abrindo negócios
– Etc...
• Mas gerenciá-los é estratégico:
– Precisam ser minimizados ou mitigados...
– Já que não temos como eliminá-los totalmente
A GESTÃO DE RISCOS
Gestão de Riscos
• Gestão de Riscos é:
– Processo para identificar, mensurar e planejar
passos para reduzir um determinado risco a
níveis aceitáveis pela organização
• Já vimos que a informação é estratégica
– Fundamental realizar análise de riscos voltada
aos ativos de informação
– Determinar quais riscos podem afetar a entrega
de produtos ou serviços
– É preciso conhecer os requisitos de negócio!
Objetivos da Gestão de Risco
• Fornecer subsídios para:
– A segurança efetiva dos sistemas de TIC –
processamento, armazenagem e transmissão de
dados
– Base sólida para a tomada de decisão – execução
de orçamento e investimentos em tecnologias
para minimizar riscos
– Possibilidade de equilíbrio entre custos de
proteção e desempenho dos sistemas
Gestão de Riscos (PMBOK)
• Segundo o PMBOK
– Processos sistemáticos de identificação, análise e
avaliação dos riscos e no estabelecimento de
respostas adequadas
• Processos envolvidos
– Planejar o gerenciamento de riscos
– Identificar os riscos (iterativamente!)
– Analisar qualitativamente os riscos (probab. x impacto)
– Análise quantitativamente os riscos
– Planejar as respostas aos riscos (e responsáveis)
– Monitorar os riscos (acompanhar e identificar novos)
ANÁLISE E
AVALIAÇÃO DE RISCOS
Avalição de Riscos
• Passos para a avaliação
– Caracterização do ambiente e sistemas
– Identificação das ameaças
– Identificação das vulnerabilidades
– Análise de controles de segurança
– Determinação da probabilidade
– Análise de impacto
– Determinação do risco
– Recomendação dos controles
– Documentação dos resultados.
Caracterização do Ambiente
• Permitir identificar limitações operacionais,
computacionais, de informação etc.
• Inventariar
– Equipamentos
– Sistemas
– Informações
– Serviços (suporte, garantias etc.)
– Pessoas
• Identificar sua criticidade
Identificação das Ameaças
• Históricos de incidentes de segurança
– Estatísticas da empresa ou fontes externas
• Tipos de ameaças
– Naturais (terremoto, enchente, incêndio etc...)
– Humanas (dolosos, imperitos, imprudentes ou negligentes)
– Ambientais (falta de energia, poluição etc...)
Identificação de Vulnerabilidades
• Falhas ou fraquezas de segurança
• Listas de verificação
– Falhas de software e hardware
• Outros métodos
– Testes e simulações
– Teste de invasão de sistemas
– Auditoria de código
– ...
Análise de Controles
• Avaliar controles existentes
– Controles para minimizar ou eliminar chance de
ameaça
– Adequados, ineficazes, insuficientes ou
injustificáveis
• Informações podem ser obtidas através de:
– Análise de documentos dos processos de gestão
de segurança
– Averiguação da efetividade dos controles
existentes.
Análise de Probabilidades
• Produção de índice indicativo da chance de
uma ameaça se tornar um desastre
– Alta: existe uma ameaça evidente e nenhum
controle preventivo efetivo
– Média: existe uma ameaça evidente, mas há
controles efetivos em ação
– Baixa: a ameaça é desmotivada e há controles
efetivos em ação
• Considerar experiências passadas
– Estatísticas históricas de ocorrências
– Fatores climáticos e geográficos
– Situações que poderiam levar a erros humanos
Análise de Impactos
• Determinar impacto e valor do sistema para a
organização
• Inicia-se com:
– Missão do sistema
– Criticidade do sistema de dados
– Sensibilidade dos dados do sistema
• Identificar o impacto...
– Caso a ameaça “tenha sucesso”
– Integridade, disponibilidade e confidencialidade
• Qualitativa x Quantitativa
Determinação do Risco
• Avaliar:
– A possibilidade de exploração da vulnerabilidade
– O impacto ao negócio devido a evento adverso
– Efetividade de controles para reduzir os riscos.
• Tabela conforme ABNT (notas 0 a 8)
Recomendações de Controle
• Sugerir novos controles para mitigar riscos
• Considerar:
– Efetividade de opções recomendadas
– Legislação e regulamentação
– Política organizacional
– Impacto operacional
– Segurança e confiabilidade.
Documentação dos Resultados
• Documentação e armazenamento
– Estabelecer uma base de conhecimento
– Apoiar novas políticas e procedimentos
• Não se busca apontar erros
– Indicar os riscos inerentes
– Justificar investimentos
– Reduzir potenciais perdas e danos
QUESTÕES
Questão 1
Questão 2
I
CONCLUSÕES
Resumo e Próximos Passos
• Ameaça, vulnerabilidade e riscos
• Gestão de riscos
• Análise e Avaliação de Riscos
– Várias etapas!
• Tratamento dos riscos
– Mitigação
– Aceitação
– Comunicação
– Monitoramento
PERGUNTAS?

Mais conteúdo relacionado

Semelhante a CCT0894_aula03 (2).pdf

Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
 
Aula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptAula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptGleidson Almeida
 
int à segurança de processos e gerenciamento de riscos.pdf
int à segurança de processos e gerenciamento de riscos.pdfint à segurança de processos e gerenciamento de riscos.pdf
int à segurança de processos e gerenciamento de riscos.pdfLarissaNtali
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFabrício Basto
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Jairo Willian Pereira
 
Mapeamento de processos e riscos
Mapeamento de processos e riscosMapeamento de processos e riscos
Mapeamento de processos e riscosFabíola Rocha
 
Webinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em SegurosWebinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em SegurosEscola Nacional de Seguros
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3Fabrício Basto
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
gestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptgestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptOtacioCandido1
 
3. hst avaliação de riscos
3. hst avaliação de riscos3. hst avaliação de riscos
3. hst avaliação de riscosGilson Adao
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Vulnerabilidade.ppt
Vulnerabilidade.pptVulnerabilidade.ppt
Vulnerabilidade.pptAgostinho9
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosLuis Borges Gouveia
 

Semelhante a CCT0894_aula03 (2).pdf (20)

Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 
Gerenciamento de Riscos
Gerenciamento de RiscosGerenciamento de Riscos
Gerenciamento de Riscos
 
Aula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.pptAula para iniciantes em Análise de Riscos.ppt
Aula para iniciantes em Análise de Riscos.ppt
 
int à segurança de processos e gerenciamento de riscos.pdf
int à segurança de processos e gerenciamento de riscos.pdfint à segurança de processos e gerenciamento de riscos.pdf
int à segurança de processos e gerenciamento de riscos.pdf
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 
Mapeamento de processos e riscos
Mapeamento de processos e riscosMapeamento de processos e riscos
Mapeamento de processos e riscos
 
Webinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em SegurosWebinar Processo de Subscrição de Riscos em Seguros
Webinar Processo de Subscrição de Riscos em Seguros
 
Segurança da informação - Parte 3
Segurança da informação - Parte 3Segurança da informação - Parte 3
Segurança da informação - Parte 3
 
Ris02
Ris02Ris02
Ris02
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
gestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.pptgestao_de_riscos_nas_organizacoes.ppt
gestao_de_riscos_nas_organizacoes.ppt
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
3. hst avaliação de riscos
3. hst avaliação de riscos3. hst avaliação de riscos
3. hst avaliação de riscos
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Vulnerabilidade.ppt
Vulnerabilidade.pptVulnerabilidade.ppt
Vulnerabilidade.ppt
 
Aula.revisao av2 gsi
Aula.revisao av2 gsiAula.revisao av2 gsi
Aula.revisao av2 gsi
 
Segurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafiosSegurança informática: contexto, conceitos e desafios
Segurança informática: contexto, conceitos e desafios
 
Gerenciamento de Riscos
Gerenciamento de  RiscosGerenciamento de  Riscos
Gerenciamento de Riscos
 
Apresentacão Pagliusi Ciberseguranca.pdf
Apresentacão Pagliusi Ciberseguranca.pdfApresentacão Pagliusi Ciberseguranca.pdf
Apresentacão Pagliusi Ciberseguranca.pdf
 

Último

Análise de Risco na Construcao Civil.pdf
Análise de Risco na Construcao Civil.pdfAnálise de Risco na Construcao Civil.pdf
Análise de Risco na Construcao Civil.pdfMarcoAntonioRSiqueir
 
pgr programa de gerenciamento de risco posto de gasolina
pgr programa de gerenciamento de risco posto  de gasolinapgr programa de gerenciamento de risco posto  de gasolina
pgr programa de gerenciamento de risco posto de gasolinamikhaelbaptista
 
Normas Técnicas para aparelho de solda oxi-acetileno.pdf
Normas Técnicas para aparelho de solda oxi-acetileno.pdfNormas Técnicas para aparelho de solda oxi-acetileno.pdf
Normas Técnicas para aparelho de solda oxi-acetileno.pdfAlexsandroRocha22
 
Planejamento e controle da Produção_Lustosa.pdf
Planejamento e controle da Produção_Lustosa.pdfPlanejamento e controle da Produção_Lustosa.pdf
Planejamento e controle da Produção_Lustosa.pdfssusercc9a5f
 
CONCEITOS BÁSICOS DE CONFIABILIDADE COM EMBASAMENTO DE QUALIDADE
CONCEITOS BÁSICOS DE CONFIABILIDADE COM EMBASAMENTO DE QUALIDADECONCEITOS BÁSICOS DE CONFIABILIDADE COM EMBASAMENTO DE QUALIDADE
CONCEITOS BÁSICOS DE CONFIABILIDADE COM EMBASAMENTO DE QUALIDADEssusercc9a5f
 
SEG NR 18 - SEGURANÇA E SAÚDE O TRABALHO NA INDUSTRIA DA COSTRUÇÃO CIVIL.pptx
SEG NR 18 - SEGURANÇA E SAÚDE O TRABALHO NA INDUSTRIA DA COSTRUÇÃO CIVIL.pptxSEG NR 18 - SEGURANÇA E SAÚDE O TRABALHO NA INDUSTRIA DA COSTRUÇÃO CIVIL.pptx
SEG NR 18 - SEGURANÇA E SAÚDE O TRABALHO NA INDUSTRIA DA COSTRUÇÃO CIVIL.pptxavaseg
 
ST 2024 Statum Apresentação Comercial - VF
ST 2024 Statum Apresentação Comercial - VFST 2024 Statum Apresentação Comercial - VF
ST 2024 Statum Apresentação Comercial - VFmarketing18485
 
apostila de eletricidade básica Werther serralheiro
apostila de eletricidade básica Werther serralheiroapostila de eletricidade básica Werther serralheiro
apostila de eletricidade básica Werther serralheirossuserd390f8
 
ST 2024 Apresentação Comercial - VF.ppsx
ST 2024 Apresentação Comercial - VF.ppsxST 2024 Apresentação Comercial - VF.ppsx
ST 2024 Apresentação Comercial - VF.ppsxmarketing18485
 

Último (9)

Análise de Risco na Construcao Civil.pdf
Análise de Risco na Construcao Civil.pdfAnálise de Risco na Construcao Civil.pdf
Análise de Risco na Construcao Civil.pdf
 
pgr programa de gerenciamento de risco posto de gasolina
pgr programa de gerenciamento de risco posto  de gasolinapgr programa de gerenciamento de risco posto  de gasolina
pgr programa de gerenciamento de risco posto de gasolina
 
Normas Técnicas para aparelho de solda oxi-acetileno.pdf
Normas Técnicas para aparelho de solda oxi-acetileno.pdfNormas Técnicas para aparelho de solda oxi-acetileno.pdf
Normas Técnicas para aparelho de solda oxi-acetileno.pdf
 
Planejamento e controle da Produção_Lustosa.pdf
Planejamento e controle da Produção_Lustosa.pdfPlanejamento e controle da Produção_Lustosa.pdf
Planejamento e controle da Produção_Lustosa.pdf
 
CONCEITOS BÁSICOS DE CONFIABILIDADE COM EMBASAMENTO DE QUALIDADE
CONCEITOS BÁSICOS DE CONFIABILIDADE COM EMBASAMENTO DE QUALIDADECONCEITOS BÁSICOS DE CONFIABILIDADE COM EMBASAMENTO DE QUALIDADE
CONCEITOS BÁSICOS DE CONFIABILIDADE COM EMBASAMENTO DE QUALIDADE
 
SEG NR 18 - SEGURANÇA E SAÚDE O TRABALHO NA INDUSTRIA DA COSTRUÇÃO CIVIL.pptx
SEG NR 18 - SEGURANÇA E SAÚDE O TRABALHO NA INDUSTRIA DA COSTRUÇÃO CIVIL.pptxSEG NR 18 - SEGURANÇA E SAÚDE O TRABALHO NA INDUSTRIA DA COSTRUÇÃO CIVIL.pptx
SEG NR 18 - SEGURANÇA E SAÚDE O TRABALHO NA INDUSTRIA DA COSTRUÇÃO CIVIL.pptx
 
ST 2024 Statum Apresentação Comercial - VF
ST 2024 Statum Apresentação Comercial - VFST 2024 Statum Apresentação Comercial - VF
ST 2024 Statum Apresentação Comercial - VF
 
apostila de eletricidade básica Werther serralheiro
apostila de eletricidade básica Werther serralheiroapostila de eletricidade básica Werther serralheiro
apostila de eletricidade básica Werther serralheiro
 
ST 2024 Apresentação Comercial - VF.ppsx
ST 2024 Apresentação Comercial - VF.ppsxST 2024 Apresentação Comercial - VF.ppsx
ST 2024 Apresentação Comercial - VF.ppsx
 

CCT0894_aula03 (2).pdf

  • 1. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO Prof. Dr. Daniel Caetano 2020 - 1 GESTÃO DE RISCOS – PARTE I
  • 2. Objetivos • Compreender os conceitos de risco, ameaça, vulnerabilidade e desastre • Compreender os aspectos que envolvem riscos e a percepção dos mesmos • Aplicar a análise e avaliação dos riscos.
  • 3. Material de Estudo Material Acesso ao Material Notas de Aula e Apresentação http://www.caetano.eng.br/ (Segurança da Informação – Aula 3) Material Didático Gestão de Segurança da Informação, Cap 4. Leitura Adicional https://www.esab.edu.br/wp- content/uploads/monografias/nara-suely-oliveira- bandeira.pdf (Monografia)
  • 4. RETOMANDO: SEGURANÇA FÍSICA X LÓGICA E CICLO DE VIDA DA INFORMÃÇÃO
  • 5. Aspectos Lógicos x Físicos Não existe segurança lógica sem segurança física
  • 6. Ciclo de Vida da Informação Criar, importar ou modificar dados Detectar dados Classificar e Rotular Dados Proteger os dados com base em Política de Segurança Enviar, compartilhar e mover dados Monitorar Dados Reter, expirar e deletar dados
  • 8. Ameaça, vulnerabilidade e desastre • Definindo alguns termos... – Ameaça • Qualquer ocorrência que possa provocar perda – Vulnerabilidade • Elementos que expõem às ameaças – Desastre • Impacto de uma força externa que ocasiona perda ou prejuízo; não precisa ser destruidor!
  • 9. Ameaça, vulnerabilidade e desastre • Exemplos – Ameaças • Existência de potenciais invasores com interesse nas informações que mantemos • Funcionários insatisfeitos com acesso ao banco de dados – Vulnerabilidades • Uma versão antiga de webserver com falha conhecida • Código PHP mal elaborado que permita injection – Desastres • Furto das informações confidenciais de nosso banco de dados • Deleção do banco de dados como um todo
  • 10. O que é Risco? • Risco é uma probabilidade de... – Ameaças e vulnerabilidades... – Levarem a desastres • Em geral, define-se risco como sendo: • Em outras palavras... – Se não houver ameaças ou vulnerabilidades... – ... Não haverá riscos. 𝑟𝑖𝑠𝑐𝑜 = 𝑎𝑚𝑒𝑎ç𝑎𝑠 . 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠
  • 11. Inevitabilidade dos Riscos • Riscos são inevitáveis – Investidores comprando ações – Cirurgiões realizando operações – Engenheiros projetando pontes – Empresários abrindo negócios – Etc... • Mas gerenciá-los é estratégico: – Precisam ser minimizados ou mitigados... – Já que não temos como eliminá-los totalmente
  • 12. A GESTÃO DE RISCOS
  • 13. Gestão de Riscos • Gestão de Riscos é: – Processo para identificar, mensurar e planejar passos para reduzir um determinado risco a níveis aceitáveis pela organização • Já vimos que a informação é estratégica – Fundamental realizar análise de riscos voltada aos ativos de informação – Determinar quais riscos podem afetar a entrega de produtos ou serviços – É preciso conhecer os requisitos de negócio!
  • 14. Objetivos da Gestão de Risco • Fornecer subsídios para: – A segurança efetiva dos sistemas de TIC – processamento, armazenagem e transmissão de dados – Base sólida para a tomada de decisão – execução de orçamento e investimentos em tecnologias para minimizar riscos – Possibilidade de equilíbrio entre custos de proteção e desempenho dos sistemas
  • 15. Gestão de Riscos (PMBOK) • Segundo o PMBOK – Processos sistemáticos de identificação, análise e avaliação dos riscos e no estabelecimento de respostas adequadas • Processos envolvidos – Planejar o gerenciamento de riscos – Identificar os riscos (iterativamente!) – Analisar qualitativamente os riscos (probab. x impacto) – Análise quantitativamente os riscos – Planejar as respostas aos riscos (e responsáveis) – Monitorar os riscos (acompanhar e identificar novos)
  • 17. Avalição de Riscos • Passos para a avaliação – Caracterização do ambiente e sistemas – Identificação das ameaças – Identificação das vulnerabilidades – Análise de controles de segurança – Determinação da probabilidade – Análise de impacto – Determinação do risco – Recomendação dos controles – Documentação dos resultados.
  • 18. Caracterização do Ambiente • Permitir identificar limitações operacionais, computacionais, de informação etc. • Inventariar – Equipamentos – Sistemas – Informações – Serviços (suporte, garantias etc.) – Pessoas • Identificar sua criticidade
  • 19. Identificação das Ameaças • Históricos de incidentes de segurança – Estatísticas da empresa ou fontes externas • Tipos de ameaças – Naturais (terremoto, enchente, incêndio etc...) – Humanas (dolosos, imperitos, imprudentes ou negligentes) – Ambientais (falta de energia, poluição etc...)
  • 20. Identificação de Vulnerabilidades • Falhas ou fraquezas de segurança • Listas de verificação – Falhas de software e hardware • Outros métodos – Testes e simulações – Teste de invasão de sistemas – Auditoria de código – ...
  • 21. Análise de Controles • Avaliar controles existentes – Controles para minimizar ou eliminar chance de ameaça – Adequados, ineficazes, insuficientes ou injustificáveis • Informações podem ser obtidas através de: – Análise de documentos dos processos de gestão de segurança – Averiguação da efetividade dos controles existentes.
  • 22. Análise de Probabilidades • Produção de índice indicativo da chance de uma ameaça se tornar um desastre – Alta: existe uma ameaça evidente e nenhum controle preventivo efetivo – Média: existe uma ameaça evidente, mas há controles efetivos em ação – Baixa: a ameaça é desmotivada e há controles efetivos em ação • Considerar experiências passadas – Estatísticas históricas de ocorrências – Fatores climáticos e geográficos – Situações que poderiam levar a erros humanos
  • 23. Análise de Impactos • Determinar impacto e valor do sistema para a organização • Inicia-se com: – Missão do sistema – Criticidade do sistema de dados – Sensibilidade dos dados do sistema • Identificar o impacto... – Caso a ameaça “tenha sucesso” – Integridade, disponibilidade e confidencialidade • Qualitativa x Quantitativa
  • 24. Determinação do Risco • Avaliar: – A possibilidade de exploração da vulnerabilidade – O impacto ao negócio devido a evento adverso – Efetividade de controles para reduzir os riscos. • Tabela conforme ABNT (notas 0 a 8)
  • 25. Recomendações de Controle • Sugerir novos controles para mitigar riscos • Considerar: – Efetividade de opções recomendadas – Legislação e regulamentação – Política organizacional – Impacto operacional – Segurança e confiabilidade.
  • 26. Documentação dos Resultados • Documentação e armazenamento – Estabelecer uma base de conhecimento – Apoiar novas políticas e procedimentos • Não se busca apontar erros – Indicar os riscos inerentes – Justificar investimentos – Reduzir potenciais perdas e danos
  • 31. Resumo e Próximos Passos • Ameaça, vulnerabilidade e riscos • Gestão de riscos • Análise e Avaliação de Riscos – Várias etapas! • Tratamento dos riscos – Mitigação – Aceitação – Comunicação – Monitoramento