Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
O documento discute a vulnerabilidade humana como o elo mais fraco da segurança da informação nas empresas. Ele propõe a criação de um plano de conscientização para alertar as empresas sobre esse risco, orientando-as a proteger suas informações valiosas. O objetivo é desenvolver uma política de segurança clara e conscientizar funcionários e gestores sobre os riscos da engenharia social.
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
Trabalho de conclusão de curso- Vulnerabilidade humana - recomendação para conscientização do aspecto humano como elo mais fraco da segurança da informação nas empresas.
O documento apresenta os conceitos fundamentais de gestão de riscos para segurança da informação. Discute ameaças, vulnerabilidades e riscos, e introduz o processo de análise e avaliação de riscos, incluindo a caracterização do ambiente, identificação de ameaças e vulnerabilidades, análise de controles, probabilidade de impacto e determinação do risco.
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
O documento apresenta uma comparação entre as normas ISO 31000 e ISO 27005 para gestão de riscos. A norma ISO 31000 fornece princípios e diretrizes gerais para gestão de riscos, enquanto a ISO 27005 foca especificamente na gestão de riscos de segurança da informação. O autor analisa os conceitos apresentados em cada norma e avalia o nível de aderência entre elas.
O documento discute análise de riscos, apresentando conceitos, origens e classificação de riscos, técnicas de análise como APR, Hazop e AMFE, além de fatores críticos de sucesso e benefícios da gestão de riscos. A aula também aborda políticas de segurança da informação e classificação da informação.
O documento discute a importância da segurança da informação e fornece diretrizes sobre controles de segurança. Ele destaca como os riscos cibernéticos estão aumentando e as consequências para as empresas. O documento também apresenta uma agenda para falar sobre controles de segurança, auditoria e discussão.
O documento fornece informações sobre um curso de Segurança da Informação ministrado pelo professor Igor Maximiliano, incluindo datas de apresentações e avaliações, link para a apostila do curso, e conceitos fundamentais como ameaças, vulnerabilidades, impactos e medidas de proteção de dados.
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
O documento discute a vulnerabilidade humana como o elo mais fraco da segurança da informação nas empresas. Ele propõe a criação de um plano de conscientização para alertar as empresas sobre esse risco, orientando-as a proteger suas informações valiosas. O objetivo é desenvolver uma política de segurança clara e conscientizar funcionários e gestores sobre os riscos da engenharia social.
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...Eduardo da Silva
Trabalho de conclusão de curso- Vulnerabilidade humana - recomendação para conscientização do aspecto humano como elo mais fraco da segurança da informação nas empresas.
O documento apresenta os conceitos fundamentais de gestão de riscos para segurança da informação. Discute ameaças, vulnerabilidades e riscos, e introduz o processo de análise e avaliação de riscos, incluindo a caracterização do ambiente, identificação de ameaças e vulnerabilidades, análise de controles, probabilidade de impacto e determinação do risco.
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
O documento apresenta uma comparação entre as normas ISO 31000 e ISO 27005 para gestão de riscos. A norma ISO 31000 fornece princípios e diretrizes gerais para gestão de riscos, enquanto a ISO 27005 foca especificamente na gestão de riscos de segurança da informação. O autor analisa os conceitos apresentados em cada norma e avalia o nível de aderência entre elas.
O documento discute análise de riscos, apresentando conceitos, origens e classificação de riscos, técnicas de análise como APR, Hazop e AMFE, além de fatores críticos de sucesso e benefícios da gestão de riscos. A aula também aborda políticas de segurança da informação e classificação da informação.
O documento discute a importância da segurança da informação e fornece diretrizes sobre controles de segurança. Ele destaca como os riscos cibernéticos estão aumentando e as consequências para as empresas. O documento também apresenta uma agenda para falar sobre controles de segurança, auditoria e discussão.
O documento fornece informações sobre um curso de Segurança da Informação ministrado pelo professor Igor Maximiliano, incluindo datas de apresentações e avaliações, link para a apostila do curso, e conceitos fundamentais como ameaças, vulnerabilidades, impactos e medidas de proteção de dados.
O documento discute a gestão de riscos relacionados à tecnologia da informação, identificando riscos, avaliando probabilidades e impactos, e propondo respostas como evitar, reduzir ou compartilhar riscos. Apresenta também exemplos de eventos de risco na área de TI e a importância da melhoria contínua.
O documento discute a importância da segurança da informação para proteger os dados das empresas contra problemas como roubo, vírus e crimes. Ele fornece recursos sobre práticas recomendadas de segurança e gestão de riscos, incluindo a análise e avaliação dos riscos para identificar vulnerabilidades e implementar controles adequados.
Este documento apresenta um projeto de segurança da informação para uma organização confidencial. O projeto inclui planejamento, diagnóstico da situação atual por meio de entrevistas e visitas técnicas, e elaboração de um plano de ação e política de segurança da informação. O objetivo é avaliar os controles de segurança da informação existentes, identificar riscos e ameaças, e recomendar melhorias para proteger os ativos de informação da organização.
O documento discute conceitos básicos de gerenciamento de riscos, incluindo identificar, avaliar e tratar riscos que podem causar perdas financeiras ou responsabilidades civis. As técnicas de gerenciamento de riscos permitem antecipar cenários de perdas futuras e identificar riscos prematuramente para atenuar danos às empresas. O gerenciamento de riscos busca reduzir perdas e minimizar seus efeitos.
Este documento apresenta os objetivos e conceitos fundamentais do módulo de Controlo de Riscos Profissionais. Os objetivos incluem saber implementar medidas de prevenção e proteção de acordo com os riscos identificados e saber escolher equipamentos de proteção adequados. O documento explica conceitos como perigo, risco, acidente, prevenção e fornece exemplos de como controlar riscos através de medidas técnicas, organizacionais e de substituição de materiais.
Vivemos no presente uma epidemia de Segurança Cibernética, mas nossa sociedade ainda não percebeu os impactos reais que isso está trazendo para pessoas, empresas e governos.
E a tendência é de agravamento do quadro para os próximos anos, até que mudemos definitivamente nossa maneira de abordar as questões de segurança.
Gestão de Riscos da Segurança da Informação danilopv
Gestão de Riscos da Segurança da Informação – Uma questão Estratégica. O documento discute os desafios da segurança da informação e como a gestão de riscos pode beneficiar os negócios ao identificar riscos de segurança de forma preventiva e priorizar investimentos com base em análise transparente. O processo de análise de riscos da SETi é baseado na norma ISO 27005 e consiste em sete fases.
int à segurança de processos e gerenciamento de riscos.pdfLarissaNtali
Este documento fornece uma introdução à segurança de processos, discutindo os seguintes tópicos: (1) histórico de acidentes de processo importantes, (2) conceitos-chave como perigo versus risco, (3) pilares da gestão de segurança de processos como entendimento dos perigos e riscos e gestão de risco, e (4) elementos-chave da gestão de segurança de processos como procedimentos operacionais, integridade de ativos e aprendizado com experiências. O documento destaca a importância de identificar perigos e riscos de processo
1º webminar sobre ransonware para gestores públicosGuilherme Neves
Este documento resume um webminar sobre ransomware para gestores públicos e privados ministrado por Guilherme Neves. O webminar discute os principais tipos de ameaças cibernéticas atuais como ransomware, malware móvel e phishing, e fornece orientações sobre testes de invasão, políticas de segurança da informação e equipamentos de segurança.
1º webminar sobre ransonware para gestores públicosGuilherme Neves
Este documento resume um webminar sobre ransomware para gestores públicos e privados ministrado por Guilherme Neves. O webminar abordou tópicos como tipos de ameaças cibernéticas atuais, como ransomware, malware móvel e ataques de negação de serviço; a importância de testes de invasão para identificar vulnerabilidades; e os oito passos essenciais para um programa de segurança da informação eficaz.
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)EloGroup
1) O documento discute a necessidade de reinventar o papel da gestão de riscos nas organizações para que se integre melhor aos negócios e gere valor.
2) É apresentado um framework de 5 passos para entender a situação atual e construir uma visão de gestão de riscos integrada aos negócios.
3) Discutem-se os riscos e oportunidades dos diversos processos de uma organização para melhor gerenciá-los de forma positiva.
O documento descreve um curso de contra inteligência para gestão de riscos e continuidade de negócios. O curso aborda conceitos como produção de conhecimento, contra-informação e segurança. Ele ensina identificação, análise e monitoramento de riscos para reduzir probabilidade e impacto.
1) O documento discute conceitos e técnicas de preparação organizacional para enfrentar crises, incluindo identificação de ameaças internas e externas, desenvolvimento de planos de continuidade de negócios e estratégias de prevenção, reação e recuperação.
2) É destacada a importância da percepção correta dos riscos e da preparação antecipada para situações de emergência, de modo a evitar surpresas e garantir a sobrevivência da organização.
3) São explicados conceitos como gestão de
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
O documento discute conceitos de riscos de segurança da informação, incluindo ameaças, vulnerabilidades e incidentes. Também aborda análise de riscos e estratégias para lidar com riscos, como aceitar, evitar ou tornar o risco neutro. A aula apresenta exemplos de cada tópico para explicar os conceitos-chave.
Segurança da Informação com Windows ServerGuilherme Lima
O documento discute segurança da informação em Windows Server 2008. Ele aborda noções fundamentais de segurança da informação, gestão de segurança da informação, riscos, ameaças e vulnerabilidades em TI, e estabelecimento de controles e contramedidas de segurança. A agenda inclui uma discussão de 120 minutos sobre cada um desses tópicos, além de 90 minutos sobre perícia forense.
Desde 2011, a Pagliusi Inteligência em cibersegurança está ajudando clientes globais a avaliar, gerenciar e otimizar riscos cibernéticos e de TI, analisar questões tecnológicas de seus negócios e se antecipar aos riscos cibernéticos emergentes, para que seus negócios continuem prosperando.
O documento discute o gerenciamento de riscos em projetos. Primeiro, apresenta a importância do gerenciamento de riscos e como ele deve ser realizado de forma sistemática. Em seguida, descreve os principais processos envolvidos no gerenciamento de riscos, incluindo a identificação, análise, planejamento de respostas e monitoramento. Por fim, fornece exemplos de como analisar e classificar riscos de acordo com sua probabilidade e impacto.
O documento discute a gestão de riscos nas organizações, abordando conceitos como risco, gestão de riscos e maturidade da gestão de riscos. Também analisa a situação atual da gestão de riscos em organizações brasileiras, identificando fatores que favoreceram avanços e obstáculos como a cultura de pouca importância dada à segurança e saúde do trabalho.
[1] O documento discute a validade atual da noção de "ato inseguro" para explicar acidentes de trabalho. [2] Argumenta que a noção pressupõe erroneamente que acidentes são fenômenos individuais causados por escolhas conscientes dos trabalhadores. [3] Defende que uma abordagem sistêmica e ergonômica é mais adequada, considerando fatores organizacionais, técnicos e psicológicos.
Sustentabilidade e Sociedade da Informação / Relação entre Tecnologia e Sustentabilidade / TI Verde / Normas ISO 14000 / Software Livre e Soluções Inovadoras para TI Sustentável
O documento discute estratégias de marketing digital, incluindo o uso de mídias sociais e comércio eletrônico. Apresenta conceitos como marketing de conteúdo, inbound marketing, buyer persona e estratégias para usar redes sociais como Facebook, Instagram e LinkedIn para fins de marketing. Também discute formas de comércio eletrônico como B2B, B2C e C2C e a importância de planejamento e estratégia para lojas online e marketplaces.
O documento discute a gestão de riscos relacionados à tecnologia da informação, identificando riscos, avaliando probabilidades e impactos, e propondo respostas como evitar, reduzir ou compartilhar riscos. Apresenta também exemplos de eventos de risco na área de TI e a importância da melhoria contínua.
O documento discute a importância da segurança da informação para proteger os dados das empresas contra problemas como roubo, vírus e crimes. Ele fornece recursos sobre práticas recomendadas de segurança e gestão de riscos, incluindo a análise e avaliação dos riscos para identificar vulnerabilidades e implementar controles adequados.
Este documento apresenta um projeto de segurança da informação para uma organização confidencial. O projeto inclui planejamento, diagnóstico da situação atual por meio de entrevistas e visitas técnicas, e elaboração de um plano de ação e política de segurança da informação. O objetivo é avaliar os controles de segurança da informação existentes, identificar riscos e ameaças, e recomendar melhorias para proteger os ativos de informação da organização.
O documento discute conceitos básicos de gerenciamento de riscos, incluindo identificar, avaliar e tratar riscos que podem causar perdas financeiras ou responsabilidades civis. As técnicas de gerenciamento de riscos permitem antecipar cenários de perdas futuras e identificar riscos prematuramente para atenuar danos às empresas. O gerenciamento de riscos busca reduzir perdas e minimizar seus efeitos.
Este documento apresenta os objetivos e conceitos fundamentais do módulo de Controlo de Riscos Profissionais. Os objetivos incluem saber implementar medidas de prevenção e proteção de acordo com os riscos identificados e saber escolher equipamentos de proteção adequados. O documento explica conceitos como perigo, risco, acidente, prevenção e fornece exemplos de como controlar riscos através de medidas técnicas, organizacionais e de substituição de materiais.
Vivemos no presente uma epidemia de Segurança Cibernética, mas nossa sociedade ainda não percebeu os impactos reais que isso está trazendo para pessoas, empresas e governos.
E a tendência é de agravamento do quadro para os próximos anos, até que mudemos definitivamente nossa maneira de abordar as questões de segurança.
Gestão de Riscos da Segurança da Informação danilopv
Gestão de Riscos da Segurança da Informação – Uma questão Estratégica. O documento discute os desafios da segurança da informação e como a gestão de riscos pode beneficiar os negócios ao identificar riscos de segurança de forma preventiva e priorizar investimentos com base em análise transparente. O processo de análise de riscos da SETi é baseado na norma ISO 27005 e consiste em sete fases.
int à segurança de processos e gerenciamento de riscos.pdfLarissaNtali
Este documento fornece uma introdução à segurança de processos, discutindo os seguintes tópicos: (1) histórico de acidentes de processo importantes, (2) conceitos-chave como perigo versus risco, (3) pilares da gestão de segurança de processos como entendimento dos perigos e riscos e gestão de risco, e (4) elementos-chave da gestão de segurança de processos como procedimentos operacionais, integridade de ativos e aprendizado com experiências. O documento destaca a importância de identificar perigos e riscos de processo
1º webminar sobre ransonware para gestores públicosGuilherme Neves
Este documento resume um webminar sobre ransomware para gestores públicos e privados ministrado por Guilherme Neves. O webminar discute os principais tipos de ameaças cibernéticas atuais como ransomware, malware móvel e phishing, e fornece orientações sobre testes de invasão, políticas de segurança da informação e equipamentos de segurança.
1º webminar sobre ransonware para gestores públicosGuilherme Neves
Este documento resume um webminar sobre ransomware para gestores públicos e privados ministrado por Guilherme Neves. O webminar abordou tópicos como tipos de ameaças cibernéticas atuais, como ransomware, malware móvel e ataques de negação de serviço; a importância de testes de invasão para identificar vulnerabilidades; e os oito passos essenciais para um programa de segurança da informação eficaz.
Elo Group Incerteza Como Fonte De Vantagem Competitiva (Abnt)EloGroup
1) O documento discute a necessidade de reinventar o papel da gestão de riscos nas organizações para que se integre melhor aos negócios e gere valor.
2) É apresentado um framework de 5 passos para entender a situação atual e construir uma visão de gestão de riscos integrada aos negócios.
3) Discutem-se os riscos e oportunidades dos diversos processos de uma organização para melhor gerenciá-los de forma positiva.
O documento descreve um curso de contra inteligência para gestão de riscos e continuidade de negócios. O curso aborda conceitos como produção de conhecimento, contra-informação e segurança. Ele ensina identificação, análise e monitoramento de riscos para reduzir probabilidade e impacto.
1) O documento discute conceitos e técnicas de preparação organizacional para enfrentar crises, incluindo identificação de ameaças internas e externas, desenvolvimento de planos de continuidade de negócios e estratégias de prevenção, reação e recuperação.
2) É destacada a importância da percepção correta dos riscos e da preparação antecipada para situações de emergência, de modo a evitar surpresas e garantir a sobrevivência da organização.
3) São explicados conceitos como gestão de
Gerenciamento de riscos de segurança da informação - MOD02Fernando Palma
O documento discute conceitos de riscos de segurança da informação, incluindo ameaças, vulnerabilidades e incidentes. Também aborda análise de riscos e estratégias para lidar com riscos, como aceitar, evitar ou tornar o risco neutro. A aula apresenta exemplos de cada tópico para explicar os conceitos-chave.
Segurança da Informação com Windows ServerGuilherme Lima
O documento discute segurança da informação em Windows Server 2008. Ele aborda noções fundamentais de segurança da informação, gestão de segurança da informação, riscos, ameaças e vulnerabilidades em TI, e estabelecimento de controles e contramedidas de segurança. A agenda inclui uma discussão de 120 minutos sobre cada um desses tópicos, além de 90 minutos sobre perícia forense.
Desde 2011, a Pagliusi Inteligência em cibersegurança está ajudando clientes globais a avaliar, gerenciar e otimizar riscos cibernéticos e de TI, analisar questões tecnológicas de seus negócios e se antecipar aos riscos cibernéticos emergentes, para que seus negócios continuem prosperando.
O documento discute o gerenciamento de riscos em projetos. Primeiro, apresenta a importância do gerenciamento de riscos e como ele deve ser realizado de forma sistemática. Em seguida, descreve os principais processos envolvidos no gerenciamento de riscos, incluindo a identificação, análise, planejamento de respostas e monitoramento. Por fim, fornece exemplos de como analisar e classificar riscos de acordo com sua probabilidade e impacto.
O documento discute a gestão de riscos nas organizações, abordando conceitos como risco, gestão de riscos e maturidade da gestão de riscos. Também analisa a situação atual da gestão de riscos em organizações brasileiras, identificando fatores que favoreceram avanços e obstáculos como a cultura de pouca importância dada à segurança e saúde do trabalho.
[1] O documento discute a validade atual da noção de "ato inseguro" para explicar acidentes de trabalho. [2] Argumenta que a noção pressupõe erroneamente que acidentes são fenômenos individuais causados por escolhas conscientes dos trabalhadores. [3] Defende que uma abordagem sistêmica e ergonômica é mais adequada, considerando fatores organizacionais, técnicos e psicológicos.
Sustentabilidade e Sociedade da Informação / Relação entre Tecnologia e Sustentabilidade / TI Verde / Normas ISO 14000 / Software Livre e Soluções Inovadoras para TI Sustentável
O documento discute estratégias de marketing digital, incluindo o uso de mídias sociais e comércio eletrônico. Apresenta conceitos como marketing de conteúdo, inbound marketing, buyer persona e estratégias para usar redes sociais como Facebook, Instagram e LinkedIn para fins de marketing. Também discute formas de comércio eletrônico como B2B, B2C e C2C e a importância de planejamento e estratégia para lojas online e marketplaces.
O documento discute os conceitos e práticas de gestão de serviços de TI, incluindo a gestão de incidentes. A gestão de incidentes envolve a identificação, registro, categorização, priorização, diagnóstico, escalonamento, resolução e fechamento de interrupções nos serviços de TI para garantir sua qualidade e disponibilidade.
O documento discute os sistemas de informação nas organizações na economia digital, abordando tópicos como: características da economia digital e mudanças nas organizações; e-business e e-commerce; sistemas de informação e sua infraestrutura; tipos de sistemas de informação; e desafios da economia digital para as organizações.
O documento explica como numerar páginas no Microsoft Word, descrevendo a função de numeração de páginas, os passos para adicionar numeração e como configurar para ignorar a numeração na capa e sumário.
O documento discute princípios de segurança em sistemas de informação, incluindo segurança lógica, física e do ambiente. Aborda tópicos como controle de acesso, NBR ISO/IEC 17799, planos de contingência e ameaças à segurança.
O documento discute a introdução à tecnologia da informação. Apresenta os principais tópicos da disciplina como infraestrutura da TI, sistemas de informação e revoluções tecnológicas. Também discute a evolução da computação desde máquinas grandes até máquinas menores e mais poderosas e como a TI impactou as organizações proporcionando vantagens competitivas.
O documento discute o QR Code, incluindo sua criação, como funciona, para que serve e como gerar e ler códigos QR. É um tipo de código de barras bidimensional que permite armazenar grandes quantidades de dados e é usado principalmente pela mídia impressa para fornecer conteúdo adicional online.
O documento descreve as cinco etapas básicas da programação: 1) Identificação de um problema do mundo real, 2) Confecção do algoritmo, 3) Teste do algoritmo, 4) Confecção do programa de computador, 5) Execução do programa no computador. A professora explica cada etapa e fornece exemplos para ilustrar o processo de programação.
O documento descreve os principais elementos da linguagem de programação C, incluindo comentários, bibliotecas, declaração de variáveis, comandos de leitura e escrita, condições if e loops while e for. É apresentado um exemplo completo de um programa em C que lê a nota de um aluno e verifica se ele foi aprovado ou reprovado.
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help protect against mental illness and improve symptoms for those who already suffer from conditions like anxiety and depression.
Comunicação Organizacional e as Novas TecnologiasClausia Antoneli
A comunicação organizacional envolve o planejamento, implementação e avaliação contínua das ações de comunicação de uma organização, tanto internamente quanto externamente. Ela deve cuidar da imagem e marca da organização e está ligada a aspectos políticos, econômicos, sociais e tecnológicos. Profissionais da área, como jornalistas e relações públicas, devem se preocupar com as relações entre a organização e seus públicos.
O documento descreve como instalar e usar o compilador Dev C++. Ele explica que o Dev C++ é um compilador gratuito para C, C++ e C# que permite compilar e executar programas. O documento também mostra como criar e compilar um programa simples usando o Dev C++.
O documento discute o que é programação. Explica que programar envolve desenvolver instruções lógicas (algoritmos) para computadores usando linguagens de programação. Também descreve os componentes de hardware e software de computadores e como eles trabalham juntos para processar dados.
1) O documento descreve funções no Excel, que são rotinas que executam cálculos e retornam valores.
2) As funções automatizam cálculos complexos e evitam fórmulas longas. Elas têm nomes, parâmetros e resultados.
3) Exemplos demonstram como usar a função LÓGICA "SE" para testar se metas de vendas foram atingidas e retornar resultados.
1. O documento discute as cinco etapas da programação: identificação do problema, confecção do algoritmo, teste do algoritmo, confecção do programa de computador e execução do programa no computador.
2. É destacada a importância da programação estruturada para produzir programas confiáveis, de fácil manutenção e legíveis.
3. Exemplos ilustram cada etapa, incluindo algoritmos e programas para calcular o preço de combustível e verificar aprovação de aluno.
Gerenciadores de projetos - introdução ao ms-projectClausia Antoneli
O documento fornece uma introdução sobre gerenciadores de projetos e o Microsoft Project. Ele descreve o que são gerenciadores de projetos, tipos existentes e exemplos. Também apresenta os conceitos básicos e etapas de gerenciamento de projetos no Microsoft Project, incluindo menus, modos de edição, criação de projetos, gráficos e dicas de utilização.
O documento descreve o que são blogs, como funcionam e seus tipos principais. Blogs são sites onde usuários publicam seus pensamentos sobre assuntos pessoais ou de interesse. São organizados cronologicamente e permitem comentários. Existem blogs pessoais, de conteúdo e corporativos.
O documento discute estratégias para rádios se adaptarem à internet, incluindo fornecer áudio ao vivo, ferramentas interativas para ouvintes, e departamentos de vendas para anunciantes.
1. SEGURANÇA E RISCOS
Identificação e Análise de Riscos / Avaliação de Riscos e Plano de Resposta a Risco
/ Plano de Continuidade de TI
Profª Clausia Mara Antoneli
2. Objetivos
Refletir sobre os principais conceitos relacionados aos Riscos para a área de
Segurança da Informação
Compreender como se dá a identificação de Riscos
Compreender os conceitos básicos da avaliação dos riscos identificados e
Conhecer as possibilidades para avaliação de riscos.
Entender os tipos e as estratégias para respostas e reações aos riscos.
Entender conceitos básicos de um Plano de Continuidade.
Conhecer ferramentas de apoio ao processo de gestão de risco
Profª Clausia Mara Antoneli
3. Para pensar ...
... por que é necessário se preocupar com
a Segurança da Informação?
Profª Clausia Mara Antoneli
4. Segurança e Riscos
Devido ao crescente uso da Tecnologia da
Informação e da Internet desde os anos 80, as
possibilidades de erros e ataques cibernéticos
tornam-se cada vez mais recorrentes.
Por que é necessário se preocupar com a Segurança da
Informação?
Profª Clausia Mara Antoneli
5. • existem sistemas 100% seguros?
• os problemas de Segurança da
Informação são internos ou externos às
organizações?
Profª Clausia Mara Antoneli
6. • Organizações trabalham com dados e processos expostos
• Dados e processos podem sofrer ataques, podem ser
destruídos
• Prevenção e Proteção das Informações são necessários
• Identificação de possíveis problemas é muito importante
• Gestão de Risco - prevenção e proteção das informações
Profª Clausia Mara Antoneli
Segurança e Riscos
7. Segurança e Riscos – conceitos básicos
• Risco – possibilidade de uma ameaça explorar possíveis
vulnerabilidades, prejudicando a organização.
• Vulnerabilidade – falha ou fraqueza de um sistema que, se
explorada, pode causar problemas de segurança (erro de
software, problemas de configuração, segurança
inadequada).
• Ameaça – perigos, evento ou atitude com possibilidade de
remover, desabilitar ou destruir um recurso (de desastres
naturais a ataques e vazamentos de dados cibernéticos).
Profª Clausia Mara Antoneli
8. • Probabilidade – chance e possibilidade de que algo
aconteça.
• Impacto – consequência de algum acontecimento.
Profª Clausia Mara Antoneli
Segurança e Riscos – conceitos básicos
10. Segurança e Riscos – Principais tipos de Riscos
• Operacionais
• Corporativos
• Ambientais
• Gerenciamento de projetos
• Segurança do trabalho
• Tecnologia da Informação - TI
Profª Clausia Mara Antoneli
11. Segurança e Riscos – Componentes básicos
para todo tipo de Risco
• Evento – com causa e consequente efeito específico.
• Probabilidade - associada.
• Impacto(s) – associado(s).
Profª Clausia Mara Antoneli
12. Processo básico para Gestão de Riscos
• Identificação.
• Análise.
• Tratamento dos Riscos.
• Uma das formas de se fazer a Gestão de Riscos é a
adoção da Norma ISO – normas internacionais
reconhecidas.
• NBR ISSO 31000:2018 – norma brasileira para gestão
de riscos em geral.
Profª Clausia Mara Antoneli
13. Segurança da Informação e Gestão de Riscos
• Eventos são ocorrências ou
mudanças em um conjunto de
circunstâncias.
• Podem ser positivos ou negativos.
• Riscos lógicos ou físicos acarretam
eventos.
• Os impactos dos eventos podem
causar sérios danos e prejuízos aos
negócios.
• É preciso mensurar de alguma forma
a probabilidade de ocorrência de um
evento.
O ciclo PDCA - método interativo
de gestão com quatro passos,
utilizado para o controle e melhoria
contínua de processos e produtos.
Profª Clausia Mara Antoneli
14. Segurança da Informação e Gestão de Riscos –
Áreas envolvidas
• Negócios
TI
A parceria da áreas de negócios com a T.I.,
envolvem a responsabilidade sobre as tomadas de
decisões, identificando riscos, com transparência,
documentação dos processos e aprovação pelos
envolvidos.
Profª Clausia Mara Antoneli
15. Segurança da Informação e Gestão de Riscos –
Categorização do Risco
O PMBOK (2017) define as categorias de risco na organização como um
agrupamento de informações orientados ao risco, de forma estruturada a
identificação desses riscos, análise e discussão das partes interessadas.
Já a TI procura analisar os acessos não autorizados, interromper esses
ataques, verificar as instabilidades, violação de leis e políticas de SI.
Profª Clausia Mara Antoneli
16. Para pensar ....
É possível avaliar o Risco?
Profª Clausia Mara Antoneli
17. Avaliação de Riscos
Os riscos identificados precisam de
avaliação
Profª Clausia Mara Antoneli
18. Mapeamento dos Riscos
Probabilidade – quando o risco pode tornar-
se realidade.
Impacto – se ocorrer, o que o risco pode
causar.
Profª Clausia Mara Antoneli
20. Técnicas de Avaliação de Risco
Risco
NÃO
NÃO
Processo simples e
prático.
Prioriza-se o que é mais
crítico, importante e/ou
urgente.
Depende da estratégia da
organização.
Precisam de alinhamento
com o Planejamento
estratégico e orçamento.
Profª Clausia Mara Antoneli
21. Técnicas de Avaliação de Risco
ISO 27005
8.3 Análise de riscos
8.3.1 Metodologia de análise de riscos
8.3.2 Avaliação das consequências
8.3.3 Avaliação da probabilidade dos incidentes
8.3.4 Determinação do nível de risco
8.4 Avaliação de riscos
Profª Clausia Mara Antoneli
22. Cálculo do Risco
Análise Qualitativa
IMPACTO PROBABILIDADE
Desprezível Extremo
Levemente Prejudicial Alto
Prejudicial Médio
Muito prejudicial Baixo
Extremamente Prejudicial Irrelevante
Profª Clausia Mara Antoneli
23. Cálculo do Risco
Severidade – probabilidade x impacto
IMPACTO
PROBABILIDADE
Desprezível
Levemente
Prejudicial
Prejudicial
Muito
prejudicial
Extremamente
Prejudicial
Extremo Risco Moderado Risco Elevado Risco Extremo Risco Extremo Risco Extremo
Alto Risco Moderado Risco Moderado Risco Elevado Risco Elevado Risco Elevado
Médio Risco baixo Risco baixo Risco
Moderado
Risco Elevado Risco Elevado
Baixo Risco insignificante Risco baixo Risco baixo Risco
Moderado
Risco Elevado
Irrelevante Risco insignificante Risco insignificante Risco baixo Risco baixo Risco Moderado
Profª Clausia Mara Antoneli
24. Risco Inerente x Risco Residual
Risco inerente – associado ao negócio e
existe sempre.
Risco residual – remanescente, após
medidas tomadas para reduzi-lo.
Profª Clausia Mara Antoneli
25. Auditoria em Gestão de Riscos
para cada risco identificado existe uma
ação efetiva?
todos os riscos foram identificados?
os riscos são monitorados?
Profª Clausia Mara Antoneli
26. Auditoria em Gestão de Riscos
A norma ISO 31000 que trata de Gestão de
Risco pode ser utilizada pelo Auditor
um guia para verificações e validações dentro
do ambiente de TI e da área de Segurança da
Informação.
Profª Clausia Mara Antoneli
27. Plano de Respostas a Risco
Desenvolvimento de estratégias de resposta a
riscos.
Entendimento dos tipos de reações aos riscos.
Conhecimento dos casos de gestão de riscos
com devidas respostas.
Profª Clausia Mara Antoneli
30. Processo de Resposta ao Risco
Desenvolvimento de opções e consequentes ações
(descrição)
IMPORTANTE:
a resposta deve ser realista;
adequada à importância e prioridade do risco;
alinhada à estratégia da organização;
com prazo estabelecido;
designação de um responsável.
Profª Clausia Mara Antoneli
31. Planos de Ação
Final do Plano de resposta a risco
ID Risco Resultado Estratégia Ação Responsável
Positivo Prevenir
Negativo Evitar
Mitigar
Melhorar
Profª Clausia Mara Antoneli
32. Apresentação do Plano de Ação
Gestão de Risco deve ser divulgada
Deve ser oficial
Apresentada a todas as áreas
Comunicação – e-mail, palestras, intranet
Grande quantidade de Planos de Ação – positivo
Demonstração de maturidade e segurança
Profª Clausia Mara Antoneli
33. As organizações devem manter seus serviços
protegidos
Plano de Continuidade de TI
Profª Clausia Mara Antoneli
34. Continuidade em TI
ISO 17799 atualizada para ISO 27002
Padronização internacional da área de
segurança - previne impactos de
conceitua aspectos humanos, físicos e
tecnológicos; certificação.
ISO 22301 rege a continuidade dos negócios
Profª Clausia Mara Antoneli
35. Continuidade em TI
Segundo a ISO 22301
“capacidade da organização de continuar a
entrega de produtos ou serviços em um nível
aceitável previamente definido após incidentes
de interrupção”.
Profª Clausia Mara Antoneli
36. Plano de Continuidade - PCN
BIA - Análise de
Impacto nos negócios
PCO - Plano de
Contingência
Operacional
PRD - Plano de
Recuperação de
desastres
PCOM, PGC, PAC
- Plano de
Comunicação;
Plano de Crises;
Plano de
Administração de
crise
PCN
Profª Clausia Mara Antoneli
37. Recursos Críticos
Recursos que quando sobre ameaça podem afetar os
processos da organização.
provedor que hospeda o website, que pode ficar
indisponível.
próprio website da organização, que pode ser
atacado e ficar indisponível.
meio de entrega pelos Correios, que pode ter greve
e não entregar o produto.
Profª Clausia Mara Antoneli
38. Desenvolvimento de PCN
Imaginar situações que normalmente pareceriam
impossíveis e não só considerar fatalidades que podem
atingir a continuidade dos negócios da organização.
Lembrar que as crises podem ter várias origens:
econômica;
problemas com investidores;
ataques cibernéticos;
vazamento de dados
crise na comunicação;
comprometimento da imagem da empresa ...
Profª Clausia Mara Antoneli
39. Desenvolvimento de PCN
PDCA clássico - Planejar-Fazer-Checar-Agir:
Planejar: estabelecer a política para a continuidade dos
negócios;
Fazer: implementar e operar a política de continuidade de
negócios;
Checar: monitorar e rever a performance da política de
continuidade de negócio;
Agir manter e melhorar o Processo de Desenvolvimento
de Plano de Continuidade.
Por onde iniciar?
Profª Clausia Mara Antoneli
40. Desenvolvimento de PCN
Planejar e nomear os profissionais
responsáveis;
Analisar o impacto das interrupções ao
negócio;
Planejar resposta e recuperação de desastres;
Profª Clausia Mara Antoneli
41. Plano de Continuidade - PCN
Organização - ter ciência de seus processos críticos e
uma posição clara e definida sobre o que fazer com eles.
Organização - estar preparada para os momentos de
crise, tomando atitudes proativas e de recuperação para
que um plano de continuidade seja acionado e
Profissional de Segurança da Informação - saber montar
um plano, alertar aos gestores e atuar quando planejado
ou demandado, conforme plano de continuidade
elaborado e periodicamente validado.
Profª Clausia Mara Antoneli
42. Gestão de Risco na área de Segurança da
Informação
Governança de TI
um dos pilares é a Gestão
de Risco de TI como um
todo, e a Segurança da
Informação enquadra-se
nesta parte.
Profª Clausia Mara Antoneli
43. Ferramentas de Apoio
Soluções de apoio ao gerenciamento de riscos
RISK MANAGER RISK INSIGHT
IRIS
INTELLIGENCE
Implementar um processo eficaz
para a automação e integração
processos de Governança, Riscos e
Compliance, eliminando os silos,
reduzindo custos e favorecendo a
colaboração entre as áreas.
Apoio à implementação dos
requisitos de certificação para
PCI-DSS, ISO 27002, ISO 27001, BS
25999, COBIT, Basiléia II e FISAP
Permite informar facilmente as
partes relevantes sobre a
exposição aos riscos e ampliar a
visão dos planos de ação e da
execução. Oferece a
possibilidade de visualizar
os riscos, de todas as formas e
ângulos, com muitas
funcionalidades de gestão de
risco associadas.
É uma ferramenta britânica
para gestão de risco nas
organizações, usada, por
exemplo, na NASA, no
Exército americano e na
Royce.
Profª Clausia Mara Antoneli
44. Ameaças à Segurança da Informação
Falta de
orientação
Erros de
procedimentos
internos
Negligência Malícia
Não saber como
operar
equipamentos,
sistemas,
aplicativos,
recursos de TI, e o
desconhecimento
de técnicas de
proteção, coloca
em risco a
segurança da
informação.
Procedimentos de
gestão da segurança
da informação mal
estruturados ou
desatualizados
podem acarretar
vulnerabilidades e
perdas de dados.
Deixar de cumprir
com as regras da
política de
segurança da
informação ou com
os procedimentos
internos de TI, por
mera negligência,
pode custar caro —
prejuízos
financeiros, de
imagem ou
materiais.
As ações mal-
intencionadas de
colaboradores
internos insatisfeitos e
de pessoas externas
tornam instável a
segurança da
informação,
especialmente, se
houver mecanismos
de detecção de
intrusões.
Profª Clausia Mara Antoneli
45. Projetos e seus Riscos
Projeto – temporário, com início, meio e fim
definidos.
Gerenciar projetos - aplicar conhecimentos,
habilidades e técnicas voltadas ao gerenciamento de
diferentes áreas envolvidas no desenvolvimento de
algum projeto, a fim de que ele possa ser concluído
de forma efetiva e eficaz.
Gerenciar projetos competência estratégica baseada
em um conjunto de ações organizadas em torno de
um resultado previamente planejado.
Profª Clausia Mara Antoneli
46. Gerenciamento de Riscos de Projeto
11.1 Planejar o Gerenciamento de Riscos.
11.2 Identificar os Riscos.
11.3 Realizar a Análise Qualitativa dos Riscos.
11.4 Realizar a Análise Quantitativa dos Riscos.
11.5 Planejar as Respostas aos Riscos.
11.6 Implementar Respostas aos Riscos.
11.7 Monitorar os Riscos.
Guia
PMBOK
Profª Clausia Mara Antoneli
47. Auditoria e Planejamento de TI para
recuperação de acidentes
O framework de referência mundial é o COBIT
cujos domínios são: planejar e organizar;
adquirir e implementar; entregar e dar
suporte; monitorar e avaliar.
Profª Clausia Mara Antoneli
48. Auditoria e Planejamento de TI para
recuperação de acidentes
Análise GAP: exame de Auditoria para
verificação da conformidade com as políticas,
normas e procedimentos relacionados à
Segurança da Informação.
Lei Geral de Proteção aos dados - LGPD e
sua relação com a área de Segurança da
informação, para recuperação de acidentes.
Profª Clausia Mara Antoneli
49. Auditoria e Planejamento de TI para
recuperação de acidentes
Para realizar auditoria, tanto interna como
externa, é preciso seguir um roteiro e adotar
boas práticas de execução e postura
de forma neutra.
Profª Clausia Mara Antoneli