Gestão de Riscos
de Segurança da Informação
(Parte 01)
Prof. Leonardo Lemes Fagundes
“A superfície da terra apresenta
uma variedade infinita de lugares.
Deves fugir de uns e buscar outros.
Todavia, deves conhecer todos os
terrenos com perfeição.”
Sun Tzu
A Arte da Guerra
Agenda
 Revisão
 Fundamentos de Gestão de Riscos
 Processo de Gestão de Riscos
 Considerações Finais
 Referências Bibliográficas
Revisão
Aula 02: ISO 27K ...
 Uma família de normas
 Voltadas para gestão e operação da Segurança da Informação;
 Amadurecimento da área
 Imposição de novos desafios
 Padrões, Leis e Boas Práticas
 De fundamental importância por uma questão de conformidade e
também um ponto de apoio para implementação das normas.
Fundamentos de Gestão de Riscos
Objetivos da Aula 03
 Apresentar o processo de Gestão de Riscos de Segurança da
Informação;
 Debater sobre a implementação (prática) do processo de gestão
de riscos, com ênfase para as atividades de Análise, Avaliação e
Tratamento de Riscos;
Fundamentos de Gestão de Riscos
Risco
Risco é a combinação da probabilidade de um determinado evento
ocorrer e de suas consequências (impacto).
Um evento é a relação entre as ameaças, as vulnerabilidades e os
danos causados - consequências;
Ao descrever os riscos estamos detalhando cenários, cujas
consequências afetam a CID de determinados ativos.
Fundamentos de Gestão de Riscos
Exemplo de um Evento de Riscos
Ativo: estação de trabalho
Evento: Usuário consegue acesso lógico não autorizado, devido
a erros na definição de permissões.
Processo de Gestão de Riscos
O Processo de Gestão de
em Segurança
da
Informação conforme a ISO
27005.
Atividades coordenadas para
direcionar e controlar uma
organização no que se refere
Análise de Riscos
Comunicação do Risco
Riscos
Análise/Avaliação de Riscos
Identificação de Riscos
Estimativa de Riscos
Avaliação de Riscos
Avaliação ok?
Sim
Não
Tratamento do Risco
Tratamento ok?
Não
Sim
a riscos
Aceitação do Risco
Monitoramento e Análise Crítica de Riscos
Definição do Contexto
Processo de Gestão de Riscos
Definição do Contexto
O contexto para GR de SI envolve: (a) a definição de critérios
básicos, (b) a definição do escopo e dos limites da GR e (c) o
estabelecimento de uma organização apropriada para operar a
Gestão de Riscos de SI.
Processo de Gestão de Riscos
Análise e Avaliação de Riscos
Convém que os riscos sejam identificados, quantificados ou
descritos qualitativamente, priorizados em função dos critérios de
avaliação de riscos e dos objetivos relevantes da organização.
A análise/avaliação de riscos consiste nas seguintes atividades:
• Análise de Riscos
• Identificação e Estimativa de Riscos
• Avaliação de Riscos
Processo de Gestão de Riscos
Tratamento dos Riscos
Convém que
opções
para
o
tratamento
dos riscos
sejam
selecionadas e que o Plano de Tratamento do Risco (PTR) seja
definido.
Opções de Tratamento
Reduzir
Reter
Evitar
Riscos Residuais
Transferir
Processo de Gestão de Riscos
Tratamento dos Riscos
Processo de Gestão de Riscos
Tratamento dos Riscos
Processo de Gestão de Riscos
Tratamento dos Riscos
O risco residual represente o nível de risco remanescente após o
tratamento de riscos. Uma vez que o PTR tenha sido definido, os
riscos residuais precisam ser estimados.
Processo de Gestão de Riscos
Aceitação dos Riscos
Convém que a decisão de aceitar os riscos seja tomada e
formalmente registrada, juntamente com a responsabilidade pela
decisão.
A política de gestão de riscos (item critérios para a aceitação do
risco) oferece suporte a essa tomada de decisão.
Processo de Gestão de Riscos
Comunicação dos Riscos
Convém que as informações sobre riscos sejam trocadas e/ou
compartilhadas entre o tomador de decisão e as outras partes
interessadas, com o objetivo de atingir um consenso sobre como
os riscos devem ser administrados.
Processo de Gestão de Riscos
Monitoramento dos Riscos
Convém que os riscos e seus fatores (valores dos ativos, impactos,
ameaças, vulnerabilidades e probabilidade de ocorrência) sejam
monitorados e analisados criticamente, a fim de se identificar, o
mais rapidamente possível, eventuais mudanças no contexto da
organização e de se manter uma visão geral dos riscos.
Processo de Gestão de Riscos
Melhoria Contínua (PDCA)
Considerações Finais
Considerações Finais
Fatores Críticos de Sucesso
 A análise e riscos deve fazer parte de um processo permanente
de gestão de riscos de segurança da Informação, capaz de identificar
novas vulnerabilidades e ameaças.
 É necessário criar uma estrutura adequada para gestão de riscos,
mas tão importante quanto definir funções e responsabilidades é
desenvolver uma cultura de gestão de riscos.
Considerações Finais
Fatores Críticos de Sucesso
 Com isso a organização mantém o nível de risco em patamares
aceitáveis.
Referências Bibliográficas
 ABNT NBR ISO/IEC 27002:2006. Código de Prática para a Gestão
da Segurança da Informação.
 ABNT NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança
da Informação.
Download
  1. No category

Fundamentos de Gestão de Riscos

Princípios da Gestão de Riscos

Princípios da Gestão de Riscos

Plano da Qualidade

Plano da Qualidade

Especialista de Gestão de Riscos Corporativos

Especialista de Gestão de Riscos Corporativos

As Dificuldades para Implantação e Manutenção do

As Dificuldades para Implantação e Manutenção do

POLÍTICA DO SISTEMA INTEGRADO DA QUALIDADE

POLÍTICA DO SISTEMA INTEGRADO DA QUALIDADE

A VisionWare conseguiu obter total aprovação por parte dos seus

A VisionWare conseguiu obter total aprovação por parte dos seus

Aula Capítulo 14 Volume 1

Aula Capítulo 14 Volume 1

Modelagem em i* de Implantação de modelos de gestão

Modelagem em i* de Implantação de modelos de gestão

Denúncia Anônima e Segurança da Informação

Denúncia Anônima e Segurança da Informação

Hardware, Software e a Segurança da Informação

Hardware, Software e a Segurança da Informação

Certificamos que Thiago Andrade da Silva participou do

Certificamos que Thiago Andrade da Silva participou do

Certificamos que Mariana Ferreira Ribeiro de Miranda

Certificamos que Mariana Ferreira Ribeiro de Miranda

Um Papo Sobre o Internet World`98

Um Papo Sobre o Internet World`98

A VIDA DE DEUS

A VIDA DE DEUS

APOSTILA INTRODUÇÃO À AVALIAÇÃO DE PROJETOS

APOSTILA INTRODUÇÃO À AVALIAÇÃO DE PROJETOS

Estudo Comparativo de Normas de Gestão de Riscos em

Estudo Comparativo de Normas de Gestão de Riscos em

Proposta de Politica de Segurança da Informação Física e

Proposta de Politica de Segurança da Informação Física e

seguranca de ti nas organizacoes - TCC On-line

seguranca de ti nas organizacoes - TCC On-line

Sistema de gestão da qualidade para laboratório de metrologia de

Sistema de gestão da qualidade para laboratório de metrologia de

000695265

000695265

Proposta de um Checklist para verificação da segurança física

Proposta de um Checklist para verificação da segurança física

ISO/IEC 27005 - Departamento de Segurança da Informação e

ISO/IEC 27005 - Departamento de Segurança da Informação e