Segurança e Riscos em TI.pptx

SEGURANÇA E RISCOS
Identificação e Análise de Riscos / Avaliação de Riscos e Plano de Resposta a Risco
/ Plano de Continuidade de TI
Profª Clausia Mara Antoneli

Objetivos
Refletir sobre os principais conceitos relacionados aos Riscos para a área de
Segurança da Informação
Compreender como se dá a identificação de Riscos
Compreender os conceitos básicos da avaliação dos riscos identificados e
Conhecer as possibilidades para avaliação de riscos.
Entender os tipos e as estratégias para respostas e reações aos riscos.
Entender conceitos básicos de um Plano de Continuidade.
Conhecer ferramentas de apoio ao processo de gestão de risco

Para pensar ...
... por que é necessário se preocupar com
a Segurança da Informação?

Segurança e Riscos
Devido ao crescente uso da Tecnologia da
Informação e da Internet desde os anos 80, as
possibilidades de erros e ataques cibernéticos
tornam-se cada vez mais recorrentes.
Por que é necessário se preocupar com a Segurança da
Informação?

• existem sistemas 100% seguros?
• os problemas de Segurança da
Informação são internos ou externos às
organizações?

• Organizações trabalham com dados e processos expostos
• Dados e processos podem sofrer ataques, podem ser
destruídos
• Prevenção e Proteção das Informações são necessários
• Identificação de possíveis problemas é muito importante
• Gestão de Risco - prevenção e proteção das informações
Segurança e Riscos

Segurança e Riscos – conceitos básicos
• Risco – possibilidade de uma ameaça explorar possíveis
vulnerabilidades, prejudicando a organização.
• Vulnerabilidade – falha ou fraqueza de um sistema que, se
explorada, pode causar problemas de segurança (erro de
software, problemas de configuração, segurança
inadequada).
• Ameaça – perigos, evento ou atitude com possibilidade de
remover, desabilitar ou destruir um recurso (de desastres
naturais a ataques e vazamentos de dados cibernéticos).

• Probabilidade – chance e possibilidade de que algo
aconteça.
• Impacto – consequência de algum acontecimento.
Segurança e Riscos – conceitos básicos

Norteiam os sistemas
desenvolvidos para
proteger
adequadamente os
negócios.
Segurança e Riscos

Segurança e Riscos – Principais tipos de Riscos
• Operacionais
• Corporativos
• Ambientais
• Gerenciamento de projetos
• Segurança do trabalho
• Tecnologia da Informação - TI

Segurança e Riscos – Componentes básicos
para todo tipo de Risco
• Evento – com causa e consequente efeito específico.
• Probabilidade - associada.
• Impacto(s) – associado(s).

Processo básico para Gestão de Riscos
• Identificação.
• Análise.
• Tratamento dos Riscos.
• Uma das formas de se fazer a Gestão de Riscos é a
adoção da Norma ISO – normas internacionais
reconhecidas.
• NBR ISSO 31000:2018 – norma brasileira para gestão
de riscos em geral.

Segurança da Informação e Gestão de Riscos
• Eventos são ocorrências ou
mudanças em um conjunto de
circunstâncias.
• Podem ser positivos ou negativos.
• Riscos lógicos ou físicos acarretam
eventos.
• Os impactos dos eventos podem
causar sérios danos e prejuízos aos
negócios.
• É preciso mensurar de alguma forma
a probabilidade de ocorrência de um
evento.
O ciclo PDCA - método interativo
de gestão com quatro passos,
utilizado para o controle e melhoria
contínua de processos e produtos.

Segurança da Informação e Gestão de Riscos –
Áreas envolvidas
• Negócios
TI
A parceria da áreas de negócios com a T.I.,
envolvem a responsabilidade sobre as tomadas de
decisões, identificando riscos, com transparência,
documentação dos processos e aprovação pelos
envolvidos.

Segurança da Informação e Gestão de Riscos –
Categorização do Risco
O PMBOK (2017) define as categorias de risco na organização como um
agrupamento de informações orientados ao risco, de forma estruturada a
identificação desses riscos, análise e discussão das partes interessadas.
Já a TI procura analisar os acessos não autorizados, interromper esses
ataques, verificar as instabilidades, violação de leis e políticas de SI.

Para pensar ....
É possível avaliar o Risco?

Avaliação de Riscos
Os riscos identificados precisam de
avaliação

Mapeamento dos Riscos
 Probabilidade – quando o risco pode tornar-
se realidade.
 Impacto – se ocorrer, o que o risco pode
causar.

Mapeamento dos Riscos
Mapa de Risco

Técnicas de Avaliação de Risco
Risco
NÃO
NÃO
 Processo simples e
prático.
 Prioriza-se o que é mais
crítico, importante e/ou
urgente.
 Depende da estratégia da
organização.
 Precisam de alinhamento
com o Planejamento
estratégico e orçamento.

Técnicas de Avaliação de Risco
ISO 27005
8.3 Análise de riscos
8.3.1 Metodologia de análise de riscos
8.3.2 Avaliação das consequências
8.3.3 Avaliação da probabilidade dos incidentes
8.3.4 Determinação do nível de risco
8.4 Avaliação de riscos

Cálculo do Risco
Análise Qualitativa
IMPACTO PROBABILIDADE
Desprezível Extremo
Levemente Prejudicial Alto
Prejudicial Médio
Muito prejudicial Baixo
Extremamente Prejudicial Irrelevante

Cálculo do Risco
Severidade – probabilidade x impacto
IMPACTO
PROBABILIDADE
Desprezível
Levemente
Prejudicial
Prejudicial
Muito
prejudicial
Extremamente
Prejudicial
Extremo Risco Moderado Risco Elevado Risco Extremo Risco Extremo Risco Extremo
Alto Risco Moderado Risco Moderado Risco Elevado Risco Elevado Risco Elevado
Médio Risco baixo Risco baixo Risco
Moderado
Risco Elevado Risco Elevado
Baixo Risco insignificante Risco baixo Risco baixo Risco
Moderado
Risco Elevado
Irrelevante Risco insignificante Risco insignificante Risco baixo Risco baixo Risco Moderado

Risco Inerente x Risco Residual
 Risco inerente – associado ao negócio e
existe sempre.
 Risco residual – remanescente, após
medidas tomadas para reduzi-lo.

Auditoria em Gestão de Riscos
 para cada risco identificado existe uma
ação efetiva?
 todos os riscos foram identificados?
 os riscos são monitorados?

Auditoria em Gestão de Riscos
A norma ISO 31000 que trata de Gestão de
Risco pode ser utilizada pelo Auditor
um guia para verificações e validações dentro
do ambiente de TI e da área de Segurança da
Informação.

Plano de Respostas a Risco
 Desenvolvimento de estratégias de resposta a
riscos.
 Entendimento dos tipos de reações aos riscos.
 Conhecimento dos casos de gestão de riscos
com devidas respostas.

Possíveis Ações
Eliminar
Mitigar
Aceitar
Explorar
Transferir
Melhorar

Possíveis Ações

Processo de Resposta ao Risco
Desenvolvimento de opções e consequentes ações
(descrição)
IMPORTANTE:
 a resposta deve ser realista;
 adequada à importância e prioridade do risco;
 alinhada à estratégia da organização;
 com prazo estabelecido;
 designação de um responsável.

Planos de Ação
Final do Plano de resposta a risco
ID Risco Resultado Estratégia Ação Responsável
Positivo Prevenir
Negativo Evitar
Mitigar
Melhorar

Apresentação do Plano de Ação
 Gestão de Risco deve ser divulgada
 Deve ser oficial
 Apresentada a todas as áreas
 Comunicação – e-mail, palestras, intranet
 Grande quantidade de Planos de Ação – positivo
 Demonstração de maturidade e segurança

As organizações devem manter seus serviços
protegidos
Plano de Continuidade de TI

Continuidade em TI
 ISO 17799 atualizada para ISO 27002
 Padronização internacional da área de
segurança - previne impactos de
conceitua aspectos humanos, físicos e
tecnológicos; certificação.
 ISO 22301 rege a continuidade dos negócios

Continuidade em TI
Segundo a ISO 22301
“capacidade da organização de continuar a
entrega de produtos ou serviços em um nível
aceitável previamente definido após incidentes
de interrupção”.

Plano de Continuidade - PCN
BIA - Análise de
Impacto nos negócios
PCO - Plano de
Contingência
Operacional
PRD - Plano de
Recuperação de
desastres
PCOM, PGC, PAC
- Plano de
Comunicação;
Plano de Crises;
Plano de
Administração de
crise
PCN

Recursos Críticos
 Recursos que quando sobre ameaça podem afetar os
processos da organização.
 provedor que hospeda o website, que pode ficar
indisponível.
 próprio website da organização, que pode ser
atacado e ficar indisponível.
 meio de entrega pelos Correios, que pode ter greve
e não entregar o produto.

Desenvolvimento de PCN
 Imaginar situações que normalmente pareceriam
impossíveis e não só considerar fatalidades que podem
atingir a continuidade dos negócios da organização.
 Lembrar que as crises podem ter várias origens:
 econômica;
 problemas com investidores;
 ataques cibernéticos;
 vazamento de dados
 crise na comunicação;
 comprometimento da imagem da empresa ...

 PDCA clássico - Planejar-Fazer-Checar-Agir:
 Planejar: estabelecer a política para a continuidade dos
negócios;
 Fazer: implementar e operar a política de continuidade de
negócios;
 Checar: monitorar e rever a performance da política de
continuidade de negócio;
 Agir manter e melhorar o Processo de Desenvolvimento
de Plano de Continuidade.
Por onde iniciar?

 Planejar e nomear os profissionais
responsáveis;
 Analisar o impacto das interrupções ao
negócio;
 Planejar resposta e recuperação de desastres;

Plano de Continuidade - PCN
 Organização - ter ciência de seus processos críticos e
uma posição clara e definida sobre o que fazer com eles.
 Organização - estar preparada para os momentos de
crise, tomando atitudes proativas e de recuperação para
que um plano de continuidade seja acionado e
 Profissional de Segurança da Informação - saber montar
um plano, alertar aos gestores e atuar quando planejado
ou demandado, conforme plano de continuidade
elaborado e periodicamente validado.

Gestão de Risco na área de Segurança da
Informação
Governança de TI
um dos pilares é a Gestão
de Risco de TI como um
todo, e a Segurança da
Informação enquadra-se
nesta parte.

Ferramentas de Apoio
Soluções de apoio ao gerenciamento de riscos
RISK MANAGER RISK INSIGHT
IRIS
INTELLIGENCE
Implementar um processo eficaz
para a automação e integração
processos de Governança, Riscos e
Compliance, eliminando os silos,
reduzindo custos e favorecendo a
colaboração entre as áreas.
Apoio à implementação dos
requisitos de certificação para
PCI-DSS, ISO 27002, ISO 27001, BS
25999, COBIT, Basiléia II e FISAP
Permite informar facilmente as
partes relevantes sobre a
exposição aos riscos e ampliar a
visão dos planos de ação e da
execução. Oferece a
possibilidade de visualizar
os riscos, de todas as formas e
ângulos, com muitas
funcionalidades de gestão de
risco associadas.
É uma ferramenta britânica
para gestão de risco nas
organizações, usada, por
exemplo, na NASA, no
Exército americano e na
Royce.

Ameaças à Segurança da Informação
Falta de
orientação
Erros de
procedimentos
internos
Negligência Malícia
Não saber como
operar
equipamentos,
sistemas,
aplicativos,
recursos de TI, e o
desconhecimento
de técnicas de
proteção, coloca
em risco a
segurança da
informação.
Procedimentos de
gestão da segurança
da informação mal
estruturados ou
desatualizados
podem acarretar
vulnerabilidades e
perdas de dados.
Deixar de cumprir
com as regras da
política de
segurança da
informação ou com
os procedimentos
internos de TI, por
mera negligência,
pode custar caro —
prejuízos
financeiros, de
imagem ou
materiais.
As ações mal-
intencionadas de
colaboradores
internos insatisfeitos e
de pessoas externas
tornam instável a
segurança da
informação,
especialmente, se
houver mecanismos
de detecção de
intrusões.

Projetos e seus Riscos
 Projeto – temporário, com início, meio e fim
definidos.
 Gerenciar projetos - aplicar conhecimentos,
habilidades e técnicas voltadas ao gerenciamento de
diferentes áreas envolvidas no desenvolvimento de
algum projeto, a fim de que ele possa ser concluído
de forma efetiva e eficaz.
 Gerenciar projetos competência estratégica baseada
em um conjunto de ações organizadas em torno de
um resultado previamente planejado.

Gerenciamento de Riscos de Projeto
 11.1 Planejar o Gerenciamento de Riscos.
 11.2 Identificar os Riscos.
 11.3 Realizar a Análise Qualitativa dos Riscos.
 11.4 Realizar a Análise Quantitativa dos Riscos.
 11.5 Planejar as Respostas aos Riscos.
 11.6 Implementar Respostas aos Riscos.
 11.7 Monitorar os Riscos.
Guia
PMBOK

Auditoria e Planejamento de TI para
recuperação de acidentes
O framework de referência mundial é o COBIT
cujos domínios são: planejar e organizar;
adquirir e implementar; entregar e dar
suporte; monitorar e avaliar.

 Análise GAP: exame de Auditoria para
verificação da conformidade com as políticas,
normas e procedimentos relacionados à
Segurança da Informação.
 Lei Geral de Proteção aos dados - LGPD e
sua relação com a área de Segurança da
informação, para recuperação de acidentes.

Para realizar auditoria, tanto interna como
externa, é preciso seguir um roteiro e adotar
boas práticas de execução e postura
de forma neutra.

Segurança e Riscos em TI.pptx

Mais conteúdo relacionado

Semelhante a Segurança e Riscos em TI.pptx

Mais de Clausia Antoneli

Segurança e Riscos em TI.pptx