SlideShare uma empresa Scribd logo
Introdução a Segurança da Informação
Pós Graduação em Qualidade e Governança de TI




     MOD 2 – Gerenciamento de
           Riscos de SI
                                                    Professor Fernando Palma
                                                (fernando.palma@gmail.com)
                                                               (71) 8837-0007
                                                      http://portalgsti.com.br
                                                        Por Fernando Palma


Introdução a Segurança da Informação                    Faculdade Ruy Barbosa
Agenda



  Conceitos de riscos



  Análise de Riscos


  Estratégias para lhe dar com riscos




Introdução a Segurança da Informação    Faculdade Ruy Barbosa
Conceitos de riscos
 Ameaça:
 É o que provoca um risco, um dano ou uma perda.




Introdução a Segurança da Informação    Faculdade Ruy Barbosa
Conceitos de riscos
 Vulnerabilidade:
 A fragilidade ativo em relação a uma possível
 ameaça.




Introdução a Segurança da Informação   Faculdade Ruy Barbosa
Conceitos de riscos
 Exemplos de ameaças e vulnerabilidades:

 Ameaças
   • Ataque de hacker
   • Incêndio
   • Inundação

 Vulnerabilidades
    • Falta de contigência
    • Firewall desatualizado
    • Falta de no brake
    • Controles de segurança inadequados

Introdução a Segurança da Informação       Faculdade Ruy Barbosa
Conceitos de riscos
 Incidente de Segurança da Informação: quando uma
 ameaça de manifesta.




Introdução a Segurança da Informação   Faculdade Ruy Barbosa
Conceitos de riscos
 Risco: um risco de segurança é o potencial que uma dada
 ameaça irá explorar vulnerabilidades para causar perda ou
 danos a um ativo ou um grupo de ativos.


                   Alta
 Vulnerabilidade




                   Média




                   Baixa

                           Baixa       Média             Alta
                                               Probabilidade da ameaça
Introdução a Segurança da Informação                     Faculdade Ruy Barbosa
Conceitos de riscos
 Exemplos de riscos de Segurança da Informação:

  Perda de disponibilidade da informação
  Perda de credibilidade da empresa
  Perda de integridade da informação
  Parada do processo de negócio por conta de falhas em TI




Introdução a Segurança da Informação      Faculdade Ruy Barbosa
Agenda



  Conceitos de riscos



  Análise de Riscos


  Estratégias para lhe dar com riscos




Introdução a Segurança da Informação    Faculdade Ruy Barbosa
Análise de Riscos

 Análise de riscos

 • É uma ferramenta usada no Gerenciamento de Riscos, ou
 pode ser vista como uma etapa.
 • Visa identificar quais ameaças são relevantes no processo
 operacional e identificar os riscos associados.
 • Compreende 04 principais objetivos:
     • Identificar ativos e seus valores
     • Determinar vulnerabilidades e ameaças
     • Determintar quais ameaças e riscos tem maior impacto
     • Equilibrar o custo de um incidente e o custo das
     medidas de segurança

Introdução a Segurança da Informação        Faculdade Ruy Barbosa
Análise de Riscos

 Gerenciamento de Riscos

 • O Gerenciamento de Riscos é um processo no qual os
 riscos são identificados, analisados e reduzidos a um nível
 aceitavel.




Introdução a Segurança da Informação         Faculdade Ruy Barbosa
Análise de Riscos

 Análise de Riscos Quantitativa

 • Envolve calculo de impacto numericamente
 • Focado na perda financeira
 • Comparar o custo das medidas com o custo da perda
 financeira envolvida com o ativo

 • Exemplos: quantos clientes podemos perder? Qual
 prejuízo financeiro envolve este risco?




Introdução a Segurança da Informação    Faculdade Ruy Barbosa
Análise de Riscos

 Análise de Riscos Qualitativa

 • A chance de que a ameaça se torne realidade é
 analisada baseada nos sentimentos das pessoas
 • A análise então avalia o processo operacional envolvido
 com qual a ameaça se relaciona e verifica quais medidas
 precisasm ser aplicadas




Introdução a Segurança da Informação       Faculdade Ruy Barbosa
Agenda



  Conceitos de riscos



  Análise de Riscos


  Estratégias para lhe dar com riscos




Introdução a Segurança da Informação    Faculdade Ruy Barbosa
Estratégias para lhe dar com riscos

  Para conviver com riscos, existem medidas que podem ser
 aplicadas para a redução da probabilidade deste evento acontecer,
 redução do impacto caso ele aconteça, ou uma combinação as duas.




Introdução a Segurança da Informação           Faculdade Ruy Barbosa
Estratégias para lhe dar com riscos

 Estratégias para lhe dar com riscos


           Estratégias
                     Aceitar o risco

                      Evitar o risco

                Tornar o risco neutro

Introdução a Segurança da Informação    Faculdade Ruy Barbosa
Estratégias para lhe dar com riscos

 Tipos de medidas de Segurança

 Prevenção
 Uma prevenção impossibilita a ocorrência de uma ameaça, ou
 minimiza essa possibilidade. Ex: controle de acesso.

 Detecção
 Para incidentes que tem danos com menor imapcto ou para
 aqueles que exite tempo hábil para tratar caso ocorram, a
 medida de detecção pode ser utilizada. Ex: monitoramento de
 eventos.

 Repressão
 Minimizar as consequências, após detecçãpo do incidente .
Introdução a Segurança da Informação            Faculdade Ruy Barbosa
Estratégias para lhe dar com riscos

 Tipos de medidas de Segurança

 Correção ou Recuperação
 Realizar o reparo após ocorrência do incidente e minimização do seu
 impacto. Ex: restaurar backup.

 Garantia
 Para eventos quais não existem métodos de prevenção ou para
 quais existem altos níveis de impacto, devem ser procurados
 métodos que reduzem as consequências. Ex: seguro contra fogo.

 Aceitação
 Simplesmente aceitar o risco, já que as medidas requerem um custo
 inaceitável ou custo maior do que os danos.
Introdução a Segurança da Informação            Faculdade Ruy Barbosa
Estratégias para lhe dar com riscos

 Tipos de ameaças                      Tipos de danos


       Ameaças                             Danos

           Humanas                            Diretos

             Não
                                             Indiretos
           Humanas

Introdução a Segurança da Informação             Faculdade Ruy Barbosa
Verdadeiro ou Falso?
 1. ( ) O conceito de ameaça pode ser definido como uma
    fragilidade de um ativo.
 2. ( ) Um incidente de Segurança da Informação ocorre
    quando uma ameaça de manifesta.
 3. ( ) A análise de reiscos pode ser considerada uma etapa do
    processo de gerenciamento de riscos.
 4. ( ) O Gerenciamento de Riscos é um processo no qual os
    riscos são identificados, analisados e reduzidos a um nível
    aceitavel.
 5. ( ) As estratégias para lhe dar com riscos são duas: aceitar o
    risco ou evitar o risco
 6. ( ) Os tipos de ameaças possíveis são as diretas e indiretas.
 7. ( ) A análise de riscos qualitativa é focada na perda
    financeira.

Introdução a Segurança da Informação             Faculdade Ruy Barbosa
Faculdade Ruy Barbosa                               Introdução a Segurança da Informação
1.   ( F ) O conceito de ameaça pode ser definido como uma fragilidade de um ativo.
2.   ( V ) Um incidente de Segurança da Informação ocorre quando uma ameaça de
     manifesta.
3.   ( V ) A análise de reiscos pode ser considerada uma etapa do processo de
     gerenciamento de riscos.
4.   ( V ) O Gerenciamento de Riscos é um processo no qual os riscos são
     identificados, analisados e reduzidos a um nível aceitavel.
5.   ( F ) As estratégias para lhe dar com riscos são duas: aceitar o risco ou evitar o
     risco
6.    ( F ) Os tipos de ameaças possíveis são as diretas e indiretas.
7.    ( F ) A análise de riscos qualitativa é focada na perda financeira.
                                                         Verdadeiro ou Falso?
Fim do módulo 02




    Dúvidas?




               fernando.palma@gmail.com
                           (71) 8837-0007
                   http://portalgsti.com.br

Mais conteúdo relacionado

Mais procurados

Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
Gilberto Sudre
 
Dados x informação
Dados x informaçãoDados x informação
Dados x informação
Eros Augusto Asturiano Martins
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Aula 5 - A TI nas Organizações
Aula 5 - A TI nas OrganizaçõesAula 5 - A TI nas Organizações
Aula 5 - A TI nas Organizações
Filipo Mór
 
Aula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação Gerencial
Anderson Simão
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
Neemias Lopes
 
Tecnologia Da Informaçao
Tecnologia Da InformaçaoTecnologia Da Informaçao
Tecnologia Da Informaçao
Future Press, E-Press, Presentations,
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informação
Carlos De Carvalho
 
Modelagem de Sistema de Informação 02
Modelagem de Sistema de Informação 02Modelagem de Sistema de Informação 02
Modelagem de Sistema de Informação 02
Danielle Ballester, PMP,PSM,SFC,SDC,SMC,SPOC,SCT
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
João Carlos da Silva Junior
 
Conceitos de Sistemas de Informação
Conceitos de Sistemas de InformaçãoConceitos de Sistemas de Informação
Conceitos de Sistemas de Informação
luanrjesus
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
GrupoAlves - professor
 
Internet das Coisas - Conectando você e tudo ao seu redor
Internet das Coisas - Conectando você e tudo ao seu redorInternet das Coisas - Conectando você e tudo ao seu redor
Internet das Coisas - Conectando você e tudo ao seu redor
André Curvello
 
Sistema de Informação Gerencial
Sistema de Informação GerencialSistema de Informação Gerencial
Sistema de Informação Gerencial
Loham Silva
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Rodrigo Gomes da Silva
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Samantha Nunes
 
01 aula sistema de qualidade
01 aula sistema de qualidade01 aula sistema de qualidade
01 aula sistema de qualidade
Homero Alves de Lima
 
Introdução à Análise de Dados - Aula 01
Introdução à Análise de Dados - Aula 01Introdução à Análise de Dados - Aula 01
Introdução à Análise de Dados - Aula 01
Alexandre Duarte
 
Carreira em TI - Começando na direção certa
Carreira em TI - Começando na direção certaCarreira em TI - Começando na direção certa
Carreira em TI - Começando na direção certa
Luiz Ricardo Silva
 
Saúde e Segurança no Trabalho
Saúde e Segurança no TrabalhoSaúde e Segurança no Trabalho
Saúde e Segurança no Trabalho
Leonardo Machado
 

Mais procurados (20)

Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Dados x informação
Dados x informaçãoDados x informação
Dados x informação
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Aula 5 - A TI nas Organizações
Aula 5 - A TI nas OrganizaçõesAula 5 - A TI nas Organizações
Aula 5 - A TI nas Organizações
 
Aula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação Gerencial
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Tecnologia Da Informaçao
Tecnologia Da InformaçaoTecnologia Da Informaçao
Tecnologia Da Informaçao
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informação
 
Modelagem de Sistema de Informação 02
Modelagem de Sistema de Informação 02Modelagem de Sistema de Informação 02
Modelagem de Sistema de Informação 02
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Conceitos de Sistemas de Informação
Conceitos de Sistemas de InformaçãoConceitos de Sistemas de Informação
Conceitos de Sistemas de Informação
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
 
Internet das Coisas - Conectando você e tudo ao seu redor
Internet das Coisas - Conectando você e tudo ao seu redorInternet das Coisas - Conectando você e tudo ao seu redor
Internet das Coisas - Conectando você e tudo ao seu redor
 
Sistema de Informação Gerencial
Sistema de Informação GerencialSistema de Informação Gerencial
Sistema de Informação Gerencial
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
01 aula sistema de qualidade
01 aula sistema de qualidade01 aula sistema de qualidade
01 aula sistema de qualidade
 
Introdução à Análise de Dados - Aula 01
Introdução à Análise de Dados - Aula 01Introdução à Análise de Dados - Aula 01
Introdução à Análise de Dados - Aula 01
 
Carreira em TI - Começando na direção certa
Carreira em TI - Começando na direção certaCarreira em TI - Começando na direção certa
Carreira em TI - Começando na direção certa
 
Saúde e Segurança no Trabalho
Saúde e Segurança no TrabalhoSaúde e Segurança no Trabalho
Saúde e Segurança no Trabalho
 

Semelhante a Gerenciamento de riscos de segurança da informação - MOD02

Risco ietec versão_2
Risco ietec versão_2Risco ietec versão_2
Risco ietec versão_2
Carlos Sousa
 
Gerenciamento de risco
Gerenciamento de riscoGerenciamento de risco
Gerenciamento de risco
lcesar22
 
Aula 1- Conceitos fundamentais de gerenciamento.pptx
Aula 1- Conceitos fundamentais de gerenciamento.pptxAula 1- Conceitos fundamentais de gerenciamento.pptx
Aula 1- Conceitos fundamentais de gerenciamento.pptx
JoaoMarcosMoteiroBAT
 
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptxPREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
OtacioCandido1
 
CCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdfCCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdf
AdemarNeto18
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
Robson Silva Espig
 
Avaliacao riscos-carlos h-melo
Avaliacao riscos-carlos h-meloAvaliacao riscos-carlos h-melo
Avaliacao riscos-carlos h-melo
Tiago Alves
 
Segurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptxSegurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptx
Clausia Antoneli
 
Gerenciamento de riscos conceitos básicos
Gerenciamento de riscos   conceitos básicosGerenciamento de riscos   conceitos básicos
Gerenciamento de riscos conceitos básicos
Universidade Federal Fluminense
 
Gerenciamento De Riscos Da InovaçãO Tecnologica
Gerenciamento De Riscos Da InovaçãO TecnologicaGerenciamento De Riscos Da InovaçãO Tecnologica
Gerenciamento De Riscos Da InovaçãO Tecnologica
Luiz Deoclecio Fiore, CRMA Certified
 
Controlo de riscos profissionais
Controlo de riscos profissionaisControlo de riscos profissionais
Controlo de riscos profissionais
Filipa Andrade
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
2m Assessoria
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
2m Assessoria
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
2m Assessoria
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
2m Assessoria
 
segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
alexandre henrique baía ribeiro
 
Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra Inteligencia
Grupo Treinar
 
O risco sob o ponto de vista do atuário uma visão simplificada
O risco sob o ponto de vista do atuário   uma visão simplificadaO risco sob o ponto de vista do atuário   uma visão simplificada
O risco sob o ponto de vista do atuário uma visão simplificada
Universidade Federal Fluminense
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002   versão 2013 foundationCurso oficial iso 27002   versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
Adriano Martins Antonio
 
Aula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfAula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdf
ssuser1c1fba1
 

Semelhante a Gerenciamento de riscos de segurança da informação - MOD02 (20)

Risco ietec versão_2
Risco ietec versão_2Risco ietec versão_2
Risco ietec versão_2
 
Gerenciamento de risco
Gerenciamento de riscoGerenciamento de risco
Gerenciamento de risco
 
Aula 1- Conceitos fundamentais de gerenciamento.pptx
Aula 1- Conceitos fundamentais de gerenciamento.pptxAula 1- Conceitos fundamentais de gerenciamento.pptx
Aula 1- Conceitos fundamentais de gerenciamento.pptx
 
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptxPREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
PREVENÇÃO E CONTROLE DE PERDAS - AULA II.pptx
 
CCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdfCCT0894_aula03 (2).pdf
CCT0894_aula03 (2).pdf
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
 
Avaliacao riscos-carlos h-melo
Avaliacao riscos-carlos h-meloAvaliacao riscos-carlos h-melo
Avaliacao riscos-carlos h-melo
 
Segurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptxSegurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptx
 
Gerenciamento de riscos conceitos básicos
Gerenciamento de riscos   conceitos básicosGerenciamento de riscos   conceitos básicos
Gerenciamento de riscos conceitos básicos
 
Gerenciamento De Riscos Da InovaçãO Tecnologica
Gerenciamento De Riscos Da InovaçãO TecnologicaGerenciamento De Riscos Da InovaçãO Tecnologica
Gerenciamento De Riscos Da InovaçãO Tecnologica
 
Controlo de riscos profissionais
Controlo de riscos profissionaisControlo de riscos profissionais
Controlo de riscos profissionais
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
 
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docxATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
ATIVIDADE 1 - SEGURANÇA E AUDITORIA DE SISTEMAS - 512024.docx
 
segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
 
Curso de Contra Inteligencia
Curso de Contra InteligenciaCurso de Contra Inteligencia
Curso de Contra Inteligencia
 
O risco sob o ponto de vista do atuário uma visão simplificada
O risco sob o ponto de vista do atuário   uma visão simplificadaO risco sob o ponto de vista do atuário   uma visão simplificada
O risco sob o ponto de vista do atuário uma visão simplificada
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002   versão 2013 foundationCurso oficial iso 27002   versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
 
Aula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdfAula 2 -Análise de Riscos (1).pdf
Aula 2 -Análise de Riscos (1).pdf
 

Mais de Fernando Palma

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
Fernando Palma
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
Fernando Palma
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
Fernando Palma
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
Fernando Palma
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
Fernando Palma
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
Fernando Palma
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
Fernando Palma
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
Fernando Palma
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
Fernando Palma
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
Fernando Palma
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
Fernando Palma
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
Fernando Palma
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
Fernando Palma
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
Fernando Palma
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
Fernando Palma
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
Fernando Palma
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
Fernando Palma
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
Fernando Palma
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
Fernando Palma
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
Fernando Palma
 

Mais de Fernando Palma (20)

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
 

Gerenciamento de riscos de segurança da informação - MOD02

  • 1. Introdução a Segurança da Informação Pós Graduação em Qualidade e Governança de TI MOD 2 – Gerenciamento de Riscos de SI Professor Fernando Palma (fernando.palma@gmail.com) (71) 8837-0007 http://portalgsti.com.br Por Fernando Palma Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 2. Agenda Conceitos de riscos Análise de Riscos Estratégias para lhe dar com riscos Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 3. Conceitos de riscos Ameaça: É o que provoca um risco, um dano ou uma perda. Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 4. Conceitos de riscos Vulnerabilidade: A fragilidade ativo em relação a uma possível ameaça. Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 5. Conceitos de riscos Exemplos de ameaças e vulnerabilidades: Ameaças • Ataque de hacker • Incêndio • Inundação Vulnerabilidades • Falta de contigência • Firewall desatualizado • Falta de no brake • Controles de segurança inadequados Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 6. Conceitos de riscos Incidente de Segurança da Informação: quando uma ameaça de manifesta. Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 7. Conceitos de riscos Risco: um risco de segurança é o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou danos a um ativo ou um grupo de ativos. Alta Vulnerabilidade Média Baixa Baixa Média Alta Probabilidade da ameaça Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 8. Conceitos de riscos Exemplos de riscos de Segurança da Informação:  Perda de disponibilidade da informação  Perda de credibilidade da empresa  Perda de integridade da informação  Parada do processo de negócio por conta de falhas em TI Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 9. Agenda Conceitos de riscos Análise de Riscos Estratégias para lhe dar com riscos Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 10. Análise de Riscos Análise de riscos • É uma ferramenta usada no Gerenciamento de Riscos, ou pode ser vista como uma etapa. • Visa identificar quais ameaças são relevantes no processo operacional e identificar os riscos associados. • Compreende 04 principais objetivos: • Identificar ativos e seus valores • Determinar vulnerabilidades e ameaças • Determintar quais ameaças e riscos tem maior impacto • Equilibrar o custo de um incidente e o custo das medidas de segurança Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 11. Análise de Riscos Gerenciamento de Riscos • O Gerenciamento de Riscos é um processo no qual os riscos são identificados, analisados e reduzidos a um nível aceitavel. Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 12. Análise de Riscos Análise de Riscos Quantitativa • Envolve calculo de impacto numericamente • Focado na perda financeira • Comparar o custo das medidas com o custo da perda financeira envolvida com o ativo • Exemplos: quantos clientes podemos perder? Qual prejuízo financeiro envolve este risco? Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 13. Análise de Riscos Análise de Riscos Qualitativa • A chance de que a ameaça se torne realidade é analisada baseada nos sentimentos das pessoas • A análise então avalia o processo operacional envolvido com qual a ameaça se relaciona e verifica quais medidas precisasm ser aplicadas Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 14. Agenda Conceitos de riscos Análise de Riscos Estratégias para lhe dar com riscos Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 15. Estratégias para lhe dar com riscos  Para conviver com riscos, existem medidas que podem ser aplicadas para a redução da probabilidade deste evento acontecer, redução do impacto caso ele aconteça, ou uma combinação as duas. Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 16. Estratégias para lhe dar com riscos Estratégias para lhe dar com riscos Estratégias Aceitar o risco Evitar o risco Tornar o risco neutro Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 17. Estratégias para lhe dar com riscos Tipos de medidas de Segurança Prevenção Uma prevenção impossibilita a ocorrência de uma ameaça, ou minimiza essa possibilidade. Ex: controle de acesso. Detecção Para incidentes que tem danos com menor imapcto ou para aqueles que exite tempo hábil para tratar caso ocorram, a medida de detecção pode ser utilizada. Ex: monitoramento de eventos. Repressão Minimizar as consequências, após detecçãpo do incidente . Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 18. Estratégias para lhe dar com riscos Tipos de medidas de Segurança Correção ou Recuperação Realizar o reparo após ocorrência do incidente e minimização do seu impacto. Ex: restaurar backup. Garantia Para eventos quais não existem métodos de prevenção ou para quais existem altos níveis de impacto, devem ser procurados métodos que reduzem as consequências. Ex: seguro contra fogo. Aceitação Simplesmente aceitar o risco, já que as medidas requerem um custo inaceitável ou custo maior do que os danos. Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 19. Estratégias para lhe dar com riscos Tipos de ameaças Tipos de danos Ameaças Danos Humanas Diretos Não Indiretos Humanas Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 20. Verdadeiro ou Falso? 1. ( ) O conceito de ameaça pode ser definido como uma fragilidade de um ativo. 2. ( ) Um incidente de Segurança da Informação ocorre quando uma ameaça de manifesta. 3. ( ) A análise de reiscos pode ser considerada uma etapa do processo de gerenciamento de riscos. 4. ( ) O Gerenciamento de Riscos é um processo no qual os riscos são identificados, analisados e reduzidos a um nível aceitavel. 5. ( ) As estratégias para lhe dar com riscos são duas: aceitar o risco ou evitar o risco 6. ( ) Os tipos de ameaças possíveis são as diretas e indiretas. 7. ( ) A análise de riscos qualitativa é focada na perda financeira. Introdução a Segurança da Informação Faculdade Ruy Barbosa
  • 21. Faculdade Ruy Barbosa Introdução a Segurança da Informação 1. ( F ) O conceito de ameaça pode ser definido como uma fragilidade de um ativo. 2. ( V ) Um incidente de Segurança da Informação ocorre quando uma ameaça de manifesta. 3. ( V ) A análise de reiscos pode ser considerada uma etapa do processo de gerenciamento de riscos. 4. ( V ) O Gerenciamento de Riscos é um processo no qual os riscos são identificados, analisados e reduzidos a um nível aceitavel. 5. ( F ) As estratégias para lhe dar com riscos são duas: aceitar o risco ou evitar o risco 6. ( F ) Os tipos de ameaças possíveis são as diretas e indiretas. 7. ( F ) A análise de riscos qualitativa é focada na perda financeira. Verdadeiro ou Falso?
  • 22. Fim do módulo 02 Dúvidas? fernando.palma@gmail.com (71) 8837-0007 http://portalgsti.com.br